Lorsque le Règlement général sur la protection des données (n° 2016/679) (« RGPD ») fut introduit, tous ont fixé leurs regards sur l’Europe afin de voir si la législation la plus récente et la plus rigoureuse en matière de protection des données tiendra debout. Plus d’un an plus tard, on peut dire sans crainte que le RGPD n’a pas seulement été un succès ici en Europe, mais qu’il a également servi de référence pour les futures lois en matière de protection des données au niveau mondial.

De l’autre côté de l’Atlantique, le RGPD a clairement eu une influence sur la California Consumer Privacy Act (« CCPA »), la loi californienne sur la protection des données. Suivant les efforts de la Californie pour renforcer ses lois sur la protection des données, l’État de New York a tenté sa chance avec son projet de loi, la New York Privacy Act (« NYPA »).

Même s’il nous semble que la NYPA n’ira pas plus loin, en vue de l’importance de l’Etat de New York dans le monde des affaires, il convient néanmoins d’étudier la portée de la NYPA par rapport aux dispositions du RGPD et d’analyser les raisons pour lesquelles les dispositions de la NYPA n’ont pas été appliquées par l’Etat de New York.

I. Introduction.

Il va sans dire que grâce à la technologie, nous vivons dans un monde beaucoup plus petit et que la plupart des affaires ont maintenant un volet international – et ce, encore plus dans le domaine des données, qui se fiche des frontières.

Alors que de nombreuses entreprises américaines dans le domaine de la technologie se sont installées en Europe, avec l’Irlande étant une juridiction clé pour leur établissement, il est toujours pertinent d’examiner les questions législatives aux États-Unis dans le cadre de cet environnement digital international.

Afin d’harmoniser le traitement des données personnelles dans ce contexte international, le législateur new-yorkais a tenté sa chance avec la NYPA [1] dans le but d’introduire une législation américaine sur la protection des données personnelles qui serait plus stricte que la CCPA [2].

Bien-que les États-Unis soient un acteur clé dans l’arène mondiale du traitement des données, il semble néanmoins que la NYPA ne sera tristement pas adoptée.

Malgré ce triste destin de la NYPA, il reste néanmoins important pour les sociétés françaises et européennes d’avoir un aperçu des dispositions de la NYPA puisqu’il risque d’être retrouvé, au moins en partie, dans les législations futures. Dans cet article, il convient donc d’étudier la portée de la NYPA par rapport aux dispositions du RGPD et d’analyser les raisons pour lesquelles les dispositions de la NYPA n’ont pas été retenues par le législateur new-yorkais. Nous partageons également nos idées sur les raisons pour lesquelles la NYPA n’a pas progressé – du moins cette fois-ci !

II. Aperçu de la NYPA et de ses similarités avec le RGPD.

A. Droits des personnes concernées.

L’Etat de New York est le troisième plus grand état des États-Unis avec plus de 19,5 millions d’habitants, dont 8,2 millions habitent à New York City, la ville la plus peuplée du pays.

NYC est un centre commercial depuis des décennies, et étant donné sa grande population, le sénateur new-yorkais Kevin Thomas a tenté de donner aux habitants de cet État emblématique une plus grande puissance en créant la NYPA. Parmi ses dispositions, nous retrouvons donc certains elements qui sont fortement inspirés par le RGPD.
Par exemple, sous le NYPA, en tant que personnes concernées [3], les New-Yorkais peuvent :
 Avoir accès aux données qu’une entreprise possède sur eux (Article 42, section 1103 (5) NYPA - l’équivalent de l’article 15 RGPD) ;
 Voir avec qui leurs données sont partagées (Article 42, section 1104 (1) NYPA - l’équivalent de l’article 13 RGPD) ;
 Corriger et effacer les données personnelles entre les mains des entreprises (Articles 42, section 1103 (2) et (3) NYPA - l’équivalent des articles 16 et 17 RGPD) ;
 Interdire aux entreprises de transférer des données à des tiers (Article 42 section 1102 (1) NYPA - similaire à l’article 6 f) RGPD) ; et
 Poursuivre personnellement les entreprises pour avoir maltraité leurs données (Article 42, section 1109 (2) NYPA - l’équivalent de l’article 79 (1) RGPD).

B. Intégrité et confidentialité des données personnelles.

L’esprit du RGPD est d’instauré un niveau d’intégrité auprès des responsable de traitement. L’article 5 f) de la NYPA prévoit également que :

« ... les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées... » [4]

C. Responsabilité des acteurs.

Tout comme le RGPD, la NYPA visait à davantage responsabiliser les entreprises ainsi qu’à habiliter les consommateurs en leur restituant le contrôle de leurs données personnelles. En vertu de la NYPA, les consommateurs pourraient voir quelles données personnelles ont été recueillies par les entreprises et avec qui ils les partagent. Le projet de loi permettrait également aux consommateurs de rectifier ou même d’effacer les données personnelles qui se trouvent entre les mains de ces entreprises – un élément clé du RGPD connu sous le nom du droit à l’oubli.

En outre, la NYPA permettrait aux consommateurs dans l’État de New York de poursuivre personnellement, par l’intermédiaire du procureur général de l’État, les entreprises qui violent leur droit associé à la protection des données issues du NYPA.

Bien que, pour un Européen, cela semble le chemin judiciaire évident, d’après les normes américaines, c’est plutôt extrême.

Le CCPA, l’équivalent californien de la NYPA, largement considérée comme la plus stricte des lois américaines sur la protection des données, ne permet pas aux Californiens de poursuivre personnellement les entreprises qui maltraitent leurs données. En vertu du CCPA, le procureur général de l’État est le seul à avoir ce pouvoir et à s’assurer que les dispositions du CCPA soient respectées.

Les droits accordés aux consommateurs en vertu de la NYPA peuvent sembler familiers à un public européen, et ce parce qu’ils sont extrêmement similaires à ceux accordés aux personnes concernées par le RGPD.

Suite à une analyse plus profonde des deux textes législatifs, les articles de la NYPA qui établissent les droits des personnes concernées sont quasi-identiques à leurs contreparties dans le RGPD.

Cela étant dit, la NYPA proposé s’est tristement heurté à une forte opposition et a récemment échoué lors de la dernière session législative – mettant vraisemblablement fin à l’avenir de la NYPA.

III. Controverses.

A. Pourquoi les entreprises new-yorkaises étaient-elles mécontentes ?

La NYPA aura sans doute été la plus sévère des réglementations américaines en matière de protection des données. Justement, c’est cette intensité qui l’a conduit à l’abandon – c’était tout simplement un trop grand saut par rapport au statu quo. Les entreprises et les lobbyistes craignaient que la NYPA, tout en protégeant les droits individuels, nuise aux affaires et à l’innovation dans l’État, ce qui est simplement un compromis qu’ils n’étaient pas du tout prêts à faire.

B. L’obligation fiduciaire.

Une autre raison majeure de la réaction défavorable à la NYPA est l’article 42, section 1102 NYPA sur l’obligation fiduciaire.

Cette clause stipule que les entreprises sont tenues d’agir avant tout dans le meilleur intérêt des consommateurs. La clause obligerait donc les entreprises de New York à abandonner leurs pratiques actuelles fondées sur le profit afin de se consacrer davantage sur les droits et les intérêts de leurs clients. Par conséquent, l’obligation fiduciaire de la NYPA obligerait les entreprises à placer les données des consommateurs au-dessus de leurs profits – un point très controversé qui ne reflète simplement pas le modèle commercial américain.

C. Le problème avec les règlements de protection des données au niveau étatique et non fédéral.

Le fédéralisme, tel qu’on le retrouve aux États-Unis, est un système politique où le pouvoir est divisé en deux piliers, soit le gouvernement national (fédéral) et les gouvernements étatiques.

La constitution américaine confère à chaque ordre gouvernemental des pouvoirs respectifs et partagés dans la gestion du pays. Dans ce système, les États ont le pouvoir d’adopter des lois étatiques qui leur sont propres pour autant qu’il ne viole pas la constitution du pays.

Le NYPA aurait été une loi de l’État de New York, ce qui signifie qu’elle ne s’appliquerait qu’aux résidences de l’État. Dans l’hypothèse où tous les autres États du pays suivraient cet exemple et adopteraient leur propre législation en matière de protection des données, les entreprises seraient potentiellement tenues de se conformer à 50 lois différentes dans ce domaine aux États-Unis seulement.

À juste titre, ce point a été soulevé et plusieurs sont d’avis qu’une loi unique au niveau fédéral pourrait uniformiser et mieux régir les pratiques américaines en matière de protection des données. Le temps nous dira si cet argument provenait d’un endroit de réelle sincérité ou s’il était simplement un moyen de mettre le frein sur la NYPA.

IV. Conclusion.

Pour les raisons susmentionnées, le NYPA n’a pas été adopté lors de la dernière session législative en raison d’un manque de soutien au Sénat.

Le recent projet de loi, la Washington State Privacy Act, issu de l’État de Washington a connu un sort semblable en début d’année. Aux États-Unis, les entreprises et les lobbyistes ont une influence considérable sur le développement de nouvelle législation et leur participation à l’adoption de future loi en matière de protection des données ne doit pas être sous-estimée.

Bien que le NYPA pourrait être réexaminé à la prochaine session législative, il y a peu d’espoir que le projet de loi soit adopté dans le futur. Il serait peut-être plus facile pour le marché américain d’adopter plusieurs projets de loi qui portent sur des questions précises dans le domaine de la protection des données et de la vie privée plutôt qu’un projet de loi immense ayant une portée générale.

Cela étant dit, les lois américaines sur la protection des données ne subiront qu’un vrai changement lorsqu’un projet de loi sera adopté au niveau fédéral. Cela faciliterait non seulement la conformité des entreprises, mais offrira également une plus grande protection aux citoyens américains, peu importe de leurs États de résidence.
De plus, une telle loi au niveau fédérale aurait surement une influence positive sur les relations internationales des États-Unis en matière de protection des données personnelles.

Dans ce pays de Facebook et de Google, est-ce que nous verrons un jour une loi fédérale américaine portant sur la protection des données personnelles et le respect de la vie privée qui pourrait donc concurrencer le RGPD ? Affaire à suivre...

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres