La California Consumer Privacy Act entre en vigueur. Sous cette version US du RGPD

Les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent

En juin 2018, le gouverneur de la Californie, Jerry Brown, a posé sa signature sur la California Consumer Privacy Act (CCPA), un projet de loi régulant la confidentialité des données. L’objectif était de donner aux consommateurs plus de contrôle sur la façon dont les entreprises collectent et gèrent leurs informations personnelles. Sans surprise, la loi qui s'inspire fortement du RGPD européen n’a pas trouvé un écho favorable auprès de grandes enseignes technologiques comme Google qui l’ont jugée trop lourde.

Selon les textes, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.

La loi est entrée en vigueur le 1^er janvier 2020 et chaque violation entraînerait une amende de 7500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.


Qu’est ce que cela signifie concrètement ?

Les renseignements personnels sont définis comme tout élément « pouvant être associé ou pouvant raisonnablement être lié, directement ou indirectement, à un consommateur ou à un ménage particulier ». Cela comprend, sans s’y limiter, la navigation sur Internet et l'historique de recherche, les données biométriques, les données de géolocalisation, les informations sur le travail et l'éducation et divers types d'identifiants tels que noms, alias, adresses postales, adresses IP, adresses e-mail, numéros de permis de conduire et numéros de passeport.

Tout ce qui serait autrement accessible au public ne serait pas protégé par la loi.

Les consommateurs ont le droit de demander toutes les données recueillies par une entreprise jusqu'à deux fois par an, et les entreprises sont tenues de divulguer l'information gratuitement. Les consommateurs ont « le droit de demander à une entreprise de supprimer toute information personnelle concernant le consommateur que l'entreprise a collectée auprès du consommateur ».

Les entreprises qui vendent des renseignements personnels sur les consommateurs à des tiers doivent laisser aux consommateurs la possibilité de retirer leurs informations personnelles de ces ventes à tout moment. La règle est plus stricte pour les enfants, car les entreprises ne sont pas autorisées à vendre des informations personnelles concernant les personnes de moins de 16 ans, sauf si elles reçoivent un « opt-in » de l'enfant ou du parent ou tuteur de l'enfant. Le consentement du parent ou tuteur est nécessaire pour les enfants de moins de 13 ans.

La loi interdit également aux entreprises « de faire de la discrimination sur un consommateur parce que le consommateur a exercé les droits du consommateur en vertu de cette loi, par exemple en facturant des prix ou des taux différents, ou en fournissant un niveau ou une qualité de biens ou de services différents ».

En fait, environ un Américain sur 10 aura le pouvoir d'examiner ses informations personnelles collectées par de grandes entreprises, depuis les historiques d'achat et le suivi de l'emplacement jusqu'aux profils compilés qui répartissent les gens dans des catégories telles que la religion, l'ethnicité et l'orientation sexuelle. Depuis le 1^er janvier, ils peuvent également forcer ces entreprises (y compris les banques, les détaillants et, bien sûr, les entreprises technologiques) à cesser de vendre ces informations ou même à les supprimer en masse.

La loi définit les ventes de données de manière si large qu'elle couvre presque tout partage d'informations qui profite aux entreprises, y compris les transferts de données entre des sociétés affiliées et avec des courtiers en données tiers (des intermédiaires qui échangent des informations personnelles).

On ne sait pas encore comment cela affectera l'activité de la publicité ciblée, dans laquelle des entreprises comme Facebook accumulent des tonnes de données personnelles et les utilisent pour diriger des publicités vers des groupes spécifiques de personnes. Pour sa part, Facebook assure qu'il ne partage pas ces informations personnelles avec les annonceurs.


Les vendeurs au détail ajoute un bouton « Do Not Sell My Info »

Dès le 1^er janvier, les vendeurs au détail ont ajouté un bouton « Do Not Sell My Info » à leur site Web, permettant aux acheteurs californiens d'avoir pour la première fois une idée plus complète des données qu'ils collectent sur eux.

D'autres, comme Home Depot, ont décidé de permettre aux acheteurs non seulement en Californie, mais dans tous les É.-U., d'accéder à ces informations en ligne. Dans ses magasins en Californie, Home Depot a décidé de donner la possibilité aux acheteurs de rechercher les informations dont ils disposent sur eux à l'aide de leurs appareils mobiles et de former les employés du magasin pour répondre aux questions.

Outre les détaillants, la loi affecte un large éventail d'entreprises, y compris les plateformes de médias sociaux telles que Facebook et Google Alphabet, les annonceurs, les développeurs d'applications, les fournisseurs de services mobiles et les services de télévision en continu, et est susceptible de revoir la manière dont les entreprises bénéficient de l'utilisation de renseignements personnels.

Un projet de règlement sur la loi a été publié en octobre. Les détaillants ne prévoyaient pas devoir ajouter des affiches dans leurs magasins, ce qui est requis par la réglementation, mais ne faisait pas partie de la loi d'origine. Exiger des affiches dans les magasins n'est pas une utilisation efficace de l'argent des détaillants, a déclaré Nicholas Ahrens, vice-président de la Retail Industry Leaders Association, qui dirige sa politique technologique.

Une source Walmart connaissant le sujet a déclaré à Reuters que la société « contourne de nombreuses ambiguïtés dans la loi, par exemple, le langage des programmes de fidélité et si les sociétés de vente au détail peuvent les proposer à l'avenir ».

Il y a également un manque de clarté sur ce qui constitue une « vente » d'informations, ont déclaré des lobbyistes et des avocats du commerce de détail.

La porte-parole de Target, Jessica Carlson, a déclaré qu'un bouton « Do Not Sell My Info » sera visible par tous les acheteurs américains sur son site Web et que les résidents de Californie auront accès aux informations décrites dans la nouvelle loi. Target permet déjà à ses acheteurs de refuser de partager leurs informations avec des tiers à des fins de marketing, a-t-elle déclaré.

Amazon.com Inc adopte une approche différente. « Nous ne prévoyons pas de mettre un bouton "Do Not Sell My Info" sur notre site Web, car Amazon n'a pas pour vocation de vendre les données personnelles des clients et cela n'a jamais été le cas », a déclaré une porte-parole de la société dans un communiqué.

Amazon va faire une mise à jour de sa politique de confidentialité révisée et examinera la réglementation finale pour « comprendre quelle signalisation peut être nécessaire pour informer les clients sur la façon dont ils peuvent trouver l'avis de confidentialité dans ses magasins », a ajouté la porte-parole.

Supprimer mes données

Walmart et Amazon ont intensifié leurs investissements dans l'élaboration de « cartes de données » au cours des derniers mois, ce qui leur permet de rassembler l'étendue des informations personnelles collectées par différentes unités commerciales, où et comment ces informations sont stockées, ce qu'elles en font et avec qui il est partagé, ont indiqué des sources à Reuters.

Une source à Walmart a déclaré que les différentes équipes commerciales de l'entreprise, parmi lesquelles les équipes techniques, marketing, publicité, paiements et sécurité, investissent des ressources dans l'audit et prennent des décisions sur la façon de répondre aux demandes des clients de voir leurs données ou de ceux qui demandent leur suppression.

Une étude d'impact économique préparée pour le bureau du procureur général de Californie par une firme de recherche indépendante a révélé que la conformité aux réglementations coûtera aux entreprises entre 467 millions et 16,5 milliards de dollars entre 2020 et 2030. L'industrie estime que les coûts initiaux de mise en conformité sont supérieurs à 50 milliards de dollars.

Le procureur général de Californie a récemment déclaré à Reuters dans une interview que l'application des lois sur la protection de la vie privée se penchera avec bonté sur ceux qui font preuve d'un effort pour se conformer. Mais des sources ont déclaré à Reuters qu’elles s’attendaient à ce que les avocats plaignants intègrent des actions en justice au cours de la nouvelle année contre un éventail d’entreprises qui pourraient ne pas respecter les exigences de la loi.

De nombreuses entreprises concernées par la loi ont exercé de fortes pressions en faveur d'un projet de loi fédéral sur la protection des renseignements personnels qui pourrait l'emporter sur la loi en Californie. Mais leurs efforts n'ont jusqu'à présent guère progressé.

Comment les entreprises pourraient éviter de se conformer à la loi ?

La loi californienne est le plus grand effort américain à ce jour pour faire face au « capitalisme de surveillance », l'activité consistant à profiter des données que la plupart des internautes abandonnent (souvent à leur insu) pour accéder à des services gratuits et souvent financés par la publicité. La loi a été mise sur pieds pour tous ceux qui se sont étonnés...