Une approche nationale équilibrée pour protéger la vie privée de tous les Américains

Malgré un début prometteur au 116e Congrès, une législation complète sur la confidentialité des informations semble au point mort sur Capitol Hill. Bien que les principaux dirigeants du Sénat et de la Chambre des deux côtés de l'allée présentent des projets de loi présentant des similitudes prometteuses, il y a eu peu de mouvement sur quelques questions cruciales et polarisantes.

En particulier, les propositions sont les plus divisées sur la préemption fédérale des lois étatiques sur la vie privée et le droit des individus d'intenter des poursuites pour violation de la vie privée. Ce sont les mêmes questions sur lesquelles les parties prenantes – l'industrie (au sens large) d'un côté et les défenseurs de la vie privée, des consommateurs et des droits civils de l'autre – ont revendiqué des positions polaires tout ou rien. Tant que ces protagonistes resteront dans leurs propres coins, le débat plus large sur la vie privée sera gelé et la législation fédérale au point mort.

Parce que la voie de la législation sur la vie privée passe par la préemption et le droit d'action privé, nous proposons des solutions sur la préemption fédérale et les poursuites privées qui s'écartent des approches maximalistes qui façonnent le débat actuel. Dans cet article, nous expliquons notre approche suggérée de la préemption. Un deuxième article traitera de la question tout aussi controversée d'un droit d'action privé.

Préemption

La préemption, comme le droit d'action privé, peut être un article de foi des deux côtés. Le juge Louis Brandeis a célébré le rôle des lois des États en disant, il y a près de 90 ans, qu'un État pouvait «servir de laboratoire… et essayer de nouvelles expériences sociales et économiques sans risque pour le reste du pays». Dans le domaine moderne de la vie privée, de nombreux défenseurs de la vie privée célèbrent la description de Brandeis et résistent à toute perspective de fermeture de l'action législative de l'État. Face à la résistance de l'industrie et à l'inaction du Congrès, les législatures des États ont pris l'initiative de la législation sur la vie privée; les partisans espèrent une marche régulière de la Californie et de l'Illinois vers d'autres États.

À son tour, la raison la plus importante pour l'industrie d'accepter et de soutenir la législation fédérale sur la protection des renseignements personnels est le désir compréhensible d'un ensemble national unique de règles à suivre. Étant donné qu'Internet opère au-delà des frontières des États, les chefs de file du secteur souhaitent éviter des lois d'État différentes et potentiellement conflictuelles qui fixeraient des règles de confidentialité en fonction de la résidence ou de l'emplacement actuel d'un utilisateur.

Ces positions se reflètent dans des propositions radicalement différentes de la part des dirigeants du Comité sénatorial du commerce. En novembre 2019, le sénateur démocrate Maria Cantwell a présenté le Consumer Online Privacy Rights Act (COPRA) et le sénateur républicain Roger Wicker a publié le projet de loi américaine sur la confidentialité des données des consommateurs (USCDPA).

La clause de préemption de l'USCDPA de Wicker est brève et large. À la seule exception des lois sur la violation des données, le texte proposé adopterait une «préemption sur le terrain» pour remplacer toutes les lois et réglementations des États «liées à la confidentialité ou à la sécurité des données et aux activités associées des entités couvertes». Une telle disposition balayerait un ensemble de lois étatiques sur la protection de la vie privée élaborées au fil des décennies, y compris certaines qui traitent de problèmes qui sont entièrement hors ligne et au sein d'un seul État. Par exemple, les États ont des lois concernant la confidentialité et la sécurité des dossiers d’enseignement, de bibliothèque et d’assurance, parmi de nombreux autres sujets qui touchent un éventail d’intérêts principalement locaux.

En revanche, la COPRA de Cantwell préempterait les lois étatiques «directement en conflit», tout en préservant une variété de lois étatiques d’applicabilité générale et de droits d’action étatiques. Bien qu’il fournisse une feuille de route utile pour aborder la préemption, l’impact préemptif de la COPRA est largement annulé par une disposition supplémentaire selon laquelle une loi de l’État «ne sera pas considérée comme étant en conflit direct si elle offre un niveau de protection plus élevé aux individus protégés par cette loi». Cette approche sape l'objectif d'une norme nationale pour les pratiques de confidentialité, les systèmes de conformité et les attentes des consommateurs. Le risque d'une mosaïque de lois différentes des États sape l'objectif de solides protections de la vie privée pour tous les Américains. Et comme une question de réalité politique, une profusion croissante de lois étatiques sur la vie privée peut compliquer – plutôt que motiver – la perspective de l'adoption par le Congrès.

Pour faire face à ces points de vue divergents, nous – avec nos collègues de Brookings Caitlin Chin et Nicol Turner Lee – avons examiné les lois existantes sur la protection des renseignements personnels et les projets de loi en attente proposant une loi complète sur la protection des renseignements personnels. En ce qui concerne la préemption, Peter Swire a préparé un examen approfondi et très utile de l'historique de la préemption dans les lois américaines sur la confidentialité et une analyse des propositions de confidentialité alors en suspens sur la Colline. La conclusion de Swire était que, en plus d'être politiquement chargée, la question de la préemption de la vie privée est techniquement difficile, avec de nombreux pièges cachés attendant tout rédacteur législatif.

En plus de la recherche, nous avons également eu de nombreuses conversations avec des membres du personnel de Capitol Hill des deux côtés de l'allée et avec un large éventail d'intervenants et d'experts de tous les secteurs. Celles-ci comprenaient une série de tables rondes privées ciblées pour explorer les questions de convergence et de divergence dans le débat sur la vie privée.

Ces conversations ont confirmé que la préemption était l'objectif primordial pour les entreprises. Les défenseurs de l'intérêt public ont reconnu cette réalité mais ont cherché à faire en sorte que tout projet de loi fédéral offre des protections de la vie privée véritablement significatives avec des mécanismes d'application solides, y compris, comme nous le verrons dans notre prochain billet, un droit d'action privé.

En fin de compte, nous pensons qu'une loi nationale préemptive avec des protections efficaces de la vie privée qui s'appliquent à la fois en ligne et hors ligne est plus avantageuse pour les personnes partout aux États-Unis par rapport à aucune loi nationale ou à une loi nationale faible sans préemption. Et, en examinant plus spécifiquement l'environnement en ligne, nous sommes également convaincus que l'Internet et les applications et services qui l'utilisent s'apparentent davantage aux normes ferroviaires et automobiles, qui sont en grande partie soumises à la réglementation fédérale – plutôt qu'au secteur des assurances, qui est largement réglementée par les États.

En évaluant les intérêts concurrents des défenseurs et des sociétés – pour protéger la capacité des États à innover en matière de protection de la vie privée et éviter un patchwork de réglementations, respectivement – nous proposons une voie qui prévaut les lois des États qui concurrencent une norme nationale, préserve les autres lois des États sur la vie privée et droits de l'homme et invite le Congrès à revoir cette question quelques années après la mise en œuvre de la nouvelle loi fédérale.

Nous pensons que le débat actuel sur la vie privée offre une véritable opportunité de réaliser des protections significatives de la vie privée à l'échelle nationale. Nous pensons également qu'une préemption importante est le prix à payer pour établir de solides protections de la vie privée pour tous les Américains. Parce que nous recommandons également de préserver un rôle solide pour les États dans l'application de la législation fédérale sur la protection des renseignements personnels – comme le prévoient COPRA et USCDPA – nous ne pensons pas qu'une disposition de préemption bien ciblée nuirait indûment à la capacité d'un État à protéger ses résidents.

Une approche à plusieurs niveaux de la préemption

Nous pensons que la structure générale du langage de préemption de COPRA peut être révisée pour fournir une norme nationale solide en matière de vie privée tout en laissant une large place aux lois des États qui comblent les lacunes ou répondent aux intérêts traditionnels des États. Nous recommandons plusieurs changements et ajouts à l'approche et au langage dans COPRA.

Préservation de la loi de l'État

À la bonne liste de COPRA des lois des États à préserver – qui comprend les lois de protection des consommateurs d'application générale, les lois interdisant les pratiques déloyales et trompeuses, les lois sur les droits civils, les lois qui régissent la vie privée des employés ou des étudiants, et les lois de notification des violations de données, entre autres – nous suggérons l'ajout de la loi constitutionnelle de l'État et des lois relatives à d'autres sujets, y compris les numéros de sécurité sociale, les permis de conduire et les documents publics. Nous ne soutenons cependant pas le maintien par COPRA des lois des États accordant des droits d’action privés.

Préemption des lois d'État «incohérentes»

Notre modification la plus importante de la disposition de préemption de COPRA consiste à préempter les lois «incohérentes» plutôt que seulement celles qui sont «directement en conflit» et à omettre l’exception autorisant les lois des États avec un niveau de protection de la vie privée supérieur à la loi fédérale. Plus précisément, nous recommandons la préemption des lois des États «réglementant la collecte, le traitement, le partage et la sécurité des données couvertes dans la mesure où cette loi est incompatible» avec la loi ou la réglementation fédérale. Cette approche suggérée visant les lois étatiques «incohérentes» s'inspire de l'article 536 du Cable Communications Policy Act de 1984, 47 U.S.C. § 536. La télévision par câble, comme la vie privée, est un domaine dans lequel la loi fédérale est superposée à un ensemble de réglementations étatiques existantes. Bien qu'une telle préemption de question fixe des limites indéfinies qui peuvent être définies au cas par cas, la loi fédérale domine la forme de la réglementation de la télévision par câble et, selon notre expérience, la plupart des différends concernant la préemption ont été résolus par des accommodements. Nous pensons qu'une norme plus étroite «directement conflictuelle» entraînerait un patchwork ou un chevauchement dans la réglementation de la vie privée et entraînerait plus d'incertitude et de différends pour déterminer si une loi étatique «entre en conflit» avec une loi nationale, et le fait «directement».

Autorité de régulation de la Federal Trade Commission

Pour fournir une méthode pour résoudre l'incertitude quant à savoir si une loi d'un État est en conflit avec une loi fédérale qui est plus rapide et plus facile qu'un litige, nous recommandons de donner à la Federal Trade Commission (FTC) le pouvoir de résoudre les questions sur la préemption, soit en réponse à une pétition ou sur de son propre gré. Pour éviter une préemption excessive, nous suggérons que la capacité de la FTC de préempter une loi étatique soit limitée dans la mesure «nécessaire pour éviter un tel conflit», obligeant ainsi la commission à laisser en place une loi étatique dans son ensemble lorsqu'une petite action préventive peut concilier toute incohérence.

Suppression partielle de la préemption

Nous proposons de supprimer un aspect de notre approche recommandée en matière de préemption: après huit ans, les États seraient autorisés à adopter des règles de confidentialité qui prévoient plus grand protection que la loi fédérale, laissant la loi fédérale comme un plancher pour la protection de la vie privée. Plus précisément, nous suggérons qu'une loi étatique soit autorisée lorsqu'elle:

(i) est adoptée huit ans après la promulgation d'une loi fédérale complète sur la protection des renseignements personnels;

(ii) les États déclarent explicitement que la disposition vise à compléter la nouvelle loi fédérale; et

(iii) confère aux individus une plus grande protection que celle prévue par la nouvelle loi fédérale.

Le concept, le texte et la durée de cette temporisation de préemption suggérée sont tirés directement des amendements de 1996 au Fair Credit Reporting Act (FCRA), 15 U.S.C. § 1681t.

Nous pensons qu'un coucher de soleil partiel servirait à deux fins précieuses. Premièrement, cela garantirait que le Congrès serait appelé à réexaminer le succès – ou l’absence de succès – du régime fédéral de protection de la vie privée, du point de vue de l’amélioration de la protection de la vie privée et de la résolution des problèmes de procédure ou autres qui pourraient survenir avec la loi. Selon toute vraisemblance, les intervenants de l'industrie feraient pression pour l'élimination du coucher du soleil – comme cela s'est produit avec le coucher du soleil de la FCRA en 1996 – tandis que les défenseurs feraient pression pour améliorer la loi fédérale et protéger le coucher du soleil. La conversation qui en résultera devant le Congrès serait précieuse.

Deuxièmement, la disposition de temporisation fournit une soupape de sécurité pour répondre aux futurs problèmes de confidentialité au cas où le Congrès n'agirait pas. Les États pourraient alors chercher à résoudre les problèmes de confidentialité qui pourraient avoir évolué au cours des huit années suivant la promulgation d'une loi fédérale, tandis que la FTC conserverait la capacité de préempter les dispositions des lois des États qui portent atteinte au régime fédéral de confidentialité.

Une voie à suivre

Nous soutenons que les deux côtés du débat politique ont quelque chose à gagner à trouver un équilibre – et que les deux ont quelque chose à perdre de l'impasse persistante. Les entreprises ont parcouru un long chemin pour reconnaître qu'une législation stricte sur la vie privée est importante pour promouvoir la confiance dans leurs marques et la compétitivité sur les marchés nationaux et internationaux. Cependant, plus l'industrie tient longtemps pour écarter la préemption sans recours individuel, plus il devient difficile d'atteindre une norme nationale cohérente.

D'un autre côté, le recours des défenseurs de la législation État par État est destiné à laisser aux Américains un ensemble de protections incomplet et aléatoire. Il a fallu plus de 15 ans pour que les 50 États adoptent des lois sur la protection des données aussi fondamentales que la notification des violations. Une voie similaire, en termes simples, fournirait des protections de la vie privée moins complètes et significatives sur une période plus longue que ce qui pourrait être réalisable au niveau fédéral dans un avenir proche – si l'industrie, les défenseurs et les dirigeants politiques sont prêts à faire des choix difficiles. Nous espérons que nos compromis larges, mais soigneusement calibrés, peuvent indiquer des mesures que les principales parties prenantes peuvent prendre pour parvenir à une protection nationale efficace de la confidentialité des informations.

Conclusion

Nous pensons que, pris ensemble, notre approche de la préemption établit un équilibre constructif entre les objectifs concurrents de l'établissement de normes nationales strictes en matière de confidentialité, de la préservation des lois étatiques de longue date et de la concentration continue sur la confidentialité. Nous croyons que cet équilibre, associé à notre recommandation relative au droit d'action privé, dont nous discuterons ensuite dans notre série de publications sur ce sujet, peut fournir aux parties prenantes une voie à suivre pour trouver des solutions vers une législation fédérale complète sur la protection de la vie privée réussie.

Les parties prenantes sont généralement polarisées sur ces questions, mais elles doivent être prises en compte si la législation sur la vie privée doit devenir loi. Notre approche ne satisfera pas les maximalistes de part et d'autre du débat, mais nous espérons que nos recommandations tiendront compte des intérêts légitimes des parties prenantes divergentes et leur permettront de combler ces larges lacunes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *