Comment la Big Tech influence les lois sur la confidentialité

Fin 2019, le sénateur de l'État de l'Utah, Kirk Cullimore, a reçu un appel téléphonique de l'un de ses électeurs, un avocat qui représentait des entreprises technologiques en Californie.

"Il a dit:" Je pense que les entreprises que je représente aimeraient avoir des lignes claires sur ce qu'elles peuvent faire dans l'Utah "", a déclaré Cullimore à The Markup.

À l'époque, les entreprises technologiques de Californie avaient du mal à se conformer à une nouvelle loi d'État qui donnait aux Californiens le contrôle des données que les entreprises recueillent et vendent régulièrement sur leurs activités en ligne.

L'avocat, que Cullimore et son bureau n'ont pas identifié, a raconté à quel point ses entreprises clientes trouvaient les règles contraignantes, se souvient Cullimore, et a suggéré que l'Utah adopte de manière proactive sa propre loi sur la confidentialité des consommateurs, favorable aux entreprises.

« Il a dit : 'Je veux rendre cela facile afin que les consommateurs puissent faire usage de leurs droits et que la conformité soit également facile pour les entreprises. Il m'a en fait envoyé une suggestion de formulation [pour un projet de loi] qui n'était pas très complexe », a déclaré Cullimore à The Markup. "J'ai présenté le projet de loi comme ça."

Ce qui a suivi au cours des deux années suivantes a été une campagne d'influence à plusieurs volets tout droit sortie d'un livre de jeu que Big Tech déploie dans tout le pays en réponse à la législation sur la protection de la vie privée des consommateurs.

Il est courant pour les industries de faire pression sur les législateurs sur des questions affectant leurs activités. Mais il existe une énorme disparité dans la bataille État par État sur la législation sur la protection de la vie privée entre les lobbyistes technologiques bien financés et bien organisés et leur opposition aux défenseurs des consommateurs relativement dispersés et aux politiciens soucieux de la vie privée, a constaté The Markup.

Au cours des sessions législatives de 2021 et 2022 de l'Utah - lorsque le projet de loi de Cullimore a fait son chemin à travers la législature - Amazon, Apple, Facebook, Google et Microsoft ont enregistré collectivement 23 lobbyistes actifs dans l'État, selon leurs divulgations de lobbying.

Treize de ces lobbyistes ne s'étaient jamais enregistrés auparavant pour travailler dans l'État, et certains d'entre eux ont joué un rôle déterminant dans l'élaboration de la législation de Cullimore.

Par exemple, lorsque Cullimore a introduit un langage de substitution dans son projet de loi lors d'une audience en février, il l'a fait avec l'aide d'Anton van Seventer, un lobbyiste de la State Privacy and Security Coalition, une organisation à but non lucratif créée par une poignée des plus grandes sociétés de technologie, de vente au détail du pays. , et les agences de publicité.

Le seul groupe de défense qui a appelé à une protection renforcée des consommateurs lors des audiences publiques sur la loi sur la protection de la vie privée de l'Utah était Consumer Reports.

En mars, le gouverneur de l'Utah, Spencer Cox, a promulgué le projet de loi de Cullimore - une nette victoire pour Big Tech et la stratégie que l'industrie a développée pour faire face à une menace croissante pour son modèle commercial.

Nous avons examiné les témoignages d'audiences publiques, les commentaires publics et les dossiers de lobbying dans les 31 États qui ont examiné la législation sur la confidentialité des données des consommateurs depuis 2021 et avons trouvé une campagne nationale coordonnée par Big Tech pour modeler les règles à sa guise - une démonstration de la puissance des entreprises technologiques peut être lorsqu'ils s'unissent autour d'un programme commun .

Pas seulement en Utah, mais en Virginie, à Washington et au Minnesota, les entreprises technologiques ont fourni un projet de texte qui a conduit à l'introduction de projets de loi sur la confidentialité favorables à l'industrie, selon les législateurs interrogés par The Markup et les précédents rapports de Protocol .

Des organisations à but non lucratif financées par Big Tech comme TechNet, la State Privacy and Security Coalition et l'Internet Association ont voyagé d'un État à l'autre pour encourager les législateurs à « refléter » ces projets de loi rédigés par l'industrie.

Les représentants de TechNet, par exemple, ont témoigné ou fourni des commentaires écrits sur les projets de loi sur la confidentialité dans au moins 10 États depuis 2021, plus que toute autre organisation, selon notre analyse des dossiers législatifs des États.

Des lobbyistes et des entreprises de lobbying dans 31 États représentant des entreprises et des organisations technologiques alors que ces États envisageaient une législation sur la protection de la vie privée.

Et les lobbyistes sont venus en masse : nous avons compté 445 lobbyistes et sociétés de lobbying qui représentaient activement Amazon, Apple, Google, Meta, Microsoft, TechNet et la State Privacy and Security Coalition dans les 31 États que nous avons examinés, au cours de la législature de ces États. envisageaient de légiférer sur la protection de la vie privée.

Beaucoup d'entre eux se sont enregistrés comme lobbyistes pour la première fois dans les semaines qui ont immédiatement précédé ou suivi l'introduction d'un projet de loi sur la protection de la vie privée.

Des informations à jour sur le lobbying n'étaient pas disponibles dans plusieurs États, de sorte que le décompte est probablement un sous-dénombrement.

Les entreprises n'emploient pas seulement des tactiques similaires, elles emploient les mêmes personnes - 75 des lobbyistes que nous avons identifiés sont affiliés à une seule entreprise basée à Sausalito, en Californie, Politicom Law.

Nous avons trouvé des lobbyistes affiliés à Politicom travaillant pour le compte d'Apple, Google, Meta et Microsoft dans 21 États qui ont envisagé une législation sur la confidentialité.

"Pendant un certain temps, de nombreuses entreprises espéraient une loi fédérale qui prévaudrait sur tout", a déclaré Justin Brookman, directeur de la politique de confidentialité et de technologie pour Consumer Reports, qui a fait pression en faveur de protections plus strictes de la vie privée des consommateurs dans de nombreux États.

"Mais étant donné que les choses ne bougent pas au niveau fédéral, nous les avons vus se déployer et pousser de manière plus proactive une législation faible."

Bien que les tactiques varient d'un État à l'autre, le message et les demandes sont clairs : les grandes technologies veulent des lois qui interdisent aux consommateurs d'intenter des poursuites privées contre les entreprises qui enfreignent les règles, qui définissent étroitement ce qui constitue la "vente" de données et qui obligent les consommateurs à se retirer. de la collecte et du suivi des données sur chaque site Web qu'ils visitent plutôt que d'honorer ce que l'on appelle un opt-out global .

Microsoft a refusé de commenter cette histoire, tandis qu'Apple et Amazon n'ont pas répondu aux demandes de commentaires. Google et Facebook ont tous deux pris leurs distances avec les groupes industriels dont ils sont membres.

"Nous soutenons ouvertement un certain nombre d'organisations qui défendent des politiques qui aident les consommateurs, et nous sommes clairs sur le fait que notre parrainage ne signifie pas que nous approuvons l'ensemble du programme de cette organisation", a déclaré le porte-parole de Google, Matt Bryant, dans un communiqué.

"Bien que nous participions activement à ces discussions et que nous pensions que la résolution collaborative de problèmes est le meilleur moyen de résoudre un problème et d'avoir le plus grand impact, nous ne sommes pas toujours d'accord avec toutes les politiques ou positions adoptées par les organisations individuelles ou leurs dirigeants", a déclaré Andy Stone, porte-parole de Facebook. a dit.

"Les nouvelles lois sur la protection de la vie privée devraient fournir de solides garanties aux consommateurs tout en permettant à l'industrie de continuer à innover", a déclaré le vice-président de la politique d'État et des relations gouvernementales de TechNet, David Edmonson, dans un communiqué.

« La State Privacy & Security Coalition estime que les consommateurs méritent des réglementations claires qui améliorent la transparence et protègent leurs données ; et les entreprises ont besoin de prévisibilité et de stabilité pour mettre en œuvre correctement les protections de confidentialité et de sécurité », a déclaré Andrew Kingman, porte-parole de la State Privacy and Security Coalition, dans un e-mail.

Rédaction des règles

En 2021, la Virginie est devenue le deuxième État après la Californie à promulguer une loi sur la confidentialité des données des consommateurs.

Le principal sponsor du projet de loi, le sénateur d'État Dave Marsden, a déclaré à The Markup dans une interview que le premier projet de loi avait été rédigé par un lobbyiste d'Amazon. Protocol a été le premier à signaler cette connexion.

L'influence de l'industrie sur la langue ne s'est pas arrêtée là.

Par exemple, Marsden a déclaré à The Markup que lui et ses collègues comptaient beaucoup sur les experts du forum à but non lucratif Future of Privacy pour "répondre de manière neutre aux questions" sur la confidentialité des données pendant qu'ils rédigeaient le projet de loi.

Cette expertise neutre, cependant, a été financée en grande partie par l'industrie technologique.

Le Future of Privacy Forum reçoit des fonds d'Amazon, d'Apple, de Google, de Facebook et de Microsoft, ainsi que de groupes industriels comme l'Interactive Advertising Bureau et DLA Piper, le cabinet d'avocats à l'origine de la State Privacy and Security Coalition.

Nancy Levesque, directrice des communications pour le Future of Privacy Forum, a déclaré à The Markup que les grandes entreprises technologiques ne fournissent qu'un "petit pourcentage" du financement du groupe et que l'organisation à but non lucratif ne coordonne pas ses activités politiques avec leurs bailleurs de fonds.

« Les donateurs ne définissent pas notre agenda politique. La FPF soutient une législation solide et complète sur la protection de la vie privée », a-t-elle écrit dans une déclaration envoyée par courrier électronique.

Mais la page des supporters du Future of Privacy Forum montre que plus de 75% des bailleurs de fonds du groupe sont des entreprises technologiques. Et en 2020, l'année la plus récente pour laquelle de telles informations sont disponibles, 66 % des revenus de subventions et de contributions du groupe provenaient de seulement deux donateurs, selon les états financiers audités de l'organisation à but non lucratif.

Le document n'identifie pas les donateurs et l'organisation n'a pas répondu aux demandes de commentaires sur qui ils étaient.

Après l'adoption de la loi de Virginie , l'avocate principale du Future of Privacy Forum, Stacey Gray, a également reçu un siège au sein d'un comité de 10 membres chargé de faire des recommandations sur la manière dont la loi, qui n'entrera en vigueur qu'en 2023, devrait être mise en œuvre.

Également au comité : Jim Halpert, ancien avocat général de la State Privacy and Security Coalition, et Keir Lamont, de la Computer and Communications Industry Association. Plus d'un tiers des membres de la CCIA financent également le Future of Privacy Forum.

Il n'y avait aucun représentant de groupes de consommateurs ou de protection de la vie privée au sein du comité.

"Nous avons le monde des affaires derrière et certaines personnes sont intéressées parce que les personnes les plus touchées sont celles qui l'ont écrit et ainsi de suite", a déclaré Marsden. "Mais il n'y avait personne d'autre qui essayait d'écrire quoi que ce soit."

Dominer le débat public

La signature de la Virginia Consumer Data Protection Act en avril 2021 a été une victoire sans précédent pour Big Tech, et dans les mois qui ont suivi, les alliés de l'industrie ont sillonné le pays pour exhorter les autres États à emboîter le pas, selon l'examen des commentaires publics de The Markup. et entendre des témoignages.

Dans son commentaire public sur le projet de loi sur la protection de la vie privée d'Hawaï, la State Privacy and Security Coalition a demandé aux législateurs de supprimer leur projet de loi sur la confidentialité des données, car il ne respectait pas suffisamment le modèle de Virginie. La loi hawaïenne sur la protection de la vie privée n'a vu aucune activité depuis février.

Au Vermont, TechNet a exhorté les législateurs à s'inspirer «d'expériences plus récentes dans des États comme la Virginie» plutôt que de suivre l'approche de la Californie.

Et dans le Minnesota, l'Internet Association a encouragé la législature à « refléter » la loi de Virginie. Aucune des deux lois n'a été renvoyée au comité depuis.

Dans certains cas, les représentants de ces groupes ont été présentés comme des experts neutres en la matière à d'autres législateurs.

Par exemple, lorsque les législateurs du Minnesota se sont réunis le 27 septembre 2021 pour une audience sur un projet de loi sur la protection de la vie privée, ils ont écouté les présentations de deux experts que le parrain du projet de loi, le représentant Steve Elkins, avait invités à prendre la parole.

Les experts étaient Gray, du Future of Privacy Forum, et Halpert, l'ancien avocat général de la State Privacy and Security Coalition.

Au cours de leurs présentations, Gray n'a pas discuté du financement que Future of Privacy Forum reçoit de l'industrie technologique et Halpert n'a été répertorié qu'en tant qu'avocat chez DLA Piper.

Dans d'autres cas, les législateurs peuvent avoir l'impression qu'ils entendent un ensemble diversifié de parties intéressées alors qu'en réalité, plusieurs groupes représentent la même entreprise.

Par exemple, en Alaska, les dossiers montrent que Microsoft a soumis des commentaires publics sur le projet de loi sur la confidentialité proposé par l'État, tout comme la Software Alliance, un groupe commercial fondé par Microsoft.

Quatre autres groupes auxquels Microsoft appartient – l'Association of National Advertisers, la Digital Advertising Alliance, l'Interactive Advertising Bureau et la Network Advertising Initiative – ont également soumis des commentaires publics aux législateurs de l'Alaska.

La loi n'a pas bougé depuis février.

Le résultat final, disent les défenseurs de la vie privée, est qu'ils sont noyés lors des débats publics par le réseau de lobbyistes et d'organisations à but non lucratif de Big Tech.

"Le nombre de personnes et de types d'organisations qui signent pour partager leur position sur ce projet de loi a souvent influencé les législateurs dans la décision de voter pour un projet de loi, contre le projet de loi ou simplement de poser des questions importantes", a déclaré Jennifer. Lee, chef de projet technologie et liberté à l'ACLU de Washington.

Le Washington Privacy Act, que les groupes locaux de protection de la vie privée et de consommateurs ont vigoureusement combattu, n'a pas réussi à passer plusieurs années de suite, mais a été réintroduit chaque année.

Lobbying dans les coulisses

L'aspect le plus opaque de la campagne d'influence de Big Tech a été les efforts de lobbying coordonnés de l'industrie.

De nombreux États n'exigent pas que les lobbyistes divulguent la législation sur laquelle ils ont travaillé ou comment ils ont cherché à l'influencer, mais ceux qui le font offrent une petite fenêtre sur le fonctionnement de Big Tech.

Lorsque le Colorado a commencé à envisager un projet de loi sur la confidentialité des données en 2021, les lobbyistes de la technologie se sont abattus sur l'État.

Apple, Amazon, Facebook, Google et Microsoft ont enregistré un total de 15 lobbyistes qui ont déclaré travailler pour influencer le projet de loi, selon leurs déclarations de lobbying. C'était une équipe similaire à celles que Big Tech a déployées ailleurs.

Environ un tiers des 16 lobbyistes des Big Tech qui ont travaillé sur le projet de loi du Colorado – deux employés par Facebook, deux par Google et un par Apple – sont affiliés à Politicom Law, la société de lobbying californienne que The Markup a trouvée représentant les entreprises Big Tech sur la vie privée factures à travers le pays.

Les lobbyistes du Colorado comprenaient également certains des influenceurs les plus prolifiques de Big Tech, dont Ron Barnes, le chef des affaires législatives de Google, qui s'est enregistré en tant que lobbyiste dans cinq des 31 États qui ont envisagé une législation sur la protection de la vie privée depuis 2021.

Seul Joseph Dooley, responsable des politiques chez Google, a fait pression au nom de Big Tech dans autant d'États que Barnes, selon l'examen des dossiers de lobbying par The Markup.

Le gouverneur du Colorado, Jared Polis, a signé le Colorado Privacy Act en juillet dernier.

La nature secrète du travail de lobbying, combinée à la faiblesse des lois sur la transparence de nombreux États, rend impossible de quantifier la façon dont le blitz de lobbying de Big Tech a façonné la législation. Mais les défenseurs de la vie privée disent que les chiffres sont suffisants dans certains cas pour submerger les législateurs.

"C'est juste un jeu de chiffres", a déclaré Maureen Mahoney, une ancienne analyste des politiques pour Consumer Reports qui a témoigné sur les factures de confidentialité dans plusieurs États.

"Si vous avez un ou deux défenseurs qui disent : 'Je veux un tas de changements à ces projets de loi pour repousser l'industrie', mais que vous avez 20 lobbyistes qui vous disent qu'ils vont tuer votre projet de loi à moins que vous ne le preniez modifier, les législateurs veulent que leurs projets de loi bougent.

Cette disparité a influencé la façon dont les principaux législateurs perçoivent les opinions du public sur la vie privée.

"Les groupes de défense de la confidentialité des données n'étaient absolument pas préparés et dormaient au moment où cette législation était en train de tomber", a déclaré Marsden, le parrain de la loi de Virginie, à The Markup.

« Je pense que le public est largement indifférent aux questions de confidentialité des données. C'est juste une gêne que beaucoup de gens sont prêts à supporter.

Les groupes de protection de la vie privée disent qu'ils n'ont pas dormi; ils ne peuvent tout simplement pas mener la bataille multi-États que Big Tech mène. Et les sondages suggèrent que les Américains sont préoccupés par leur vie privée en ligne ; ils ne savent tout simplement pas quoi faire à ce sujet.

«Ce fut cette poussée nationale coordonnée pour faire avancer des projets de loi sur la confidentialité vraiment faibles. Nous nous sommes définitivement sentis en infériorité numérique », a déclaré Lee, de l'ACLU de Washington. "Ils disposent d'énormes ressources et de temps pour vraiment influencer les conversations qui se déroulent à l'Assemblée législative."

Correction

Cette histoire a été mise à jour après qu'une version antérieure ait mal énoncé le prénom du gouverneur du Colorado, Jared Polis.

Par Todd Feathers et Alfred Ng

Également publié ici

Photo de Joakim Honkasalo sur Unsplash