Par ce projet de loi, le sénateur démocrate de l'Oregon Ron Wyden veut renforcer les peines contre les violations de la vie privée qu’il estime insuffisantes actuellement pour dissuader les mauvais comportements des entreprises technologiques et protéger les consommateurs contre des abus. « Mind Your Own Business Act » qui se concentre sur les concepts généraux de données personnelles et de responsabilité de l'entreprise, ne fait pas référence aux comportements d’une entreprise en particulier. Mais dans une déclaration, le sénateur Wyden a cité des noms, dont celui Facebook.
« Mark Zuckerberg ne prendra pas au sérieux la vie privée des Américains à moins qu'il ne ressente des conséquences personnelles », a dit M. Wyden. « Une tape sur les doigts de la FTC ne fera pas l'affaire, alors selon mon projet de loi, il risque une peine de prison pour avoir menti au gouvernement », a-t-il ajouté.
En effet, Facebook a été au centre des discussions sur la vie privée au cours des dernières années. L’entreprise a fait l’objet de vives critiques de la part des utilisateurs, des organisations de protection de vie privée et des régulateurs à l’échelle mondiale, suite au gigantesque scandale de données qui a affecté plus de 87 millions de personnes et d’importantes autres violations de données personnelles liées à des failles de sécurité. M. Wyden pense que sa proposition pourrait améliorer ces genres de négligences de la part des sociétés et de leurs dirigeants.
« Mind Your Own Business Act » est, à tout point de vue, une mise à jour de la proposition publiée par le sénateur en novembre dernier. M. Wyden affirmait à l’époque que sa loi sur la protection des données des consommateurs est une réponse directe à l'océan de scandales de la vie privée qui sévit sur Internet depuis une bonne partie de la dernière décennie. Le projet de loi propose que les entreprises dont le chiffre d’affaires dépasse 1 milliard de dollars par an (ou qui disposent d’une base de données de plus de 50 millions de consommateurs ou d’appareils grand public) soumettent au gouvernement des « rapports annuels sur la protection des données » détaillant toutes les mesures prises pour protéger la sécurité et la confidentialité des données personnelles des consommateurs.
Non seulement le projet de loi impose que les entreprises soient plus transparentes et donnent plus de contrôle aux consommateurs, mais aussi « les dirigeants d'entreprise doivent être tenus personnellement responsables lorsqu'ils mentent sur la protection de nos renseignements personnels », lit-on dans la proposition de loi.
La proposition met l'accent sur les aspects importants de la relation entre les entreprises qui collectent et détiennent des données personnelles et les utilisateurs sur lesquels ces données sont prélevées. D’abord, la loi veut permettre aux utilisateurs de savoir ce qui est réellement fait de ces données recueillies auprès d'eux. Ensuite, elle se propose d’emmener ces entreprises à améliorer leur bilan en matière de sécurisation de ces données et de prévention des accès non autorisés. La proposition veut également renforcer les pouvoirs de la FTC dans sa tâche de réglementation de la protection de la vie privée. Voici ce que le projet de loi de Wyden rendrait obligatoire :
- Les cadres techniques qui mentent à la FTC au sujet de l'utilisation abusive des renseignements personnels des Américains risquent jusqu'à 20 ans de prison ;
- La FTC aurait le pouvoir d'imposer des amendes pouvant aller jusqu'à 4 % des revenus annuels des entreprises en cas d'atteinte à la vie privée ;
- Les entreprises de technologie seraient tenues de fournir aux utilisateurs une solution « en un seul clic » pour se retirer des entreprises qui utilisent leurs renseignements personnels pour vendre des annonces ciblées ;
- Les sociétés de technologie devraient fournir des versions gratuites et « conformes à la vie privée » de leurs produits aux Américains à faible revenu. Ce serait un geste contre le fait de réserver la vie privée comme un bien de luxe ;
- Les groupes de défense des consommateurs auraient le droit de poursuivre les entreprises pour violation de la vie privée.
Les pouvoirs de la FTC renforcés pour réglementer la big tech et traiter des questions de protection de la vie privée
Si le projet est adopté au cours des prochaines sessions du Congrès, des infractions qui n'entraînent actuellement aucune amende coûteraient à une entreprise reconnue coupable de violation de données privée jusqu'à 4 % de ses revenus annuels. Ces changements ont été à plusieurs reprises réclamés par Joseph Simons, président de la FTC, qui souhaite une mise à niveau des capacités de l’organisme fédéral à imposer des sanctions plus sévères dès la première infraction.
Après l'enquête menée par la FTC sur la gestion par Facebook de l'énorme scandale de confidentialité de Cambridge Analytica, le géant des médias sociaux a été condamné à une amende de 5 milliards de dollars plus tôt cette année dans le cadre d'un règlement. Bien qu'il s'agisse de la plus grosse amende de l'histoire de la FTC, elle n’est qu’une goutte d’eau dans l’océan par rapport aux recettes annuelles du géant des réseaux sociaux. Le règlement exigeait aussi une surveillance accrue de la vie privée au sein de l'entreprise, mais tout ceci ne serait rien à côté des nouvelles propositions de sanctions si la loi venait à être adoptée.
En juillet dernier, alors qu'il discutait du règlement avec Facebook, M. Simons a sollicité un nouveau projet de loi en faveur du renforcement des capacités à sanctionner de la FTC. « Nous sommes un organisme d'application de la loi qui n'a pas le pouvoir de promulguer des règlements généraux sur la protection de la vie privée », avait déclaré à l'époque M. Simons. « Notre autorité dans cette affaire vient d'une loi centenaire qui n'a jamais eu pour but de traiter des questions de protection de la vie privée comme celles que nous abordons aujourd'hui », avait-il ajouté.
Un autre cas où la FTC a fait face à son incapacité à imposer des sanctions lourdes était le règlement entre la FTC et Equifax, une agence de déclaration de crédit à la consommation aux États-Unis. Lors d’un incident de sécurité survenu en 2017, les données de près de 147 millions clients américains de l’entreprise avaient été exposées. Les pirates avaient eu accès, pendant environ deux mois, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et du permis de conduire. Dans le cadre de l'atteinte à la protection des données, Equifax n’avait été condamné qu’à une amende dont le montant se situait entre 575 et 700 millions de dollars pour les victimes, les États et les organismes de réglementation américains.
En expliquant le règlement en juillet dernier, M. Simons avait déclaré : « Le CFPB – Bureau américain de protection des consommateurs – et les États ont pu obtenir des sanctions civiles pour cette violation massive par une importante institution financière. La FTC n'a pas pu ». « Heureusement, d'autres organismes ont réussi à combler le vide cette fois-ci. Ce ne sera pas toujours le cas, ce qui envoie le mauvais signal concernant la dissuasion », avait-il ajouté.
Mais avec le nouveau projet de loi, non seulement les entreprises seraient sanctionnées proportionnellement à leu chiffre d’affaire, les dirigeants seraient également passibles de pénalités équivalant à 5 % « du montant le plus élevé de la rémunération annuelle reçue au cours des trois années précédentes », ou à un million de dollars, le plus élevé des deux montants étant retenu, en plus d’une peine d’emprisonnement allant jusqu'à 10 ans de prison. Si les cadres supérieurs sont eux-mêmes reconnus coupables, les peines peuvent aller jusqu'à 25 % de leur rémunération ou 5 millions de dollars, selon le montant le plus élevé, et jusqu'à 20 ans de prison.
Mais avant d’en arriver là, il faut d’abord que la nouvelle loi soit adoptée par le Congrès. En 2018, Facebook avait fait équipe avec Google, Comcast, AT&T et Verizon afin de s’opposer à une loi sur la vie privée dont l’application est envisagée en Californie. Les cinq entreprises ont donné chacune 200 000 dollars pour créer un fonds de 1 million de dollars afin de bloquer la California Consumer Privacy Act, qui a été approuvée par les législateurs californiens en juin 2018. Toutefois, il y a peut-être espoir, puisque 51 PDG d’entreprises de technologie ont récemment signé et envoyé une lettre ouverte au Congrès américain pour demander qu’il soit mis en place une loi fédérale plus sévère sur la confidentialité des données des utilisateurs, abordant dans le même que le sénateur Ron Wyden.
Source : Ron Wyden
Et vous ?
Que pensez-vous du projet de loi du sénateur ?
Pensez-vous qu’il sera adopté ?
Lire aussi
51 PDG d'entreprises IT ont envoyé une lettre ouverte au Congrès US pour demander une loi fédérale sur la confidentialité des données, en affirmant vouloir renforcer la confiance des utilisateurs
Marc Zuckerberg devrait être passible d'une peine de prison pour mensonges répétés au sujet de la protection de la vie privée des utilisateurs Facebook, d'après le sénateur américain Ron Wyden
USA : le projet de loi prévoyant d'envoyer en prison des PDG pour atteinte à la vie privée des consommateurs, « une bonne idée » selon certains
La FTC inflige une amende de 5 milliards de dollars à Facebook, et apporte des clauses qui "réduisent considérablement le pouvoir de Mark Zuckerberg"
Equifax pourrait s'en tirer avec une amende de 700 M$, après la violation de données de 2017, et payer seulement 4 $ à chaque victime