La législation sur la protection des données personnelles adoptée en Californie pourrait constituer la première étape d’une régulation à l’échelon fédéral.Le California Consumer Privacy Act (CCPA), qui vise à protéger les données en ligne des Californiens, est entré en vigueur le 1er janvier dernier. Souvent qualifié de « RGPD californien », étant donné les nombreuses similitudes entre les deux lois, il s'agit de l'arsenal législatif le plus ambitieux adopté à ce jour par un État américain autour de la protection des données personnelles.
L'objectif du CCPA est simple, et très proche de celui du règlement général sur la protection des données européenne : permettre aux internautes du Golden State de savoir quelles données sont collectées sur eux, comment elles sont utilisées et avec qui elles sont partagées. Mais aussi de demander que ces données soient mises à jour, corrigées ou supprimées. Il offre également un cadre juridique permettant aux internautes de poursuivre en justice les entreprises en cas de fuite de données.
La loi californienne est par certains aspects moins contraignante que celle entrée en vigueur en Europe. Elle n'oblige pas les entreprises à nommer un délégué à la protection des données, ni à mener une étude préalable à leur collecte pour en évaluer les risques. Le Premier Amendement américain, garant de la liberté d'expression, rend en outre tout concept de droit à l'oubli impensable outre-Atlantique. Le consentement des internautes est aussi appréhendé de manière différente.
« Avec le RGPD, les internautes européens doivent donner leur consentement préalable avant que toute collecte de données puisse être effectuée. Le CCPA, lui, considère que les internautes donnent implicitement leur consentement, qu'ils ont ensuite la possibilité de retirer », explique Jennifer Rathburn, partner au sein du cabinet d'avocat Foly & Lardner, qui conseille les entreprises sur la conformité avec le CCPA.
Les sites Internet collectant des données des utilisateurs pour les revendre sont ainsi désormais tenus d'arborer un bandeau « Do not sell » (ne pas vendre), qui permet aux internautes de refuser la vente de leurs données d'un simple clic.