En 2005, le Sénateur démocrate Patrick Leahy du Vermont, avait déposé devant le Sénat américain un projet de loi s’inscrivant à contre-courant de la politique de la sécurité à tout va aux États-Unis. Bien que le mouvement ait été amorcé avant, les attentats du 11 septembre ont provoqué sur le sol américain une vague de lois accordant une véritable force de surveillance aux instances officielles. Selon Leahy, les informations personnelles ne disposent que d’une sécurité très relative.

Le Sénateur s’est adressé mardi à tous ses confrères avec des termes laissant difficilement place à de multiples interprétations : « Aujourd’hui, les Américains vivent dans un monde où leurs informations personnelles les plus sensibles peuvent être consultées et vendues au plus offrant, en à peine quelques frappes de touches sur un ordinateur. Nos lois protégeant la vie privée traînent considérablement derrière les capacités de nos technologies et l’adresse des voleurs d’identité. Cette législation est une étape importante et significative pour aider à refermer cet écart. »

Ce projet de loi, rejeté en 2005 car la majorité l’avait jugé « sans dents pour mordre », se focalise sur l’ensemble des bases de données qui sont accessibles depuis Internet et qui contiennent des informations personnelles. Ce projet soulève deux points capitaux :

• Toute brèche dans la sécurité doit être déclarée
• Le responsable du système d’information concerné pourra être tenu pour responsable d’un vol de données

Leahy a vertement critiqué l’administration Bush pour la création d’une gigantesque base de données pour les besoins de la surveillance territoriale et de la lutte contre le terrorisme. Cette base de données aurait été partagée avec d’autres gouvernements et mêmes certaines sociétés privées sans toutefois permettre aux personnes y figurant de consulter leurs informations. La loi potentielle proposée par Leahy pourrait imposer une série d’audits de sécurité sur de telles bases.

Toutefois, les retombées de ce projet de loi pourraient être lourdes et nombreuses s’il aboutissait. A.J. Law, sur son blog MSDN, s’adresse en particulier aux responsables des services d’informations et autres directeurs informations, très concernés par cette loi en gestation. Il pose une série de questions que, selon lui, tout responsable devrait se poser :

• Avez-vous défini une politique de protection pour les données personnelles ?
• Si oui, avez-vous pleinement partagé cette politique avec votre entreprise ?
• Avez-vous un plan de réponse défini en cas d’incident ?
• Comment communiquerez-vous avec vos clients ?
• Savez-vous si un groupe spécifique devra se réunir pour communiquer en cas de problème ?

Nul doute que les conséquences seront nombreuses si ce projet devient une loi effective. On notera qu'une loi équivalente existe en France depuis 1979, mais elle est rarement appliquée.