Le Congrès américain a dévoilé le mois dernier un nouveau projet de loi fédérale bicamérale sur la protection de la vie privée : APRA (abréviation de American Privacy Rights Act). Cette proposition a fait couler beaucoup d'encre ces derniers temps dans le domaine de la protection de la vie privée, mais il y a une ombre au tableau pour les spécialistes du marketing et de la technologie publicitaire : les règles relatives à la publicité ciblée sont incompréhensibles.
Voici ce qu'est l'APRA, ce qu'elle dit sur la publicité ciblée et ce que nous pensons de la loi dans son ensemble.
- Pourquoi l'APRA est-elle si importante ?
- Que contient l'APRA ?
- Que signifie l'APRA pour la publicité ?
- Quel est le bilan global de l'APRA ?
- Conclusions
Plongeons dans le vif du sujet !
Pourquoi l'APRA est-elle si importante ?
À ce jour, les États-Unis n'ont pas de loi fédérale sur la protection de la vie privée. Cela crée une dangereuse lacune réglementaire et transforme l'économie numérique en une foire d'empoigne de données propice aux abus nuisibles, comme nous l'avons vu dans le cauchemar de la protection de la vie privée et des droits de l'homme de l'après-Dobbs.
La FTC fait de son mieux pour combler le vide et limiter les dégâts, mais elle n'a pas l'autorité nécessaire pour véritablement remédier à la situation. Entre-temps, de nombreux États en ont eu assez d'attendre le Congrès et ont adopté leurs propres lois sur la protection de la vie privée, notamment la Californie, où vivent les géants de la Silicon Valley.
L'APRA pourrait combler le fossé réglementaire, apporter un certain degré d'uniformité dans l'ensemble des États-Unis et mettre en place des mesures de protection de la vie privée dont les Américains ont tant besoin. Enfin, la loi pourrait avoir un impact significatif sur l'économie numérique mondiale dans son ensemble, compte tenu du poids des GAFAM et d'autres géants de la technologie.
Que contient l'APRA ?
Nous ne pouvons donner qu'un aperçu très général de l'APRA, car il s'agit d'un texte législatif très complexe. Essayons d'en décomposer les éléments les plus importants.
Quel est le champ d'application de l'APRA ?
Le champ d'application de l'APRA est assez large, mais il ne s'applique pas à tout le monde, ni à tous les types de données. Les petites entreprises, le gouvernement et les prestataires de services travaillant pour le gouvernement sont exemptés.
La notion de données couvertes est assez large, un peu comme la notion de données personnelles dans le GDPR. Cependant, les données des employés sont exemptées de l'APRA (ce qui est un choix discutable). En outre, l'APRA ne remplace pas des lois plus spécifiques telles que l'HIPAA.
Quels sont vos droits ?
L'APRA comprend plusieurs droits tels que le droit d'accès aux données couvertes, le droit de rectification et de suppression, la portabilité des données et le droit de refuser la publicité ciblée et la divulgation des données.
L'APRA prévoit également un droit d'action privé: vous pouvez poursuivre une entreprise si elle viole vos droits. Ce point est important, car la tradition juridique américaine comporte des règles quelque peu compliquées sur les personnes qui peuvent ou ne peuvent pas intenter une action en justice.
Certains types de données couvertes sont considérés comme des données sensibles et ne peuvent être divulgués qu'avec le consentement des intéressés (avec quelques exceptions). La liste comprend, entre autres, les données relatives à la santé, les informations de géolocalisation précises, les données relatives au comportement sexuel, le contenu des communications personnelles, les identifiants émis par le gouvernement tels que les numéros de sécurité sociale ou de plaque d'immatriculation, et toutes les données relatives à un mineur de 17 ans.
Deux types spécifiques de données sensibles méritent une attention particulière : le comportement des utilisateurs entre sites web et les données comportementales et d'activité collectées par les médias sociaux "à fort impact". Il s'agit des données que vous utiliseriez généralement pour le reciblage. L'exigence d'un consentement explicite pour la divulgation des données est donc importante pour l'ad tech.
Minimisation des données
L'APRA inclut un principe de minimisation des données : le traitement des données couvertes doit être nécessaire, proportionné et limité. Ce principe s'accompagne d'une liste de "finalités autorisées", c'est-à-dire de types de traitement spécifiques qui respectent le principe de minimisation des données.
En pratique, nous avons une règle générale et une longue liste d'exceptions compliquées. Il en résulte un système très complexe et parfois contradictoire. Selon toute vraisemblance, il faudra du temps et de la jurisprudence pour y voir clair.
Que signifie l'APRA pour la publicité ?
Publicité ciblée : dérogations et limitations
À première vue, l'APRA est assez claire : la publicité ciblée est autorisée sur la base d'un opt-out. La publicité contextuelle n'est pas soumise à la même exigence.
En outre, la publicité n'est autorisée que sur la base des données déjà collectées par l'APRA. La règle n'est pas encore tout à fait claire, mais à première vue, il semble que vous ne puissiez pas collecter des données uniquement à des fins publicitaires. Vous ne pouvez faire de la publicité qu'à partir de données que vous contrôlez déjà dans un but différent.
Si telle est l'intention, l'idée nous plaît beaucoup. Restreindre la publicité aux données que vous contrôlez déjà à d'autres fins pourrait limiter l'accumulation de données que nous voyons partout et contribuer à réduire les empreintes numériques sans pour autant interdire totalement la publicité ciblée.
Publicité ciblée et données sensibles
Les choses se compliquent lorsqu'il s'agit de données sensibles, car l'interaction entre les règles relatives aux données sensibles et les limites imposées à la publicité ciblée n'est pas claire :
- Les divulgations de données sensibles en général se font sur une base volontaire, à moins que l'une de plusieurs finalités spécifiques ne s'applique (Art. 3(b)(1)).
- L'une de ces finalités est la publicité ciblée. La publicité ciblée est autorisée sur la base de l'opt-out, mais à l 'exception des données sensibles (article 3, point d), paragraphe 15).
Ces règles conduisent à des conclusions potentiellement contradictoires, comme l'ont noté les gars de Bloomberg Law. Leur vision de la protection de la vie privée est atroce, mais ils soulèvent tout de même deux points valables : premièrement, si on la prend au pied de la lettre, l'APRA pourrait très bien interdire la publicité ciblée basée sur des données sensibles (ce qu'ils détesteraient et que nous adorerions absolument). Deuxièmement, la loi a besoin d'être clarifiée.
Le manque de clarté est important car les restrictions à l'utilisation des données sensibles s'appliquent à l'activité intersite et aux données comportementales des médias sociaux, qui sont à l'origine de la plupart des publicités ciblées. Ces règles auraient un impact considérable sur la technologie publicitaire, mais il serait bon de savoir comment.
TL:DR : la publicité ciblée basée sur des données sensibles est soit opt-in, soit carrément illégale. Votre avis est aussi bon que le nôtre.
Quel est le bilan global de l'APRA ?
La loi comporte un certain nombre de points positifs, mêlés à des idées terribles et à des règles floues.
Les points positifs
Le principe de minimisation des données montre une intention claire de dépasser la fiction du consentement et de donner aux entreprises une liste de choses à faire et à ne pas faire. C'est une excellente idée, car le consentement est souvent extorqué au moyen de conditions contractuelles injustes ou en dissimulant des clauses douteuses en petits caractères. Avec l'APRA, tout cela disparaît.
Par ailleurs, l'APRA interdit de recueillir le consentement par le biais de "dark patters", même dans les scénarios spécifiques où le consentement est important. C'est également une bonne chose ! Nous sommes fatigués de nous débattre avec des interfaces utilisateur obscures et impossibles à comprendre, qui demandent plus de données sans raison valable.
Nous apprécions également le fait que la liste des données sensibles soit assez longue et comprenne des éléments tels que des données de géolocalisation précises, le contenu des communications personnelles et l'activité en ligne intersites. Nous aimerions que ces données soient également sensibles dans le cadre du GDPR.
Enfin, l'APRA protège de grandes quantités de données de santé qui ne relèvent pas du champ d'application de l'HIPAA. Ces données constituent un problème majeur depuis l'arrêt Dobbs contre Jackson.
Ce qui n'est pas bon
De nombreuses sections de l'APRA sont exemptées de toute action privée, y compris certaines règles cruciales relatives à la minimisation des données. En d'autres termes, certaines des règles les plus importantes de l'APRA ne peuvent être appliquées que par les avocats généraux, la Commission fédérale du commerce et d'autres institutions - les citoyens ne peuvent pas intenter de poursuites directes
L'intention est d'éviter un raz-de-marée de litiges contre les entreprises, ce qui est compréhensible. Cependant, nous pensons que l'exemption est trop large et qu'elle risque d'affaiblir la loi dans la pratique.
En outre, comme nous l'avons mentionné, les règles relatives à la publicité ciblée et aux données sensibles sont obscures et contradictoires. Et ce n'est pas tout : les règles relatives aux données sensibles sont si mal formulées qu'elles peuvent être interprétées comme étant plus permissives que les règles générales dans certains scénarios. Cela n'a absolument aucun sens et ajoute encore à l'incertitude.
Enfin, l'APRA ne s'applique pas aux données des employés. C'est une idée terrible, car l'utilisation des logiciels patronaux est une question urgente. Si le Congrès estime que la vie privée des employés est mieux protégée par une autre loi, qu'il en soit ainsi, mais les travailleurs ont besoin de cette loi dès aujourd'hui.
La loi "untel et untel
Enfin, il y a l'épineuse question de la préemption par les États. En bref, la préemption signifie que l'APRA "écrase" les lois nationales sur la protection de la vie privée (à l'exception de certaines d'entre elles).
La préemption par les États est une arme à double tranchant. D'une part, la législation américaine en matière de protection de la vie privée est actuellement un patchwork désordonné, ce qui complique la mise en conformité pour les entreprises qui exercent leurs activités à l'échelle nationale. La préemption rendrait les règles largement identiques et allégerait le fardeau de la mise en conformité.
D'autre part, certains États ont adopté des lois assez strictes, voire plus strictes que celles de l'APRA. Ils ne veulent pas que la loi fédérale les emporte et font pression pour que l'APRA fixe un plancher plutôt qu'un plafond en termes de droits à la vie privée.
Ce problème n'est pas nouveau. Il n'y a pas si longtemps, le prédécesseur de l'APRA (ADPPA) s'est heurté à une opposition farouche sur la question de la préemption et le projet de loi n'a finalement abouti à rien. Il faut espérer que le Congrès trouvera une solution cette fois-ci, même si cela implique des compromis.
Conclusions
En un laps de temps relativement court, nous avons assisté à l'interdiction de TikTok, à la restriction des ventes de données à des "adversaires étrangers", à la proposition d'APRA et à l'approbation par la Chambre des représentants du 4th Amendment Is Not For Sale Act (une évolution moins discutée mais tout à fait importante).
Bien que certaines de ces lois soient controversées, il est indéniable que la protection de la vie privée gagne du terrain au niveau politique. C'est peut-être le bon moment pour le Congrès de sceller l'accord sur une loi fédérale sur la protection de la vie privée, dont le besoin se fait cruellement sentir. Cela dit, les défauts de l'APRA doivent encore être corrigés et la question de la préemption par les États risque de faire échouer les négociations.
Tous les regards sont désormais tournés vers le Congrès. Compte tenu du poids des États-Unis dans l'économie numérique, une loi fédérale forte sur la protection de la vie privée constituerait une avancée majeure non seulement pour les États-Unis, mais aussi pour la protection de la vie privée à l'échelle mondiale.
Nous avons créé Simple Analytics parce que nous croyons en un web respectueux de la vie privée. Nous aidons nos clients à comprendre leur trafic et à élargir leur audience sans collecter la moindre donnée personnelle. Notre outil d'analyse web est facile à apprendre, personnalisable et accompagné d'un assistant IA. Si cela vous convient, n'hésitez pas à nous essayer !