Ce que le SECURE Data Act Changerait — et Pourquoi le Morcellement est le Problème qu’il Résout
Les États-Unis ne disposent à ce jour d’aucune loi fédérale globale sur la protection des données. Ce qu’ils ont à la place, c’est un patchwork proliférant : en mai 2026, 20 États ont adopté des statuts de confidentialité complets avec des définitions, des seuils, des portefeuilles de droits des consommateurs et des mécanismes d’application variables. Une entreprise de commerce électronique de taille moyenne qui collecte des données d’utilisateurs dans les 50 États doit se conformer au CCPA californien (tel qu’amendé par le CPRA), au CDPA virginal, au CPA du Colorado, au CTDPA du Connecticut, au TDPSA du Texas et à 15 autres cadres étatiques — chacun avec des dates d’entrée en vigueur différentes, des définitions différentes des « données sensibles », des seuils d’applicabilité différents et des périodes de remédiation différentes avant l’application.
Le SECURE Data Act — loi de Renforcement et d’Établissement des Droits Unifiés des Consommateurs pour les Données Électroniques — a été présenté le 22 avril 2026 par des membres de la Commission de l’énergie et du commerce de la Chambre. Il tente de résoudre cette fragmentation par deux mécanismes : une norme fédérale unique applicable dans les 50 États, et une préemption expresse de toutes les lois étatiques sur la vie privée incompatibles.
La logique stratégique est simple : les entreprises n’auront qu’un seul régime de conformité à mettre en œuvre au lieu de 20. Le débat politique porte sur la question de savoir si cette norme unique doit être plus ou moins stricte que ce que la Californie, le Colorado et le Connecticut ont déjà adopté — et si l’élimination des lois étatiques sur la vie privée supprime la pression des « laboratoires de la démocratie » qui a conduit à l’action fédérale.
Les Quatre Obligations Fondamentales que Toute Entreprise Concernée Doit Respecter
Le SECURE Data Act s’applique à toute entité qui : (a) collecte, traite ou transfère des données personnelles de plus de 200 000 consommateurs par an, OU (b) collecte des données de plus de 50 000 consommateurs et tire 25 % ou plus de son chiffre d’affaires annuel de la vente ou du partage de données personnelles, OU (c) réalise un chiffre d’affaires annuel brut de 25 millions de dollars ou plus et collecte des données personnelles. Les petites entreprises en dessous des trois seuils sont explicitement exclues.
1. Minimisation des Données : Ne Collecter que ce qui est Nécessaire à une Finalité Déclarée
Le texte impose aux entreprises concernées de collecter, traiter et conserver les données personnelles uniquement dans la mesure raisonnablement nécessaire aux finalités spécifiques et divulguées pour lesquelles le consentement a été obtenu. Il ne s’agit pas d’une aspiration souple — la loi SECURE exige une politique de traitement des données écrite qui associe chaque catégorie de données à une finalité légitime, avec des calendriers de conservation pour chaque catégorie.
Pour les entreprises construites sur des modèles de publicité comportementale, c’est l’obligation la plus contraignante. Si votre architecture de données actuelle capture l’historique de navigation, les signaux de localisation, les comportements d’achat et les données de traçage intersites avec la finalité déclarée « d’améliorer l’expérience utilisateur », la loi SECURE exige soit (a) de restreindre votre collecte de données à ce qui sert démonstrabiement cette finalité déclarée, soit (b) d’obtenir un consentement spécifique pour chaque finalité de traitement supplémentaire.
2. Désinscription Universelle de la Publicité Ciblée — Sans Dégradation du Service
Tout consommateur couvert par la loi a le droit de se désinscrire de la publicité ciblée, de la vente de ses données personnelles à des tiers et du profilage automatisé produisant des effets juridiques ou similairement significatifs. De manière critique, la loi SECURE interdit la dégradation du service en conséquence de l’exercice de ce droit. Une entreprise ne peut pas refuser le service, facturer un prix plus élevé ou réduire les fonctionnalités aux consommateurs qui se désinscrivent de la vente de données. Cette disposition cible directement les modèles de paiement pour la vie privée — où les entreprises offrent une expérience premium sans publicité comme alternative payante à la collecte de données.
3. Consentement Opt-In pour les Catégories de Données Sensibles
Pour les données sensibles — définies comme incluant les données de santé et génétiques, les données de compte financier, les identifiants biométriques, la géolocalisation précise (dans un rayon de 533 mètres), les données sur les enfants de moins de 17 ans, le statut de citoyenneté et d’immigration, l’orientation sexuelle et l’identité de genre, et les numéros de sécurité sociale — le texte exige un consentement opt-in affirmatif avant la collecte ou le traitement. L’opt-in doit être spécifique à la finalité : une case « J’accepte les conditions » globale est insuffisante.
Il s’agit d’une norme plus élevée que la plupart des lois étatiques actuelles, qui exigent généralement un opt-out (et non un opt-in) pour les données sensibles. Le Colorado constitue la principale exception — son CPA exige l’opt-in pour les données sensibles. La loi SECURE nationalise effectivement l’approche du Colorado pour cette catégorie.
4. Application par la FTC avec une Structure de Pénalités de 20 000 Dollars par Violation
Le texte confie l’application à la Commission fédérale du commerce (FTC). Celle-ci peut engager des actions civiles avec des pénalités allant jusqu’à 20 000 dollars par violation, par jour de violation. Les procureurs généraux des États peuvent également engager des actions d’application dans leurs États, mais la loi SECURE plafonne leurs pénalités au même niveau de 20 000 dollars par violation et exige qu’ils notifient la FTC avant de déposer leur recours. Il n’y a pas de droit d’action privé — les consommateurs individuels ne peuvent pas poursuivre directement les entreprises en vertu de la loi SECURE.
Publicité
Le Calcul de la Préemption : Quelles 20 Lois Étatiques sont en Jeu
La préemption expresse est à la fois la caractéristique la plus significative du texte et sa disposition la plus contestée. La loi SECURE préempterait toutes les lois étatiques globales sur la vie privée, notamment :
Lois avec des dates d’entrée en vigueur existantes qui seraient supplantées : CCPA/CPRA californien (en vigueur depuis 2018/2023), CDPA virginal (janvier 2023), CPA du Colorado (juillet 2023), CTDPA du Connecticut (juillet 2023), UCPA de l’Utah (décembre 2023), TDPSA du Texas (juillet 2024), Oregon (juillet 2024), Montana (octobre 2024), Indiana (janvier 2026), Kentucky (janvier 2026), Rhode Island (janvier 2026) et Arkansas (juillet 2026).
Ce que la préemption signifie en pratique : Une entreprise ayant déjà construit une infrastructure de conformité CCPA — modèles d’avis de confidentialité, mécanismes de désinscription, flux de demandes des personnes concernées, pipelines de suppression — verrait ces obligations partiellement supplantées par la norme fédérale. Là où la loi SECURE est plus stricte que la loi étatique (opt-in pour les données sensibles dans la plupart des États), la loi étatique disparaît et la norme fédérale s’applique. Là où la loi SECURE est moins stricte (pas de droit d’action privé), la loi étatique disparaît entièrement.
Le débat sur la dérogation californienne : La coalition californienne de défense de la vie privée a soutenu — systématiquement, depuis les premières propositions de loi fédérale sur la vie privée en 2019 — que la loi fédérale devrait fixer un plancher, pas un plafond : les États devraient pouvoir maintenir des protections plus strictes. La loi SECURE telle qu’introduite ne contient pas cette dérogation.
Les amendes du Colorado comme référence : L’application du CPA du Colorado a produit des amendes de 20 000 à 50 000 dollars par violation lors de son premier cycle d’application — à peu près alignées sur l’échelle des pénalités fédérales de la loi SECURE, suggérant que les rédacteurs ont calé l’intensité de l’application sur le bilan établi du Colorado.
Ce que les Entreprises Mondiales avec des Opérations Américaines Doivent Faire Maintenant
La loi SECURE est au stade de la commission de la Chambre — pas encore en vigueur. Mais le momentum législatif est réel : c’est le plus loin qu’un projet de loi fédéral global sur la vie privée soit allé depuis l’échec de l’ADPPA en 2022. Pour les entreprises ayant des opérations aux États-Unis ou des données de clients américains, trois actions sont immédiatement utiles quel que soit l’issue du texte :
1. Cartographier vos Obligations de Conformité Étatiques par Rapport au Projet Fédéral
Effectuez une analyse des écarts entre votre posture de conformité étatique actuelle et les exigences de la loi SECURE. Concentrez-vous notamment sur : (a) si votre mécanisme de consentement actuel pour les données sensibles est opt-in ou opt-out — la loi SECURE exige opt-in, ce que de nombreux programmes conformes aux lois étatiques n’implémentent pas actuellement ; (b) si votre mécanisme de désinscription pour la publicité ciblée répond à la norme « universelle » — c’est-à-dire qu’un signal unique (Global Privacy Control ou équivalent) doit être honoré dans tous vos systèmes de traitement des données ; et (c) si vos calendriers de conservation sont documentés par catégorie de données avec des finalités associées.
2. Auditer les Arrangements de Partage de Données avec des Tiers pour l’Alignement avec la Loi SECURE
Les exigences de minimisation des données et de désinscription de la loi SECURE s’appliquent à la vente et au partage de données avec des tiers. Les entreprises qui partagent des données avec des plateformes de technologie publicitaire — DSP, DMP, fournisseurs de résolution d’identité, annonceurs programmatiques — doivent auditer ces arrangements par rapport au cadre de consentement du texte. De nombreux arrangements actuels de partage de données, qui sont permis en vertu des lois étatiques, nécessiteront une renégociation ou un nouveau consentement si la loi SECURE est adoptée.
3. Modéliser l’Avantage de la Préemption : Un Seul Régime de Conformité est une Réduction des Coûts
Pour les entreprises maintenant actuellement la conformité avec 8 lois étatiques sur la vie privée ou plus, la loi SECURE représente une réduction significative des coûts opérationnels. Construisez dès maintenant l’argumentaire économique : quantifiez les dépenses actuelles de conformité multi-étatique (révision juridique, mise en œuvre technique, licences de plateforme de gestion du consentement, travail d’exécution des demandes des personnes concernées). Une norme fédérale élimine l’essentiel de cette redondance.
Questions Fréquemment Posées
La loi SECURE Data Act s’applique-t-elle aux entreprises non américaines qui collectent des données de consommateurs américains ?
Oui, la loi SECURE utilise un test de compétence basé sur les effets : toute entité qui collecte, traite ou transfère des données personnelles de consommateurs américains est potentiellement concernée, quel que soit le lieu d’incorporation ou d’implantation physique de l’entité. Une application algérienne avec des utilisateurs américains qui dépasse le seuil des 200 000 consommateurs serait une entreprise concernée. La portée extraterritoriale de la FTC pour les pratiques déloyales ou trompeuses est bien établie — l’application de la loi SECURE suivrait le même précédent.
La loi SECURE Data Act supprimera-t-elle le droit californien de poursuivre les entreprises pour violations de données ?
Pour les cas de violations de données impliquant des données couvertes par la loi SECURE, la disposition de préemption supprimerait probablement le droit d’action privé du CCPA pour les réclamations liées aux violations. Il s’agit de l’une des dispositions les plus contestées : la communauté californienne de défense de la vie privée soutient que cela supprime un important moyen de dissuasion contre la négligence en matière de sécurité des données.
Qu’est-ce que le Global Privacy Control et comment est-il lié à l’exigence de désinscription de la loi SECURE ?
Le Global Privacy Control (GPC) est un signal au niveau du navigateur que les consommateurs peuvent activer pour communiquer automatiquement leurs préférences de désinscription à chaque site web qu’ils visitent. La Californie et le Colorado exigent déjà des entreprises qu’elles honorent les signaux GPC comme équivalant à une demande de désinscription des consommateurs. La disposition de désinscription universelle de la loi SECURE devrait exiger la conformité GPC au niveau fédéral — ce qui signifie que tout site web ou application opérant sous la loi SECURE doit détecter et honorer les signaux GPC dans tous ses systèmes de traitement des données, y compris les intégrations publicitaires tierces. La mise en œuvre de la conformité GPC est généralement une tâche d’ingénierie de 2 à 4 semaines si vous disposez déjà d’une plateforme de gestion du consentement.
—
Sources et lectures complémentaires
- Texte et actions de la commission SECURE Data Act — House Energy and Commerce Committee
- Suivi des lois étatiques sur la vie privée : dates d’entrée en vigueur 2026 — IAPP
- Actions d’application de la vie privée du procureur général du Colorado — Colorado Department of Law
- ADPPA vs. SECURE Act : comparaison de la préemption fédérale sur la vie privée — Future of Privacy Forum
- Spécification technique du Global Privacy Control — GPC.EFF.org
