Les Etats-Unis ont fait le choix d’une approche sectorielle de protection des données personnelles, c’est-à-dire que la protection se fait dans certaines activités et non d’une manière globale comme c’est le cas en Europe. Cette dernière se veut beaucoup plus protectrice des données personnelles et adopte un système plus contraignant pour les entreprises.
La notion de “privacy” absente au niveau étatique
Si la liberté d’expression est protégée par la Constitution des Etats-Unis, il n’y a pas trace de la notion de vie privée ou « privacy ». Toutefois certaines Constitutions fédérales y font référence, notamment celle de Californie dans son article premier. La notion de protection de la vie privée est retrouvée au 4ème Amendement de la Constitution américaine, mais se limite aux intrusions de l’Etat dans les perquisitions et saisies.
C’est un arrêt de la Cour suprême de 1965 qui pose les bases de la « privacy » qui relève du pouvoir des états fédérés. Juridiquement, la liberté d’expression possède une protection supérieure dans la hiérarchie des normes. On remarque une réticence, encore aujourd’hui, du législateur américain à protéger les données personnelles. En mars 2017, le Congrès a refusé une réglementation visant à empêcher les fournisseurs d’accès à internet de vendre les données personnelles qu’ils récoltent.
Le législateur tente d’intervenir dans le processus de protection des données personnelles. La Federal Trade Commission (FTC), créée pour protéger le consommateur, voit son rôle accru dans la protection des données personnelles. Elle doit informer le consommateur sur la collecte, l’utilisation, et le partage de ses données personnelles. Elle condamne cinq types de comportements : les changements rétroactifs en matière de confidentialité, les pratiques pour installer des logiciels espions, l’utilisation inappropriée des données, la collecte illicite d’informations, et les pratiques déloyales en matière de sécurité. Elle peut aller jusqu’à l’effacement des données concernées.
Mais elle n’a pas les moyens d’agir directement contre une violation des textes. L’amende prévue en cas de violation n’a été prononcée qu’une fois contre Google. Ce dernier n’est pas à l’abri d’une condamnation, mais cela démontre la faible portée de la protection accordée par la FTC.
Quelle protection au niveau fédéral ?
Une association de consommateur avait adressé une plainte en 2015 à la FTC contre Google pour la mise en place d’un droit à l’oubli. L’association ne s’adressait pas au législateur, mais demandait une réaction directe de la part de Google pour mettre en place un « Right To Be Forgotten ».
Aux Etats-Unis il existe un « Children’s Online Privacy Protection Act » pour protéger la vie privée mais il s’applique seulement aux mineurs. En Californie a été mise en place la « Eraser Law » qui permet aux mineurs de retirer du contenu qu’ils avaient postés, c’est au moteur de recherche de prévoir un mécanisme permettant ce retrait. Même si ces lois sont un progrès dans la protection de la vie privée des mineurs, il y a une carence dans la protection des données personnelles des personnes majeures.
Aujourd’hui, la protection évolue au niveau fédéral. La Californie a adopté une nouvelle loi suite au scandale Facebook Analytica, le « California Consumer Privacy Act ». Il pose notamment un droit d’information sur les données collectées, et un droit de suppression. Même si l’effort est notable, les réels impacts restent à démontrer. L’acte entrera en vigueur en 2020 et pourra subir des modifications sous la pression des lobbyistes des GAFA. De plus, les sanctions semblent dérisoires comparées au RGPD.
Le modèle européen est loin de pouvoir s’exporter outre Atlantique. Les quelques tentatives du législateur américain pour protéger les données personnelles n’ont pas eu l’effet escompté, et l’intérêt économique est grand. Les entreprises se retranchent derrière ce droit qui leur est plus favorable. Confronté à la justice en Europe, Google avait invoqué l’applicabilité du droit américain pour se protéger. Mais la jurisprudence a écarté son applicabilité, la protection des données personnelles restera centrale en Europe, tandis qu’aux Etats-Unis ce modèle aura du mal à s’implanter. Il est désavantageux par rapport à la vision économique plus libérale qu’a le pays.

A propos de Léa VERMERSCH