Les républicains de la Chambre ont présenté le SECURE Data Act le 21 avril 2026 - un vaste projet de loi fédéral sur la protection de la vie privée qui éliminerait toutes les lois sur la vie privée des consommateurs au niveau des États aux États-Unis grâce à une large préemption fédérale. S'il était promulgué, le projet de loi annulerait instantanément le CCPA/CPRA de la Californie, le CDPA de la Virginie, le CPA du Colorado et les cadres de confidentialité d'environ 20 autres États, les remplaçant par une norme fédérale unique appliquée exclusivement par la FTC et les procureurs généraux des États - sans aucun droit pour les citoyens de poursuivre en justice.
Qu'est-ce que le SECURE Data Act
La loi "Securing and Establishing Consumer Uniform Rights and Enforcement over Data Act" a été présentée par le représentant Joyce de Pennsylvanie au nom des républicains de la Chambre. Sur le papier, le projet de loi accorde aux consommateurs cinq droits fondamentaux : l'accès à leurs données personnelles, la correction des dossiers inexacts, la suppression des données, la portabilité des données dans un format utilisable et la possibilité de refuser la publicité ciblée et la vente de données. Il impose également des exigences de minimisation des données et exige le consentement pour le traitement de catégories sensibles d'informations personnelles. Un nouveau registre pour les courtiers en données administré par la FTC est inclus.
Le projet de loi s'applique aux entités qui traitent les données de 200 000 consommateurs ou plus par an et ont des revenus de 25 millions de dollars ou plus, ou aux entités plus petites où au moins 25 % des revenus proviennent de la vente de données personnelles. Ce seuil de 25 millions de dollars est nettement inférieur au plancher de 40 millions de dollars proposé dans l'APRA, ce qui signifie que le SECURE Data Act couvrirait techniquement plus de petites entreprises - bien qu'en pratique, les critiques affirment que ses protections fondamentales plus faibles compensent cette portée plus large.
Le problème de la préemption : 20 États perdent leurs lois sur la vie privée
L'élément le plus lourd de conséquences et le plus controversé du SECURE Data Act est sa clause de préemption. Le projet de loi annulerait toute loi ou disposition d'État qui « se rapporte à » son objet. Il s'agit d'une formulation intentionnellement large - suffisamment large pour éliminer non seulement les lois dédiées à la confidentialité des consommateurs comme le CCPA, mais potentiellement les registres des courtiers en données des États, les lois sur la confidentialité biométrique et certaines réglementations sectorielles également.
Le CCPA de la Californie et son successeur plus fort, le CPRA, représentent la référence absolue en matière de droit américain de la protection des consommateurs. Ils donnent aux résidents de Californie le droit de savoir quelles données les entreprises collectent, le droit de les supprimer, le droit de refuser leur vente et, surtout, un droit d'action privé pour certaines défaillances de sécurité des données. Le SECURE Data Act supprimerait tout cela, remplaçant les protections de la Californie par un plancher fédéral plus faible et supprimant la capacité des citoyens à faire valoir leurs droits de manière indépendante par le biais de litiges.
Pour les défenseurs de la vie privée, la préemption fédérale sous cette forme représente un recul et non une avancée. L'argument en faveur d'une norme fédérale est la cohérence pour les entreprises opérant dans plusieurs États - mais cette logique ne tient que si la norme fédérale est au moins aussi protectrice que les lois d'État les plus strictes. Le SECURE Data Act ne l'est pas. Il est conçu pour réduire la charge de conformité des grandes entreprises technologiques et des courtiers en données, et non pour renforcer les droits individuels à la vie privée.
Aucun droit d'action privé : L'écart d'application
En vertu du SECURE Data Act, l'autorité d'application de la loi incombe entièrement à la FTC et aux procureurs généraux des États. Il n'y a pas de droit d'action privé - ce qui signifie qu'un citoyen américain dont les droits relatifs aux données sont violés ne peut pas intenter de procès contre l'entreprise responsable. Il s'agit d'un choix délibéré des rédacteurs républicains et reflète l'approche adoptée dans les propositions fédérales précédentes sur la confidentialité telles que l'APRA.
L'effet pratique de la suppression des litiges privés en tant que mécanisme d'application est significatif. La FTC est chroniquement sous-financée par rapport à l'échelle de l'économie des données qu'elle serait chargée de surveiller. Les procureurs généraux des États ont des ressources limitées et doivent prioriser les cas les plus flagrants. Sans la menace de recours collectifs intentés directement par les citoyens, les entreprises sont confrontées à un risque financier bien moindre en cas de violation de la vie privée - et la structure d'incitation à la conformité s'affaiblit en conséquence.
Ce que cela signifie pour votre confidentialité numérique
Si le SECURE Data Act est adopté dans sa forme actuelle, les Américains dans les États qui ont actuellement de solides protections de la vie privée se retrouveraient avec moins de droits applicables et moins de recours légaux lorsque ces droits sont violés. Le modèle de désinscription (opt-out) du projet de loi pour la publicité ciblée - où vos données sont collectées par défaut et où vous devez activement demander l'exclusion - est plus faible que les régimes de consentement préalable (opt-in) que certains États ont commencé à explorer.
D'un point de vue pratique de la confidentialité, cette poussée législative souligne une réalité que les utilisateurs de VPN comprennent déjà : les cadres juridiques constituent une couche de protection de la vie privée, mais ce n'est pas la seule, et ils ne sont pas permanents. Un VPN crypte votre trafic Internet et masque votre activité de navigation à votre FAI, empêchant la collecte de données au niveau du réseau que les lois sur la confidentialité tentent de réglementer après coup. Alors que la législation fédérale sur la vie privée penche vers des normes plus faibles sous la pression de l'industrie, les outils de confidentialité au niveau du réseau deviennent de plus en plus importants en tant que défense de base.
Le projet de loi doit encore passer par le comité et les deux chambres du Congrès. Il fait face à l'opposition des organisations de défense des droits numériques et des États qui ont lourdement investi dans leurs propres cadres de confidentialité. La Californie en particulier a peu de chances d'accepter la préemption fédérale du CCPA sans une bataille politique importante.
