Haro sur les données personnelles des Américains ! Un décret présidentiel de Joe Biden, publié mercredi 28 février, vise à limiter la vente de données des Américains à des sociétés situées dans « des pays étrangers hostiles » – à savoir la Chine et la Russie, la Corée du Nord, l’Iran, Cuba et le Venezuela. Outre Atlantique, il s’agit de la toute première tentative de limiter l’activité des courtiers en données, qui revendent au plus offrant les informations des citoyens américains collectées sur le Web. Mais cela reste une tentative, car le chemin vers une réelle limite ou interdiction est encore long.
Aux États-Unis, il n’existe pas d’équivalent au RGPD, le règlement européen qui protège les données personnelles des Européens. Jusqu’à présent, le principe de la libre circulation des données prime. Malgré plusieurs propositions âprement discutées, le Congrès n’est jamais parvenu à s’entendre sur une législation qui protègerait davantage la vie privée des Américains sur le Web. Or, ces données peuvent finir dans les mains « des pays hostiles » et surtout dans celles de leurs services secrets – avec la possibilité d’être ensuite utilisées contre Washington.
« Nos adversaires exploitent les données personnelles sensibles des Américains pour menacer notre sécurité nationale », estime le procureur général Merrick B. Garland, cité dans le communiqué du ministère de la Justice américain. « Ils achètent ces données pour les utiliser pour faire du chantage et surveiller les individus, cibler ceux qu’ils considèrent comme des dissidents ici aux États-Unis, et se livrer à d’autres activités malveillantes », ajoute-t-il.
Un marché des données titanesque
La problématique est loin d’être nouvelle : elle est connue et décriée depuis des années. L’été dernier, un rapport déclassifié de l’administration pointait du doigt l’absence de règlementation des courtiers en données, et le fait que le gouvernement américain n’hésite pas, lui aussi, à acheter des données auprès de ces sociétés – un moyen de contourner le juge, qui doit normalement donner son aval à toute collecte, s’il s’agit d’un citoyen américain. Pour de nombreuses associations, le Congrès doit s’attaquer à la filière des courtiers en données, dès que possible.
À lire aussi : Comment le gouvernement américain espionne ses citoyens en achetant leurs données
Le marché des données acquises grâce au « RTB » (pour real time bidding) est titanesque : cette méthode massivement suivie permet de nous suivre à la trace lorsque nous sommes en ligne, et d’établir un profil très précis… Profil ensuite partagé des milliers de fois à des fins publicitaires. Un rapport de l’ONG irlandaise ICCL estimait qu’en 2022, le comportement en ligne d’un Américain était partagé 747 fois par jour en moyenne, contre 376 fois pour un Européen, un peu plus protégé avec le RGPD.
Un premier pas, mais de nombreuses limites
Il s’agit, avec ce décret, d’un premier pas vers une réglementation du secteur – mais d’un premier pas seulement. Le décret invite le ministère de la Justice à légiférer, en proposant une règle qui limitera ou interdira la majorité des transferts massifs de données personnelles des Américains « vers des pays adversaires et des organisations basées dans ces pays », si la sécurité nationale est menacée. Les données concernées par ces futures mesures sont largement définies : il s’agit « des données génomiques, des identifiants biométriques, des données de géolocalisation précises, des données financières et de santé personnelles et certaines données liées à des questions “sensibles” de sécurité nationale ».
Tout le système reposera sur un engagement des acheteurs de données : les sociétés qui vendent ou qui transfèrent ces données « doivent obtenir l’engagement des acheteurs que leurs ventes ne finiront pas entre les mains de gouvernements ou d’organisations adverses », a précisé un haut fonctionnaire du ministère de la Justice lors d’une conférence de presse, dont Axios se fait l’écho. On imagine déjà le casse-tête des autorités face à des chaînes d’acheteurs et de sous-traitants, avec un courtier en données américain qui vendrait à un tiers qui, de son côté, transférerait ces données à une société chinoise ou russe…
Tous les transferts de données ne sont pas concernés : seuls seraient soumis à cette nouvelle règlementation les transferts atteignant un certain seuil. Là aussi, on pourrait imaginer qu’il suffirait de séparer artificiellement plusieurs transferts pour échapper à la législation.
Le jeu d’équilibriste entre libre échange et vie privée
Enfin, l’administration Biden prend soin de ménager ses entreprises en insistant sur le caractère « ciblé » de la mesure, qui répondrait seulement à des cas de menace sur la sécurité nationale. Si l’initiative cherche à davantage protéger les données des Américains, elle ne remet pas en cause les principes de libre échange et d’internet ouvert et sécurisé, a indiqué le ministère de la Justice américain. Un haut fonctionnaire, lors de la présentation du décret, a ajouté que le décret n’affecterait pas les transferts de données faits en interne au sein des multinationales. Désormais, le dossier est entre les mains du ministère de la Justice, qui devra s’atteler à un projet de réglementation en bonne et due forme.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Décret présidentiel de Joe Biden du 28 février 2024
C’est amusant car les données personnelles des Américains et des Européens et pas que sont détenues avant tout par les GAFAM.