L’administration Biden a identifié des « pays préoccupants » exploitant les données personnelles sensibles des Américains dans le cadre d’une urgence nationale. Pour faire face à la crise, la Maison Blanche a publié le 28 février 2024 un décret visant à empêcher ces pays d’accéder aux données personnelles sensibles des Américains.
L’ordre ne précise pas les pays, mais les médias citent des hauts responsables anonymes de l’administration les identifiant comme étant la Chine, la Russie, la Corée du Nord, l’Iran, Cuba et le Venezuela.
Le décret adopte une définition simple et large des données sensibles qui doivent être protégées, mais le décret est limité dans les protections qu’il offre.
L’importance la plus importante de cette ordonnance réside dans la raison pour laquelle les États-Unis ont besoin d’une telle ordonnance pour protéger les données sensibles des citoyens. L’urgence nationale est le résultat direct des quantités stupéfiantes de données personnelles sensibles mises en vente – à tout le monde – sur le vaste marché international des données commerciales, composé d’entreprises qui collectent, analysent et vendent des données personnelles.
Les courtiers en données utilisent des systèmes d’intelligence artificielle prédictive et générative en constante évolution pour mieux comprendre la vie des gens et exploiter ce pouvoir. Cela présente de plus en plus de risques pour les individus et pour la sécurité intérieure et nationale.
Je suis avocat et professeur de droit, et je travaille, écris et enseigne sur les données, la confidentialité des informations et l’IA. J’apprécie l’attention que l’ordonnance met sur les dangers du marché des données en reconnaissant que les entreprises collectent plus de données sur les Américains que jamais auparavant – et que ces données sont légalement vendues et revendues par l’intermédiaire de courtiers en données. Ces dangers soulignent l’incapacité du Congrès à protéger les données les plus sensibles des citoyens.
Les données personnelles sensibles peuvent alimenter le chantage, soulever des problèmes de sécurité nationale et peuvent être utilisées comme preuve dans le cadre de poursuites. Cela est particulièrement vrai à l’ère de la désinformation et des deepfakes (usurpations d’identité vidéo ou audio générées par l’IA) et avec les récentes décisions des tribunaux fédéraux et étatiques américains qui autorisent les États à restreindre et à criminaliser les choix personnels privés, y compris ceux liés aux droits reproductifs. Le décret vise à protéger les Américains de ces risques – du moins ceux des pays préoccupants.
Ce que fait le décret
L’ordonnance donne des directives aux agences fédérales pour contrer les efforts continus de certains pays pour accéder aux données personnelles sensibles des Américains ainsi qu’aux données liées au gouvernement américain. Entre autres préoccupations, l’ordonnance souligne que les données personnelles pourraient être utilisées pour faire chanter des personnes, notamment des militaires et des membres du gouvernement.
En vertu de cette ordonnance, le ministère de la Justice élaborera et publiera des réglementations empêchant le transfert à grande échelle de données personnelles sensibles des Américains vers des pays préoccupants.
Plus largement, l’ordonnance encourage le Bureau de protection financière des consommateurs à prendre des mesures pour renforcer le respect de la loi fédérale sur la protection des consommateurs. Cela pourrait en partie contribuer à limiter la collecte et la vente trop invasives de données sensibles et à réduire la quantité d’informations financières – comme les rapports de solvabilité – que les courtiers en données collectent et revendent.
L’ordonnance ordonne également aux agences fédérales compétentes d’interdire aux courtiers de données de vendre des données massives sur la santé et la génomique aux pays concernés. Il reconnaît que les courtiers en données et leurs clients sont de plus en plus en mesure d’utiliser l’IA pour analyser les données de santé et génomiques et d’autres types de données qui ne contiennent pas l’identité des individus afin de relier les données à des individus particuliers.
Définir les données personnelles sensibles
Du point de vue de la confidentialité des informations, l’ordonnance est importante en raison de sa définition large de ce qui constitue des données personnelles sensibles. Ce terme générique comprend « les identifiants personnels couverts, la géolocalisation et les données de capteurs associées, les identifiants biométriques, les données omiques humaines, les données de santé personnelles, les données financières personnelles ou toute combinaison de ceux-ci ». Ne sont pas incluses dans la définition les données qui relèvent du domaine public.
La définition large est significative car elle affirme une rupture avec l’approche standard du système juridique américain en matière de données, qui est secteur par secteur. En règle générale, les lois fédérales et étatiques protègent différents types de données, comme les données de santé, les données biométriques et les données financières, de différentes manières. Seules les personnes et entités de ces secteurs, comme votre médecin ou votre banque, sont réglementées quant à la manière dont elles utilisent les données.
Cette approche fragmentaire n’est pas bien adaptée à l’ère des satellites et des appareils intelligents et a laissé de nombreuses données, même très sensibles, sans protection. Par exemple, les smartphones, les appareils portables et les applications qu’ils contiennent détectent, collectent, utilisent et diffusent de grandes quantités de données très révélatrices liées à la santé et aux données de géolocalisation, mais ces données ne sont pas couvertes par la loi sur la portabilité et la responsabilité de l’assurance maladie ou d’autres protection des données. lois.
En regroupant ces catégories de données historiquement différentes sous l’expression plus large et plus facile à comprendre « données personnelles sensibles », les décideurs politiques du pouvoir exécutif se sont inspirés du travail de la Federal Trade Commission pour protéger les données sensibles des consommateurs. La FTC a ordonné à certains courtiers en données de cesser de vendre des informations de localisation sensibles sur des individus. Cette ordonnance reflète également la compréhension croissante des décideurs politiques de ce qui est nécessaire pour une protection significative des données à l’ère de l’IA prédictive et générative.
Ce que le décret ne fait pas
Le décret précise qu’il ne cherche pas à bouleverser le marché mondial des données ni à avoir un impact négatif sur « les importantes relations de consommation, économiques, scientifiques et commerciales que les États-Unis entretiennent avec d’autres pays ». Il ne cherche pas non plus à interdire de manière générale aux citoyens des États-Unis d’effectuer des transactions commerciales avec des entités et des individus situés dans les pays concernés ou « soumis au contrôle, à la direction ou à la juridiction de ceux-ci ».
Il n’impose pas non plus de mesures qui restreindraient les engagements des États-Unis visant à accroître l’accès du public à la recherche scientifique, le partage et l’interopérabilité des informations électroniques sur la santé, ainsi que l’accès des patients à leurs données.
En particulier, il ne cherche pas à imposer une exigence générale selon laquelle les entreprises doivent stocker les données sensibles des Américains ou les données relatives au gouvernement américain dans les limites territoriales des États-Unis, ce qui, en théorie, assurerait une meilleure protection des données. Il ne cherche pas non plus à réécrire le cadre volontaire de 2023 sur la confidentialité des données pour les transferts de données entre l’Union européenne et les États-Unis.
En résumé, cela ne change pas grand-chose aux activités et aux pratiques des courtiers de données commerciaux américains – sauf lorsque ces activités impliquent les pays préoccupants.
Et après?
Les différentes agences chargées d’agir doivent le faire dans des délais clairement spécifiés, allant de quatre mois à un an, donc pour l’instant c’est un jeu d’attente. Entre-temps, le président Joe Biden a rejoint une longue liste de personnes qui continuent d’exhorter le Congrès à adopter une législation bipartite complète sur la protection de la vie privée.
