Online Privacy Act 2026 : une nouvelle définition de la conformité des données aux États-Unis

Le 19 mars 2026, la représentante Zoe Lofgren (D-CA-18) a présenté H.R. 8014, l’Online Privacy Act of 2026, à la Chambre des représentants des États-Unis. Avec ses 151 pages réparties en six titres, ce projet de loi constitue la proposition fédérale la plus aboutie en matière de protection de la vie privée à avoir été soumise à la Chambre cette décennie — et son introduction, alors que les lois étatiques sur la protection des données et les réglementations sur l’IA se multiplient, a relancé le débat sur la gouvernance des données d’entreprise aux États-Unis à l’horizon 2028.

Points clés à retenir

1. H.R. 8014 établit le socle fédéral américain le plus ambitieux jamais proposé en matière de protection de la vie privée. La représentante Zoe Lofgren a présenté l’Online Privacy Act of 2026, un texte de 151 pages, le 19 mars 2026. Ce projet de loi crée des droits individuels, des obligations pour les entreprises en matière de gestion des données, des exigences de sécurité, des obligations de notification en cas de violation, ainsi qu’une Digital Privacy Agency dédiée, dotée de pouvoirs réglementaires et de contrôle.
2. Le projet de loi fait évoluer la conformité du modèle « information et choix » vers la minimisation des données. Les entités concernées ne pourraient plus collecter de données personnelles au-delà de ce qui est raisonnablement nécessaire pour fournir un produit ou service demandé, ni réutiliser ces données sans justification précise. Il s’agit d’une rupture structurelle avec vingt ans de pratiques américaines en matière de protection de la vie privée.
3. Un « droit à l’impermanence » rebat les cartes de l’économie de la conservation des données. Le texte accorde aux individus le droit de décider de la durée de conservation de leurs données personnelles par les entités concernées. Associée à l’obligation de minimisation, cette disposition impose aux entreprises d’intégrer la gouvernance de la conservation directement dans l’architecture des données, et non plus seulement dans des politiques écrites.
4. L’application des règles va bien au-delà du statu quo de la FTC. La Digital Privacy Agency absorberait certaines fonctions de la FTC en matière de vie privée, disposerait de pouvoirs réglementaires, appliquerait des sanctions civiles et travaillerait en parallèle avec les procureurs généraux des États et la California Privacy Protection Agency. Un droit d’action privé complète ce dispositif d’application.
5. L’adoption du texte reste incertaine — mais les entreprises ne doivent pas attendre pour agir. Le projet de loi est actuellement examiné par la commission de l’énergie et du commerce de la Chambre, avec un seul sponsor, et les versions précédentes n’ont pas progressé. Cependant, des lois étatiques comme l’Online Data Privacy Act du Maryland et les futures obligations du Colorado AI Act convergent déjà vers des exigences similaires. Les organisations qui investissent dès maintenant dans la gouvernance des données limiteront les coûts de mise en conformité, que H.R. 8014 soit adopté ou non.

L’adoption du texte reste incertaine. Il n’a qu’un seul sponsor et se trouve devant la commission de l’énergie et du commerce de la Chambre, avec d’autres renvois aux commissions de la justice et des sciences, de l’espace et de la technologie. Des versions antérieures de l’Online Privacy Act ont été présentées en 2019, 2021 et 2023, sans aboutir. Ce qui change en 2026, c’est le contexte réglementaire : l’Online Data Privacy Act du Maryland est en vigueur, le Connecticut a renforcé sa législation, le Colorado AI Act entrera en vigueur en 2026, et la California Privacy Protection Agency commencera à appliquer ses règles sur les technologies de décision automatisée en janvier 2027. Le socle fédéral pourrait ne pas être adopté, mais le niveau d’exigence réglementaire s’élève État par État, et H.R. 8014 trace la direction à suivre.

Ce que prévoit réellement l’Online Privacy Act

Le projet de loi instaure un cadre fédéral fondé sur les droits, dont les dispositions s’inspirent largement du RGPD, bien plus que des lois sectorielles américaines qu’il viendrait compléter. Le titre I établit des droits individuels : accès, rectification, suppression, portabilité, révision humaine des décisions automatisées ayant un impact, et un « droit à l’impermanence » permettant aux utilisateurs de choisir la durée de conservation de leurs données. Le titre II impose des obligations aux entités concernées : minimisation des données, restrictions d’accès pour les employés et sous-traitants, interdiction de divulguer le contenu des communications, bannissement des « dark patterns » dans les processus de consentement, et exigences de notification et de consentement explicites.

Le titre III crée la Digital Privacy Agency, une nouvelle agence fédérale indépendante dotée de pouvoirs réglementaires, d’investigation et de financements dédiés. Elle absorberait certaines fonctions de la FTC en matière de vie privée, gérerait l’application des règles, traiterait les plaintes et publierait des règlements. Le titre IV porte sur l’application : enquêtes administratives, sanctions civiles, actions des procureurs généraux des États, droit d’action privé, protection des lanceurs d’alerte et transmission à la justice pénale dans certains cas. Le titre V préserve les protections étatiques plus strictes au lieu de les préempter, et le titre VI charge le NIST et la NSF d’élaborer des recommandations en matière de gestion des risques liés à la vie privée.

Cette logique structurelle est intentionnelle. Plutôt que de compléter des lois sectorielles comme HIPAA, GLBA ou COPPA par un socle fédéral minimal, H.R. 8014 pose un socle solide et laisse les lois sectorielles et étatiques comme couches supplémentaires. Cette architecture se rapproche de la relation entre le RGPD et les législations nationales, bien plus que de toute proposition fédérale américaine antérieure.

L’exigence de minimisation des données bouleverse les pratiques de gestion des données en entreprise

Les dispositions sur la minimisation des données, concentrées dans la Section 201, représentent le changement opérationnel le plus important pour la conformité des entreprises. Les entités concernées ne pourraient plus collecter de données personnelles au-delà de ce qui est raisonnablement nécessaire pour fournir le produit ou service demandé par l’utilisateur, ni traiter ces données à d’autres fins sans conditions précises. Il s’agit d’une rupture structurelle avec le paradigme américain du « notice-and-choice », qui autorisait toute collecte de données mentionnée dans une politique de confidentialité.

Avec ce régime de minimisation, la question de conformité passe de « Avons-nous informé de ce traitement ? » à « Ce traitement est-il nécessaire pour le produit ou service demandé par l’utilisateur ? » Pour la plupart des entreprises, il est bien plus difficile d’y répondre. Les analyses comportementales clients, la personnalisation marketing, la télémétrie de développement produit, les jeux de données pour l’entraînement de l’IA et les accords de partage de données avec des tiers exigent tous une justification de nécessité. Beaucoup ne résisteront pas à l’examen.

Le Thales Data Threat Report 2026 a révélé que seulement 34 % des organisations savent précisément où se trouvent leurs données — or, connaître leur emplacement est un prérequis pour évaluer la nécessité de leur collecte et de leur traitement. Une obligation de minimisation assortie de sanctions civiles et d’un droit d’action privé impose de cartographier les finalités de collecte et leur nécessité opérationnelle, jeu de données par jeu de données.

La restriction d’accès pour les employés et sous-traitants, prévue par le projet de loi, accentue ce changement opérationnel. La Section 202 imposerait aux entités concernées de limiter l’accès interne aux données personnelles et au contenu des communications à ce qui est strictement nécessaire à la fonction de l’employé. Cela remet en cause la pratique courante d’octroyer des accès larges aux équipes d’analytique, d’ingénierie et de produit, en s’appuyant sur des politiques plutôt que sur des contrôles techniques pour prévenir les abus.

Le « droit à l’impermanence » transforme l’architecture des données, pas seulement la politique

La création d’un « droit à l’impermanence » — le droit pour chaque individu de déterminer la durée de conservation de ses données personnelles — est une exigence architecturale présentée comme un droit. Jusqu’ici, la gouvernance de la conservation reposait sur des politiques, des tâches de suppression programmées et des transitions vers des archives. Un droit individuel, opposable par action privée et combiné à la minimisation qui exige une justification pour toute conservation, fait de la gestion de la rétention une question opérationnelle, jeu de données par personne concernée.

Concrètement, l’architecture des données d’entreprise doit permettre la conservation pilotée par l’utilisateur. Les pipelines de données qui agrègent, transforment, dénormalisent ou répliquent des données personnelles doivent transmettre les signaux de suppression en aval et confirmer la suppression à chaque étape. Les systèmes d’analytique exploitant des historiques comportementaux doivent gérer les suppressions sélectives sans fausser les statistiques agrégées. Les jeux de données d’entraînement IA doivent assurer la traçabilité pour que les suppressions demandées soient prises en compte lors des mises à jour des modèles.

Cela s’apparente au droit à l’effacement de l’article 17 du RGPD, mais H.R. 8014 va plus loin : là où le RGPD limite ce droit à certaines situations, l’impermanence devient un choix général de l’utilisateur. Une organisation incapable d’honorer opérationnellement les délais de conservation fixés par l’utilisateur s’expose à des actions privées à grande échelle — un mécanisme d’application qui risque de générer une pression de conformité bien plus forte en l’absence d’une Digital Privacy Agency pleinement financée.

Décision automatisée et gouvernance de l’IA : aperçu du futur cadre réglementaire américain

L’exigence de révision humaine des « décisions automatisées ayant un impact » place ce texte dans la lignée des nouvelles lois étatiques sur l’IA, comme le Colorado AI Act, le Texas Responsible AI Governance Act (entrée en vigueur en janvier 2026) et la California AI Transparency Act. Le cadre fédéral élargit la portée des obligations de gouvernance de l’IA au-delà des catégories à haut risque ciblées par le Colorado ou l’UE, en appliquant le droit à une révision humaine à toute décision automatisée ayant un impact significatif sur un individu.

Combinée à la minimisation, cette approche a des conséquences directes sur l’entraînement et le déploiement de l’IA. Les données d’entraînement doivent répondre aux exigences de minimisation. Le déploiement des modèles doit prévoir des voies de révision humaine pour les décisions à impact. Les droits de conservation doivent être respectés pour les jeux de données d’entraînement, et potentiellement pour les sorties de modèles contenant des données personnelles. L’idée sous-jacente est que la gouvernance de l’IA n’est pas un régime séparé, mais une extension de la gouvernance des données appliquée aux cas d’usage IA.

Ce positionnement rejoint l’avis de l’EDPB de décembre 2024, selon lequel les modèles IA entraînés sur des données personnelles ne peuvent être considérés comme anonymes par défaut, ainsi que la décision d’un tribunal allemand de novembre 2025 (mentionnée dans l’analyse 2026 du Future of Privacy Forum) qui a assimilé les modèles à des « copies » au regard de la propriété intellectuelle. La convergence entre juridictions est claire : les systèmes d’IA sont des systèmes de données, leurs données d’entraînement sont des données personnelles, et leurs obligations de gouvernance sont des obligations de gouvernance des données.

La Digital Privacy Agency et l’architecture élargie de l’application des règles

Le titre III du projet de loi crée une Digital Privacy Agency dotée de pouvoirs bien supérieurs à ceux de la FTC en matière de protection de la vie privée. La DPA disposerait de financements dédiés, de pouvoirs réglementaires, d’un Office of Civil Rights, de mécanismes de protection des lanceurs d’alerte, de gestion des plaintes et de coordination avec les régulateurs étatiques. Ses pouvoirs incluent l’enquête administrative, les sanctions civiles, la transmission à la justice pénale et la capacité d’engager des poursuites devant les tribunaux fédéraux.

Le droit d’action privé prévu au titre IV est le mécanisme d’application le plus susceptible de générer un véritable changement de comportement, indépendamment des ressources de la DPA. Historiquement, les droits d’action privés en matière de protection des données incitent les organisations à réagir plus fortement que les contrôles administratifs, car les avocats des plaignants agrègent les réclamations et les poursuivent à grande échelle. Le droit d’action privé du CCPA en Californie a déjà généré une forte pression contentieuse ; un droit d’action privé plus large, couvrant les violations des droits individuels et des obligations fondamentales, étendrait cette pression à l’ensemble du cycle de vie de la vie privée.

L’application par les procureurs généraux des États et l’autorisation explicite pour les régulateurs étatiques comme la California Privacy Protection Agency signifient que le texte ne repose pas sur la seule capacité fédérale pour assurer l’application. Au final, la protection de la vie privée passerait d’une division d’environ 40 personnes à la FTC à une agence fédérale dédiée, un droit d’action privé, des actions des procureurs généraux et des régulateurs étatiques, tous opérant en parallèle. C’est l’infrastructure d’application dont dispose le RGPD en Europe, où les amendes ont dépassé 1,2 milliard d’euros en 2024 et 2025 selon le DLA Piper GDPR Fines and Data Breach Survey.

Pourquoi le niveau d’exigence réglementaire augmente, H.R. 8014 ou non

Les chances d’adoption du texte sont faibles dans le Congrès actuel. Le 119e Congrès n’a pas fait avancer de législation ambitieuse sur la vie privée, le projet n’a qu’un sponsor, et l’American Privacy Rights Act de 2024 a échoué après des négociations bipartites. Mais l’action des États rend la question fédérale de plus en plus théorique. L’analyse 2026 de OneTrust dresse l’état des lieux : lois sur la vie privée en vigueur dans le New Jersey, le Tennessee et le Minnesota ; amendements du Connecticut abaissant les seuils et élargissant la notion de données sensibles ; Online Data Privacy Act du Maryland en vigueur au 1er octobre 2025 ; et première amende significative du CCPA en Californie en 2025.

Les lois étatiques sur l’IA ajoutent une couche supplémentaire — Colorado AI Act en 2026, Texas Responsible AI Governance Act en janvier 2026, California AI Transparency Act en 2026 — auxquelles s’ajoutent le renforcement de la protection de l’enfance avec la mise à jour de COPPA et les lois new-yorkaise et du Vermont sur la conception adaptée à l’âge.

Au final, les organisations qui servent des consommateurs américains à grande échelle sont déjà soumises à la plupart des obligations que H.R. 8014 viendrait inscrire dans la loi fédérale : minimisation des données sous Maryland, Connecticut et Colorado ; gouvernance des décisions automatisées sous Colorado, Texas et Californie ; droits d’accès et de suppression dans plus de 20 lois étatiques ; et renforcement de la protection des données sensibles dans la plupart des cadres étatiques. Les organisations qui construisent leur conformité pour ce patchwork multi-États se préparent, de fait, à H.R. 8014 — ou à toute future version fédérale.

La gouvernance au niveau des données comme réponse architecturale

Les obligations spécifiques de H.R. 8014 — minimisation, limitation des finalités, gouvernance de la conservation, respect des droits d’accès, supervision des décisions automatisées, contrôle des accès employés, notification des violations et production de preuves d’audit — ont un point commun architectural. Elles ne sont applicables que si la donnée elle-même porte des propriétés de gouvernance qui subsistent lors de la copie, de la transformation, de l’analyse ou de l’entraînement IA. Une conformité pilotée par la politique documentaire ne suffit pas. Une conformité au niveau applicatif, qui dépend du respect des règles par chaque application, crée des failles aux points d’intégration. Seule une conformité au niveau des données, qui applique les règles de gouvernance à la donnée quel que soit l’outil ou le flux, est capable de s’adapter à l’échelle.

Kiteworks agit comme une couche de contrôle au niveau des données, couvrant la messagerie électronique, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires sécurisés, les API et les intégrations IA. Plusieurs fonctions répondent directement aux exigences de H.R. 8014. Le Data Policy Engine de Kiteworks applique des contrôles d’accès basés sur les attributs à chaque interaction — y compris les restrictions d’accès pour les employés et sous-traitants prévues à la Section 202. Les contrôles de souveraineté et de géorepérage des données répondent aux exigences de juridiction du texte. Les journaux d’audit infalsifiables avec flux SIEM en temps réel produisent des preuves de chaque accès, traitement ou divulgation — la base probante pour les enquêtes de la DPA ou la défense en cas d’action privée. La fonction Compliant AI de Kiteworks étend la gouvernance aux accès des agents IA, garantissant que l’usage des données par l’IA respecte les mêmes règles d’attributs, de consentement et d’audit que les accès humains.

L’enjeu architectural n’est pas de rendre la gouvernance des données indépendante de la compréhension des lois, mais de proposer des contrôles suffisamment uniformes pour s’adapter à l’évolution des textes. Une organisation dont la gouvernance repose sur des contrôles au niveau des données — données taguées, accès par attributs, journaux infalsifiables, preuves d’audit consolidées — s’adapte à la législation suivante sans tout reconstruire. Une organisation dont la gouvernance est ancrée dans la logique applicative et la documentation doit tout réécrire à chaque évolution législative.

Ce que votre programme de conformité doit mettre en place avant la session du Congrès 2027

Premièrement, considérez le patchwork des lois étatiques sur la vie privée comme le socle opérationnel. Le rapport Kiteworks Data Security and Compliance Risk: 2026 Forecast a montré que les organisations utilisant plus de cinq outils distincts pour l’échange sécurisé de données présentent un risque de conformité systématiquement plus élevé. La consolidation sous une gouvernance unifiée simplifie la conformité vis-à-vis du Maryland, du Connecticut, du Colorado, de la Californie et de tout futur socle fédéral.

Deuxièmement, constituez des inventaires de données capables de justifier la minimisation. Si H.R. 8014 ou un texte similaire impose la minimisation avec un droit d’action privé, la question probatoire devient : « Pouvez-vous démontrer que la collecte de chaque jeu de données est nécessaire à un produit ou service demandé par l’utilisateur ? » Les organisations incapables de le prouver à la demande devront engager des coûts importants de mise à niveau lorsque la norme se durcira.

Troisièmement, mettez en place la gouvernance de la conservation au niveau des données et préparez une infrastructure de gestion des demandes d’accès à grande échelle. Le droit à l’impermanence exige la propagation des suppressions dans les pipelines, la confirmation de suppression dans tous les systèmes et la production de preuves pour l’audit. Les demandes d’accès automatisées et en masse augmentent déjà sous les lois étatiques, et la décision de la CJUE en 2026 sur les demandes abusives montre qu’un refus systématique n’est pas défendable.

Quatrièmement, étendez la gouvernance des données aux systèmes IA. Que l’obligation vienne du Colorado AI Act en 2026, des règles ADMT de la CPPA en 2027 ou de H.R. 8014 plus tard, la gouvernance de l’IA devient une obligation de gouvernance des données. L’entraînement des modèles doit respecter la minimisation. Les décisions automatisées affectant des individus doivent prévoir une révision humaine. Les données d’entraînement et les sorties de modèles doivent respecter les droits de conservation et de suppression.

Cinquièmement, faites de la production de preuves d’audit une fonction centrale, et non une réaction en cas d’incident. Quel que soit le dispositif d’application qui s’imposera — DPA, FTC, procureurs généraux, CPPA, plaignants privés — la différence entre un avertissement et une sanction dépend souvent de la qualité des preuves produites. Journaux d’audit infalsifiables, reporting structuré et application uniforme des règles sur tous les canaux de données sont les contrôles qui permettent de produire ces preuves.

L’Online Privacy Act of 2026 pourrait être adopté, bloqué ou remplacé par un autre cadre en 2027 ou 2028. L’orientation réglementaire reste stable dans tous ces scénarios. Les organisations qui considèrent ce texte comme un avant-goût — de ce que le patchwork étatique impose déjà et de ce que le socle fédéral finira par entériner — seront bien mieux préparées que celles qui attendent une résolution législative.