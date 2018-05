Aux USA, les données ne sont protégées que dans une logique commerciale. La protection des données n’est qu’un aspect parmi d’autres de la législation consommateur américaine. En Europe, le RGPD protège le citoyen.

Lors des auditions de M. Zuckerberg devant le Sénat et le Congrès, le RGPD a été évoqué avec envie. Il y a peu, on le méprisait aux USA comme du protectionnisme jaloux contre les géants du net. Facebook a même annoncé vouloir ériger le RGPD en norme pour tous ses utilisateurs, sauf que ses utilisateurs non européens jusqu’ici dépendant du siège irlandais (donc européen) de Facebook (optimisation fiscale oblige) ont été exfiltrés vers le siège californien. Les bonnes intentions font long feu chez les Gafa.

Aux Etats-Unis, pour qu’une nouvelle loi soit prise, il faut mettre en évidence une mauvaise pratique sur les données.

La base du RGPD, c’est la Convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’Union européenne. Le RGPD vise toute utilisation malsaine des données. Aux USA, la protection des données fera attention à leur contexte et comment il rend le consommateur vulnérable. Ce n’est pas une loi universelle mais un patchwork de lois sectorielles, locales et fédérales, comme le Fair Credit Reporting Act pour la collecte des données de la solvabilité des emprunteurs ou le Biometric Information Privacy Act, une loi locale de l’Illinois qui vient d’ouvrir la voie à une class action contre Facebook… réservée aux habitants de l’Illinois (sur base d’une conservation illicite de données de reconnaissance faciale).

Pour qu’une nouvelle loi soit prise, il faut mettre en évidence une mauvaise pratique sur les données qui se serait mise en place dans un secteur donné. La conséquence? Tout ce qui n’est pas interdit est autorisé et ce qui est interdit ne l’est peut-être que dans un État ou pour un secteur donné, pas ailleurs! La Constitution US ne prévoit de toute façon pas grand-chose pour protéger la vie privée du citoyen. Rien n’y est évoqué pour la protection entre individus et entreprises et à peine plus pour protéger le citoyen contre le gouvernement, mais les USA n’ont connu ni le fascisme, ni le nazisme. Ils n’en voient pas la nécessité.

La commission de vie privée est un concept étrange aux USA car c’est la FTC, le département du commerce, qui se charge de protéger la vie privée du consommateur.

S’il y a des garde-fous pour la collecte des données par le gouvernement US, rien n’est prévu contre un tiers qui fournirait de l’information sur vous au gouvernement. Rien n’oblige à détruire les données après utilisation, à en minimiser le volume,… En fait, le principe premier, c’est la libre circulation des données.

Le concept inconnu d’une commission de vie privée

La commission de vie privée est un concept étrange aux USA car c’est la FTC, le département du commerce, qui se charge de protéger la vie privée du consommateur (et accessoirement du citoyen). En Europe, le contrat et le consentement sont les deux pierres angulaires du RGPD. En dehors d’eux, point de salut et même, tout n’est pas possible non plus par eux. Si on signe un contrat, si on donne son consentement à des pratiques en désaccord avec le RGPD, ce dernier a le dessus car on ne peut renier les droits fondamentaux. Le RGPD exige que les commissions de vie privée deviennent de vrais régulateurs qui formeront ensemble une autorité européenne chargée d’harmoniser leur action.

En contrepoint, la FTC américaine va se baser sur ce qu’un consommateur raisonnable (sans lui demander son avis) accepterait ou pas pour ses données dans tel ou tel contexte. La FTC se fait sa propre idée du consentement en considérant qu’un consommateur lira jusqu’au bout les petites lettres des conditions générales, une action que seuls ceux qui sont payés pour le faire font (c’est-à-dire des avocats). Il ne faut pas non plus, aux USA, de contrat entre un consommateur et une entreprise pour que les données du premier soient exploitées, à l’inverse du RGPD. On tourne alors en rond outre-Atlantique: sans contrat, il est difficile de plaider un dommage puisque ce n’est qu’un dommage en tant que consommateur qu’on peut faire valoir.

Ce fossé USA-UE n’a pourtant jamais tari les flux de données entre eux deux: les deux parties ont trop à perdre. Pour les encadrer, il y a eu le Safe Harbor, un traité entre la FTC américaine et la Commission européenne qui transplantait de la législation UE en territoire US, certes adoucie pour la rendre acceptable mais pas trop: 5.000 entreprises s’y sont soumises jusqu’à l’affaire Snowden qui a valu son heure de gloire à un citoyen autrichien, M. Schrems. Il a argué des révélations de Snowden pour s’opposer au transfert de ses données Facebook sur ses serveurs US puisqu’il était clair, au final, que ce pays ne donnait pas la protection adéquate des données européennes. La Cour européenne l’a suivi.

L’application, sur le terrain, aux USA, de principes régulatoires européens est une grande concession.

Est venu alors, très vite, le Privacy Shield qui a pris effet le 1er août (avec bien sûr déjà des recours). Il allège un peu plus certaines dispositions mais les citoyens européens peuvent désormais porter plainte aux USA si leurs données ont été maltraitées. Un médiateur avec rang de sous-secrétaire d’État sera nommé pour gérer les malaises en la matière. Ce n’est pas rien, mais l’efficacité du dispositif dépendra des décisions prises pour le déploiement des mécanismes de supervision de l’accord (ce n’est pas gagné). L’application, sur le terrain, aux USA, de principes régulatoires européens est une grande concession. Les autorités US devront même sanctionner les entreprises américaines qui ont souscrit au Privacy Shield sans le respecter.

Le RGPD deviendra-t-il une norme mondiale? Comme Facebook, Linkedin et Apple ont annoncé vouloir l’appliquer partout, sauf que Linkedin a aussi rapatrié ses usagers non européens d’Irlande vers les USA. La peur de l’amende, l’angoisse de voir le monde entier s’emparer des armes RGPD – même s’il est théoriquement destiné à l’Europe – pour s’attaquer aux géants de la tech y sont pour quelque chose.