Si les milliers de Californiens qui utilisent l'application de Josh Simons pour les musiciens exigent le mois prochain que Vampr supprime leurs informations personnelles, Simons sera prêt à s'y conformer.

La société de réseau social s'attend à être l'une des nombreuses entreprises à l'échelle nationale soumises à la California Consumer Privacy Act, une loi qui entre en vigueur le 1er janvier et donne aux consommateurs le contrôle des informations personnelles collectées par les entreprises, stocker et souvent partager avec d'autres entreprises. Simons, qui avait déjà mis en place une politique de confidentialité des utilisateurs avant que la loi ne devienne loi l'année dernière, a réorganisé la politique et l'application Vampr.

"Nous avons un demi-million d'utilisateurs dans le monde, " dit Simons. " C'est définitivement quelque chose que nous devons garder à l'esprit. "

Les entreprises de tout le pays doivent être conscientes des exigences complexes de la loi, même si elles ne traitent pas directement avec les consommateurs. Il couvre les entreprises qui exercent des activités en Californie, y compris les entreprises de l'extérieur de l'État qui vendent des produits ou des marchandises aux résidents californiens. La loi peut également couvrir les entreprises qui gagnent de l'argent en fournissant des services tels que le traitement des paiements ou l'hébergement de sites Web à des entreprises soumises à la loi.

La loi contient des dispositions visant à exempter les petites entreprises - les entreprises sont soumises à la loi si elles ont des revenus mondiaux supérieurs à 25 millions de dollars, collecter ou recevoir les informations personnelles de 50, 000 consommateurs californiens ou plus, ménages ou appareils électroniques; ou ceux qui tirent au moins la moitié de leurs revenus de la vente d'informations personnelles. Mais les petites entreprises peuvent facilement atteindre les 50, 000 seuil pour la collecte ou la réception d'informations - une personne qui a un téléphone, tablette, Un PC à la maison et un au travail comptent pour quatre utilisateurs, pas une.

Vampr a actuellement environ 1, 000 utilisateurs avant le seuil, mais Simons s'attend à ce que l'application atteigne cette étape en janvier. Le Santa Monica, L'État d'origine de la société californienne est son plus grand marché.

La loi vise à protéger les consommateurs contre la vente de leurs informations à leur insu ou sans leur consentement. Il a été adopté par la législature de Californie en juin 2018, et calqué sur le règlement général de l'Union européenne sur la protection des données, qui est entré en vigueur en mai 2018. La loi californienne a été promulguée dans un contexte d'inquiétude croissante concernant le partage des données des consommateurs par les entreprises, surtout après avoir appris que la société de données Cambridge Analytica avait accédé de manière inappropriée aux informations des utilisateurs de Facebook.

La loi californienne donne aux consommateurs le droit de savoir quelles informations personnelles les entreprises collectent auprès d'eux, et ce que les entreprises en font, qu'elles partagent, le transférer ou le vendre, et qui est le destinataire de l'information. En vertu d'une disposition clé, les entreprises doivent donner aux consommateurs la possibilité de faire supprimer leurs informations des bases de données.

La loi couvre un large éventail de données, y compris les noms, adresses, Numéros de sécurité sociale et de passeport, adresses mail, historiques de navigation sur Internet, historiques d'achats, les biens personnels et les renseignements sur la santé, informations professionnelles ou professionnelles, dossiers éducatifs et informations provenant d'applications et de programmes GPS.

Les entreprises assujetties à la loi doivent s'assurer que leurs systèmes et sites Web sont conformes. Beaucoup sans personnel technologique interne ont embauché des entreprises pour installer des logiciels qui, entre autres, créent les boutons et les liens du site Web qui permettent aux consommateurs de voir leurs informations et de ne pas les stocker. Certaines entreprises peuvent décider d'obtenir de l'aide juridique pour s'assurer qu'elles sont sur la bonne voie. Simons, qui a lui-même installé le logiciel pour rendre Vampr conforme, estime que le processus a coûté 7 $ à l'entreprise, 000, une grosse somme pour une petite entreprise.

Alors que la loi californienne entre en vigueur le 1er janvier, l'application ne commencera pas avant le 1er juillet. Et la loi telle qu'elle est actuellement peut changer - la législature a déjà adopté un certain nombre d'amendements pour clarifier et affiner les exigences de la loi, et le bureau du procureur général de l'État est toujours en train de formuler des règlements et des orientations sur la loi.

Certaines des complexités de la loi découlent des relations entre les entreprises qui utilisent les données des autres, par exemple, dans le cas d'un processeur de paiement qui doit utiliser une carte de crédit et d'autres informations personnelles fournies par un détaillant afin d'effectuer des transactions. Dans ces cas, le prestataire doit signer un contrat qui lui interdit d'utiliser les données à d'autres fins que celles prévues dans le contrat, dit Travis LeBlanc, un avocat spécialisé en droit de la cybersécurité au sein du cabinet Cooley LLP à Washington, D.C.

Les fournisseurs qui peuvent se connecter aux systèmes des entreprises clientes peuvent involontairement être un point d'entrée pour les pirates qui tentent de voler des informations personnelles. Ce fut le cas lorsque des pirates ont pu voler les informations personnelles de plus de 60 millions de clients Target en 2013.

« Les vendeurs sont souvent une source de faiblesse, " dit LeBlanc. " L'ACCP aide à encourager l'entreprise qui a la relation principale avec les consommateurs à en assumer la responsabilité. "

Les avocats trouvent que certaines dispositions de la loi sont vagues, ce qui ne permet pas de savoir quelles entreprises doivent se conformer. Une disposition stipule que les informations sont protégées si elles sont vendues ou transférées « à une autre entreprise ou à un tiers pour une contrepartie monétaire ou autre ». Les avocats se demandent ce que signifie « une contrepartie précieuse », dit David Stauss, un avocat spécialisé en droit de la technologie au sein du cabinet Husch Blackwell à Denver.

« Cela peut vraiment devenir difficile à appliquer, " Stauss dit. " Il y a des choses qui vont clairement être des ventes, mais c'est une zone grise."

Certaines entreprises qui ne seront pas soumises à la loi se mettent néanmoins en place pour se conformer. Certains s'attendent à ce que d'autres États promulguent des lois similaires, tandis que d'autres sont conscients que la confidentialité des données est une question sensible qu'ils doivent traiter.

« Nous sommes dans un domaine en évolution où la confiance des consommateurs est très élevée, " dit Dawn Barry, président de Luna Public Benefit Corp., une entreprise basée à San Diego qui collecte des données pour la recherche médicale. Bien que la nature de l'activité de l'entreprise la rende exempte de la loi californienne, il est néanmoins conforme au statut et au RGPD européen, dit Barry.

© 2019 La Presse Associée. Tous les droits sont réservés.