La réglementation américaine sur la confidentialité des données progresse

Le Comité de l’énergie et du commerce de la Chambre des représentants des États-Unis a officiellement présenté une loi américaine sur la confidentialité et la protection des données (ADPPA) qui promet d'élever les exigences requises des entreprises en matière de gestion et de protection des données.

Le projet de loi actuel couvre la protection des droits civiques qui limitent l'utilisation des informations personnelles, y compris les données biométriques, des limites supplémentaires sur la collecte et le partage d'informations personnelles, et un droit d'intenter une action en justice en cas de conséquence causée par les violations de la vie privée, ainsi que la section qui suit :

Une entité couverte doit établir, mettre en œuvre et maintenir des pratiques et des procédures administratives, techniques et physiques raisonnables en matière de sécurité des données, afin de protéger et de sécuriser les données couvertes contre tout accès et toute acquisition non autorisés.

Une déclaration de soutien bilatérale rédigée par le président du Comité de l'énergie et du commerce Frank Pallone (représentant du New Jersey), la membre républicaine Cathy McMorris Rodgers (représentante de l'État de Washington) ainsi que les dirigeants du Sous-comité sur la protection des consommateurs et le commerce, Jan Schakowsky (représentant de l'Illinois) et Gus Bilirakis (représentant de la Floride) suggère que ce n'est plus qu'une question de temps avant que les clauses fondamentales de l'ADPPA n'entrent en vigueur. En tant que telle, cette loi remplacerait un méli-mélo de lois contradictoires sur la confidentialité des données adoptées par les différentes législatures des États et auxquelles les organisations doivent aujourd'hui s'adapter. À cet égard, l'ADPPA représenterait à tout le moins une avancée significative vers la simplification.

Mais il y a, bien évidemment, un cheveu dans la soupe. Alors que le sénateur Roger Wicker (représentant du Mississippi), membre républicain le plus haut placé de la commission sénatoriale des sciences, du commerce et des transports du Sénat américain, a manifesté son soutien, la présidente du comité, la sénatrice Maria Cantwell (représentante de l'État de Washington), a indiqué par l'intermédiaire de ses conseillers qu'elle allait proposer une autre version du projet de loi qui ajouterait des dispositions d'application plus strictes.

L'ADPPA s'inspire naturellement du Règlement général sur la protection des données (RGPD) adopté par l'Union européenne, de sorte que de nombreuses grandes entreprises qui font des affaires en Europe respectent déjà la majeure partie des dispositions de l'ADPPA. Cependant, ce projet de loi n'est pas aussi complet ou normatif que le RGPD, et ni le coût de la mise en conformité ni les sanctions ne sont aussi sévères.

Néanmoins, de nombreuses entreprises aux États-Unis n'ont aucune présence commerciale en Europe. L'ADPPA les obligera donc à apporter des ajustements importants à la manière dont elles gèrent et protègent leurs données. La vérité, c'est que la plupart des entreprises n'ont pas les compétences pour gérer les données, et encore moins pour les protéger. On retrouve toutes sortes de données sensibles, dans divers endroits, des e-mails aux feuilles de calcul, qui sont stockées sur un large éventail d'appareils individuels. Il est impossible de gérer ou de protéger quelque chose lorsqu'il n'y a que peu ou pas de visibilité sur la façon dont on l'utilise.

La cause fondamentale de ce problème est que trop d'entreprises ont tendance à considérer les données comme un actif qu'elles possèdent plutôt que comme un actif qui leur a été confié. Indépendamment de ce que dit le projet de loi, les gens considèrent de plus en plus leurs données personnelles comme des éléments qu'ils autorisent les entreprises à utiliser lorsque c'est nécessaire. Chaque fois qu'une violation de données se produit, la confiance qui s'est établie entre cet utilisateur final et l'entreprise qui a recueilli ces données est à tout le moins diminuée.

Les réglementations telles que l'ADPPA et le RGPD visent essentiellement à codifier dans la loi non seulement à qui appartiennent quelles données, mais dans quelle mesure ces institutions sont responsables de leur protection. Les réglementations en matière de confidentialité obligent les entreprises à améliorer leur cybersécurité dans le cadre de cette obligation. Qu'on le veuille ou non, c'est généralement une bonne chose pour la cybersécurité à une époque où les exigences de conformité en matière de sécurisation des données sont encore trop basses.