Si la décret n° 2019-536, publié le 30 mai 2019, représente la dernière étape de la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », cette loi devrait encore être modifiée dans le futur. La loi californienne a évolué et s’impose souvent comme un standard.
Celle-ci s’impose actuellement comme le nouveau standard aux États-Unis. Le « California Consumer Privacy Act » (CCPA) va ainsi entrer en vigueur le 1er janvier. Il correspond à l’équivalent du règlement européen sur la protection des données (RGPD) même si elle est loin d’en être le clone.
La version française en cause
Il ne s’agit donc pas comme en Europe d’obtenir le « consentement » de récolter et d’utiliser les données. La plupart des sites en France vous informe que l’utilisation du site va entrainer le fait que vous déclarez être d’accord avec l’utilisation de cookies pour améliorer votre expérience. Si vous cliquez sur le site, vous apprenez alors en général que vous disposez d’un « droit d’accès, de rectification, d’effacement et d’opposition pour motif légitime concernant vos données personnelles ainsi qu’un droit d’opposition à la prospection commerciale » ou encore que « vous bénéficiez également d’un droit à la portabilité de vos données, de la possibilité de limiter leur traitement ainsi que de nous faire part de vos directives relatives au sort de celles-ci après votre décès. »
Des scandales qui ont entrainé la loi
Il faut dire que les abus et scandales de gestion des informations personnelles ont fait grand bruit aux États-Unis et que si l’état de la Silicon Valley adopte des règles, il existe souvent un effet dominos dans le pays de l’oncle Sam. On pense aux scandales autour des données d’utilisateurs de Facebook par Cambridge Analytica depuis ruinée et qui a déposé le bilan aux États-Unis. Pour rappel, elle avait été accusée d’avoir collecté les données personnelles d’utilisateurs du réseau social pour les campagnes politiques. Aujourd’hui, la Californie a instauré la possibilité de refuser. En l’occurrence, les entreprises ont l’obligation de mettre un lien qui dit en substance « ne vendez pas mes données ». Les personnes disposent ainsi du choix de vendre ou non leurs données.
La définition de la vente
Encore faut-il définir la vente. Facebook, par exemple, ne fait pas de la vente stricto sensu de données aux annonceurs mais exploite les données pour son ciblage publicitaire qui lui est payé par les annonceurs. Une loi qui devrait donc devenir une source de travail pour toutes les entreprises qui se basent sur les données pour réaliser du chiffre d’affaire. On pensera à d’autres entreprises comme Criteo et plus globalement à toutes les plateformes de streaming de musique ou encore les moteurs de recherche… Le coût apparaît comme colossal aux États-Unis car il pourrait s’élever à 55 milliards de dollars selon le thing tank American Enterprise Institute.
Une mise en conformité pas facile
La mise en conformité devrait donc s’avérer longue et difficile pour les petites entreprises. Plus de la moitié des entreprises seraient pressenties pour ne pas être en conformité alors que les infractions sont sanctionnables dès mi-2020. Élément drôle, la situation pourrait devenir encore plus intenable car un référendum prévu en 2020 en Californie a pour objet de renforcer encore davantage la protection des données sensibles dont la géolocalisation. Le congrès devrait intervenir prochainement dans le débat et serait déjà parvenu à créer un premier texte qui sera à suivre. Les nouvelles règles seront à suivre car ce qui se propage aux États-Unis s’implante souvent en Europe notamment quand cela vient de la Silicon Valley.