Le projet de loi fédéral [SECURE Data Act](https://d1dth6e84htgma.cloudfront.net/SECURE_Data_Act_for_introduction_7c80a347ac.pdf) fait l'objet d'un examen minutieux quant à son impact potentiel sur la vie privée des consommateurs. Les inquiétudes grandissent quant au fait que la loi, si elle est adoptée, représenterait un recul significatif par rapport aux protections actuelles, bien qu'insuffisantes, au niveau des États. Les Républicains de la [Chambre des représentants, Comité de l'énergie et du commerce](https://energycommerce.house.gov/posts/committees-on-energy-and-commerce-and-financial-services-introduce-pair-of-privacy-bills-to-establish-comprehensive-data-protections-for-all-americans) ont introduit le projet de loi à la fin du mois dernier sans consensus bipartite. Les critiques affirment que la loi est plus faible que les propositions antérieures du Congrès et que bon nombre des [21 lois sur la protection de la vie privée des consommateurs au niveau des États](https://iapp.org/resources/article/us-state-privacy-legislation-tracker) sont déjà en vigueur. ### Préoccupations relatives à la préemption Un point de discorde majeur est le potentiel de la loi à préempter de nombreuses lois sur la vie privée des États. L'article 15 de la loi préempterait toute « loi, règle, réglementation, exigence, norme ou autre disposition [qui] concerne les dispositions de cette loi ». Cela pourrait effectivement annuler les lois existantes sur la protection de la vie privée des consommateurs dans 21 États. Par exemple, la Californie maintient un [outil de suppression des courtiers de données](https://privacy.ca.gov/drop/) et exige que les entreprises se conforment aux [signaux d'exclusion automatiques](https://www.eff.org/gpc-privacy-badger)—y compris celui intégré dans [Privacy Badger](https://privacybadger.org/#What-is-Global-Privacy-Control) de l'**EFF**. Étant donné que le SECURE Data Act contient des dispositions relatives à la protection de la vie privée et à la sécurité des données, il pourrait préempter [toutes les lois sur les violations de données des 50 États](https://www.ncsl.org/technology-and-communication/security-breach-notification-laws) et [beaucoup d'autres](https://www.congress.gov/crs-product/R48667). Il pourrait également préempter les lois des États relatives à des données sensibles spécifiques, comme les interdictions de vente d'[informations biométriques](https://www.ilga.gov/Legislation/ILCS/Articles?ActID=3004&ChapterID=57) ou de [localisation](https://www.doj.state.or.us/consumer-protection/id-theft-data-breaches/privacy/privacy-law-faqs-for-consumers/). Certains [États comme la Californie](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CONS&sectionNum=SECTION%201.&article=I) ont des dispositions constitutionnelles qui protègent le droit à la vie privée d'un individu, qui peuvent être appliquées [contre les entreprises](https://btlj.org/wp-content/uploads/2025/01/39-2_Ozer.pdf). Cette disposition constitutionnelle, ainsi que les [torts relatifs à la vie privée au niveau des États](https://scholarship.law.bu.edu/faculty_scholarship/628/), pourraient également être menacées si ce projet de loi était adopté. ### Absence de droit d'action privé Une autre préoccupation majeure est l'absence de droit d'action privé, qui permettrait aux individus de poursuivre les entreprises pour violations de la vie privée. Les critiques soutiennent que cette omission sape l'efficacité de la loi, car les organismes de réglementation pourraient manquer de ressources pour garantir une conformité complète. Au lieu de cela, la **FTC**, ainsi que les procureurs généraux des États, auraient l'autorité d'application principale. La loi donne également aux entreprises 45 jours pour « remédier » à toute violation sans pénalité après avoir été découvertes. ### Paramètres de confidentialité faibles et minimisation des données La loi est également critiquée pour ses paramètres de confidentialité faibles, qui placent le fardeau sur les consommateurs pour refuser les pratiques de données invasives. Bien que la loi exige un consentement pour le traitement des données sensibles, les critiques soutiennent que cela pourrait entraîner des demandes de consentement manipulatrices. L'article 3 de la loi utilise le terme « minimisation des données », mais ce n'est qu'en apparence. La disposition ne limite pas le traitement des données par une entreprise à ce qui est nécessaire pour fournir au client le bien ou le service qu'il a demandé. Au lieu de cela, la disposition limite le traitement des données à ce qu'une entreprise « a divulgué au client » — ce qui signifie que si cela figure dans la politique de confidentialité confuse que personne ne lit, c'est acceptable. Et la loi ne vous permettrait même pas de restreindre certaines utilisations de vos données. Alors que les entreprises recherchent davantage de données pour les systèmes d'IA, de nombreux internautes ne souhaitent pas que leurs données personnelles privées soient utilisées pour entraîner ces modèles. Cependant, la loi précise que « rien dans cette loi ne peut être interprété comme restreignant » une entreprise de collecter, d'utiliser ou de conserver vos données pour « développer » ou « améliorer » une nouvelle technologie. ### Autres préoccupations * **Sous-traitants gouvernementaux** : En vertu de l'article 13(b)(2), les sous-traitants gouvernementaux sont exemptés de la loi, ce qui pourrait être interprété à tort comme exemptant certains courtiers de données des restrictions de vente lorsque ces ventes sont faites au gouvernement. Ce type d'exemption pourrait bénéficier à des entreprises de surveillance comme **Clearview AI**, qui