Photo by Samuel Branch on Unsplash

CDPA : projet de loi «Made in USA» en matière de protection de renseignements personnels

Devant une nécessité de plus en plus évidente (tel que mentionné récemment par Tim Cook), et sans doute pour éviter le plus possible la nouvelle loi californienne en la matière, le Sénat américain déposait récemment un projet de loi visant à munir les États-Unis d’une première loi fédérale en matière de protection des renseignements personnels. Révolution potentielle dans le paysage du « privacy » à l’échelle mondiale. Eh oui, devant un flot à peu près ininterrompu d’incidents de cybersécurité à grand déploiement, il semblerait que nos voisins du sud en arriveraient peut-être à considérer que le gouvernement fédéral se doit, après tout, de légiférer afin de protéger les renseignements personnels de ses citoyens.

Le projet de loi en question touche la « Consumer Data Protection Act » (« CDPA »), une nouvelle loi qui viendrait modifier la Federal Trade Commission Act. Après son adoption éventuelle, ce serait cette loi qui énoncerait les obligations pour les organisations utilisant, recueillant et partageant des renseignements personnels, à l’instar de ce fait ici notre Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), par exemple.

En vertu de la CDPA, ce serait donc évidemment la Federal Trade Commission (la « FTC ») qui deviendrait le chien de garde des renseignements personnels aux États-Unis. La FTC recevrait ainsi le mandat de surveiller l’application de la CDPA et, au besoin, d’intervenir auprès des entreprises délinquantes, y compris en leur imposant des amendes substantielles et, même, en emprisonnant leurs dirigeants, dans les cas qui le justifient. Fait qui intéressera particulièrement les entreprises, la première mouture de ce projet de loi envisage des amendes éventuelles d’ampleur similaire à ce que prévoit le draconien nouveau règlement européen (le « GDPR »), à savoir des amendes qui pourraient s’élever jusqu’à quatre pour cent (4 %) des revenus bruts des sociétés épinglées. Il faut bien leur donner cela, les Américains font rarement les choses à moitié! (Pendant ce temps-là, sauf de très rares exceptions, le Canada, lui, ne peut imposer aucune amende aux sociétés délinquantes en matière de renseignements personnels – triste, mais vrai).

L’un des autres avantages d’une telle loi fédérale serait de doter les entreprises américaines de règles uniformes, contrairement à ce qui se produit depuis 20 ans, au fil des initiatives législatives des États individuels à ce sujet. En vertu du régime proposé, la FTC aurait le mandat d’adopter des normes qui deviendraient obligatoires en matière de protection des renseignements personnels et/ou de cybersécurité aux États-Unis.

Cela dit, pour l’instant, ce projet de loi envisage de limiter l’application de la CDPA aux grandes entreprises ou, à tout le moins, à celles qui collectent de l’information sur plus d’un million (1 000 000) de consommateurs. On imposerait aussi certaines obligations aux entreprises avec un très grand nombre d’usagers ou de clients, laissant ainsi potentiellement les PME être gérées par les règles de chaque État.

Fait intéressant, la CDPA proposerait aussi la création d’un registre fédéral « Do Not Track » (un peu l’équivalent de notre Liste nationale de numéros de télécommunication exclus), par l’entremise duquel les Américains qui le désirent pourraient s’inscrire afin d’interdire aux entreprises en ligne de partager ou de vendre leurs données.