L’esprit du règlement européen sur la protection des données (RGPD, voir La rem n°42-43, p.21) s’étend au-delà de l’Union européenne. L’État de Californie s’attache, en apparence du moins, à mieux protéger les droits des utilisateurs des services numériques, tandis que l’Union européenne et le Japon concluent un accord de réciprocité.
La Californie adopte une loi sur la protection des données personnelles
Berceau de nombreuses entreprises du numérique, lesquelles ont plutôt intérêt à ce que la collecte, la conservation et l’exploitation des données personnelles soient le moins encadrées possible, la Californie a adopté, le 28 juin 2018, une loi en partie inspirée du RGPD européen, entré en vigueur le 25 mai 2018. Le California Consumer Privacy Act, voté à l’unanimité par le Sénat et la Chambre des représentants de Californie et ratifié par son gouverneur Jerry Brown, devrait en principe imposer aux entreprises de rendre publiques les catégories de données qu’elles collectent à travers leurs activités. La loi les obligera également à permettre à leurs utilisateurs de refuser que leurs données soient utilisées à des fins commerciales. Et ceux-ci pourront exiger la suppression des informations déjà recueillies. Enfin, le texte interdira toute communication de données relatives à des jeunes de moins de 16 ans.
Alors que cette législation entrera en application le 1er janvier 2020, ses conséquences pour les acteurs de la Silicon Valley seront dans tous les cas limitées puisque leurs services s’adressent non seulement à tous les Américains mais aussi au monde entier, même si la Californie est l’État le plus peuplé des États-Unis.
Le projet du California Consumer Privacy Act avait été exposé dès 2017, sans aboutir. Les choses se sont accélérées au printemps 2018 après qu’un ultimatum a été lancé par Alastair Mactaggart, un promoteur immobilier californien qui a réuni quelque 600 000 signatures, afin de soumettre à un vote populaire, en novembre 2018, des mesures très strictes sur l’utilisation des données personnelles. Après le scandale Cambridge Analytica, les Californiens auraient sans doute majoritairement voté en faveur de ces dispositions.
Aussi les parlementaires de l’État ont-ils préféré adopter en amont une loi plus souple – celle-ci ne permet pas, par exemple, de porter plainte contre une entreprise ne respectant pas la loi. Ce vote du California Consumer Privacy Act a conduit Alastair Mactaggart à abandonner son projet d’initiative populaire.
Pourtant, avant même son entrée en application, la nouvelle loi risque fort d’être amendée par les chambres de l’État de Californie – tandis qu’un texte d’initiative populaire ne peut être modifié que par un autre texte d’initiative populaire. Les représentants et sénateurs semblent avoir ainsi souhaité conserver l’entière maîtrise de la législation californienne sur les données personnelles. En adoptant ce texte dans la précipitation, mais avec une date d’entrée en vigueur lointaine, ils ont finalement davantage protégé les services de l’économie du numérique contre de nouvelles contraintes que soumis ceux-ci à de nouvelles obligations. D’ailleurs, les lobbyistes de Google, Amazon et autres Facebook, plutôt que de critiquer le nouveau texte, insistent sur la nécessité de travailler main dans la main avec les parlementaires, afin de « corriger les effets néfastes du California Consumer Privacy Act ».
Des dispositions très favorables aux entreprises sont déjà inscrites dans la nouvelle loi. Un article autorise celles-ci à appliquer des tarifs différenciés selon que l’utilisateur acceptera ou non la collecte et l’exploitation de ses données personnelles. Il permet également de rendre le service payant pour les consommateurs ne souhaitant pas divulguer leurs données. La nouvelle loi est donc parfaitement conforme au modèle économique des Gafam, ordonné autour de ce qui est devenu la maxime des activités en ligne : « Quand c’est gratuit, c’est vous le produit. » C’est donc un véritable jeu de loi autour des données personnelles auquel on assiste en Californie.
Un accord sur la protection des données personnelles entre l’Union européenne
et le Japon
Le Japon et l’Union européenne ont signé, le 17 juillet 2018, un accord de partenariat économique baptisé Jefta, (Japan-EU Free Trade Agreement), donnant naissance à la plus grande zone de libre-échange mondiale. Parallèlement à cet accord commercial, l’Union européenne et le Japon se sont entendus sur un autre accord majeur concernant le transfert de données.
Ce nouvel accord conduit le Japon à s’aligner sur les standards européens tels qu’ils sont définis dans le RGPD. Ainsi, dans un communiqué commun, le président de la commission japonaise de protection des données et la commissaire européenne aux consommateurs Vĕra Jourová se sont engagés à créer un cadre de travail commun afin de mieux protéger les données personnelles des Européens et des Japonais et d’en faciliter les échanges. « Cet accord d’adéquation mutuelle donnera lieu à la création du plus grand espace au monde de transferts de données en toute sécurité, fondé sur un niveau élevé de protection des données à caractère personnel », souligne la commissaire Vĕra Jourová.
Cela devrait en premier lieu aboutir à une réforme de la loi japonaise sur la protection des informations personnelles (Act on the Protection of Personal Information) afin que celle-ci intègre certaines mesures instaurées par le RGPD. Ainsi, le Japon devra notamment modifier sa définition des « données sensibles » et créer une instance destinée à recueillir, le cas échéant, les plaintes des Européens. Du côté européen, l’accord sur le transfert des données devra être validé notamment par le Comité européen de protection des données (CEPD), qui a remplacé le G29, à la suite de l’entrée en vigueur du RGPD.
D’après le communiqué, devrait être créée « la plus grande zone sécurisée pour les transferts de données au monde ». L’ouverture de cette nouvelle autoroute des informations personnelles est aussi l’occasion pour le Japon et l’Union européenne de « réaffirmer leur engagement à créer des valeurs partagées concernant la protection des données personnelles, renforcer leur coopération et démontrer leur leadership en façonnant des normes mondiales basées sur un haut niveau de protection des données personnelles ».
Les relations entre l’Europe et les États-Unis sont loin d’être aussi harmonieuses. Leur philosophie diverge quant au degré de protection à accorder aux données personnelles. La Commission européenne a d’ailleurs averti les États-Unis, le 26 juillet 2018, qu’elle envisagerait la rupture de l’accord Privacy Shield, qui régit le transfert outre-Atlantique des données européennes depuis 2016 (voir La rem n°42-43, p.65), si les Américains échouent à tenir leurs engagements.
Sources :
- « Après le RGPD, la Californie vote une loi sur la protection des données en ligne », Louis Delatronchette, LeFigaro.fr, 29 juin 2018.
- « La Californie fait voter une loi plus exigeante en matière de vie privée », Julien Lausson, numerama.com, 29 juin 2018.
- « L’Union européenne et le Japon concluent un accord de libre-échange historique », Cécile Ducourtieux, LeMonde.fr, 17 juillet 2018.
- « Vers un accord de libre circulation des données entre l’UE et le Japon – L’équivalence des systèmes bientôt reconnue », Johann Breton, lesnumeriques.fr, 22 juillet 2018.