APRA : ce que le projet de loi federale americaine sur la vie privee signifie pour la publicite ciblee
APRA : ce que le projet de loi federale americaine sur la vie privee signifie pour la publicite ciblee
TL;DR — Réponse rapide
2 min de lectureLe projet APRA comble d'importants vides dans la legislation americaine sur la vie privee avec la minimisation des donnees et la protection des donnees sensibles, mais ses regles sur la publicite ciblee sont contradictoires et mal redigees.
L'American Privacy Rights Act (APRA) est un projet de loi federale bicameral sur la vie privee propose par le Congres americain. Bien que le projet de loi comble de nombreux vides de longue date dans la legislation americaine sur la vie privee, ses regles sur la publicite ciblee sont particulierement floues et parfois contradictoires.
Pourquoi l'APRA est important
Les Etats-Unis ne disposent toujours pas d'une legislation federale complete sur la vie privee, creant un vide reglementaire qui a laisse l'economie numerique sans protections de base significatives. La FTC a tente de combler ce vide, et des Etats individuels comme la Californie ont adopte leurs propres lois, mais le patchwork resultant cree une complexite de conformite sans protection coherente pour les consommateurs.
Dispositions cles
Champ d'application : L'APRA s'applique largement mais exempte les petites entreprises, les entites gouvernementales et les sous-traitants du gouvernement. Les donnees des employes sont egalement exclues, ce que de nombreux critiques considerent comme une faiblesse significative compte tenu de l'essor des outils de surveillance au travail. La loi ne remplace pas les legislations sectorielles comme HIPAA.
Droits des consommateurs : Le projet de loi inclut les droits d'acces, de rectification, de suppression et de portabilite des donnees personnelles, plus le droit de refuser la publicite ciblee et les divulgations de donnees. Il inclut egalement un droit d'action prive permettant aux individus de poursuivre en justice pour violations, bien que de nombreuses dispositions importantes soient exemptees de ce mecanisme.
Minimisation des donnees : Le traitement doit etre necessaire, proportionnel et limite, avec une liste detaillee de finalites autorisees. En pratique, cela cree un cadre complexe de regles larges et de longues exceptions.
Donnees sensibles : Les categories incluent les donnees de sante, la geolocalisation precise, les informations sur le comportement sexuel, les communications personnelles, les identifiants gouvernementaux, les donnees des mineurs de moins de 17 ans, le comportement des utilisateurs entre sites web et les donnees comportementales des grandes plateformes de reseaux sociaux. La divulgation de donnees sensibles necessite generalement un consentement prealable.
Le probleme de la publicite ciblee
La publicite ciblee est autorisee sur une base de refus (opt-out) en vertu de l'APRA, et le projet de loi semble interdire la collecte de donnees uniquement a des fins publicitaires -- les organisations ne peuvent utiliser que les donnees deja collectees a d'autres fins legitimes.
Cependant, l'interaction entre les regles generales sur la publicite ciblee et les dispositions sur les donnees sensibles cree une serieuse ambiguite. Les divulgations de donnees sensibles necessitent un consentement prealable (opt-in), mais la publicite ciblee est regie par des regles de refus (opt-out). Quand ces dispositions se chevauchent -- en particulier concernant les donnees d'activite inter-sites et les donnees comportementales des reseaux sociaux qui alimentent la plupart de la publicite ciblee -- le resultat est flou. La publicite ciblee basee sur des donnees sensibles peut etre soit soumise a un opt-in, soit effectivement interdite, selon l'interpretation.
Evaluation
Points forts : Le principe de minimisation des donnees va au-dela de la dependance a un consentement souvent depourvu de sens. L'interdiction des dark patterns dans la collecte du consentement est bienvenue. Les categories de donnees sensibles sont admirablement larges, et la loi protege les donnees de sante echappant au champ d'application de HIPAA.
Points faibles : Trop de dispositions sont exemptees de l'action juridique privee, affaiblissant potentiellement l'application. Les regles sur les donnees sensibles et la publicite ciblee sont mal redigees et contradictoires. L'exclusion des donnees des employes est une lacune serieuse.
Preemption des Etats : L'APRA remplacerait la plupart des lois etatiques sur la vie privee, creant de l'uniformite mais affaiblissant potentiellement les protections dans les Etats ayant une legislation existante plus forte. Cette question a fait echouer le predecesseur de l'APRA, l'ADPPA.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Articles connexes
La Cour de l'UE juge que les cookies analytiques peuvent collecter des données personnelles sensibles
Un arrêt historique de la CJUE établit que les cookies analytiques peuvent collecter des données sensibles au sens du RGPD, avec des implications profondes pour tout site utilisant un suivi basé sur les cookies.
Pourquoi Meta fait face a des defis reglementaires existentiels en Europe
L'arret Bundeskartellamt de la CJUE combine aux sanctions RGPD accumulees cree des menaces sans precedent pour les operations europeennes de Meta, reliant le droit de la concurrence a la protection des donnees.
Le modele 'payer ou consentir' de Meta sous examen reglementaire en Europe
L'abonnement payant de Meta comme alternative au suivi publicitaire fait face a des contestations reglementaires. Decouvrez pourquoi les modeles 'payer ou etre piste' pourraient violer les exigences de consentement du RGPD.