Les récentes violations de données ont mis en exergue la protection des données personnelles des consommateurs. Elles mettent également en lumière un marché où les entreprises accumulent et vendent de vastes ensembles de données personnelles, financières et de localisation des consommateurs à une industrie florissante de courtiers en data.
Dans ce contexte, la Federal Trade Commission (FTC) a annoncé le lancement d'un Advance Notice of Proposed Rulemakingv (ANPR) pour lutter contre la surveillance commerciale préjudiciable et le manque de sécurité des données. « Les entreprises collectent aujourd'hui des données personnelles sur les individus à une échelle massive et dans un éventail stupéfiant de contextes », a déclaré la présidente de la FTC, Lina M. Khan. « La digitalisation croissante de notre économie - associée à des business model qui peuvent inciter à l'accumulation sans fin de données sensibles sur les utilisateurs et à une vaste expansion de la manière dont ces informations sont utilisées - signifie que des pratiques potentiellement illégales peuvent être répandues ».
La surveillance commerciale accroît les risques de violation de données
Selon la FTC, la surveillance commerciale fait référence à la collecte, l'agrégation, l'analyse, la conservation, le transfert ou la monétisation des données des consommateurs et des dérivés directs de ces informations. Cette surveillance accroît « les risques et les enjeux des violations de données, de la tromperie, de la manipulation et d'autres abus ». La sécurité des données comprend « l'atténuation des risques de violation, la gestion et la conservation des données, la minimisation des données et les pratiques de notification et de divulgation des violations ».
L'ANPR n'est que la première étape du processus de la FTC. Elle vise à lancer le travail avant de créer d'éventuelles règles en compilant un dossier public complet sur leur nécessité potentielle. La Commission fait valoir qu'elle est habilitée à mettre en œuvre des réglementations régissant la surveillance et les procédures laxistes de sécurité des données en vertu de sa loi constitutive, le FTC Act, et de décennies d'expérience en matière d'application et de politique dans ces deux domaines.
L'ANPR cherche à répondre à un large éventail de questions
L'ANPR constitue un document de grande envergure qui aborde la quasi-totalité des controverses actuelles concernant la collecte, l'utilisation et la vente des données des particuliers, qui ne font l'objet d'aucune réglementation. Par le biais de ce document, la FTC invite le public à formuler des commentaires sur la nature et la prévalence de la surveillance commerciale préjudiciable et des pratiques laxistes en matière de sécurité des données, sur l'équilibre des coûts et des avantages compensatoires de ces pratiques pour les consommateurs et la concurrence, ainsi que sur les propositions visant à protéger les consommateurs contre les pratiques préjudiciables et répandues de surveillance commerciale et de sécurité des données.
L'ANPR énonce une série de questions approfondies pour lesquelles elle cherche des réponses. Tout d’abord, dans quelle mesure les pratiques de surveillance commerciale ou les mesures de sécurité laxistes nuisent-elles aux consommateurs ? La FTC pose une douzaine de questions sur la manière dont les consommateurs peuvent être lésés par la surveillance commerciale ou le manque de sécurité, y compris le type de données qui devraient être soumises à ses éventuelles règles. Elle s'interroge aussi sur la manière dont elle devrait traiter les préjudices indirects tels que la détresse psychologique, et la façon dont une règle devrait traiter les préjudices subis par différents consommateurs dans différents secteurs.
La sécurité des enfants entre en jeu
Parmi les autres questions de l’ANPR, il s’agit de savoir dans quelle mesure les pratiques sur les données portent-elles préjudice aux enfants, y compris aux adolescents ? La Commission demande aux commentateurs d'indiquer si les enfants sont particulièrement vulnérables ou susceptibles de faire l'objet d'une surveillance spécifique. Elle questionne pour savoir dans quelle mesure les prochaines règles devraient fournir aux adolescents un mécanisme d'effacement, si les services qui collectent des informations auprès d'un grand nombre d'enfants devraient être tenus de leur fournir des protections renforcées de la vie privée, que les services leur soient destinés ou non, etc.
Enfin, la FTC invite à formuler des commentaires sur les coûts et avantages relatifs de toute pratique actuelle, ainsi que sur ceux de toute réglementation adaptée, sur le bon horizon temporel pour évaluer les coûts et avantages relatifs de la surveillance commerciale et des pratiques de sécurité des données existantes ou émergentes, sur la manière dont elle devrait réglementer les pratiques préjudiciables, etc.
Questions sur la sécurité et la minimisation des données
Outre les nombreuses questions relatives à la protection de la vie privée, la FTC se penche sur des considérations techniques qui décrivent comment l'agence pourrait commencer à établir des exigences en matière de sécurité, de conservation et de réduction des données. L'ANPR demande si la FTC devrait mettre en œuvre des règles exigeant des entreprises qu'elles mettent en œuvre des mesures administratives, techniques et physiques de sécurité des données, y compris des techniques de chiffrement, afin de se protéger contre les risques pour la sécurité, la confidentialité ou l'intégrité des données couvertes. Elle demande également s’il convient de mettre en œuvre des règles supplémentaires pour codifier l'interdiction des allégations trompeuses sur la sécurité des données des consommateurs, en autorisant la Commission à demander des sanctions civiles pour les premières violations.
Le questionnaire demande si la FTC devrait par ailleurs prendre en compte les autres lois fédérales et étatiques qui comportent déjà des exigences en matière de sécurité des données, exiger des entreprises qu'elles certifient que leurs pratiques en matière de données répondent à des normes de sécurité claires et, le cas échéant, déterminer qui devrait élaborer ces normes, la FTC ou un tiers. Enfin, envisager d’autres règles pour imposer des limitations à la collecte, à l'utilisation et à la conservation des données des consommateurs par les entreprises et déterminer si elles doivent établir des exigences de minimisation ou des limitations de finalité.
La biométrie et le consentement évoqués
Le sujet controversé de la biométrie est également abordé, et la question de savoir si la FTC doit envisager de limiter les pratiques de surveillance commerciale qui utilisent ou facilitent la reconnaissance faciale, les empreintes digitales ou d'autres technologies biométriques. Un autre sujet émergent et sensible abordé dans l'ANPR est l'utilisation d'algorithmes et de systèmes de prise de décision automatisés. Il s'agit de savoir si la FTC doit exiger des entreprises qu'elles évaluent et certifient que leur recours à la prise de décision automatisée répond à des normes claires en matière d'exactitude, de validité, de fiabilité ou d'erreur.
Enfin, l'ANPR soulève une série de questions sur le consentement : quelle est l'efficacité des accords de consentement actuels en ce qui concerne les activités de surveillance, et si les consommateurs doivent être autorisés à retirer leur consentement au partage des données à des fins de surveillance.
Qu'en est-il de l'American Data Privacy and Protection Act ?
Lors d'un point de presse, la commissaire de la FTC depuis 2018, Rebecca Kelly Slaughter, a déclaré qu'elle avait prononcé un discours il y a trois ans dans lequel elle affirmait que l'application au cas par cas des abus de données ne protégeait pas efficacement les utilisateurs et ne dissuadait pas les infractions à la loi. Depuis lors, le Congrès américain a fait des progrès importants sur un projet de loi de grande envergure sur la protection de la vie privée appelé American Data Privacy and Protection Act (ADPPA), qui établit des restrictions significatives sur la collecte et l'utilisation des données sensibles des consommateurs. Madame Slaughter s'est dite « incroyablement impressionnée » par l'ADPPA, qu'elle considère comme complémentaire du processus d'élaboration des règles de la FTC.
Le commissaire de la FTC, Alvaro Bedoya, a également exprimé son soutien à l'ADPPA, en déclarant : « C'est le projet de loi sur la protection de la vie privée le plus solide qui ait jamais été aussi près d'être adopté. J'espère qu'il le sera ». Il a déclaré qu'il ne voterait pas pour les règles de la FTC issues de l'ANPR si elles empiètent sur l'ADPPA. Les deux commissaires républicains de la FTC indiquent que l'ADPPA est la raison pour laquelle ils ne soutiennent pas l'ANPR. « La dynamique de l'ADPPA joue un rôle important dans mon vote négatif sur l'Advance Notice of Proposed Rulemaking annoncé aujourd'hui », a déclaré la commissaire de la FTC, Christine Wilson, dans un communiqué. « Je suis gravement préoccupée par le fait que les opposants au projet de loi utiliseront l'ANPR comme une excuse pour faire dérailler l'ADPPA ».
Noah Joshua Phillips, également commissaire à la FTC, a déclaré dans un communiqué que « les lois nationales sur la protection de la vie privée des consommateurs posent des questions conséquentes, raison pour laquelle j'ai dit à plusieurs reprises que c'est au Congrès - et non à la Federal Trade Commission - qu'il convient d'adopter une loi nationale sur la protection de la vie privée. Je suis encouragé par le fait que le Congrès envisage aujourd'hui une telle loi et j'espère que le processus de la Commission ne fera rien pour perturber cet examen ».
Réaction à la proposition de réglementation
Elizabeth McGinn, associée chez Buckley LLP, déclare qu'elle n'est pas surprise que la FTC explore des règles supplémentaires sur la surveillance des données et le laxisme en matière de sécurité. « Les domaines de préoccupation sur lesquels la FTC demande au public de se prononcer sont des domaines sur lesquels l’organisation a exprimé des préoccupations, émis des directives et organisé des ateliers dans le cadre d'enquêtes et de mesures d'application ».
Janis Kestenbaum, associée chez Perkins Coie, qui a travaillé sur les questions de confidentialité et de sécurité des données à la FTC, déclare : « Le moment choisi pour cet avis est en soi remarquable, étant donné que le Congrès est plus proche que jamais de promulguer une législation complète sur la confidentialité sous la forme de la loi américaine sur la protection de la confidentialité des données, qui couvre les sujets mêmes que la FTC propose d'aborder. Bien que la FTC affirme qu'elle n'ira pas de l'avant avec cette réglementation si le Congrès adopte l'ADPPA, dans l'intervalle, d'importantes ressources du gouvernement et du secteur privé seront consacrées à cette réglementation ».
Le Capitole réagit
Au Capitole, les législateurs républicains n'ont pas accueilli chaleureusement l'action de la FTC. Le sénateur américain Roger Wicker (R-MS) a indiqué : « Pour obtenir de véritables protections de la confidentialité des données des consommateurs, le Congrès doit agir. Les commissaires de la FTC ont reconnu que la législation, et non la réglementation, est le meilleur moyen de parvenir à ces protections. J'espère que l'action de la FTC d'aujourd'hui contribuera à souligner l'urgence pour la Chambre des représentants d'adopter la loi américaine sur la protection et la confidentialité des données et pour la commission du commerce du Sénat de la faire avancer en commission. Il est temps d'agir sur l'ADPPA ».
Même un législateur démocrate, Frank Pallone (New Jersey), président de la commission de l'énergie et du commerce, a gentiment réprimandé la FTC. « J'apprécie [ses] efforts pour utiliser les outils dont elle dispose pour protéger les consommateurs, mais le Congrès a la responsabilité d'adopter une législation fédérale complète sur la protection de la vie privée afin de mieux équiper l'agence, et d'autres, pour protéger les consommateurs au maximum. En fin de compte, l'American Data Privacy and Protection Act est nécessaire pour établir des protections statutaires nationales complètes en matière de protection de la vie privée pour tous les Américains et je m'engage à la faire adopter et signer en tant que loi ».
Commentaire