Il est peu probable que les lois SECURE Data Act et GUARD Financial Data Act soient adoptées, mais elles donnent un aperçu des luttes en matière de confidentialité auxquelles les DSI, RSSI et CFO seront de toute façon confrontés : minimisation des données, profilage de l’IA, responsabilité des fournisseurs et nouvelles règles controversées concernant les données des adolescents.
Les républicains de la Chambre des représentants des États-Unis ont présenté deux propositions majeures en matière de protection de la vie privée qui modifieraient la manière dont les entreprises américaines collectent, traitent et conservent les données des consommateurs : le SECURE Data Act pour la confidentialité générale des consommateurs et le GUARD Financial Data Act pour les institutions financières.
Les projets de loi créeraient des normes nationales en matière de pratiques de confidentialité et de sécurité tout en anticipant largement les lois de nombreux États sur la confidentialité, y compris les protections plus strictes déjà en place dans des États comme la Californie et le Maryland. Ils élimineraient également la possibilité de poursuites privées dans le cadre fédéral, laissant l’application principalement à la Federal Trade Commission et aux procureurs généraux des États.
Cette combinaison de préemption fédérale, d’application plus faible et de vastes changements de conformité a rendu les projets de loi politiquement toxiques pour les démocrates et les défenseurs de la vie privée. L’Electronic Privacy Information Center (EPIC) a qualifié la SECURE Data Act de « cadeau énorme pour les grandes technologies » et a averti qu’« une norme fédérale faible est pire que pas de norme du tout ».
Le Congrès a passé plus d’une décennie à échouer à produire une loi fédérale complète sur la protection de la vie privée, souvent dans des conditions moins polarisées qu’aujourd’hui. « Le soutien d’un parti dans une seule chambre du Congrès ne suffira pas », a déclaré Alan Butler, directeur exécutif et président de l’EPIC. « En fait, il faut un processus bipartisan pour adopter une législation de fond comme celle-ci. »
Ces projets de loi sont importants car ils exposent les problèmes de confidentialité auxquels les entreprises sont déjà confrontées en vertu des lois étatiques existantes et des directives fédérales, notamment la minimisation des données, le profilage automatisé, la responsabilité des courtiers de données et les règles de plus en plus complexes concernant les données sensibles.
Pourquoi la minimisation des données devient un enjeu business
La SECURE Data Act comprend des droits familiers en matière de confidentialité : accès, correction, suppression, portabilité, refus de la publicité ciblée et de la vente de données, ainsi que des restrictions sur certaines formes de profilage automatisé. Il crée également un registre fédéral des courtiers de données et des obligations formelles de contrôleur-sous-traitant pour les entreprises et les fournisseurs.
Toutefois, le problème opérationnel le plus important pour les entreprises est la minimisation des données, le principe de plus en plus accepté selon lequel les entreprises doivent collecter uniquement ce dont elles ont besoin, les conserver aussi longtemps que nécessaire et être en mesure de justifier ces deux décisions.
Le National Institute of Standards and Technology (NIST) considère déjà la minimisation comme un principe fondamental de confidentialité et de sécurité. Dans ses lignes directrices « Collecte et minimisation des données », l’agence indique que les organisations devraient collecter uniquement les informations personnelles nécessaires à un objectif déclaré, car une conservation excessive crée des risques évitables en matière de confidentialité et de sécurité.
Ce principe est également de plus en plus central dans les lois des États sur la protection de la vie privée. La Californie et le Maryland imposent tous deux des restrictions plus strictes en matière de collecte et de conservation inutiles que de nombreux États antérieurs.
Pour les DSI, RSSI et CFO, il ne s’agit pas simplement d’une question de confidentialité. Les dossiers clients dormants, la télémétrie excessive, les archives SaaS oubliées, les ensembles de données de formation IA surdimensionnés et les bases de données marketing existantes augmentent tous l’exposition aux violations. Plus une entreprise stocke de données inutiles, plus sa surface d’attaque s’agrandit.
Butler soutient que le langage de minimisation du projet de loi SECURE est plus faible que ce que les principaux États exigent déjà.
« La réponse est que la loi ne fait vraiment rien », a-t-il déclaré, car la disposition lie largement les limites de collecte à ce que les entreprises divulguent dans leur politique de confidentialité plutôt que d’imposer une norme de nécessité plus stricte.
Cela crée une dynamique d’entreprise inhabituelle : le projet de loi pourrait globalement affaiblir la protection de la vie privée tout en renforçant l’attente à long terme selon laquelle les entreprises doivent être en mesure de justifier pourquoi elles conservent les données dont elles disposent.
Là où la loi sur la protection de la vie privée chevauche la gouvernance de l’IA
Le SECURE Data Act ne contient pas de règles générales et autonomes de gouvernance de l’IA, mais il touche néanmoins l’IA de manière significative.
Le projet de loi prévoit des options de non-participation pour le profilage entièrement automatisé utilisé pour les décisions ayant des effets juridiques ou d’importance similaire. Ce langage peut clairement impliquer certaines utilisations de l’IA, en particulier dans les domaines de l’embauche, des prêts, des assurances et d’autres décisions à fort impact.
Butler a déclaré que la disposition sur le profilage mérite d’être surveillée, car plusieurs lois d’État incluent déjà des exigences similaires et le concept est en pleine expansion. Cela signifie que la loi sur la protection de la vie privée pourrait devenir la première forme pratique de réglementation de l’IA pour de nombreuses entreprises.
Les ensembles de données de formation, les invites des clients, la collecte de télémétrie et les périodes de conservation deviennent tous plus difficiles à défendre lorsque les régulateurs se demandent si les données sont vraiment nécessaires. Les équipes juridiques, les responsables de la protection de la vie privée et les RSSI pourraient se retrouver à façonner la stratégie d’IA bien avant que le Congrès n’adopte une loi autonome sur l’IA.
La disposition sur les données des adolescents qui pourrait tout casser
L’une des dispositions les moins discutées mais les plus perturbatrices de la SECURE Data Act concerne les adolescents.
Il stipule qu’un responsable du traitement, à savoir toute entité qui traite des données personnelles, ne peut pas traiter les données sensibles d’un adolescent sans obtenir le consentement parental vérifiable. Le problème est que le projet de loi définit les données sensibles comme incluant les données personnelles collectées auprès d’un adolescent, ce qui signifie que presque toute interaction impliquant un utilisateur connu entre 13 et 15 ans pourrait déclencher cette exigence.
« Si vous exploitez un site Web, une application, un service et que vous connaissez des utilisateurs âgés de 13 à 15 ans, cela va tout casser », a déclaré Butler. « Vous devrez obtenir un consentement parental vérifiable chaque fois que vous toucherez les données : collectez-les, transférez-les, stockez-les, traitez-les, peu importe. »
Pour se conformer, les entreprises auraient besoin non seulement d’une connaissance de l’âge, que beaucoup possèdent déjà via la création de comptes ou des magasins d’applications, mais également d’un système de vérification des relations parent-enfant. Cela nécessiterait probablement de collecter des documents d’identité et des dossiers personnels sensibles supplémentaires, le type exact d’informations que la plupart des organisations devraient éviter de stocker.
« Ça ne marche pas. Cela n’a aucun sens », a déclaré Butler. « Si j’étais DSI ou RSSI, je serais très inquiet, car c’est totalement irréalisable. »
Pourquoi les fournisseurs et les courtiers de données sont plus importants
Le projet de loi SECURE exige des contrats formels contrôleur-sous-traitant couvrant la confidentialité, la suppression, les limites de conservation, les obligations des sous-traitants et d’autres garanties. Cela amène le respect de la confidentialité directement dans la gestion des achats et des risques liés aux tiers.
Pour les entreprises dont les fournisseurs ont hérité d’acquisitions et dont la propriété des données n’est pas claire, le respect de la confidentialité devient un exercice consistant à déterminer qui possède quelles données, où elles se trouvent et si quelqu’un peut réellement forcer leur suppression.
Butler considère le registre fédéral des courtiers de données comme l’une des rares dispositions du projet de loi qui reflète clairement l’évolution déjà effectuée par la loi sur la protection de la vie privée. De plus en plus d’États adoptent des exigences en matière de registre et les entreprises doivent de plus en plus évaluer quelles données elles achètent, d’où elles proviennent et si elles sont elles-mêmes considérées comme courtiers.
Pourquoi les sociétés financières devraient surveiller GUARD de plus près
Alors que le SECURE Data Act affecte beaucoup plus d’entreprises, le GUARD Financial Data Act qui l’accompagne peut être plus important pour les banques, les assureurs et les fintechs.
Plutôt que de créer un cadre entièrement nouveau, GUARD moderniserait considérablement le titre V de la loi Gramm-Leach-Bliley (GLBA). Il préserverait les droits de désinscription des consommateurs tout en élargissant les droits d’accès, en ajoutant des droits de suppression pour les anciens clients, en exigeant un consentement affirmatif avant la divulgation d’informations personnelles sensibles et en imposant des obligations plus strictes concernant les agrégateurs de données financières et les identifiants d’accès.
Il comprend également des dispositions concernant le traitement des données impliquant les « nations couvertes », liant plus directement la confidentialité financière aux préoccupations de sécurité nationale et de chaîne d’approvisionnement.
Pour les institutions qui traitent encore les avis de confidentialité de GLBA comme un exercice de conformité annuel, GUARD ferait de la confidentialité un problème opérationnel quotidien, touchant à l’open banking, à la gestion des informations d’identification, aux relations avec les fournisseurs et aux pratiques de fidélisation des anciens clients.
Une loi fédérale n’est peut-être pas la meilleure pour les entreprises
Les groupes d’entreprises souhaitent depuis longtemps qu’une norme nationale unique remplace la mosaïque de lois sur la protection de la vie privée d’un État à l’autre. Un cadre fédéral est plus facile à gouverner que 20 cadres concurrents, et de nombreuses entreprises apprécieraient la prévisibilité.
Brendan Thomas, directeur exécutif de la coalition Internet for Growth, félicite la SECURE Data Act pour avoir fourni un cadre fédéral contre la mosaïque de lois des États, qui, selon la coalition, fait grimper les prix pour les petites entreprises. « L’introduction de la SECURE Data Act (HR 8413) à la Chambre est une étape importante dans les efforts en cours visant à établir un cadre national de protection de la vie privée », a déclaré Thomas dans un communiqué.
Mais Butler, de l’EPIC, affirme que supprimer des lois étatiques plus strictes n’est peut-être pas réellement bon pour les affaires.
Il affirme que les entreprises ont déjà investi massivement dans des programmes de conformité autour de ces cadres, et que les remplacer par des règles fédérales plus faibles et plus vagues pourrait créer une nouvelle incertitude plutôt que de l’atténuer.
« Cela engendre la méfiance parmi vos clients », a déclaré Butler. « Ce n’est pas bon pour les affaires que les gens se méfient de ce qui se passe avec ces applications. Tout d’un coup, (les consommateurs) n’ont plus l’impression que leur vie privée n’est plus protégée. »
