PARTIE 2 - New York Privacy Act : Controverses & Avenir
Plus d’un an après son entrée en vigueur, on peut dire sans crainte que le RGPD n’a pas seulement été un succès ici en Europe, mais qu’il a également servi de référence pour les futures lois en matière de protection des données au niveau mondial.
Aux Etats-Unis, le RGPD a clairement eu une influence sur la California Consumer Privacy Act (« CCPA »), la loi californienne sur la protection des données. Suivant les efforts de la Californie pour renforcer ses lois sur la protection des données, l’État de New York a tenté sa chance avec son projet de loi, la New York Privacy Act (« NYPA »). Dans la première partie de cet article, nous avons étudié la portée de la NYPA par rapport aux dispositions du RGPD.
Même s’il nous semble que la NYPA n’ira pas plus loin, en vue de l’importance de l’Etat de New York dans le monde des affaires, il convient néanmoins d’analyser dans cette deuxième partie, les raisons pour lesquelles les dispositions de la NYPA n’ont pas été appliquées par l’Etat de New York.
Suite à notre analyse plus profonde des dispositions du RGPD et de la NYPA, il s’avère que les articles de la NYPA qui établissent les droits des personnes concernées sont quasi-identiques à leurs contreparties européennes. La NYPA proposé s’est tristement heurté à une forte opposition et a récemment échoué lors de la dernière session législative – mettant vraisemblablement fin à l’avenir de la NYPA.
Voici notre analyse des controverses de la NYPA et nos réflexions sur ce triste destin du RGPD américain, et notamment pourquoi l’Etat de New York n’était pas encore prêt à adopter sa propre version du RGPD.
Controverses
A. Pourquoi les entreprises new-yorkaises étaient-elles mécontentes ?
La NYPA aura sans doute été la plus sévère des réglementations américaines en matière de protection des données. Justement, c’est cette intensité qui l’a conduit à l’abandon – c’était tout simplement un trop grand saut par rapport au statu quo. Les entreprises et les lobbyistes craignaient que la NYPA, tout en protégeant les droits individuels, nuise aux affaires et à l’innovation dans l’État, ce qui est simplement un compromis qu’ils n’étaient pas du tout prêts à faire.
B. L’obligation fiduciaire.
Une autre raison majeure de la réaction défavorable à la NYPA est l’article 42, section 1102 NYPA sur l’obligation fiduciaire.
Cette clause stipule que les entreprises sont tenues d’agir avant tout dans le meilleur intérêt des consommateurs. La clause obligerait donc les entreprises de New York à abandonner leurs pratiques actuelles fondées sur le profit afin de se consacrer davantage sur les droits et les intérêts de leurs clients. Par conséquent, l’obligation fiduciaire de la NYPA obligerait les entreprises à placer les données des consommateurs au-dessus de leurs profits – un point très controversé qui ne reflète simplement pas le modèle commercial américain.
C. Le problème avec les règlements de protection des données au niveau étatique et non fédéral.
Le fédéralisme, tel qu’on le retrouve aux États-Unis, est un système politique où le pouvoir est divisé en deux piliers, soit le gouvernement national (fédéral) et les gouvernements étatiques.
La constitution américaine confère à chaque ordre gouvernemental des pouvoirs respectifs et partagés dans la gestion du pays. Dans ce système, les États ont le pouvoir d’adopter des lois étatiques qui leur sont propres pour autant qu’il ne viole pas la constitution du pays.
Le NYPA aurait été une loi de l’État de New York, ce qui signifie qu’elle ne s’appliquerait qu’aux résidences de l’État. Dans l’hypothèse où tous les autres États du pays suivraient cet exemple et adopteraient leur propre législation en matière de protection des données, les entreprises seraient potentiellement tenues de se conformer à 50 lois différentes dans ce domaine aux États-Unis seulement.
À juste titre, ce point a été soulevé et plusieurs sont d’avis qu’une loi unique au niveau fédéral pourrait uniformiser et mieux régir les pratiques américaines en matière de protection des données. Le temps nous dira si cet argument provenait d’un endroit de réelle sincérité ou s’il était simplement un moyen de mettre le frein sur la NYPA.
Réflexions
Pour les raisons susmentionnées, le NYPA n’a pas été adopté lors de la dernière session législative en raison d’un manque de soutien au Sénat.
Le recent projet de loi, la Washington State Privacy Act, issu de l’État de Washington a connu un sort semblable en début d’année. Aux États-Unis, les entreprises et les lobbyistes ont une influence considérable sur le développement de nouvelle législation et leur participation à l’adoption de future loi en matière de protection des données ne doit pas être sous-estimée.
Bien que le NYPA pourrait être réexaminé à la prochaine session législative, il y a peu d’espoir que le projet de loi soit adopté dans le futur. Il serait peut-être plus facile pour le marché américain d’adopter plusieurs projets de loi qui portent sur des questions précises dans le domaine de la protection des données et de la vie privée plutôt qu’un projet de loi immense ayant une portée générale. A ce titre, le Sénat de l’État de New York a voté pour un projet de loi le 5 juin dernier concernant les violations de données à caractère personnel (data breach). Ce projet de loi vise à élargir la définition d’une data breach et vise également à compléter les catégories d’informations régies par l’éventuelle loi pour inclure des données biométriques, les addresses mail et les protocoles de sécurité y afférants ainsi que les données de santé (telles que protégées sous la Health Insurance Portability and Accountability Act 1996).
Cela étant dit, les lois américaines sur la protection des données ne subiront qu’un vrai changement lorsqu’un projet de loi sera adopté au niveau fédéral, qu’il s’agit d’un projet de loi général comme le RGPD ou bien des dispositions relatives à des questions distinctes, telles que les data breach.
A notre avis, cela faciliterait non seulement la conformité des entreprises américaines (et européennes ayant des activités commerciales aux USA), mais offrira également une plus grande protection aux citoyens américains, peu importe de leur État de résidence. De plus, une telle loi au niveau fédérale aurait surement une influence positive sur les relations internationales des États-Unis en matière de protection des données personnelles.
Dans ce pays de Facebook et de Google, est-ce que nous verrons un jour une loi fédérale américaine portant sur la protection des données personnelles et le respect de la vie privée qui pourrait donc concurrencer le RGPD ? Affaire à suivre...
Pour en savoir plus, n’hésitez pas à nous contacter.
Article rédigé par Charlotte Gerrish et Justin Boileau @ Gerrish Legal, initialement paru sur le site Village de la Justice, le 8 août 2019