Aux États-Unis, Google et d'autres entreprises technologiques étaient en pourparlers avec le gouvernement américain au sujet de la création d'un système qui utiliserait les données de localisation des Américains pour suivre la propagation du COVID-19. Mais quel est le cadre légal relatif à la mise en place de telles applications ? Pour le savoir, notre édition est partie à la rencontre de Stéphane Grynwajc, avocat qui conseille ses clients dans leurs problématiques juridiques dans quatre pays différents : les États-Unis, le Canada, la France et l’Angleterre.
lepetitjournal.com New York : L’administration américaine a fait part de son intention de recourir aux données de localisation de la population dans le but d’affiner le suivi de la propagation du Covid-19. Quelles sont les limites légales à la mise en place d’une telle application aux États-Unis ?
Stéphane Grynwajc : Contrairement à l'approche réglementaire adoptée en Europe en matière de protection des données à caractère personnel, les Etats-Unis ont une approche davantage sectorielle au niveau fédéral, et davantage centrée sur la réglementation des failles sécuritaires et la sécurisation (plus que la protection au sens large) des données au niveau étatique. D'une façon générale, la réglementation du traitement des données à caractère personnel aux Etats-Unis laisse la main à l'auto-régulation des acteurs économiques, encadrée par divers guides de la puissante Federal Trade Commission (FTC) dans de nombreux domaines, dont l'utilisation des technologies de traçage, et autres codes de bonne conduite et suggestions de pratique émises par diverses associations comme la Digital Advertising Alliance ou la Network Advertising Initiative en matière de publicité ciblée, le Future of Privacy Forum en matière de données analytiques de localisation ou d'applications mobiles dans le secteur du bien-être, ou encore la National Telecommunications and Information Administration en matière de transparence de l'information à destination des utilisateurs ou de reconnaissance faciale. C'est dans ce cadre qu'il faut essayer d'analyser toute initiative d'utilisation de données de traçage aux Etats-Unis. Légalement, sauf à ce que la technologie permette de collecter des données de santé de personnes identifiées ou identifiables - et non pas seulement, de façon anonyme et agrégée de données statistiques de localisation - les limites légales sont essentiellement des limites en matière d'obligation de transparence de l'information diffusée auprès des utilisateurs, laquelle obligation varie Etat par Etat, et de sécurité des données, afin d'éviter justement que ces données puissent permettre, en cas de faille, d'identifier les personnes concernées. Ces obligations sont entre les mains des développeurs des applications, tels que Google et Apple, sur lesquels les autorités gouvernementales s'appuient pour s'assurer que la collecte et le traitement des données sont effectués dans le respect des règles étatiques et des codes de bonne conduite publiés par la FTC et les organismes d'auto-régulation des activités des acteurs économiques. J'ajouterai que le Mobile Privacy Report publié par la FTC en février 2013 recommande aux grands acteurs de l'industrie que sont Apple, Google, ou Microsoft, de faire en sorte d'obtenir le consent exprès de l'utilisateur avant de collecter ou de partager des informations sensibles, telles que des données de localisation identifiantes ou encore des données permettant grâce aux capteurs intégrés dans les équipements mobiles d'obtenir des informations telles que des données de santé d'une personne.
L’implémentation d’une fonctionnalité de traçage dans les smartphones, respectueuse de la vie privée, permettrait aux utilisateurs de donner leur accord quant à la collecte de leurs données de localisation. Est-ce que la loi de protection des données personnelles aux USA pourrait être uniformisée pour l’ensemble des États ?
Contrairement au RGPD en particulier, où il constitue l'une des six bases légales de traitement des données, le consentement de la personne concernée n'est pas une base légale privilégiée pour établir la légalité d'un traitement des données à caractère personnel aux Etats-Unis, qui continuent pour l'essentiel de prioriser un système d'"opt out" (opposition ou désabonnement) par rapport au traitement. Il y a peu de chance d'une loi uniforme aux Etats-Unis afin de permuter vers un système d'"opt in" soit adoptée dans un avenir proche.
Est-ce que les données personnelles des citoyens sont mieux protégées en Europe qu’aux États-Unis ?
Je risque de m'attirer les foudres des défenseurs de l'approche européenne de la protection des données personnelles, mais en tant qu'avocat spécialisé dans la protection des données à caractère personnel en Europe comme en Amérique du Nord (Etats-Unis et Canada) je ne pense pas que l'approche européenne soit nécessairement plus protectrice des données que l'approche nord-américaine. Elle est certainement plus contraignante pour les acteurs économiques et, vu de l'extérieur, offre davantage de contrôle aux personnes concernées s'agissant de la collecte et des finalités du traitement de leurs données, mais le fait que l'approche américaine soit davantage sectorielle, indexée sur les risques pour certains traitements plus sensibles (d'où les réglementations fédérales en matière de données de santé, de traitement par les institutions financières, ou encore de données de mineurs de moins de 13 ans), et sur la sécurisation des données, alors que l'approche européenne soit davantage d'application générale, tous secteurs et types de données compris, ne veut pas forcément dire que les données sont moins protégées aux Etats-Unis qu'elles ne peuvent l'être en Europe. Ce sont juste deux approches différentes de gestion d'une même problématique, elles-mêmes fondées sur deux définitions très différentes de la protection de la vie privée au sens large.
Au-delà de l’utilisation de géolocalisation, a-t-on le droit aux USA d’utiliser des données relative à la santé de chacun ?
Oui, sauf à ce que le traitement de ces données de santé soit entre les mains des organismes de santé ""Covered Entities" au sens de la Loi HIPAA (Health Insurance Portability and Accountability Act) de 1996, telle que modifiée par la loi HITECH (Health Information Technology for Economic and Clinical Health Act) de 1999, le droit aux USA permet la collecte de ces données, sous réserve de s'accomplir de ses obligations de transparence et de sécurisation de ces données, et de donner à l'utilisateur la possibilité à tout moment de s'opposer au traitement continu de ses données.
Pour en savoir plus sur le cabinet S. Grynwajc
L’avocat Stéphane Grynwajc
Sur le même sujet
L'annuaire 
L'agenda 
