En parallèle de l’audition de Mark Zuckerberg au Sénat, deux sénateurs démocrates ont présenté un projet de loi relatif aux données personnelles. Le texte, baptisé CONSENT Act, veut remettre entre les mains des citoyens américains le contrôle de leurs données en obligeant les acteurs du Web à être plus transparents et à recourir à l’opt-in.
Alors que Mark Zuckerberg répondait hier aux questions des commissions de lois et du commerce du Sénat, les sénateurs démocrates Edward J. Markey (Massachusetts) and Richard Blumenthal (Connecticut) ont introduit un projet de loi relatif à la protection des données personnelles des utilisateurs de services tels que ceux proposés par Google ou encore Facebook. « L'avalanche de violations de la vie privée par Facebook et d'autres entreprises en ligne a atteint un seuil critique, et nous avons besoin d'une législation qui fasse du consentement la règle » écrit Edward Markey.
C’est en résumé l’essence du texte. Celui-ci définit dans ses premières lignes les termes de « clients », de « fournisseurs de services en ligne » (« edge provider ») et de « informations personnelles identifiables » de manière fort large, de sorte à couvrir le champ le plus étendu possible. Le projet de loi établit un cadre en vertu duquel la Federal Trade Commission devra réglementer la collecte et le traitement des données personnelles.
Opt-in
Parmi les obligations des fournisseurs de services, ceux-ci doivent notifier leurs utilisateurs du type de données collectées, pour quelles finalités elles sont collectées et à quelles entités ces données sont susceptibles d’être partagées dès lors qu’un utilisateur s’inscrit ou utilise pour la première fois le service ou dès que les CGU sont modifiées. Les Facebook et consorts doivent également avertir leurs « clients » en cas de « violation de leur sécurité » et ne peuvent refuser de servir un utilisateur qui ne consentirait pas à la collecte et l’utilisation de ses données à des fins commerciales.
Mais surtout, et c’est le point le plus important de ce CONSENT Act (pour « Customer Online Notification for Stopping Edge-provider Network Transgressions »), les deux sénateurs veulent qu’Amazon, Google et autres recourent obligatoirement au opt-in pour obtenir le consentement des utilisateurs à la collecte et l’utilisation de leurs données. Soit obtenir « du client un consentement affirmatif et explicite quant à utiliser, divulguer ou autoriser l'accès aux informations confidentielles du client ».
En d’autres termes, il sera impossible pour les éditeurs de services en ligne de collecter et d’utiliser des données personnelles sans avoir au préalable recueilli l’accord de l’utilisateur, le tout conjugué aux obligations de transparence. « Notre texte repose sur une philosophie simple : le consentement express et éclairé. Les consommateurs méritent l'opportunité de valider le fait que des services puissent extraire et vendre leurs données - et non pas pour découvrir que leurs informations personnelles ont été exploitées des années plus tard » écrit Richard Blumenthal.