Alors que les législateurs américains rentrent chez eux sans se mettre d'accord sur la législation sur la protection de la vie privée des consommateurs, une nouvelle loi californienne est en passe de devenir la norme nationale de facto, laissant potentiellement les consommateurs et les entreprises confus au sujet des règles de collecte et de protection des données personnelles.

La loi entre en vigueur le 1er janvier couvrant la plupart des entités faisant des affaires en Californie, quelques mois seulement après le début de l'application du règlement général européen sur la protection des données, qui affecte de nombreuses opérations en ligne aux États-Unis.

La nouvelle loi découle d'un effort généralisé visant à freiner les pratiques de traitement des données des consommateurs en ligne après des années de violations et d'abus qui ont fait la une des journaux.

Pendant une grande partie de l'année, le Congrès américain a débattu des efforts visant à rédiger une loi nationale sur la protection de la vie privée qui éviterait les normes multiples, mais n'a pas réussi à proposer un projet de loi avant la fin du temps imparti pour 2019.

Par conséquent, la plupart des entreprises présentes en ligne se précipitent pour se conformer à la loi californienne alors même que d'autres États envisagent leurs propres protections et que certaines au Congrès s'engagent à agir lorsque les législateurs reviendront en 2020.

"Il va certainement y avoir beaucoup de confusion à court terme avec toutes les différentes lois, " a déclaré Daniel Castro de la Fondation des technologies de l'information et de l'innovation, un groupe de réflexion à Washington souvent aligné avec le secteur technologique.

"Ce que nous allons probablement voir, c'est un effet domino avec d'autres États imitant la Californie, et c'est une grande préoccupation pour l'industrie. Vous avez des entreprises qui ont déjà mis en œuvre le RGPD et elles doivent refaire tous ces processus."

Option "Ne pas vendre"

Toujours, certains militants disent que la loi californienne conduira à des améliorations de la vie privée, y compris donner aux consommateurs le droit d'accéder et de supprimer les données détenues par les services en ligne.

La loi connue sous le nom de California Consumer Privacy Act « est la plus large, loi sur la protection de la vie privée la plus percutante de mémoire récente, " a déclaré John Verdi du Future of Privacy Forum, un groupe de réflexion axé sur la protection des données.

"La pièce maîtresse du CCPA est l'exigence que les entreprises affichent un lien bien visible pour dire" ne vendez pas mes données, '" il a dit.

"Il est toujours bon de donner des choix aux gens et c'est un choix clair et important concernant la vente de données, qui est l'une des pratiques les plus importantes pour les consommateurs."

Cette approche « opt out » diffère du RGPD qui nécessite un consentement pour collecter et utiliser des données, selon Verdi.

Mais de nombreuses questions subsistent sur la manière dont les autorités californiennes géreront l'application, débutera mi-2020, notamment quelles entreprises peuvent être confrontées au ciblage et comment les responsables définissent la « vente ».

Verdi a déclaré qu'un certain nombre de services gratuits tels que la musique en streaming ou la cartographie en ligne pourraient être basés sur des échanges de données qui pourraient, dans certaines circonstances, être interprétés comme une "vente".

La nouvelle loi, il a dit « pose des défis aux entreprises qui offrent des services axés sur les données ».

Coût de mise en conformité, mise en vigueur

Roslyn Layton, un chercheur de l'American Enterprise Institute qui se concentre sur la réglementation d'Internet, averti que le coût de la conformité au CCPA sera élevé, avec des estimations aussi élevées que 55 milliards de dollars, et que les avantages peuvent être insaisissables.

Elle a noté qu'une variété de lois américaines couvrent la confidentialité des dossiers médicaux, données des étudiants, informations bancaires et financières et plus, et que la législation devrait être fondée sur le degré de sensibilité des données.

"Toutes les données ne sont pas égales, " elle a dit.

Layton a déclaré que les grandes plateformes en ligne telles que Facebook et Google seraient prêtes à se conformer au CCPA, mais que la loi pourrait nuire aux petites entreprises et organisations.

« Je ne m'attendrais même pas à une conformité à 50 %, " Layton a dit, ajoutant que les autorités californiennes seront confrontées à une tâche compliquée en essayant d'appliquer leur nouvelle loi à l'échelle nationale aux entreprises qui pourraient avoir des clients dans l'État occidental.

Layton a ajouté que même si une grande partie de la colère autour de la confidentialité a été dirigée contre Facebook, l'immense réseau social risque de ne pas encourir de sanctions en Californie car il s'est déjà réglé avec les autorités fédérales, payer une amende de 5 milliards de dollars.

La pression monte sur le Congrès pour qu'il intervienne avec une loi nationale qui pourrait « anticiper » les différentes lois des États avec une norme unique, selon Layton.

"Je pense que la Californie veut être sauvée d'elle-même par le Congrès, " dit-elle. " Si vous regardez leur budget, il n'est pas possible d'appliquer la loi."

Regarder vers l'avant, Les électeurs californiens doivent envisager une initiative de scrutin en 2020 qui inclurait des protections encore plus strictes de la vie privée pour les catégories de données « sensibles » telles que la géolocalisation et les numéros de sécurité sociale.

Michelle Richardson, Le directeur de la protection de la vie privée au Center for Democracy and Technology a déclaré que malgré l'absence d'action au Congrès sur la législation, les législateurs ont travaillé dans les coulisses pour rechercher un consensus.

"Je pense qu'il y aura un travail important l'année prochaine sur un projet de loi sur la protection de la vie privée, " elle a dit.

Le House Energy and Commerce Committee a déclaré ce mois-ci que son personnel avait élaboré un "projet de discussion bipartite" qui pourrait constituer la base d'une nouvelle loi.

"Ce projet vise à protéger les consommateurs tout en donnant aux collecteurs de données des règles de conduite claires, ", a déclaré un porte-parole du comité. "Cela reflète de nombreux mois de travail acharné et une étroite collaboration entre le personnel du comité démocrate et républicain."

© 2019 AFP