Depuis des années, les consommateurs américains voient leurs numéros de carte bancaire, leurs informations sur les réseaux sociaux, voire leurs profils de sites de rencontre, faire l'objet de fuites provenant de grandes entreprises. La fuite de données chez Equifax, le scandale Cambridge Analytica et les fuites chez des marques de confiance comme Target ont tous alimenté la mobilisation des défenseurs de la vie privée pour donner aux consommateurs davantage de contrôle sur leurs données. 2021 devrait être leur année.
Cette année, non seulement un seul parti contrôle le Congrès et la Maison Blanche, mais Kamala Harris, défenseuse notoire de la vie privée, détient la voix prépondérante. Ajoutez à cela une vague rare de soutien bipartisan général, et vous pouvez parier qu’une forte dynamique en faveur d’une loi fédérale sur la protection des données va voir le jour aux États-Unis, et ce n’est pas un instant trop tôt. Bon nombre des lois fédérales régissant la protection et la sécurité des données sont terriblement obsolètes. En effet, la plupart des textes fédéraux existants invoqués par les régulateurs pour faire respecter la protection des données en ligne ont été promulgués avant même l’avènement de l’Internet moderne.
Nous avons passé en revue l'ensemble hétéroclite de lois nationales et internationales qui régissent actuellement la protection des données afin d'anticiper les évolutions à venir. Voici ce à quoi il faut s'attendre :
Une nouvelle agence fédérale
À l'heure actuelle, la protection des données relève de la compétence de la Commission fédérale du commerce (FTC). Créée il y a plus de 100 ans par des législateurs qui n'auraient jamais pu imaginer une simple calculatrice de poche, et encore moins l'économie actuelle des données en ligne, la FTC aurait besoin d'une refonte en profondeur, ou tout au moins d'un ensemble d'outils entièrement nouveaux, pour gérer la protection des données en ligne.
Des changements sont à prévoir au niveau fédéral, la Commission fédérale des communications (FCC) ayant annoncé que la commissaire Jessica Rosenworcel avait été choisie par le président Biden pour occuper le poste de présidente par intérim de la FCC. Elle siège à la FCC depuis 2012.
De même, la Commission fédérale du commerce (FTC) a annoncé que la commissaire Kelly Slaughter avait été nommée présidente par intérim de la FTC. La présidente par intérim Slaughter est commissaire à la FTC depuis 2018 et occupait auparavant le poste de conseillère juridique en chef du sénateur Chuck Schumer (D-NY) avant de rejoindre la FTC.
Selon Yory Wurmser, analyste principal chez eMarketer, la création d’une nouvelle agence de régulation constituerait un élément clé de toute proposition démocrate. « Les républicains souhaitent que les lois fédérales remplacent les lois étatiques sur la protection de la vie privée, telles que la CCPA et la CPRA californiennes. Ils s’opposent à ce que les particuliers aient le droit d’intenter une action en justice en cas de fuite de données ou d’autre violation », explique-t-il. « Les démocrates ont une position opposée et vont plus loin dans les mesures de protection des données qu’ils souhaitent mettre en place. Certains ont même proposé la création d’une agence nationale de protection des données. »
Wurmser cite la proposition du sénateur de l’Ohio Sherrod Brown comme un bon exemple de la position initiale des démocrates. Ce dernier a proposé la loi sur la responsabilité et la transparence en matière de données (Data Accountability and Transparency Act, DATA), qui créerait une agence fédérale chargée de centraliser les plaintes relatives à la protection des données. Cette agence aurait également le pouvoir de définir des normes de conformité en matière de protection des données ainsi que des exigences de certification, imposant ainsi aux entreprises un ensemble de règles qui prévaudraient sur les exigences propres à chaque État. Mais elle serait probablement aussi habilitée à infliger des amendes et à imposer des obligations que les professionnels du marketing ne risquent pas d'apprécier.
Compétences en matière de données pour les entreprises et les cadres dirigeants
L'écosystème des données d'aujourd'hui est un univers en pleine effervescence qui continuera d'évoluer au fil du temps. Les entreprises collectent bien plus de données qu'elles ne pourraient jamais en utiliser, et ces données sont gérées par des dirigeants qui n'ont aucune formation en gestion des données. Il faut s'attendre à ce que cela change avec la plupart des nouvelles propositions en matière de protection de la vie privée actuellement à l'étude. Les projets proposés par des personnalités telles que la sénatrice new-yorkaise Kirsten Gillibrand donneraient à une agence fédérale chargée de la protection des données le pouvoir de délivrer des certifications et autres accréditations aux entreprises souhaitant exploiter ces données.
Les entreprises, et dans certains cas leurs dirigeants, devraient démontrer qu’elles respectent pleinement la réglementation et qu’elles sont pleinement compétentes pour gérer de grandes quantités de données relatives aux consommateurs avant d’être certifiées pour exercer une activité fondée sur les données. Bien que personne ne propose que les entreprises ou leurs dirigeants doivent obtenir une licence pour traiter les données des consommateurs, ils devraient prouver qu’ils ont une bonne raison de le faire.
Cela impliquerait de préciser exactement ce qu’ils comptent faire des informations clients avant même de les collecter, et de prouver qu’ils sont disposés et capables d’assurer à ces données un niveau de protection raisonnable afin d’éviter les fuites et les violations de données. Même si aucune réglementation n’est infaillible, les responsables des données devront suivre une formation au moins aussi poussée que celle d’un tatoueur ou d’un esthéticien lambda.
Précisions sur la définition des données à caractère personnel et des données privées au regard de la loi
La proposition de Brown contient également les prémices de ce qui constituera probablement un autre élément clé d’une loi nationale sur la protection des données. La loi DATA élargirait considérablement la définition des données personnelles et privées. Actuellement, la loi fédérale ne couvre que le type d’informations privées susceptibles d’être collectées à l’époque où le Congrès a tenté pour la dernière fois d’adopter une réglementation en matière de protection de la vie privée, au milieu des années 90. Cela inclut des données telles que les adresses, les numéros de téléphone et les dossiers médicaux.
Beaucoup de choses ont changé depuis la fin de l’ère de la connexion par modem. La loi Brown interdirait l’utilisation de la technologie de reconnaissance faciale et classerait les données faciales, ainsi que d’autres données biométriques telles que les empreintes digitales, comme des « données personnelles et privées ». Cela obligerait les entreprises qui collectent ces données à accorder aux consommateurs les mêmes droits que ceux accordés pour d’autres formes d’informations privées, et renforcerait les sanctions en cas de manquement à l’obligation de sécuriser et de protéger les données biométriques contre le piratage et les fuites. À l’ère des deepfakes, les consommateurs seront sans doute rassurés de savoir que leurs visages sont au moins aussi bien protégés que leurs numéros de téléphone.
Les consommateurs peuvent choisir de s'inscrire, mais pas de se désinscrire
Du point de vue des professionnels du marketing, le changement le plus important qui se profile à l'horizon est sans doute le passage d'un modèle de « refus » (opt-out) à un modèle de « consentement » (opt-in). Aux États-Unis, les règles de protection de la vie privée les plus strictes offrent aux consommateurs la possibilité de refuser de manière proactive que leurs données soient collectées, stockées et utilisées à des fins commerciales. Les consommateurs qui souhaitent bénéficier de ces règles doivent d'abord en prendre connaissance, puis être en mesure de trouver les formulaires de refus individuels requis pour que leurs données soient supprimées, bloquées ou ne soient plus collectées.
Une nouvelle loi nationale sur la protection de la vie privée devrait bouleverser cette exigence, en imposant aux entreprises l’obligation d’obtenir le consentement avant de collecter des données, plutôt que d’attendre que les utilisateurs choisissent activement de ne pas y consentir. Il s’agit là d’un principe fondamental du Règlement général sur la protection des données (RGPD) de l’Union européenne, que les défenseurs de la vie privée espèrent voir s’imposer aux États-Unis. Concrètement, cela signifiera que les entreprises devront mieux expliquer pourquoi les utilisateurs devraient choisir de partager leurs données, plutôt que de se contenter de les dissuader de refuser le traitement de celles-ci.
La nécessité de démontrer la valeur ajoutée
Si les consommateurs doivent donner leur accord pour être suivis, les spécialistes du marketing devront alors trouver des moyens de rendre cette perspective plus attrayante. Selon Yory Wurmser, « ils devront s'adapter pour obtenir le consentement des consommateurs au suivi de leurs données… Ils devront expliquer clairement pourquoi ils ont besoin des données des consommateurs, qu'il s'agisse de données d'achat ou d'autres indicateurs de l'intention d'achat. Ils devront vraiment définir eux-mêmes quelles données leur sont nécessaires et pourquoi, puis convaincre les consommateurs de les autoriser à les suivre. »
Bien que des études aient montré que les consommateurs apprécient certains des avantages du suivi des données, comme une personnalisation accrue, il est probable que trop peu de personnes acceptent de participer pour que le statu quo soit maintenu. Les professionnels du marketing devront trouver d'autres moyens de diffuser des publicités auprès des bonnes cibles sans collecter une quantité illimitée de données sur la majeure partie de la population.
Wurmser souligne que Google et Apple ont déjà considérablement compliqué ce type de publicité, qui constituait jusqu’à récemment un pilier de l’écosystème du marketing numérique, en dépréciant les cookies tiers et l’identifiant publicitaire (IDFA). En substance, ils ont donné aux spécialistes du marketing et aux fournisseurs de technologies un aperçu de ce à quoi pourrait ressembler un monde régi par une approche fédérale unifiée en matière de protection de la vie privée, les obligeant ainsi à trouver de nouveaux moyens de se rapprocher du marketing ciblé sans recourir aux données des consommateurs.
