Permettre aux États de réglementer la confidentialité des données pourrait coûter aux entreprises plus de 1 000 milliards de dollars au cours des dix prochaines années, selon une étude de l'Information Technology & Innovation Foundation. Jusqu'à présent, note le rapport, seule une poignée d'États ont adopté des lois sur la protection des données, notamment la Californie, le Colorado et la Virginie. Cependant, il est probable que davantage d'États adopteront des lois dans les années à venir. Depuis 2018, 34 États ont adopté ou introduit 72 projets de loi sur la vie privée réglementant la collecte et l'utilisation commerciales des données personnelles. Cependant, à mesure que d'autres lois seront adoptées, elles engendreront des coûts de mise en conformité importants pour les entreprises situées à l'intérieur et à l'extérieur de l'État, ainsi qu'une certaine confusion pour les consommateurs.

L'ITIF estime qu'en l'absence d'une loi fédérale régissant la confidentialité des données, un patchwork de lois dans 50 États pourrait imposer des coûts hors État compris entre 98 et 112 milliards de dollars par an, les petites entreprises prenant en charge entre 20 et 23 milliards de dollars de cette facture annuelle. « Nous espérons que la publication de ce modèle politique aidera les décideurs à comprendre et à prêter attention aux raisons pour lesquelles nous devons mettre en place une législation sur la protection de la vie privée dans ce pays », a déclaré Daniel Castro, vice-président de l'ITIF, lors d'un forum en ligne organisé le 27 janvier.

Minimiser les coûts de mise en conformité et les restrictions sur l'utilisation des données

Le rapport appelle le Congrès à adopter une législation visant à créer un cadre national de protection de la vie privée qui rationalise la réglementation, établit les droits fondamentaux des consommateurs en matière de données et minimise l'impact sur l'innovation. Idéalement, poursuit le rapport, cette législation devrait protéger et promouvoir l'innovation en réduisant au minimum les coûts de mise en conformité et les restrictions sur l'utilisation des données, par exemple en permettant aux consommateurs de refuser la collecte de données - plutôt que de les obliger à y participer - et en évitant les exigences de minimisation des données, de spécification des objectifs, de limitation de la conservation des données et de respect de la vie privée dès la conception.


Par exemple, les lois de l'État de New York sur la protection de la vie privée coûteraient à l'économie américaine 21,1 milliards de dollars sans une seule loi fédérale sur la protection de la vie privée. (Crédit : ITIF)

Quelle que soit la législation adoptée par le Congrès, le rapport a identifié deux dispositions essentielles de toute mesure fédérale sur la confidentialité des données : la préemption des lois des États et l'interdiction d'un droit d'action privé en cas de violation de la loi. « Nous pensons qu'il est vraiment nécessaire d'adopter une loi fédérale sur la protection de la vie privée, à caractère préventif, qui permette d'établir une norme unique pour toutes les entreprises et tous les consommateurs afin qu'ils puissent comprendre leurs responsabilités et innover en utilisant une norme unique », a déclaré Carl Holshouser, vice-président senior chargé des opérations et des initiatives stratégiques et secrétaire général de TechNet, un fournisseur d'outils et de ressources pour les utilisateurs de produits Microsoft, lors du forum de l'ITIF.

Le risque d'un afflux de procédure

Il a soutenu qu'une norme unique est également importante pour les entreprises, notamment les PME, qui tentent de protéger leurs données contre les mauvais acteurs. « Il est beaucoup plus difficile pour une petite ou moyenne entreprise de s'assurer qu'elle fait ce qu'il faut pour se conformer à un régime qui la protégera des litiges, mais qui l'aidera aussi à contrôler ses systèmes et à protéger les données qu'ils contiennent », a déclaré M. Holshouser.

Selon le rapport, il n'est pas nécessaire qu'une loi fédérale établisse un droit d'action privé, car cela ouvrirait la porte à des poursuites coûteuses et inutiles contre les entreprises soumises à la nouvelle loi. « Nous ne voulons pas d'un droit d'action privé sans garde-fou », a déclaré Caleb Williamson, associé à la politique publique de l'État chez ACT | The App Association, un groupe de défense des petites entreprises technologiques, qui s'est également exprimé lors du forum. « Nous reconnaissons et avons vu au niveau de l'État comment un droit d'action privé peut être utilisé pour harceler les entreprises et créer des dommages financiers pour les petites entreprises, les forçant à fermer boutique ».