L'année dernière, l'arrêt Dobbs contre Jackson de la Cour suprême a marqué un changement radical dans le droit constitutionnel américain en ce qui concerne les droits à l'avortement.
La décision elle-même a fait l'objet d'une large couverture médiatique dans le monde entier, mais la crise de la protection de la vie privée qu'elle a déclenchée est passée inaperçue en dehors des États-Unis. Voici donc ce qui se passe aux États-Unis après l'affaire Dobbs v. Jackson, et ce que l'UE peut en apprendre.
- Contexte
- L'arrêt Dobbs contre Jackson est une crise de la vie privée
- Les grandes entreprises technologiques n'aident pas
- La loi HIPAA ne suffit pas
- Que font les États-Unis pour limiter les dégâts ?
- Quelles leçons l'Europe peut-elle tirer de cette crise de la vie privée ?
Contexte
Le 24 juin 2022, la Cour suprême des États-Unis a statué sur l'affaire Dobbs contre Jackson. Ce faisant, elle a annulé l'arrêt Roe vs. Wade, un précédent de 1973 qui protégeait le droit à l'avortement aux États-Unis. À la suite de l'arrêt Dobbs, la Cour estime désormais que la Constitution américaine ne protège pas le droit à l'avortement et que les États sont libres de réglementer la question comme ils l'entendent.
Cet arrêt controversé a ouvert la voie à une vague de lois anti-avortement dans les États conservateurs**.** Un an après la décision, près de la moitié des États ont adopté des lois qui limitent ou interdisent l'avortement et, dans certains cas, criminalisent les personnes qui cherchent à avorter et celles qui leur apportent de l'aide.
La décision a été sévèrement critiquée par les gouvernements, les organisations internationales et de nombreuses voix du monde universitaire et de la société civile. Une lettre signée par près de 200 ONG souligne l'impact sévère de l'arrêt Dobbs sur les droits des femmes et l'autonomie corporelle, ainsi que son impact disproportionné sur des communautés déjà défavorisées.
L'arrêt Dobbs contre Jackson est une crise de la vie privée
L'arrêt Dobbs v. Jackson a porté un coup aux droits et à l'autonomie des femmes et a également ouvert la voie à une crise à grande échelle de la protection de la vie privée.
Les forces de l'ordre des États conservateurs utilisent actuellement les empreintes numériques des femmes pour poursuivre les demandeurs d'avortement, y compris les données de localisation, les recherches sur Google et les conversations avec les membres de la famille. Les données des femmes sont collectées dans le cadre d'un mandat ou simplement achetées sur le marché, ce qui est très pratique et ne nécessite pas l'intervention d'un tribunal. Il arrive même que des civils achètent ces données pour dénoncer aux autorités les demandeurs d'avortement, afin de toucher les primes offertes par certains États.
Comment une crise de la vie privée aussi dramatique est-elle possible dans un pays du premier monde ?
L'un des principaux problèmes est que les États-Unis n' ont pas de loi fédérale sur la protection des données, mais seulement des lois pour des secteurs spécifiques tels que les soins de santé et la finance, ainsi que des lois d'État telles que la CCPA de la Californie et la CPA du Colorado. Une loi fédérale sur la protection de la vie privée (American Data Protection and Privacy Act) a été proposée, mais elle est loin d'être finalisée.
En l'absence de toute protection de la vie privée au niveau fédéral, la vie privée en ligne de la plupart des citoyens américains dépend largement de la culture et des pratiques en matière de protection de la vie privée des entreprises auxquelles ils confient leurs données, ce qui n'est pas une bonne nouvelle. De nombreuses entreprises sont prêtes à vendre leurs données au plus offrant, et la plupart des États ne disposent d'aucune loi pour les en empêcher.
Les États dotés de lois sur la protection de la vie privée ne sont guère mieux lotis. Les législations ont tendance à définir les droits à la vie privée en termes de droits de retrait plutôt qu'en termes d'interdictions. Mais la plupart des gens sont tout simplement trop occupés pour refuser les pratiques invasives de collecte de données de chaque service qu'ils utilisent et de chaque site web qu'ils visitent.
En fin de compte, les services en ligne accumulent d'énormes quantités de données personnelles à des fins lucratives, et la plupart d'entre eux se prêtent au jeu si vous avez l'argent nécessaire.
Cette situation n'est pas nouvelle. Les défenseurs de la vie privée sensibilisent depuis longtemps aux énormes dangers de l'économie de la surveillance en ligne. L'affaire Dobbs contre Jackson n'a fait que rendre ces risques dramatiquement tangibles pour les femmes américaines.
Les grandes entreprises technologiques n'aident pas
Malgré toutes leurs promesses d'honorer et de protéger la vie privée, les grandes entreprises technologiques ne font pas grand-chose pour protéger les femmes. Selon un article récent d'Insider, Meta reçoit chaque année plus de 400 000 demandes d'informations personnelles de la part du gouvernement et les conteste rarement devant les tribunaux.
Pour ne rien arranger, même lorsque Big Tech tente de limiter les dégâts, cela peut ou non fonctionner.
L'année dernière, Google a promis de supprimer de l'historique de localisation de Google Maps les lieux sensibles tels que les cliniques d'avortement. Par la suite, le Washington Post et Accountable Tech ont tous deux expérimenté Google Maps et ont constaté que la suppression des données de localisation sensibles était incohérente et très peu fiable.
Pourquoi Google n'est-il pas en mesure de tenir sa promesse après un an ?
Les services de Google sont conçus pour porter atteinte à la vie privée. Ils ont été conçus pour recueillir les données d'abord et se préoccuper de la protection de la vie privée et de la gouvernance des données plus tard, voire jamais. Aujourd'hui, des mesures de protection de la vie privée sont nécessaires, mais elles sont difficiles à mettre en œuvre alors qu'elles étaient totalement absentes au départ. C'est comme essayer d'installer des freins sur une voiture qui n'a jamais été conçue pour en avoir et qui roule maintenant à pleine vitesse.
Lafaim de données est le problème central. Et il est beaucoup, beaucoup plus important que Google. D'innombrables autres services accumulent toutes les données qu'ils peuvent sans se soucier, ou presque, de la protection de la vie privée et de la gouvernance des données. En conséquence, l'empreinte numérique de l'utilisateur s'accroît à un point tel que les entreprises elles-mêmes ne parviennent plus à contrôler les données.
Le même problème a récemment fait surface dans un litige contre Meta, où l'entreprise a essentiellement admis n'avoir que peu ou pas de contrôle sur les quantités monstrueuses de données qu'elle recueille.
Là encore, Google et Meta sont la règle plutôt que l'exception. Les entreprises sont incitées à accumuler toutes les données dont elles peuvent tirer profit. La faim de données conduit à une mauvaise gouvernance des données, et une mauvaise gouvernance des données conduit à des catastrophes en matière de protection de la vie privée parce qu'il est impossible de protéger des données sur lesquelles on n'a aucun contrôle.
La loi HIPAA ne suffit pas
Mais les États-Unis ne disposent-ils pas de la loi HIPAA? Pourquoi cela ne résout-il pas le problème ?
Voici ce qu'il en est. Le Health Insurance Portability and Accountability Act (HIPAA) n'est pas une loi sur la protection de la vie privée au sens propre du terme, mais plutôt une loi sectorielle destinée aux prestataires de soins de santé (comme nous l'avons expliqué dans un autre blog). Ses règles en matière de protection de la vie privée ont un champ d'application très étroit, car elle ne couvre que les prestataires de soins de santé et les entreprises qui travaillent pour eux.
Si les violations de la loi HIPAA jouent un rôle dans la crise de la protection de la vie privée aux États-Unis, le principal problème réside dans les grandes quantités de données de santé qui ne relèvent pas de la loi HIPAA. La recherche sur Google d'informations sur les médicaments que vous prenez ou l'utilisation de Google Maps pendant que vous vous rendez à l'hôpital peuvent ajouter des données dangereusement sensibles à votre empreinte en ligne. Pourtant, ces données ne relèvent pas de la loi HIPAA, car Google n'est pas un prestataire de soins de santé.
Lesapplications de gestion des menstruations sont un bon exemple de ce problème. Ces applications collectent des informations très détaillées sur le statut reproductif des millions de femmes qui les utilisent. Ces informations ne tombent pas sous le coup de la loi HIPAA et peuvent être vendues avec peu ou pas de restrictions dans la plupart des États.
En résumé, le champ d'application très étroit de la loi HIPAA, combiné à l'absence de lois fédérales sur la protection de la vie privée, se traduit par une dangereuse absence de protection des données sensibles.
Que font les États-Unis pour limiter les dégâts ?
L'État de Washington a été le premier à réagir à la crise de la protection de la vie privée en adoptant la loi My Health, My Data Act en avril 2023. Cette loi renforce la protection des données de santé et interdit la géolocalisation à proximité des prestataires de soins de santé, c'est-à-dire l'utilisation de données de localisation (généralement issues de smartphones) pour déterminer qui a visité un lieu donné. Les États du Connecticut et du Nevada ont ensuite suivi l'exemple et adopté des lois similaires pour protéger les données de santé.
D'une part, on espère que cette tendance législative conduira à une protection forte des données de santé (et des informations sensibles en général) dans la proposition de loi américaine sur la protection des données et de la vie privée. D'autre part, les États qui disposent déjà de solides protections pour les données de santé s'opposeront probablement à toute version de l'ADPPA qui affaiblirait ces protections. Ces lois pourraient donc avoir l'effet pervers de retarder les négociations politiques à l'origine de la loi en rendant encore plus complexe la question déjà épineuse de la préemption par l'État.
D'autres développements importants viennent de Californie. Depuis l'affaire Dobbs v. Jackson, la Californie a renforcé sa position traditionnelle d'État sanctuaire en adoptant une législation visant à empêcher les poursuites à l'encontre des femmes qui cherchent à obtenir des soins de santé génésique dans l'État.
À l'heure actuelle, l'État travaille sur une modification du code pénal californien qui protégerait les entreprises californiennes des mandats pour les demandes de mots-clés inversés et de localisation inversée. En d'autres termes, les entreprises californiennes seront autorisées à ignorer certains mandats de perquisition très invasifs émis en dehors de l'État.
Cet amendement pourrait changer la donne, car il couvre les entreprises de la Silicon Valley qui contrôlent de grandes quantités de données personnelles. En protégeant les grandes entreprises technologiques, telles qu'Apple et Meta, des mandats de perquisition, l'amendement pourrait avoir un impact considérable sur la vie privée des femmes en dehors de la Californie. Mais les négociations politiques autour de ce projet de loi sont complexes, car il risque d'entraver les enquêtes sur les crimes non liés à l'avortement.
Quelles leçons l'Europe peut-elle tirer de cette crise de la vie privée ?
Contrairement aux États-Unis, l'Europe dispose d'une loi générale sur la protection de la vie privée, le GDPR, qui comprend des règles spécifiques et strictes pour les données sensibles. Mais cela ne signifie pas que nos données sensibles sont en sécurité. L'Europe devrait s'intéresser de près à ce qui se passe actuellement aux États-Unis, car il y a d'importantes leçons à tirer de ce gâchis.
Les "données de santé" sont une vaste catégorie
Lorsque nous pensons aux données de santé, nous pensons généralement aux dossiers médicaux, aux radiographies, etc. Mais ces données ne sont pas le principal problème de la crise de la vie privée aux États-Unis. En fait, certaines des menaces les plus urgentes en matière de protection de la vie privée proviennent des historiques de recherche, des données de localisation et des communications personnelles (non cryptées de bout en bout) telles que les chats et les courriels.
Du côté européen, le GDPR ne répertorie pas (explicitement) ces données comme sensibles. Par conséquent, de nombreuses organisations en Europe ne pensent pas trop à ces données et ne les traitent pas avec le soin requis.
Deux arrêts importants de la Cour de justice de l'UE pourraient changer la situation. À la lumière de la jurisprudence récente de la Cour, les données susceptibles de révéler des données sensibles sont elles-mêmes des données sensibles (voir nos blogs sur les données sensibles et l 'arrêt du Bundeskartellamt pour plus d'informations).
Cette jurisprudence constitue un pas important dans la bonne direction et élargit considérablement le champ d'application de la notion de données sensibles. Toutefois, l'approche de la Cour est très éloignée de l'approche plus formaliste que la plupart des entreprises adoptent lorsqu'elles traitent des données sensibles. Il faudra probablement du temps avant que le paradigme ne change dans la pratique - et entre-temps, nos données sensibles ne seront pas aussi sûres qu'elles devraient l'être.
La protection de la vie privée dès la conception doit être mieux appliquée
La protection de lavie privée doit être planifiée à l'avance. Si vous ne mettez pas en place un système respectueux de la vie privée, il sera très difficile de mettre en œuvre une protection solide de la vie privée par la suite, comme l'a montré le fiasco de la suppression des données par Google.
C'est pourquoi le GDPR insiste sur le principe de la protection de la vie privée dès la conception. Le respect de la vie privée dès la conception signifie que vous devez planifier le traitement des données à caractère personnel en gardant à l'esprit le respect de la vie privée dès le départ.
La prise en compte du respect de la vie privée dès la conception n'est pas une simple suggestion, mais un principe juridique contraignant. Néanmoins, le principe de privacy by design est souvent ignoré par l'industrie. C'est dommage, car une telle approche permet de réduire considérablement l'empreinte numérique. Nous ne pouvons qu'espérer que l'application du GDPR finira par rattraper les organisations et les ramener dans le droit chemin.
Il en va de même pour les autres principes liés à la prise en compte du respect de la vie privée dès la conception. Par exemple, la minimisation des données signifie que vous ne pouvez collecter que les données personnelles dont vous avez réellement besoin, et la limitation du stockage signifie que vous ne pouvez pas stocker les données personnelles plus longtemps que nécessaire. Trop d'organisations violent ces principes et les choses ne changeront pas tant que les amendes ne seront pas plus nombreuses.
Les données de localisation sont plus dangereuses que vous ne le pensez
Les données de géolocalisation jouent un rôle clé dans le paysage de la protection de la vie privée de l'après-Dobbs. C'est pourquoi la loi My Health My Data Act interdit la géolocalisation des fournisseurs de soins de santé et que les modifications proposées au code pénal californien traitent des demandes de géolocalisation inversée émanant des forces de l'ordre.
Du côté européen, le GDPR ne contient pas de dispositions spécifiques pour protéger les données de localisation et ne les considère pas comme des données sensibles (contrairement au CCPA californien). Les données de localisation ne sont donc soumises qu'aux règles générales du GDPR
Ces règles générales ne sont probablement pas suffisantes pour protéger les données de localisation. Ou plutôt : elles le seraient si l'application de la loi le permettait. Les principes de respect de la vie privée dès la conception et de limitation du stockage pourraient jouer un rôle essentiel dans la protection des données de localisation, mais là encore, ils sont encore trop peu appliqués pour avoir un impact réel.
En résumé, les consommateurs et les entreprises doivent être très prudents avec les données de localisation. Et une fois de plus, l'application du GDPR doit rattraper son retard !
Réflexions finales
En fin de compte, ce sont les personnes vulnérables qui paient le plus lourd tribut à l'économie de la surveillance. Pour paraphraser le podcast Grumpy GDPR: si vous pensez que vous n'avez rien à cacher, c'est que vous êtes très, très privilégié
Ce n'est pas nouveau : l'impact des pratiques de protection de la vie privée sur les personnes et les communautés vulnérables fait l'objet de recherches approfondies de la part des juristes et des spécialistes des sciences sociales, et constitue un sujet de discussion important au sein de la communauté de la protection de la vie privée.
Malheureusement, cet aspect est perdu dans le débat public sur la protection de la vie privée. Espérons que l'affaire Dobbs v. Jackson - et le désordre qu'elle a provoqué - nous rappellera que la protection de la vie privée est une condition nécessaire à une société juste et que nous devrions tous nous efforcer d'y parvenir.