PARTIE 1 - Le New York Privacy Act versus le RGPD
Lorsque le Règlement général sur la protection des données (n° 2016/679) (« RGPD ») fut introduit en 2016, tous les regards se sont tournés vers l’Europe - la législation la plus récente et la plus rigoureuse en matière de protection des données parviendrait-elle à perdurer? Serait-elle à la hauteur du défi posé?
Plus d’un an plus tard, on peut dire sans crainte que le RGPD n’a pas seulement été un succès ici en Europe, mais qu’il a également servi de référence pour les futures lois en matière de protection des données au niveau mondial.
De l’autre côté de l’Atlantique, le RGPD a clairement eu une influence sur la California Consumer Privacy Act (« CCPA »), la loi californienne sur la protection des données. Suivant les efforts de la Californie pour renforcer ses lois sur la protection des données, l’État de New York a tenté sa chance avec son projet de loi, la New York Privacy Act (« NYPA »).
Même s’il nous semble que la NYPA n’ira pas plus loin, en vue de l’importance de l’Etat de New York dans le monde des affaires, il convient néanmoins d’étudier la portée de la NYPA par rapport aux dispositions du RGPD dans cette première partie, et d’analyser dans la deuxième partie, les raisons pour lesquelles les dispositions de la NYPA n’ont pas été appliquées par l’Etat de New York.
Notre nouvelle révolution industrielle
Il va sans dire que grâce à la technologie, nous vivons dans un monde beaucoup plus petit et que la plupart des affaires ont maintenant un volet international – et ce, encore plus dans le domaine des données, qui se fiche des frontières.
Alors que de nombreuses entreprises américaines dans le domaine de la technologie se sont installées en Europe, avec l’Irlande étant une juridiction clé pour leur établissement, il est toujours pertinent d’examiner les questions législatives aux États-Unis dans le cadre de cet environnement digital international.
Afin d’harmoniser le traitement des données personnelles dans ce contexte international, le législateur new-yorkais a tenté sa chance avec la NYPA dans le but d’introduire une législation américaine sur la protection des données personnelles qui serait plus stricte que la CCPA.
Bien-que les États-Unis soient un acteur clé dans l’arène mondiale du traitement des données, il semble néanmoins que la NYPA ne sera pas adoptée. Nous abordons les raisons pour lesquelles la NYPA n’est pas allée plus loin dans la partie 2.
Il reste néanmoins important pour les sociétés françaises et européennes d’avoir un aperçu des dispositions de la NYPA puisqu’il risque d’être retrouvé, au moins en partie, dans les législations futures.
Aperçu de la NYPA et de ses similarités avec le RGPD
A. Droits des personnes concernées.
L’Etat de New York est le troisième plus grand état des États-Unis avec plus de 19,5 millions d’habitants, dont 8,2 millions habitent à New York City, la ville la plus peuplée du pays.
NYC est un centre commercial depuis des décennies, et étant donné sa grande population, le sénateur new-yorkais Kevin Thomas a tenté de donner aux habitants de cet État emblématique une plus grande puissance en créant la NYPA. Parmi ses dispositions, nous retrouvons donc certains elements qui sont fortement inspirés par le RGPD. Par exemple, sous le NYPA, en tant que personnes concernées [3], les New-Yorkais peuvent :
Avoir accès aux données qu’une entreprise possède sur eux (Article 42, section 1103 (5) NYPA - l’équivalent de l’article 15 RGPD) ;
Voir avec qui leurs données sont partagées (Article 42, section 1104 (1) NYPA - l’équivalent de l’article 13 RGPD) ;
Corriger et effacer les données personnelles entre les mains des entreprises (Articles 42, section 1103 (2) et (3) NYPA - l’équivalent des articles 16 et 17 RGPD) ;
Interdire aux entreprises de transférer des données à des tiers (Article 42 section 1102 (1) NYPA - similaire à l’article 6 f) RGPD) ; et
Poursuivre personnellement les entreprises pour avoir maltraité leurs données (Article 42, section 1109 (2) NYPA - l’équivalent de l’article 79 (1) RGPD).
B. Intégrité et confidentialité des données personnelles.
L’esprit du RGPD est d’instauré un niveau d’intégrité auprès des responsable de traitement. L’article 5 f) de la NYPA prévoit également que :
« ... les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées... » [4]
C. Responsabilité des acteurs.
Tout comme le RGPD, la NYPA visait à davantage responsabiliser les entreprises ainsi qu’à habiliter les consommateurs en leur restituant le contrôle de leurs données personnelles. En vertu de la NYPA, les consommateurs pourraient voir quelles données personnelles ont été recueillies par les entreprises et avec qui ils les partagent. Le projet de loi permettrait également aux consommateurs de rectifier ou même d’effacer les données personnelles qui se trouvent entre les mains de ces entreprises – un élément clé du RGPD connu sous le nom du droit à l’oubli.
En outre, la NYPA permettrait aux consommateurs dans l’État de New York de poursuivre personnellement, par l’intermédiaire du procureur général de l’État, les entreprises qui violent leur droit associé à la protection des données issues du NYPA.
Bien que, pour un Européen, cela semble le chemin judiciaire évident, d’après les normes américaines, c’est plutôt extrême.
Le CCPA, l’équivalent californien de la NYPA, largement considérée comme la plus stricte des lois américaines sur la protection des données, ne permet pas aux Californiens de poursuivre personnellement les entreprises qui maltraitent leurs données. En vertu du CCPA, le procureur général de l’État est le seul à avoir ce pouvoir et à s’assurer que les dispositions du CCPA soient respectées.
Les droits accordés aux consommateurs en vertu de la NYPA peuvent sembler familiers à un public européen, et ce parce qu’ils sont extrêmement similaires à ceux accordés aux personnes concernées par le RGPD.
Cela étant dit, la NYPA proposé s’est tristement heurté à une forte opposition et a récemment échoué lors de la dernière session législative – mettant vraisemblablement fin à l’avenir de la NYPA. Veuillez lire la deuxième partie de cet article pour en savoir plus sur les controverses de la NYPA et notre analyse afin de mieux comprendre ce triste destin du RGPD américain.
Pour en savoir plus, n’hésitez pas à nous contacter !
Article rédigé par Charlotte Gerrish et Justin Boileau @ Gerrish Legal, initialement paru sur le site Village de la Justice, le 8 août 2019