Dans le camp du "non"

ADAM MICHEL, expert fiscalité au think tank The Heritage Foundation

« Non, nous n'y sommes pas favorables. Je pense que le California Consumer Privacy Act (CCPA) voté en Californie et qui s'inspire directement du RGPD (Règlement de protection des données personnelles) européen est un désastre [celui-ci permet notamment à l'utilisateur de récupérer ses données personnelles auprès d'une entreprise, de demander leur suppression, de refuser qu'elles soient vendues à un tiers, depuis juin 2018, ndlr]. Le RGPD est incroyablement compliqué et difficile à adapter ici, sans parler du coût que cela implique pour les entreprises pour se mettre en conformité. Pour les grandes entreprises, l'adaptation est envisageable, mais pour les plus petites, cela crée une véritable barrière à l'entrée. Résultat, cela ne fait qu'amplifier les forces en présence sur le marché. Bien sûr, avec Facebook, nous ne sommes pas dans un système parfait ou idéal, mais il reste toujours à l'utilisateur sa liberté de ne pas choisir ses services. Arrêtons d'utiliser Facebook si nous ne sommes pas d'accord avec sa politique en matière de données privées. Personnellement, j'ai accepté le fait qu'ils ont accès à tout ce que je publie. Si je marche dans un magasin, il est possible de savoir quel produit m'intéresse en particulier, celui que je regarde et lequel j'achète. C'est la même chose sur Facebook : ce n'est pas parce que c'est digital que nous devrions penser différemment.

Quant au risque de monopole sur la donnée, on disait exactement la même chose lorsque MySpace était à son apogée [réseau social lancé en 2003 attirant jusqu'à 130 millions d'utilisateurs en 2007, pour une valorisation qu'on estimait alors de 6 milliards de dollars et pouvant atteindre 20 milliards d'après les pronostics de l'époque] ; on les croyait intouchables. On a bien vu que ça n'était pas le cas.

Au final, il ne faut jamais avoir recours à un gouvernement pour réguler la propriété privée car il ne fera jamais mieux. L'État engendre toujours des coûts additionnels et davantage de complexité pour tout nouveau compétiteur potentiel. Dans le même temps, les consommateurs ont, eux, toujours moins de pouvoir sur leurs données et leur vie privée. Dès lors, Facebook a tout intérêt à promouvoir davantage de régulation pour ériger ces barrières à l'entrée sur son propre marché. Notre monde actuel n'est pas parfait, mais le réguler massivement ne le rendra pas meilleur en termes de protection de la vie privée ou de liberté du consommateur. »

PETE SEPP, président de la National Taxpayers Union (NTU)

« Les amendes contre les entreprises doivent être limitées. Il faut veiller à ce que les lois pour la propriété privée ne viennent pas entraver l'innovation, qui, au demeurant, permet à certaines entreprises de bien mieux gérer les services et la question de l'identification que le fait le gouvernement lui-même. Aujourd'hui, on doit encore s'identifier de nombreuses fois sur les services publics, quand Google centralise parfaitement l'identification dans le cloud, avec davantage de sécurité. Prenez par exemple l'IRS (Internal Revenue Service, le fisc américain) qui agrège nos données personnelles mais qui, dans le même temps, est bien incapable de les protéger ou de les uniformiser. L'institution est régulièrement la proie de hackers, comme en 2017 où 100000 étudiants se sont vus siphonner leurs données pour une perte de 30 millions de dollars pour l'État, ou encore ces 15000 comptes non contrôlés malgré des alertes (retraites, revenus, crédits, etc.). Je crois moins à un RGPD à l'américaine qu'à une solution que fournit déjà la technologie blockchain et qui présente un potentiel incroyable en termes de gestion de l'identité. Elle offre aussi d'autres possibilités pour payer ses impôts car la blockchain est conçue dès le départ pour la protection de la donnée privée sur laquelle la fraude est rendue très difficile. »

Dans le camp du "oui"

ERIC NULL, avocat senior politique publique au New America's Open Technology Institute à Washington, DC. (Senior policy counsel)

« Il y a beaucoup d'aspects dans le RGPD européen qu'il serait approprié d'adapter dans une loi américaine. Je pense à tout le volet sur les droits (transparence, accès, rectification, suppression et portabilité) et à beaucoup d'autres points sur des règles générales de protection (minimisation de la donnée, limitation de l'objectif et limitation du stockage). Toutefois, le RGPD insiste surtout sur les notions d'avertissement et de consentement ; une approche qui a échoué. Aux États-Unis, nous avons adopté ces deux principes pendants deux décennies. Cela nous a menés à d'innombrables violations et failles de sécurité, laissant les consommateurs avec en réalité très peu de protection. Et nous avons vu qu'en Union européenne, il s'agit en fait seulement pour les entreprises de faire apparaître un cookie, une bannière sur leur site, que la plupart des gens ignore pour cliquer finalement sur le X de la fenêtre et fermer ce message. Ces mécanismes ne servent pas la protection de la vie privée et je ne crois pas qu'elle doive influencer davantage une loi américaine.

Au lieu d'avoir la notification ou le système du consentement qui place la responsabilité de la vie privée sur le consommateur, je voudrais voir des obligations imposées aux entreprises de réduire leur collecte des données et leur rétention, limitant les objectifs du "pour qui on collecte ces données" dès le départ et ainsi leur usage par ces entreprises. Il apparaît clairement que pour traiter le problème croissant de la protection de la vie privée aux États-Unis, la législation doit viser la pratique des entreprises vis-à-vis de la donnée. Pour compléter, nous voulons aussi voir un régime solide et coercitif qui exige réellement que les entreprises suivent ces règles. J'aimerais aussi voir une loi américaine qui aborde les questions des droits civiques, que le RGPD effleure seulement. Aucune entreprise ne devrait être autorisée à utiliser les données à l'encontre de certaines catégories de population. D'autant plus à l'heure où vont dominer les prises de décision fondées sur les algorithmes, l'intelligence artificielle et le machine learning. Nous avons besoin de davantage de transparence sur ces pratiques afin de permettre aux organisations de défense des droits civiques et aux avocats de déterminer si ces pratiques sont discriminantes, donc illégales, de manière intentionnelle ou non. »

IRA RHEINGOLD, directeur exécutif de la National Association Consumers Advocates (NACA), une association de défense des consommateurs américains qui compte 17.000 entreprises membres.

« Ca serait un progrès, mais je ne crois pas qu'adapter ici le RGPD européen soit suffisant. Il y a encore un trop long chemin à faire pour créer ce type de standards. On constate déjà que le Privacy Shield [l'accord conjoint entre les États-Unis, l'Europe et la Suisse qui permet à une entreprise américaine de transférer des données européennes vers son siège, entériné en 2016] ne garantit pas suffisamment de protection.

Nos élus ont complètement échoué à garantir la protection de la vie privée des consommateurs. De même, la FTC (Federal Trade Commission) a réalisé un maigre travail. Peut-être que cela s'améliorera après 2020, quand nous aurons changé de président. Pour l'instant, nous avons ici un système politique qui ne marche plus car nous avons une administration qui ne respecte pas les règles. Pire, le Parti républicain soutient les actes catastrophiques du président Trump qui n'ont rien à voir avec la défense des intérêts des consommateurs. Tant que les Républicains contrôlent le Sénat, nous n'aurons pas de loi de type RGPD ici.

Finalement, la bonne mesure serait la création d'une agence au niveau fédéral ; une véritable autorité capable de contrôler les agissements des entreprises et de rassembler les plaintes des consommateurs. »