Il y a deux ans, la California Consumer Privacy Act (CCPA) récemment adoptée a contribué à susciter le soutien de l'industrie à la législation fédérale sur la protection de la vie privée. Après l'adoption de la CCPA, de nombreuses entreprises et groupes industriels se sont prononcés, pour la première fois, en faveur de l'adoption d'une loi fédérale sur la protection de la vie privée – en partie pour empêcher la CCPA avant qu'elle n'entre en vigueur le 1er janvier 2020. Mais leurs efforts se sont intensifiés. contre la réalité. Le 116e Le Congrès a une très importante délégation californienne, dirigée par un président de la Chambre qui a défendu le rôle des États en tant qu '«innovateurs politiques». Il est rapidement devenu évident que toute loi fédérale préventive sur la protection de la vie privée devrait dépasser les droits de la LCCP pour avoir une chance d'être adoptée.
Maintenant, les électeurs californiens ont fait monter la barre. L'État a voté en faveur de l'adoption de l'initiative de vote de la Proposition 24 le jour du scrutin, qui modifie la CCPA avec un régime de confidentialité plus complet: la California Privacy Rights Act, ou CPRA. Par conséquent, la législation fédérale devra aller plus loin dans le 117e Congrès pour égaler ou surpasser les protections de la loi californienne – ou bien faire face à l'opposition des Californiens et des défenseurs de la vie privée et des consommateurs.
Comment la proposition 24 élève la barre
Même si l'ACCP d'origine a introduit des protections de la vie privée historiques, elle n'a pas réussi à résoudre les problèmes fondamentaux liés à la réglementation et aux pratiques existantes en matière de confidentialité. La loi a donné aux résidents de Californie le droit d'accéder et de supprimer les informations personnelles détenues par les entreprises et de se retirer de la vente de données – ce qui a finalement incité les gens à prendre connaissance de leurs propres décisions en matière de confidentialité et à prendre leurs propres décisions en matière de confidentialité. Ces dispositions se sont repliées sur le modèle actuel d'avis et de consentement, au lieu d'imposer des restrictions à la manière dont les entreprises collectent et traitent les données.
La proposition 24 change ce paradigme. L'ACPL impose de nouvelles exigences aux entreprises afin de protéger les renseignements personnels, notamment en minimisant «raisonnablement» la collecte de données, en limitant la conservation des données et en protégeant la sécurité des données. Il renforce également les mesures de responsabilité en obligeant les entreprises à mener des évaluations des risques liés à la vie privée et à des audits de cybersécurité, et à les soumettre régulièrement aux régulateurs. En outre, il complète les droits individuels dans le CCPA avec de nouvelles exigences de notification, clarifie que les individus ont le droit de refuser à la fois la «vente» et le «partage» d'informations personnelles, et ajoute des protections pour une nouvelle catégorie de «données sensibles . »
Comment une loi fédérale serait-elle supérieure à l'ACPL?
Presque tous les projets de loi fédéraux sur la protection de la vie privée du Congrès actuel respectent la base de référence générale établie par l'ACCP d'origine, principalement par l'inclusion des droits à la vie privée des individus. Mais notamment, deux projets de loi du président du Sénat sur le commerce, Roger Wicker (R-MS) et de la membre de classement Maria Cantwell (D-WA), vont nettement au-delà de la CCPA en établissant des limites pour la collecte, l'utilisation et le partage de données – et en étendant ces obligations à des tiers qui reçoivent des informations personnelles. Maintenant que l'ACPL a incorporé bon nombre de ces mêmes dispositions, il deviendra plus difficile pour le Congrès d'établir que les projets de loi fédéraux comme la SAFE DATA Act ou COPRA offrent des protections de la vie privée égales ou supérieures. Néanmoins, il existe encore plusieurs domaines dans lesquels la législation fédérale peut offrir aux résidents de la Californie des normes de confidentialité plus strictes – surpassant ce qui est inclus dans la CCPA originale et modifiée.
Droit d'action privé: L'un des débats les plus controversés porte sur la question de savoir si les individus devraient pouvoir intenter des actions en justice en vertu des lois sur la protection de la vie privée. Plus tôt cette année, un projet de loi sur la protection de la vie privée de l'État de Washington s'est effondré sur le même problème. Afin de réduire l'opposition de l'industrie en Californie, le chef du référendum Alastair Mactaggart a accédé à un droit d'action privé limité tant au sein de l'ACCP que de l'ACPL. La CCPA autorise de manière restrictive les particuliers à intenter des poursuites pour les cas «d'accès et d'exfiltration non autorisés, de vol ou de divulgation des renseignements personnels non cryptés ou non expurgés d'un consommateur» et exige que les plaignants potentiels donnent aux entreprises un préavis de 30 jours et la possibilité de «remédier» au problème. problème. L'ACPL n'élargit pas considérablement cette disposition et précise seulement que la divulgation d'une adresse électronique, combinée à une question de sécurité ou à un mot de passe qui exposerait l'accès à un compte en ligne, constitue une violation de données couverte et que les entreprises ne peuvent pas «remédier» à une réclamation simplement en mettant en place de nouvelles procédures de sécurité suite à un incident.
Le pragmatisme de MacTaggart à cet égard pourrait servir d’exemple aux parties prenantes dans le débat fédéral, mais toute loi fédérale sur la protection de la vie privée passable – en particulier une loi avec une préemption importante – est susceptible d’exiger un droit d’action privé plus solide. Dans un rapport récent de Brookings, nous (avec John Morris et Nicol Turner Lee) avons suggéré une voie intermédiaire qui permettrait aux individus de rechercher des remèdes pour des utilisations préjudiciables ou offensantes d'informations personnelles tout en limitant le potentiel de poursuites «nuisibles». De même, dans un moment homme-morsure-chien, Jerry Jones, l'avocat général de LiveRamp, une plate-forme de connectivité de données, a écrit que «(la FTC et l'application de l'État) construisent une base efficace … mais il y aura des situations où une personne devrait avoir accès au système judiciaire pour demander réparation. »
Exigences des petites entreprises: La CCPA bénéficie d'une importante exemption générale: elle ne s'applique à aucune organisation qui génère annuellement moins de 25 millions de dollars, tire moins de la moitié des revenus de la vente de données sur les consommateurs et traite les données de moins de 50 000 entités. Et bien que l'ACPL modifie les paramètres de cette exemption, elle ne l'élimine pas. Cependant, cette approche laisse des lacunes dans la protection de la vie privée, car de nombreuses défaillances notables en matière de confidentialité proviennent de petites entreprises.
Dans cette optique, une loi fédérale sur la protection de la vie privée pourrait considérablement renforcer les normes de confidentialité en imposant des restrictions à toutes les organisations. Ici, Cantwell et Wicker adoptent des approches distinctes: COPRA exempte globalement les entreprises qui ne répondent pas à une certaine taille ou à des besoins en revenus de toutes les dispositions du projet de loi, tandis que la SAFE DATA Act ne les exempte que de certaines. Dans notre rapport, nous suggérons généralement de dimensionner les obligations commerciales en fonction de la taille et de la complexité de l'entité couverte, de l'étendue des données couvertes et des risques éventuels de confidentialité, avec quelques exigences ou exemptions supplémentaires pour les grands ou petits détenteurs de données. Cela établirait certaines obligations de base pour protéger la vie privée de toutes les organisations, tout en évitant un fardeau ingérable pour les petites entreprises.
Discrimination algorithmique: La CCPA ne traite pas directement de la discrimination algorithmique, même si elle donne aux particuliers le droit de se retirer de la prise de décision automatisée. Mais, comme nous l'avons écrit dans notre rapport, les algorithmes et l'apprentissage automatique ont le potentiel d'utiliser les informations personnelles de manière à nuire aux individus. Cela devient un problème de droits civils si les algorithmes prennent des décisions qui pourraient réduire les opportunités pour un groupe de personnes ou enfreindre d'une autre manière les lois anti-discrimination fédérales ou étatiques existantes.
Les projets de loi Wicker et Cantwell combleraient tous les deux les lacunes laissées par la CCPA et l'ACPL. La loi SAFE DATA permet à la FTC de renvoyer les informations sur les violations potentielles des lois anti-discrimination aux agences compétentes et appelle la FTC à publier des rapports de transparence algorithmique et à élaborer des conseils pour éviter la discrimination algorithmique. Parallèlement, la COPRA exige des entreprises qu'elles mènent chaque année des «évaluations de l'impact de la prise de décision algorithmique» et stipule que toute violation des lois anti-discrimination constitue également une violation de la loi FTC. Dans notre rapport, nous suggérons aux entreprises d'observer un «devoir de diligence» contre le traitement ou le transfert des données couvertes d'une manière qui pourrait enfreindre les lois anti-discrimination existantes, en plus des dispositions législatives de Wicker et Cantwell. Sur ce nouveau problème de confidentialité, une loi fédérale sur la protection de la vie privée pourrait aller bien au-delà de l'ACPL en tenant les entreprises responsables de montrer que leurs algorithmes n'ont pas un impact disparate.
Trouver un chemin bipartisan dans le 117e Congrès
À l'instar de son prédécesseur, l'ACPL pourrait renouveler l'attention de l'industrie sur la législation fédérale qui pourrait empêcher les lois sur la protection de la vie privée de la Californie – ou de tout autre État qui pourrait adopter une nouvelle loi sur la protection de la vie privée. Bien que l'ACPL n'entre pas pleinement en vigueur avant le 1er janvier 2023, elle crée une nouvelle agence californienne de protection de la vie privée qui commencera ses activités en juillet 2021. Cela donne le 117e Le Congrès ouvre une fenêtre pour adopter une loi sur la protection de la vie privée avant que les pleins effets de la CPRA n'apparaissent.
Les enjeux seront plus importants des deux côtés. Pour les républicains, l'ACPL augmente l'incitation à adopter une loi fédérale préventive sur la protection de la vie privée; pour les démocrates, les protections renforcées de la Californie augmentent la pression pour préserver les lois nationales sur la protection de la vie privée. Et donc, comme cela s'est produit dans le 116e Congrès, la législation sur la protection de la vie privée pourrait bloquer sans compromis fort. Bien entendu, la situation politique dépendra de l’impact que le prochain second tour des élections en Géorgie aura sur le contrôle des partis sur le Sénat. Mais il y aura une nouvelle administration présidentielle en 2021 – et Joe Biden soutient officiellement une législation complète sur la protection de la vie privée. Les élections de 2020 n'ont certainement pas effacé la polarisation politique, mais la législation sur la protection de la vie privée peut être un sujet sur lequel le Congrès et la nouvelle administration peuvent collaborer sur une base bipartisane.
