Le « RGPD californien », une loi modèle, exportable au reste des États-Unis

La législation sur la protection des données personnelles adoptée en Californie pourrait constituer la première étape d’une régulation à l’échelon fédéral.

6 mn

Les sites doivent désormais proposer aux internautes de refuser la vente de leurs données d’un simple clic.
Les sites doivent désormais proposer aux internautes de refuser la vente de leurs données d’un simple clic. (Crédits : iStock)

Le California Consumer Privacy Act (CCPA), qui vise à protéger les données en ligne des Californiens, est entré en vigueur le 1er janvier dernier. Souvent qualifié de « RGPD californien », étant donné les nombreuses similitudes entre les deux lois, il s'agit de l'arsenal législatif le plus ambitieux adopté à ce jour par un État américain autour de la protection des données personnelles.

L'objectif du CCPA est simple, et très proche de celui du règlement général sur la protection des données européenne : permettre aux internautes du Golden State de savoir quelles données sont collectées sur eux, comment elles sont utilisées et avec qui elles sont partagées. Mais aussi de demander que ces données soient mises à jour, corrigées ou supprimées. Il offre également un cadre juridique permettant aux internautes de poursuivre en justice les entreprises en cas de fuite de données.

La loi californienne est par certains aspects moins contraignante que celle entrée en vigueur en Europe. Elle n'oblige pas les entreprises à nommer un délégué à la protection des données, ni à mener une étude préalable à leur collecte pour en évaluer les risques. Le Premier Amendement américain, garant de la liberté d'expression, rend en outre tout concept de droit à l'oubli impensable outre-Atlantique. Le consentement des internautes est aussi appréhendé de manière différente.

« Avec le RGPD, les internautes européens doivent donner leur consentement préalable avant que toute collecte de données puisse être effectuée. Le CCPA, lui, considère que les internautes donnent implicitement leur consentement, qu'ils ont ensuite la possibilité de retirer », explique Jennifer Rathburn, partner au sein du cabinet d'avocat Foly & Lardner, qui conseille les entreprises sur la conformité avec le CCPA.

Les sites Internet collectant des données des utilisateurs pour les revendre sont ainsi désormais tenus d'arborer un bandeau « Do not sell » (ne pas vendre), qui permet aux internautes de refuser la vente de leurs données d'un simple clic.

Sur quelques points précis, le CCPA va même plus loin que son pendant européen. « La loi définit les données personnelles de manière plus large que le RGPD, incluant des informations liées au foyer ou à l'appareil utilisé », précise Marshall Erwin, senior director of trust and safety chez Mozilla. Pour lui, « le CCPA constitue un pas dans la bonne direction pour la protection des données et de la vie privée aux États-Unis. »

Lire aussi : Le RGPD, une vraie révolution... lente au démarrage

Doivent s'y conformer toutes les entreprises qui opèrent dans l'État de Californie ou traitent les données de résidents californiens, et remplissent l'une des conditions suivantes : générer au moins 25 millions de dollars de revenus annuels ; collecter les données d'au moins 50.000 internautes ; ou tirer au moins la moitié de ses revenus de la collecte de données des utilisateurs. Loin de concerner uniquement les Gafa, elle s'adresse à un grand nombre de grosses entreprises, qu'elles soient ou non présentes physiquement dans l'État.

La plupart d'entre elles avaient déjà dû mettre en place des outils permettant à leurs clients européens de demander la suppression de leurs données ou de refuser le pistage suite à la mise en place du RGPD, et leur adaptation au CCPA devrait donc se faire en douceur. « Ces acteurs devront simplement effectuer quelques retouches à leur programme RGPD pour être en conformité avec la nouvelle loi », affirme Jennifer Rathburn.

Un impact très large

Facebook a, par exemple, déjà construit un outil permettant à ses utilisateurs d'exercer les différents droits que leur garantit le CCPA. La loi prévoit une amende de 7.500 dollars pour chaque violation. La note peut donc rapidement s'avérer salée pour peu que de nombreux utilisateurs soient concernés. Certains volets de la loi génèrent davantage d'incertitude que d'autres auprès des entreprises, comme l'explique Jennifer Rathburn.

« La partie qui consiste à informer les utilisateurs de l'usage qui est fait de leurs données est bien maîtrisée par les entreprises. En revanche, la plupart d'entre elles n'ont encore jamais été confrontées à des internautes demandant l'accès à leurs données ou la suppression de celles-ci. Elles sont donc encore en train de travailler sur la meilleure manière de satisfaire ce type de requête. »

La loi a donc un impact bien au-delà des frontières californiennes. Le Golden State étant la première économie des États-Unis et la cinquième mondiale, peu nombreuses sont les grandes entreprises américaines à ne pas être confrontées à des utilisateurs californiens sur la toile, et donc à ne pas être concernées par le CCPA. En instaurant un nouveau standard en matière de respect de la vie privée que la plupart des grandes entreprises seront tenues de respecter, la loi peut-elle faire des émules dans d'autres États, voire à l'échelle nationale ?

À plusieurs reprises par le passé, la Californie a été à l'avant-garde en matière de régulation. Des lois contrôlant les émissions polluantes des véhicules, les dépenses énergétiques de l'industrie du bâtiment ou la consommation des réfrigérateurs ont été mises en place en Californie et ont inspiré des mesures similaires à l'échelon fédéral. Le Nevada et le Vermont possèdent déjà des lois moins restrictives visant à protéger la vie privée sur la Toile, et l'État de Washington planche actuellement sur une loi similaire au CCPA. Les États de New York et de l'Illinois ont également une loi en préparation.

La Chambre de commerce américaine s'est prononcée en faveur d'une législation à l'échelon fédéral, et plusieurs géants des nouvelles technologies, dont Google et Facebook, défendent également cette idée auprès des autorités.

Lire aussi : Données personnelles : Google écope d'une amende record de 50 millions d'euros par la CNIL

Ce soudain intérêt des Gafa pour la défense de la vie privée des utilisateurs peut s'expliquer par une crainte de voir la régulation de la Toile se balkaniser, avec une multiplication de lois étatiques différentes les unes des autres qui pourrait tourner au casse-tête pour les entreprises américaines. La mise en place de standards clairs et précis à l'échelle nationale serait largement préférable. Une loi fédérale aurait enfin des chances d'être plus souple que la CCPA, la Californie étant l'un des États les plus stricts en matière de régulation. Si l'idée d'une loi fédérale est beaucoup discutée, il est toutefois très peu probable qu'elle soit mise en place avant l'élection présidentielle de novembre prochain.

Lire aussi : Les Gafa, défenseurs ou fossoyeurs de la vie privée ?

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.