Selon les textes, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.
La loi est entrée en vigueur le 1er janvier 2020 et chaque violation entraînerait une amende de 7500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.
gouverneur de la Californie, Jerry Brown
Qu’est ce que cela signifie concrètement ?
Les renseignements personnels sont définis comme tout élément « pouvant être associé ou pouvant raisonnablement être lié, directement ou indirectement, à un consommateur ou à un ménage particulier ». Cela comprend, sans s’y limiter, la navigation sur Internet et l'historique de recherche, les données biométriques, les données de géolocalisation, les informations sur le travail et l'éducation et divers types d'identifiants tels que noms, alias, adresses postales, adresses IP, adresses e-mail, numéros de permis de conduire et numéros de passeport.
Tout ce qui serait autrement accessible au public ne serait pas protégé par la loi.
Les consommateurs ont le droit de demander toutes les données recueillies par une entreprise jusqu'à deux fois par an, et les entreprises sont tenues de divulguer l'information gratuitement. Les consommateurs ont « le droit de demander à une entreprise de supprimer toute information personnelle concernant le consommateur que l'entreprise a collectée auprès du consommateur ».
Les entreprises qui vendent des renseignements personnels sur les consommateurs à des tiers doivent laisser aux consommateurs la possibilité de retirer leurs informations personnelles de ces ventes à tout moment. La règle est plus stricte pour les enfants, car les entreprises ne sont pas autorisées à vendre des informations personnelles concernant les personnes de moins de 16 ans, sauf si elles reçoivent un « opt-in » de l'enfant ou du parent ou tuteur de l'enfant. Le consentement du parent ou tuteur est nécessaire pour les enfants de moins de 13 ans.
La loi interdit également aux entreprises « de faire de la discrimination sur un consommateur parce que le consommateur a exercé les droits du consommateur en vertu de cette loi, par exemple en facturant des prix ou des taux différents, ou en fournissant un niveau ou une qualité de biens ou de services différents ».
En fait, environ un Américain sur 10 aura le pouvoir d'examiner ses informations personnelles collectées par de grandes entreprises, depuis les historiques d'achat et le suivi de l'emplacement jusqu'aux profils compilés qui répartissent les gens dans des catégories telles que la religion, l'ethnicité et l'orientation sexuelle. Depuis le 1er janvier, ils peuvent également forcer ces entreprises (y compris les banques, les détaillants et, bien sûr, les entreprises technologiques) à cesser de vendre ces informations ou même à les supprimer en masse.
La loi définit les ventes de données de manière si large qu'elle couvre presque tout partage d'informations qui profite aux entreprises, y compris les transferts de données entre des sociétés affiliées et avec des courtiers en données tiers (des intermédiaires qui échangent des informations personnelles).
On ne sait pas encore comment cela affectera l'activité de la publicité ciblée, dans laquelle des entreprises comme Facebook accumulent des tonnes de données personnelles et les utilisent pour diriger des publicités vers des groupes spécifiques de personnes. Pour sa part, Facebook assure qu'il ne partage pas ces informations personnelles avec les annonceurs.
Les vendeurs au détail ajoute un bouton « Do Not Sell My Info »
Dès le 1er janvier, les vendeurs au détail ont ajouté un bouton « Do Not Sell My Info » à leur site Web, permettant aux acheteurs californiens d'avoir pour la première fois une idée plus complète des données qu'ils collectent sur eux.
D'autres, comme Home Depot, ont décidé de permettre aux acheteurs non seulement en Californie, mais dans tous les É.-U., d'accéder à ces informations en ligne. Dans ses magasins en Californie, Home Depot a décidé de donner la possibilité aux acheteurs de rechercher les informations dont ils disposent sur eux à l'aide de leurs appareils mobiles et de former les employés du magasin pour répondre aux questions.
Outre les détaillants, la loi affecte un large éventail d'entreprises, y compris les plateformes de médias sociaux telles que Facebook et Google Alphabet, les annonceurs, les développeurs d'applications, les fournisseurs de services mobiles et les services de télévision en continu, et est susceptible de revoir la manière dont les entreprises bénéficient de l'utilisation de renseignements personnels.
Un projet de règlement sur la loi a été publié en octobre. Les détaillants ne prévoyaient pas devoir ajouter des affiches dans leurs magasins, ce qui est requis par la réglementation, mais ne faisait pas partie de la loi d'origine. Exiger des affiches dans les magasins n'est pas une utilisation efficace de l'argent des détaillants, a déclaré Nicholas Ahrens, vice-président de la Retail Industry Leaders Association, qui dirige sa politique technologique.
Une source Walmart connaissant le sujet a déclaré à Reuters que la société « contourne de nombreuses ambiguïtés dans la loi, par exemple, le langage des programmes de fidélité et si les sociétés de vente au détail peuvent les proposer à l'avenir ».
Il y a également un manque de clarté sur ce qui constitue une « vente » d'informations, ont déclaré des lobbyistes et des avocats du commerce de détail.
La porte-parole de Target, Jessica Carlson, a déclaré qu'un bouton « Do Not Sell My Info » sera visible par tous les acheteurs américains sur son site Web et que les résidents de Californie auront accès aux informations décrites dans la nouvelle loi. Target permet déjà à ses acheteurs de refuser de partager leurs informations avec des tiers à des fins de marketing, a-t-elle déclaré.
Amazon.com Inc adopte une approche différente. « Nous ne prévoyons pas de mettre un bouton "Do Not Sell My Info" sur notre site Web, car Amazon n'a pas pour vocation de vendre les données personnelles des clients et cela n'a jamais été le cas », a déclaré une porte-parole de la société dans un communiqué.
Amazon va faire une mise à jour de sa politique de confidentialité révisée et examinera la réglementation finale pour « comprendre quelle signalisation peut être nécessaire pour informer les clients sur la façon dont ils peuvent trouver l'avis de confidentialité dans ses magasins », a ajouté la porte-parole.
Supprimer mes données
Walmart et Amazon ont intensifié leurs investissements dans l'élaboration de « cartes de données » au cours des derniers mois, ce qui leur permet de rassembler l'étendue des informations personnelles collectées par différentes unités commerciales, où et comment ces informations sont stockées, ce qu'elles en font et avec qui il est partagé, ont indiqué des sources à Reuters.
Une source à Walmart a déclaré que les différentes équipes commerciales de l'entreprise, parmi lesquelles les équipes techniques, marketing, publicité, paiements et sécurité, investissent des ressources dans l'audit et prennent des décisions sur la façon de répondre aux demandes des clients de voir leurs données ou de ceux qui demandent leur suppression.
Une étude d'impact économique préparée pour le bureau du procureur général de Californie par une firme de recherche indépendante a révélé que la conformité aux réglementations coûtera aux entreprises entre 467 millions et 16,5 milliards de dollars entre 2020 et 2030. L'industrie estime que les coûts initiaux de mise en conformité sont supérieurs à 50 milliards de dollars.
Le procureur général de Californie a récemment déclaré à Reuters dans une interview que l'application des lois sur la protection de la vie privée se penchera avec bonté sur ceux qui font preuve d'un effort pour se conformer. Mais des sources ont déclaré à Reuters qu’elles s’attendaient à ce que les avocats plaignants intègrent des actions en justice au cours de la nouvelle année contre un éventail d’entreprises qui pourraient ne pas respecter les exigences de la loi.
De nombreuses entreprises concernées par la loi ont exercé de fortes pressions en faveur d'un projet de loi fédéral sur la protection des renseignements personnels qui pourrait l'emporter sur la loi en Californie. Mais leurs efforts n'ont jusqu'à présent guère progressé.
Comment les entreprises pourraient éviter de se conformer à la loi ?
La loi californienne est le plus grand effort américain à ce jour pour faire face au « capitalisme de surveillance », l'activité consistant à profiter des données que la plupart des internautes abandonnent (souvent à leur insu) pour accéder à des services gratuits et souvent financés par la publicité. La loi a été mise sur pieds pour tous ceux qui se sont étonnés lorsqu'une publicité concernant un produit sur lequel ils ont fait une recherche est apparue, ou ceux qui ce sont demandé quel pourcentage de leur vie privée ils abandonnaient en se connectant à l'outil de changement de visage brièvement populaire FaceApp.
Bien sûr il y a des failles. La California Consumer Privacy Act, ou CCPA semble susceptible de soulever des contestations judiciaires, dont certaines pourraient soulever des objections constitutionnelles sur sa large portée. Elle est également remplie d'exceptions qui pourraient transformer certaines protections apparemment larges en tamis à gros grains et n'affecte que les informations collectées par les entreprises et non par le gouvernement.
Par exemple, si vous êtes alarmé après avoir examiné les données que Lyft détient sur vous, vous pouvez demander à l'entreprise de les supprimer. Ce qu'il devra faire légalement à moins qu'il ne prétende que certaines informations répondent à l'une des nombreuses exceptions de la loi, parmi lesquelles des dispositions qui permettent aux entreprises de continuer à détenir les informations nécessaires pour terminer une transaction ou de les conserver d'une manière à laquelle vous devriez « raisonnablement » vous attendre.
« Il s'agit plus d'un "droit de demander et d'espérer une suppression" », explique Joseph Jerome, directeur des politiques au sein du groupe de confidentialité Common Sense Media / Kids Action.
Un problème plus fondamental, cependant, est que les Californiens sont en grande partie seuls à trouver comment utiliser leurs nouveaux droits. Pour rendre la loi efficace, ils devront prendre l'initiative de se retirer de la vente de données, demander leurs propres informations et déposer des dommages-intérêts en cas de violation de données.
« Si vous ne lisez même pas les accords de confidentialité que vous signez, allez-vous vraiment demander vos données ? » demande Margot Kaminski, professeur agrégé de droit à l'Université du Colorado qui étudie le droit et la technologie. « Allez-vous comprendre tous les termes juridiques sur les accords de confidentialité ? Les passerez-vous au crible lorsque vous les lirez ? »
Source : Reuters
Et vous ?
Dans la mesure où peu d'internautes lisent les politiques de confidentialité avant de souscrire à un service, cette loi vous semble-t-elle pertinente ?
Que pensez-vous de l'essence même de cette loi ?
Vient-elle mettre en péril le modèle économique construit par des entreprises comme Facebook et Google ?
Voir aussi :
Un camion autonome a livré du beurre de la Californie en Pennsylvanie en trois jours, dans ce qui semble être une première dans l'industrie du fret commercial, selon un rapport
La Californie sévit contre les deepfakes politiques et pornographiques avec deux nouveaux projets de loi, les résidents pourront poursuivre quiconque met leur image dans du porno sans consentement
Tesla et Elon Musk ont enfreint la loi dans un différend syndical-patronal, estime un juge de la Californie, mais l'entreprise peut encore faire appel
Dragonfly Futurefön : le téléphone à financement participatif du futur était une arnaque, un homme d'affaires californien reconnu coupable devant un tribunal de Chicago