Une affaire récente de la Cour d’appel du onzième circuit préfigure ce qui sera l’une des politiques les plus importantes du XXIe siècle : comment l’Amérique décidera-t-elle de gouverner ses données ? Dans l’affaire Tan Tsao v. Captiva MVP Restaurant, le plaignant a intenté une action au motif qu’il a été lésé après qu’un groupe de restaurants fast-casual a connu une violation de données qui a exposé les données de ses clients. Le onzième circuit a rejeté l’affaire pour défaut d’intérêt à agir, estimant que le préjudice allégué pour ceux qui ont subi la violation de données était trop atténué et hypothétique, mais la partie la plus intéressante de l’avis est l’opinion concordante du juge Jordan, qui a conclu son avis en disant : « Espérons que la Cour suprême accordera bientôt le certiorari dans une affaire présentant la question de l’article III de l’intérêt à agir dans un cas de violation de données ». Le juge Jordan n’est pas le seul – nous sommes tous confus quant aux préjudices qui sont et ne sont pas susceptibles de donner lieu à une action lorsqu’il s’agit de nos données personnelles.
L’incapacité du tribunal à se saisir efficacement des préjudices subis par les consommateurs en raison de violations de données provient probablement du fait que les États-Unis n’ont pas le moindre semblant de politique de gouvernance des données. Comme je l’ai expliqué dans un article précédent, la politique américaine en matière de gouvernance des données est sectorielle ; il existe des protections telles que la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) et la loi sur les droits et la vie privée en matière d’éducation familiale (FERPA), mais rien qui s’approche d’une réglementation uniforme et généralisée comme le règlement général sur la protection des données connu en Europe. Aux États-Unis, on assiste aussi actuellement à une montée en puissance des lois sur les données basées sur les États : the New York Privacy Law, la California Consumer Protection Act, et la Washington Privacy Act pour n’en citer que quelques-unes. Cette multiplicité de lois va être un véritable gâchis.
Ce sera un gâchis parce que les entreprises, grandes et petites, devront faire face à une approche fragmentée de la gouvernance des données qui nuit réellement à leur activité (et peut les pousser à être vendues aux enchères pour liquidation judiciaire ). Et cela ne s’applique pas seulement aux Facebook et Amazones de l’économie américaine des données. La loi sur la protection de la vie privée de New York déclare que la loi sur la protection de la vie privée s’appliquerait à toutes les entités « qui font des affaires dans l’État de New York ou produisent des produits ou des services qui visent intentionnellement les résidents de l’État de New York. » Dans un monde où plus de six pour cent des petites entreprises hébergent un site web pour stimuler leurs ventes, la loi de New York équivaut à forcer les boutiques mom and pop qui pourraient collecter des données pour la publicité ciblée à se conformer soudainement à des exigences réglementaires onéreuses. Au moins, l’ACCP impose un revenu de 25 millions d’euros aux entreprises qui doivent se conformer à la loi. Pour comprendre à quoi ces coûts pourraient ressembler, un projet de loi similaire sur la confidentialité des données en Californie – le CCPA – devrait coûter aux entreprises de moins de vingt employés 50 000 € en coûts de conformité. Imaginez qu’une petite entreprise doive faire face non seulement à la loi sur la protection de la vie privée de New York, mais aussi à des dizaines de [insérer le nom de l’État], lois sur la protection de la vie privée. Il est facile de voir pourquoi une multiplicité de régimes de gouvernance basés sur les États est tout simplement intenable, en particulier pour les petites et moyennes entreprises américaines.
Pour résoudre ce problème, l’Amérique a besoin d’une politique de gouvernance des données unie. Le concept de « fiduciaires de données » pourrait être exactement la panacée dont l’Amérique a besoin. Un modèle de fiduciaire de données créerait une obligation légale entre les entreprises qui collectent, monétisent et utilisent les données des utilisateurs finaux. Ce concept a été popularisé par le professeur Jack Balkin, professeur de droit à la Yale Law School. Le professeur Balkin note que « les fiduciaires de l’information ont trois types de devoirs fondamentaux envers leurs utilisateurs finaux : un devoir de confidentialité, un devoir de diligence et un devoir de loyauté. » Dans une situation comme Tan Tsao v Captiva MVP Restaurant, où un utilisateur final a vu ses données compromises, cette relation fiduciaire fournirait à la personne lésée une cause d’action proportionnelle au préjudice allégué. Un régime fiduciaire de données imposerait à l’entité qui capture et utilise les données la charge de s’assurer qu’aucun préjudice substantiel ne vient à l’utilisateur du fait de l’utilisation de ses données par l’agrégateur.