La California Consumer Privacy Act entre en vigueur. Sous cette version US du RGPD

Les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent

En juin 2018, le gouverneur de la Californie, Jerry Brown, a posé sa signature sur la California Consumer Privacy Act (CCPA), un projet de loi régulant la confidentialité des données. L’objectif était de donner aux consommateurs plus de contrôle sur la façon dont les entreprises collectent et gèrent leurs informations personnelles. Sans surprise, la loi qui s'inspire fortement du RGPD européen n’a pas trouvé un écho favorable auprès de grandes enseignes technologiques comme Google qui l’ont jugée trop lourde.

Selon les textes, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.

La loi est entrée en vigueur le 1^er janvier 2020 et chaque violation entraînerait une amende de 7500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.


Qu’est ce que cela signifie concrètement ?

Les renseignements personnels sont définis comme tout élément « pouvant être associé ou pouvant raisonnablement être lié, directement ou indirectement, à un consommateur ou à un ménage particulier ». Cela comprend, sans s’y limiter, la navigation sur Internet et l'historique de recherche, les données biométriques, les données de géolocalisation, les informations sur le travail et l'éducation et divers types d'identifiants tels que noms, alias, adresses postales, adresses IP, adresses e-mail, numéros de permis de conduire et numéros de passeport.

Tout ce qui serait autrement accessible au public ne serait pas protégé par la loi.

Les consommateurs ont le droit de demander toutes les données recueillies par une entreprise jusqu'à deux fois par an, et les entreprises sont tenues de divulguer l'information gratuitement. Les consommateurs ont « le droit de demander à une entreprise de supprimer toute information personnelle concernant le consommateur que l'entreprise a collectée auprès du consommateur ».

Les entreprises qui vendent des renseignements personnels sur les consommateurs à des tiers doivent laisser aux consommateurs la possibilité de retirer leurs informations personnelles de ces ventes à tout moment. La règle est plus stricte pour les enfants, car les entreprises ne sont pas autorisées à vendre des informations personnelles concernant les personnes de moins de 16 ans, sauf si elles reçoivent un « opt-in » de l'enfant ou du parent ou tuteur de l'enfant. Le consentement du parent ou tuteur est nécessaire pour les enfants de moins de 13 ans.

La loi interdit également aux entreprises « de faire de la discrimination sur un consommateur parce que le consommateur a exercé les droits du consommateur en vertu de cette loi, par exemple en facturant des prix ou des taux différents, ou en fournissant un niveau ou une qualité de biens ou de services différents ».

En fait, environ un Américain sur 10 aura le pouvoir d'examiner ses informations personnelles collectées par de grandes entreprises, depuis les historiques d'achat et le suivi de l'emplacement jusqu'aux profils compilés qui répartissent les gens dans des catégories telles que la religion, l'ethnicité et l'orientation sexuelle. Depuis le 1^er janvier, ils peuvent également forcer ces entreprises (y compris les banques, les détaillants et, bien sûr, les entreprises technologiques) à cesser de vendre ces informations ou même à les supprimer en masse.

La loi définit les ventes de données de manière si large qu'elle couvre presque tout partage d'informations qui profite aux entreprises, y compris les transferts de données entre des sociétés affiliées et avec des courtiers en données tiers (des intermédiaires qui échangent des informations personnelles).

On ne sait pas encore comment cela affectera l'activité de la publicité ciblée, dans laquelle des entreprises comme Facebook accumulent des tonnes de données personnelles et les utilisent pour diriger des publicités vers des groupes spécifiques de personnes. Pour sa part, Facebook assure qu'il ne partage pas ces informations personnelles avec les annonceurs.


Les vendeurs au détail ajoute un bouton « Do Not Sell My Info »

Dès le 1^er janvier, les vendeurs au détail ont ajouté un bouton « Do Not Sell My Info » à leur site Web, permettant aux acheteurs californiens d'avoir pour la première fois une idée plus complète des données qu'ils collectent sur eux.

D'autres, comme Home Depot, ont décidé de permettre aux acheteurs non seulement en Californie, mais dans tous les É.-U., d'accéder à ces informations en ligne. Dans ses magasins en Californie, Home Depot a décidé de donner la possibilité aux acheteurs de rechercher les informations dont ils disposent sur eux à l'aide de leurs appareils mobiles et de former les employés du magasin pour répondre aux questions.

Outre les détaillants, la loi affecte un large éventail d'entreprises, y compris les plateformes de médias sociaux telles que Facebook et Google Alphabet, les annonceurs, les développeurs d'applications, les fournisseurs de services mobiles et les services de télévision en continu, et est susceptible de revoir la manière dont les entreprises bénéficient de l'utilisation de renseignements personnels.

Un projet de règlement sur la...