L’administration Trump est loin d’avoir fini de faire entendre parler d’elle. Dans son élan frénétique à effacer toute trace de la législation des mandats de Barack Obama, le Sénat américain a décidé le 23 mars dernier d’annuler un projet de loi sur la protection des données personnelles en ligne. Ce projet de loi avait pour but principal d’empêcher les « ISP » américains (« Internet Service Providers », autrement dit les fournisseurs d’accès à internet), qui ont un accès quasi-total aux données de leurs utilisateurs, de revendre toutes ces informations au plus offrant. Ce projet de loi annulé datait de la dernière administration Obama et visait à obliger les ISP à demander l’autorisation expresse de leurs utilisateurs pour pouvoir disposer de leurs données personnelles. Même s’il n’était pas encore officiellement en vigueur, ce projet de loi était déjà respecté par la plupart des entreprises concernées.

Le Sénat américain, composé d’une majorité républicaine, invoqua le « Congressional Review Act » de 1996, une procédure permettent de détruire n’importe quelle législation avec une majorité simple. Cette procédure a été utilisée 27 fois depuis le mois de janvier 2017, alors qu’elle n’avait été utilisée qu’une seule fois jusqu’alors (en 2001).

Futur dystopique, nous voilà!

Concrètement, il est difficile de prévoir les conséquences de cette décision (qui n’attend plus que la signature du président Trump). Elle témoigne d’une réduction de plus en plus importante des droits des internautes au profit des géants de l’internet. Bientôt, nous serons obligés d’encrypter nos données en ligne pour protéger notre vie privée.

Mais tout n’est pas négatif : la revente de nos données permet notamment d’améliorer notre expérience sur internet et de se voir proposer des produits ou des services personnalisés. Mais avons-nous réellement besoin de cela? Les dérives potentielles sont préoccupantes: une compagnie d’assurances pourrait vous proposer ses services à des tarifs astronomiques, en se basant sur votre historique de recherche qui dessinerait un profil « à risque ».

Naturellement, cher lecteur avisé, vous vous demandez en quoi tout cela vous concerne étant donné que vous n’êtes pas citoyen américain. Détrompez-vous !

Born in the USA

Où pensez-vous que la grande majorité de vos données est stockée ? Dans d’immenses « server farms » (littéralement, des « fermes de serveurs » ), qui sont pour la plupart situés aux États-Unis

Prenez par exemple les plus grands vendeurs d’informations personnelles au monde : Google et Facebook. A eux seuls, ils possèdent plus de 90% de la totalité des « online ads revenues » (les bénéfices provenant des publicités ciblées). La seule différence avec les « ISP », c’est que ces géants de « l’information informatique » sont des compagnies privées, qui ont déjà le droit de faire ce que bon leur semble avec vos données personnelles, ceci étant rendu possible par leurs conditions générales d’utilisation et leur charte de vie privée extrêmement avantageuses pour eux. Et tout ceci avec le consentement du FCC (Federal Communications Commission), l’organe régulateur américain des « communications » au sens large.

Ce qui change avec la nouvelle règlementation, c’est que ces règles ne seront plus créées par la FCC mais par l’autorité fédérale. Cela signifie que la FCC ne pourra plus légiférer à ce sujet (et donc revenir en arrière) car elle a délégué ce pouvoir au plus haut législateur.

L’Europe en 2018 : ” Retour Vers Le Futur ” ?

Néanmoins, en Europe, la protection des données personnelles est un droit qui est encore tenu en très haute estime. Jusqu’il y a peu, il n’y avait pas de législation uniforme dans l’Union européenne réglant de manière spécifique la protection des données personnelles, bien que chaque pays européen avait un socle de règles nationales similaires protégeant relativement efficacement la vie privée des internautes. Avec l’apparition de nouvelles pratiques en ligne (comme le Big Data, l’Internet des Objets, le Cloud Computing, etc.) et le fait inévitable que la plupart des données sont stockées sur des serveurs aux Etats-Unis, l’Union européenne s’est vue obligée de légiférer de manière uniforme sur ce point.

En 1998, des règles ont été établies pour protéger les données des européens stockées aux États-Unis, « The international Safe Harbor Privacy Principles », mais le 6 octobre 2015, la Cour de justice de l’Union européenne a invalidé ce cadre, le jugeant insuffisant pour protéger les données personnelles des européens. Désormais, un nouveau cadre américano-européen a été adopté, le « Privacy Shield », qui entra en vigueur le 12 juillet 2016 et qui permet à nouveau la libre circulation des données entre l’Union européenne et les États-Unis .

Entretemps, l’Union européenne, fidèle à elle-même, a continué à légiférer. Cet effort législatif culmina avec l’adoption du « GDPR », General Data Protection Regulation (ou règlement général sur la protection des données). Cette règlementation oblige toute entreprise traitant/stockant les données personnelles de citoyens européens à adopter des mesures de sécurité draconiennes pour protéger les données. De lourdes sanctions sont prévues (par exemple, des amendes pouvant aller jusqu’à 4% du chiffre d’affaire annuel d’une société).

Les entreprises concernées se sont mises à marcher au pas, s’adaptant petit à petit à la date d’échéance pour l’application du GDPR, à savoir le 25 mai 2018. Autant en Europe qu’aux États-Unis.

Un GDPR abattu en plein vol ?

Le GDPR d’un coté et une législation protectrice abolie de l’autre, entre l’Union européenne et les Etats-Unis, la dichotomie sur la protection des données n’a jamais été aussi grande. La panique est générale, autant chez les internautes avisés que dans les grandes entreprises concernées et ceci, pour des raisons légitimes. Car personne ne sait concrètement quoi faire ou à quoi s’attendre. Les experts juridiques spéculent déjà d’arrache-pied. Nous pouvons en être sûrs, ceci est tout sauf la fin de cette affaire que nous, chez lesJuristes, attendons en retenant notre souffle.

Article écrit par Matteo Di Stefano, stagiaire chez lesJuristes