Une législation « permissive » aux États-Unis, une opportunité pour les data brokers

Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d’internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, …). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu’il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic…), chacun pouvant détenir plusieurs centaines de milliards de données ! Un marché qui ne cesse d’augmenter, à l’ère du Big Data et de l’explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain.

En effet, il n’existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L’approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d’un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l’information ou le droit à la rectification tels que nous les connaissons, sont absents.

Une amorce de prise de conscience pour une législation renforcée aux États-Unis…

 La FTC s’est penchée sur la question de ce vide juridique vis-à-vis des data brokers et a livré ses recommandations dans un rapport publié en Mai 2014. L’autorité préconise des dispositions législatives, déjà présentes dans les différentes réglementations en Europe, comme le droit de rectification, le droit d’opposition, le droit à l’information et le droit d’accès. En outre, la FTC recommande aux data brokers de prendre des précautions pour renoncer à la collecte d’informations relatives à des mineurs ainsi que de considérer les enjeux de la vie privée dans toutes les étapes du traitement des données : c’est le principe du « Privacy by Design » (on retrouve d’ailleurs ces deux notions dans le projet de futur règlement européen). Ce rapport a permis de mettre sur le devant de la scène le sujet des données personnelles aux États-Unis. Cette tendance risque certainement de s’amplifier avec le discours du ministère de la Justice de l’administration Obama du 25 juin dernier qui s’est engagé à légiférer plus largement sur la protection des données personnelles.

Avant les États-Unis, d’autres pays ont légiféré… avec difficulté

 De nombreux pays ont récemment tenté de légiférer dans ce  sens,  en s’inspirant plus ou moins fortement des principes européens. C’est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l’Inde (2013), du Brésil (2014), ainsi que de nombreux pays d’Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l’intérêt croissant des pays « dits » émergents pour ce sujet qui n’est plus uniquement une question européenne.

L’Europe est-elle en passe d’imposer sa vision sur le traitement des DCP ?

Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l’événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s’appuie sur des principes bien connus en Europe.
En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s’ajouter au modèle européen ou l’Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain ? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s’inscrire dans une optique européenne de protection que dans la logique permissive historique outre atlantique.

Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l’USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie…

Cet article Législation américaine sur les « data brokers » : une influence limitée sur la gouvernance mondiale des données personnelles ? est apparu en premier sur RiskInsight.

Au milieu de l’été : une nouvelle proposition de loi sur le secret des affaires en France

La date n’a pas été choisie au hasard. Alors que les discussions actuelles au Parlement Européen autour du projet de règlement sur le traitement des données personnelles rentrent dans leur phase finale, et que l’application de la Loi de Programmation Militaire est attendue très prochainement avec les publications des décrets sectoriels, la France souhaite légiférer sur la protection des données entreprises. Ce manque avait déjà été mis en avant dans le rapport du groupe interministériel sur la cybercriminalité à travers la recommandation n°18 qui préconisait la création d’incriminations particulières pour le secret des affaires.

La résurrection tardive de ce projet de loi, plus ambitieux que son prédécesseur, montre bien à quel point il est compliqué de légiférer sur ce sujet épineux. La France poursuit donc sa volonté de construction d’un cadre législatif complet et spécifique pour tous les enjeux cyber stratégiques.

Vers une règlementation plus protectrice et plus sévère pour les intérêts économiques essentiels du pays

Par rapport au projet de loi dit Carayon cette nouvelle proposition comporte très peu de nouveautés. Nous pouvons citer par exemple que la tentative de violation du secret des affaires est punie au même titre que le délit, qu’un alourdissement des sanctions a été ajouté quand la violation du secret des affaires concernent les intérêts économiques essentiels de la nation (7 ans contre 3 ans d’emprisonnement et 750 k€ contre 350 k€ d’amende précédemment). Ont été également ajoutées des mesures législatives afin de contrer les procédures de type « discovery » obligeant les entreprises françaises à dépendre de tribunaux étrangers et donc de devoir communiquer leurs secrets d’affaire.

Cependant les obligations précises pour les entreprises ne sont pas encore définies. A l’heure actuelle l’information protégée doit seulement faire  « l’objet de mesures de protection raisonnables, compte tenu de sa valeur économique et des circonstances, pour en conserver le caractère non public. ». Ces éléments seront précisés ultérieurement.

Quelle réalité et quel avenir pour cette proposition de loi ?

L’initiative de cette proposition ne venant pas du gouvernement lui-même (c’est donc bien une proposition et non un projet de loi), ce texte devrait suivre un processus parlementaire plus long.

Des travaux parlementaires afin de cibler les obligations pour les entreprises sont en cours. Son étude par l’Assemblée Nationale avant le Sénat n’est pas prévue avant novembre 2014. Cependant, comme le souligne le texte de la proposition, une directive européenne est aussi en cours de discussion au parlement européen. Cette directive, déposée le 28 novembre 2013, pourrait rendre obligatoire une législation nationale sur ce sujet. L’enjeu est donc ici d’anticiper l’adoption de cette directive en mettant en place en amont un cadre juridique clair à l’échelle française.

Le futur impact pour les RSSI reste difficile à estimer, l’identification des informations sensibles au sein des entreprises risque d’être complexe. Cependant la reprise des négociations autour de la protection des données entreprises reste une bonne nouvelle, et ne demande qu’à être confirmée dans la suite des discussions parlementaires !

Cet article Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ? est apparu en premier sur RiskInsight.