À la suite de l’élection de Donald Trump, le Congrès des États-Unis est revenu sur un règlement que la FCC souhaitait appliquer afin de protéger les clients des FAI contre la libre utilisation de leurs données personnelles. Les États-Unis se présentent ainsi tel un véritable eldorado pour les commerçants de données personnelles et comme l’un des pays au monde où le droit au respect de la vie privée en ligne est le moins bien garanti.
La possibilité pour les FAI américains de disposer librement des données personnelles de leurs abonnés
En octobre 2016, la FCC (Federal Communications Commission) avait validé un règlement visant à soumettre les fournisseurs d’accès à internet (FAI) des États-Unis à de nouvelles obligations afin de protéger la vie privée et les données personnelles de leurs abonnés. Ce texte prévoyait que les opérateurs tels qu’AT&T, Verizon ou Comcast devraient obtenir le consentement exprès de leurs clients (système de l’opt-in) pour pouvoir partager ou vendre leurs informations de navigation et autres données personnelles.
Cette réglementation de l’administration Obama n’aura pas résisté à l’élection de Donald Trump. Alors qu’elle n’était pas encore entrée en vigueur, elle a été abrogée par le Sénat le 23 mars 2017, puis par la Chambre des représentants le 28 mars 2017, et remplacée par une nouvelle loi promulguée par le président Trump le 4 avril 2017. En vertu du Congressional Review Act de 1996, le Congrès américain peut en effet revenir sur des règlements fédéraux récents. Les FAI ne seront donc pas tenus de protéger les données privées des internautes. Au contraire, les historiques de navigation des Américains peuvent et pourront encore être vendus à des annonceurs sans qu’il soit nécessaire de respecter quelque formalité préalable ni d’obtenir quelque autorisation que ce soit.
L’intérêt économique ne fait aucun doute : les FAI sont en mesure de fournir des informations précieuses afin de proposer des espaces de publicité ciblée pertinents grâce à leur connaissance des goûts, habitudes et autres particularités de leurs clients. Le risque n’est pas davantage douteux : la protection de la vie privée semble devoir être mise de côté au profit d’enjeux économiques. L’ancien président et fondateur de Sun Microsystems Scott McNealy n’annonçait-il pas, il y a déjà longtemps, que « nous n’avons plus de vie privée » et qu’ « il faudra bien nous y habituer ».
Les chambres législatives des États-Unis ont simplement posé l’exigence que les informations sensibles des individus ne soient pas utilisées à des fins discriminatoires. Mais il n’en demeure pas moins que des données touchant à l’appartenance religieuse, à l’orientation sexuelle, à la santé ou encore à la géolocalisation, peuvent être échangées ; et cela donc sans obligation d’obtenir un consentement préalable. Il reste toujours possible d’engager une action en justice si l’on estime subir un préjudice, mais il faut alors apporter les preuves de ses allégations et convaincre les juges. En l’état, les annonceurs et les FAI ont le droit de leur côté, tandis que la vie privée en ligne n’est que faiblement protégée.
En outre, le Congrès a limité les moyens d’action de la FCC : celle-ci ne pourra plus prendre de décisions réglementaires afin de contribuer à l’élaboration du cadre juridique des données personnelles comme elle l’avait fait à l’ère de l’administration Obama. Ses moyens de mener une véritable politique de protection de la vie privée se retrouvent ainsi sensiblement diminués.
Ces évolutions législatives s’inscrivent dans un mouvement plus global de dérégulation du secteur des télécommunications initié en janvier 2017 avec la nomination par Donald Trump d’Ajit Pai à la tête de la FCC. Cet avocat est connu pour son opposition à toute régulation des télécommunications et notamment à la « neutralité du Net ». Pour lui, le principe de non-discrimination serait une ingérence étatique dangereusement coupable de freiner l’innovation.
Entre États-Unis et Europe, une opposition de cultures juridiques en matière de données personnelles
Le Congrès des États-Unis a donc gravé dans le marbre de la loi la possibilité pour les FAI de vendre librement les historiques de navigation des internautes américains. Vu d’Europe, un tel cadre juridique des données personnelles apparaît ô combien étonnant. En France, les données personnelles sont fortement protégées depuis la loi « Informatique et liberté » du 6 janvier 1978, tandis que la CNIL veille scrupuleusement au respect des droits des individus concernant leurs informations. À l’échelle de l’Union européenne, la protection juridique de la vie privée en ligne se renforce : le règlement du 27 avril 2016 (RGPD) a notamment pour objet de conforter les droits des personnes à l’égard de leurs informations personnelles en imposant de nouvelles obligations aux entreprises et administrations collectant des données. Et, depuis la directive du 12 juillet 2002, d’importantes contraintes pèsent sur les fournisseurs de services, leur interdisant de collecter et d’utiliser librement des données.
Par ailleurs, il est remarquable que le Parlement européen ait adopté, le 6 avril 2017, une résolution concernant le Privacy Shield (voir La rem n°38-39, p.17 et n°40, p.13), réclamant de la part du gouvernement des États-Unis des réponses en matière de protection des données personnelles. Dans le même temps, la présidente du G29 et la commissaire européenne à la justice se sont rendues aux États-Unis en mars 2017, afin d’obtenir des garanties quant à l’application du Privacy Shield. Tout cela traduit les craintes des institutions européennes à l’égard des conséquences de l’élection de Donald Trump sur la protection des données personnelles – des craintes peut-être justifiées et, pour ne citer qu’un autre exemple, le nouveau président américain a adopté, en janvier 2017, un décret anti-immigration qui modifie le Privacy Act, afin d’exclure les non-Américains de la protection des données personnelles dans le cadre d’une enquête policière.
Les différences de cultures juridiques de l’un et de l’autre côté de l’Atlantique apparaissent donc de manière flagrante. Même si Donald Trump avait avancé tout au long de la campagne présidentielle des propositions excessivement libérales, un tel retrait de la protection des droits et libertés individuels au profit d’intérêts économiques ne saurait pas même être envisagé dans la plupart des pays européens. Aux États-Unis, l’idée qu’un consommateur est un produit que des entreprises commerciales peuvent vendre semble beaucoup mieux acceptée qu’en Europe.
Cela fait maintenant de nombreuses années que les modèles économiques des Google et autres Facebook sont parfaitement connus et clairement admis par les utilisateurs. Il en va souvent différemment en Europe. Surtout, le droit est, par exemple en France, beaucoup plus strict à l’égard de ces services. Et il impose un niveau d’exigence supérieur aux FAI car Google ou Facebook sont encadrés par des textes spécifiques qui leur permettent de valoriser les données qu’ils collectent, celles-ci constituant leur unique source de revenus. Or, aux États-Unis, FAI et services du web sont peu ou prou logés à la même enseigne : ils peuvent utiliser très librement les données récoltées auprès de leurs abonnés.
Par nature, les FAI ont accès à une quantité gigantesque d’informations personnelles relatives à leurs clients, finalement beaucoup plus que les réseaux sociaux puisqu’ils peuvent exploiter les historiques de navigation. Or, aux États-Unis, le droit semble soumis aux modèles économiques des nouvelles technologies de communication, reposant dans nombre de cas sur une gratuité d’accès des internautes, accompagnée de la vente de leurs données aux annonceurs. La valeur des données personnelles est dès lors très élevée en ce qu’elle permet de profiler les publicités. Ces données sont plus que jamais le pétrole du XXIe siècle : après l’or noir, l’or immatériel… C’est pourquoi l’administration Trump et les parlementaires républicains entendent, sans autre forme de procès, tirer le maximum de cette source de richesse.
Lobby des télécommunications contre associations de défense des libertés individuelles
Le revirement opéré par le Congrès concernant l’amélioration de la protection des données personnelles a néanmoins suscité quelques réactions et discussions. Le site spécialisé theverge.com a notamment publié une liste de 256 parlementaires qui ont voté la nouvelle législation, en l’accompagnant des montants des dons versés à chacun par les entreprises du secteur des technologies de l’information et de la communication. Un lobbying intensif aurait ainsi influencé la décision de revenir sur le règlement de la FCC visant à imposer un système d’opt-in aux FAI.
Il n’est guère surprenant que les grands opérateurs du secteur aient tous publié des communiqués afin de se féliciter de l’orientation très libérale de la loi. Ce ne sont logiquement que les seules associations de défense de la vie privée qui s’offusquent de l’absence de véritable protection des données personnelles. « Les règles de la FCC sont nécessaires pour garantir que les grandes entreprises comme AT&T, Comcast et Verizon ne mettent pas leurs profits au-dessus de notre droit de choisir la façon dont nos informations en ligne sont utilisées et partagées », a par exemple déclaré l’ACLU (American Civil Liberty Union). Le sacrifice du droit au respect de la vie privée en ligne sur l’autel des profits des multinationales du Net et des télécommunications a de quoi inquiéter les associations de défense des libertés individuelles.
Il suffit de comparer le droit des États-Unis, non seulement avec celui de l’Union européenne, mais avec celui du voisin canadien, pour percevoir la radicalité du cas américain. Au Canada, la loi oblige les entreprises souhaitant recueillir, utiliser ou communiquer des informations personnelles à obtenir de leurs clients un consentement exprès. Et leurs demandes doivent précisément indiquer les raisons de la collecte de données, par conséquent, si une entreprise décide d’utiliser ces données à d’autres fins, elle devra obtenir un nouvel accord formel. De plus, il est interdit de refuser un produit ou un service à un client au motif qu’il ne consent pas à la collecte ou à la communication de ses données personnelles.
De telles exigences ne se retrouvent guère aux États-Unis. Les Américains pourraient être contraints d’oublier toute notion de vie privée en ligne.
Sources :
- « Congress just voted to let internet providers sell your browsing history », Taylor Hatmaker, Techcrunch.com, 28 mars 2017.
- « Congress Overturns Internet Privacy Regulation », Brian Naylor, npr.org, 28 mars 2017.
- « Le Congrès américain autorise les fournisseurs d’accès à vendre les données de leurs clients », Damien Leloup, LeMonde.fr, 29 mars 2017.
- « Quand le Congrès américain torpille la vie privée en ligne », Amaëlle Guiton, Liberation.fr, 29 mars 2017.