● Journal du Net 📅 29/04/2026 à 15:44

Cybersécurité 👤 Guillaume Renouard

🏷️ Tags : cert rag rte

Plus souple que le RGPD européen, le Secure Data Act est attaqué par les défenseurs de la vie privée en ligne, qui le jugent trop favorable aux entreprises. Contrairement aux Européens, qui ont le RGPD depuis 2018, les Américains n’ont pas de loi fédérale sur la protection des données personnelles. Un vide qui a conduit les Etats à mettre en place leur régulation chacun de leurs côtés. A la suite de la Californie, qui a passé sa propre loi dès 2020, une vingtaine d’Etats américains possèdent ainsi leur propre régime de protection des données personnelles en ligne, pour certains stricts et proches du RGPD (la Californie, la Virginie), d’autres beaucoup plus souples et favorables aux entreprises (l’Utah, la Floride). Les choses sont en passe de changer avec le Secure Data Act, une loi portée par la majorité républicaine au Congrès, qui entend offrir un cadre cohérent pour remédier à la mosaïque réglementaire qui s’est mise en place au fil des ans et peut vite tourner au casse-tête pour les entreprises opérant à l’échelle fédérale. Une loi plus souple que le RGPD La loi s’inspire du Washington Privacy Act, un projet de loi de l’Etat de Washington qui, paradoxalement, alors qu’il n’a jamais été adopté (il a échoué en 2019), a servi de cadre de référence pour tous les Etats souhaitant se doter d’une loi sur la protection de la vie privée, avec une approche plus souple et favorable aux affaires que le modèle californien. Le Kentucky, l’Iowa, le Tennessee, l’Utah, ou encore l’Alabama s’en sont ainsi inspirés pour bâtir leurs législations respectives. Le Secure Data Act s'appliquerait aux sociétés réalisant plus de 25 millions de dollars de chiffre d'affaires annuel, qui collectent et traitent les données personnelles de plus de 200 000 consommateurs par an, en excluant les données traitées uniquement dans le cadre d'un paiement. Une loi séparée, le GUARD Financial Data Act, doit en effet s’adresser spécifiquement aux services financiers. Des seuils conçus pour éviter d’écraser les petites entreprises sous les régulations. La loi accorderait aux consommateurs les droits d'accès, de correction, de suppression et de portabilité de leurs données, ainsi que celui de s'opposer au ciblage publicitaire, à la vente de données personnelles et à certaines formes de profilage. Les entreprises devraient par ailleurs s’engager à respecter un principe de minimisation des données (ne collecter que celles qui leur sont vraiment utiles), et le texte établirait un cadre fédéral spécifique pour encadrer le fonctionnement des courtiers en données. Contrairement au RGPD, la loi n’imposerait pas de consentement préalable explicite pour la plupart des traitements de données. Seules les données sensibles (santé, géolocalisation) et celles des mineurs de moins de seize ans requerraient un tel consentement (celui des parents dans le cas des mineurs). Ainsi, alors qu’avec le RGPD, le consentement préalable est nécessaire, l'entreprise collecterait et traiterait ici les données par défaut, et le consommateur devrait activement s'y opposer s’il le souhaite. Un renversement de la charge de la preuve, plus favorable aux entreprises. En outre, là où le RGPD permet aux individus de déposer des plaintes directement auprès des autorités de contrôle et d'obtenir réparation, y compris des dommages et intérêts, le Secure Data Act, lui, n’ouvrirait aucun droit d’action privé, l'application étant confiée uniquement à la FTC, le gendarme américain de la concurrence, et aux procureurs généraux des Etats. Pourquoi les Etats-Unis sont à la peine Le Secure Data Act est toutefois encore loin de son entrée en vigueur : il devra pour cela obtenir un vote favorable aux deux chambres du Congrès. Or, si elles sont actuellement sous contrôle républicain, la majorité dont disposent ceux-ci est faible. Or les récentes tentatives de légiférer sur la protection des données privées outre-Atlantique montrent des fractures à l’intérieur des partis. Ainsi, la dernière tentative sérieuse de passer une loi, l’American Data Privacy and Protection Act, défendue par l'administration Biden, avait essuyé un échec en 2022 du fait de… la Californie, qui jugeait cette loi trop timide par rapport à son propre arsenal juridique, qu’elle aurait donc affaibli. L’aile gauche du parti démocrate voulait en outre que les particuliers puissent poursuivre directement les entreprises en justice en cas de violation. Leurs homologues plus proches des milieux d’affaires et de la tech, ainsi que la plupart des républicains, s'y opposaient. Cette divergence est devenue une fracture insurmontable au sein de la coalition majoritaire, qui a fini par condamner la loi. La coalition gouvernementale américaine, fracturée entre populistes et technophiles, pourrait également se fracturer au cours des futurs débats. Enfin, le projet de loi démocrate s’était également heurté à des efforts intensifs de lobbying de la part des géants technologiques, fortement opposés en particulier à la possibilité offerte par l’American Data Privacy and Protection Act de déclencher des actions en justice pour les particuliers. La Silicon Valley dépense sans compter Le fait que cette option n’ait pas été retenue dans le Data Secure Act est donc un signe supplémentaire de l’influence qu’exerce la Silicon Valley sur l’administration Trump 2.0. Comme le détaille une récente étude du chercheur américain Rick Claypool, après avoir soutenu la campagne du président pour sa réélection, l’industrie américaine de la tech déploie depuis le début de son second mandat d’importants efforts d’influence pour orienter l’action du gouvernement dans un sens qui lui soit favorable. L’industrie aurait ainsi déjà dépensé plus de 653 millions de dollars pour s’attirer les faveurs de la majorité républicaine, un chiffre qui devrait rapidement augmenter avec l’approche des élections de mi-mandat, pour lesquelles la tech soutient de nombreux candidats républicains. Un retournement historique, la Silicon Valley penchant jusqu’à une époque très récente largement à gauche. "A l'approche des élections de mi-mandat de 2026, les dirigeants des grandes entreprises technologiques s'empressent de garantir la pérennité de leur lucrative alliance avec Donald Trump et son mouvement MAGA, brandissant la menace de dépenses massives pour sanctionner les candidats qui pourraient chercher à encadrer leur pouvoir", écrit Rick Claypool. Inquiétude des défenseurs de la vie privée Le Secure Data Act a été bien accueilli par certaines voix indépendantes, à l’instar de Nick Hart, PDG de la Data Foundation, un lobby non aligné en faveur de l’open data. Selon lui, le projet de loi constitue "l'effort fédéral le plus significatif en matière de protection de la vie privée depuis des années, et nous sommes encouragés par l'esprit bipartisan qui se reflète dans son architecture." D’autres se sont montrés beaucoup plus critiques, comme l’élu démocrate du New Jersey Frank Pallone. "Nous devrions protéger les petites gens avec un projet de loi qui donne du pouvoir aux consommateurs, au lieu de sacrifier leur protection à la demande des géants de la tech", a-t-il déclaré. Eric Null, directeur du Privacy & Data Project au Center for Democracy & Technology, voit pour sa part dans le Secure Data Act "un recul majeur dans le débat sur la vie privée". L'absence de mécanismes permettant au public d’attaquer les géants technologiques en justice en cas de manquement à leurs obligations lui semble particulièrement dommageable. "Cette omission n'est pas surprenante, car la plus grande préoccupation de l'industrie à l'égard de toute loi sur la vie privée concerne ses moyens de coercition. Une loi sur la vie privée n'est efficace que dans la mesure de son application, ce qui fait sans doute de ces dispositions la composante la plus essentielle de tout projet de loi." Daniel Solove, professeur à la George Washington University, s’inquiète quant à lui du manque d’obligations faites aux courtiers en données. "La loi exige qu’ils s'enregistrent auprès de la FTC, et c’est à peu près tout", écrit-il sur son Substack. Or, la FTC, gendarme américain de la concurrence, a, sous l’influence de son président Andrew Ferguson, nommé par Trump, adopté une ligne très favorable à celle de la Maison-Blanche, ce qui laisse craindre qu’elle se montre particulièrement coulante avec les courtiers en données.

🔗 Lire l'article original 👁️ 0 lecture