Une nouvelle loi radicale visant à réécrire les règles d'Internet en Californie devrait entrer en vigueur le 1er janvier.

La plupart des entreprises ayant un site Web et des clients en Californie, c'est-à-dire la plupart des grandes entreprises du pays, doivent suivre le nouveau régime, qui est censé rendre la vie en ligne plus transparente et moins effrayante pour les utilisateurs.

Le seul problème :personne ne sait vraiment comment fonctionnent les nouvelles règles.

Le California Consumer Privacy Act est parti d'une prémisse simple :les gens devraient être en mesure de savoir si les entreprises vendent leurs informations personnelles, voir quelles informations les entreprises ont déjà collectées à leur sujet, et avoir la possibilité de quitter l'ensemble du système.

Mais rien n'est simple quand il s'agit de l'économie des données en ligne à haut débit et largement opaque. Depuis plus de deux décennies, les entreprises technologiques ont construit un système profondément enchevêtré pour suivre les habitudes et les identités de millions d'utilisateurs, chaque seconde de chaque jour, puis échanger ou vendre ces informations pour affiner davantage le marketing, publicité et stratégie commerciale.

Grâce à la complexité technique du système et aux délais de mise en œuvre précipités, un certain nombre de questions fondamentales restent sans réponse. Que veut dire « vendre » ? Comment les entreprises peuvent-elles être sûres de supprimer les données de la bonne personne ? Et le simple fait d'avoir un site Web qui enregistre le nombre de visiteurs chaque année signifie-t-il que vous devez vous enfoncer dans le fourré réglementaire ?

Le bureau du procureur général, qui a pour mission à la fois d'interpréter et d'appliquer la loi, n'a publié sa première série de projets de règlement qu'au début du mois d'octobre. Il est peu probable qu'un ensemble final arrive avant une bonne partie de 2020, et la loi ne sera pas appliquée avant juillet.

En attendant, les entreprises se démènent pour s'assurer qu'elles n'enfreignent pas les principes de base de la loi. Les grandes entreprises signent des accords avec des entreprises spécialisées dans la conformité pour créer des boutons « ne pas vendre mes informations personnelles » sur leurs sites (et s'assurer qu'ils fonctionnent réellement). Les petites entreprises mettent en place des comptes de messagerie pour traiter les demandes des clients, ou gardent simplement la tête baissée et parient que le procureur général ne prendra pas la peine de s'en occuper une fois l'application commencée.

"Il n'y a pas un avocat de la protection de la vie privée dans l'industrie qui ne travaille pas 24 heures sur 24 en ce moment pour se préparer pour le 1er janvier. " a déclaré Michael Hahn, avocat général du Bureau de la publicité interactive, un groupe industriel composé d'entreprises de l'écosystème de la publicité en ligne.

Tout a commencé quand Alistair McTaggart, un promoteur immobilier de San Francisco, eu une conversation troublante sur la confidentialité numérique avec un ingénieur de Google lors d'un cocktail. Il a décidé de financer une campagne de mesures électorales de 2018. Les législateurs de Sacramento ont conclu un accord pour le transformer en loi, et exceptionnellement pour une loi qui risque d'affecter des entreprises milliardaires, elle est restée en grande partie inchangée grâce aux efforts de lobbying jusqu'en 2019.

Dans l'économie des données, les informations personnelles des utilisateurs peuvent être utilisées dans des transactions ultra-rapides, comme l'enchère en temps réel qui se déroule derrière chaque annonce en ligne, et stockées dans des bases de données pendant des décennies. Parfois, les entreprises vendent des informations personnelles :l'emplacement de quelqu'un, âge ou même nom - sans aucune information de contact, ou des moyens faciles de vérifier l'identité de cette personne.

Le résultat est un mélange trouble de surveillance totale et de tenue de dossiers bâclée, ce qui rend étonnamment complexe le fait de répondre à des demandes apparemment simples comme « dites-moi quelles informations vous avez recueillies à mon sujet » et « arrêtez de vendre mes informations ».

Pour les entreprises, l'impact a été l'équivalent numérique de l'obligation pour chaque conducteur de l'État d'installer un nouveau convertisseur catalytique dans sa voiture ou de faire face à une amende, sans partager les noms de marque ou les spécifications techniques de la mise à niveau requise. Un rapport de 2019 commandé par le bureau du procureur général a estimé que la mise en conformité avec la loi pourrait coûter 55 milliards de dollars aux entreprises concernées, avec un potentiel de 16 milliards de dollars supplémentaires au cours de la prochaine décennie.

Les législateurs derrière les règles considèrent le chaos comme nécessaire pour maîtriser une industrie qui fonctionne sans contrôle depuis des décennies.

"C'est vraiment le Far West, " dit Bob Hertzberg (D-Van Nuys), le chef de la majorité du Sénat de l'État de Californie qui a défendu le projet de loi à Sacramento. "Il y a toujours un peu de bousculade, mais la clé est de garder un œil sur l'horizon, et le rendre réalisable mais profondément tourné vers l'avenir en termes de protection des consommateurs."

Les entreprises concernées par les nouvelles règles ont renoncé à s'y opposer une fois qu'il était clair qu'elles deviendraient loi. Maintenant, ils veulent juste comprendre ce qui se passe.

Lors d'une réunion début décembre à Los Angeles, des représentants de groupes commerciaux puissants et d'individus concernés se sont alignés pour exprimer non pas tant d'opposition que de confusion dans le cadre de la période de commentaires qui façonnera la prochaine série de projets de règlement.

Peter Watson, membre du conseil d'administration de la California Self-Storage Association, posé une question fondamentale :quelles entreprises doivent respecter la loi ?

Le CCPA ne s'applique qu'aux entreprises ayant plus de 25 millions de dollars de revenus ou ayant accès aux informations personnelles de plus de 50, 000 personnes. Donc, si une entreprise de self-stockage a les informations de 10, 000 locataires actuels et anciens, mais plus de 50, 000 personnes visitent son site Internet chaque année, partageant ainsi leurs adresses IP avec l'entreprise, est-ce que ça qualifie ?

D'autres questions tournaient autour de ce qui semble être une contradiction :dans certains cas, les entreprises peuvent avoir besoin de demander plus d'informations personnelles afin de répondre à la demande d'un utilisateur de supprimer ou d'obtenir une copie de toutes leurs informations personnelles. Ils savent peut-être que quelqu'un du nom de Maria Garcia a 36 ans, aime les camions et les drames juridiques, et se connecte régulièrement depuis un téléphone dans le centre de LA, mais si quelqu'un envoie un e-mail prétendant être Maria Garcia et demande toutes ces informations sur lui-même, comment une entreprise peut-elle être sûre que c'est la bonne ? Peuvent-ils demander plus d'informations personnelles, comme un email spécifique ou un numéro de sécurité sociale, vérifier?

Bo Kim, conseil de la Chambre de commerce de Californie, a commencé par un plaidoyer pour déplacer la date limite à janvier 2021, puis a mis en évidence une manière dont le projet de règlement se heurte aux limites de la connaissance humaine. Une disposition oblige les entreprises à partager, dans leurs politiques de confidentialité, la valeur des données personnelles d'un utilisateur individuel.

« La grande majorité des entreprises impactées par le CCPA utilisent la technologie mais ne sont pas des entreprises technologiques, " dit Kim. " En tant que tel, il n'y a pas de valeur particulière des données allouées sur un bilan existant."

L'impact le plus large de la nouvelle loi touche l'économie de la publicité en ligne et les entreprises, y compris les géants de la technologie tels que Facebook et Google et les sociétés de médias comme le Los Angeles Times, qui en dépendent.

Le mécanisme de base du monde de la publicité en ligne s'appelle les enchères en temps réel :derrière chaque publicité sur une page Web (y compris celle-ci), il y a une série de transactions quasi-instantanées en cours.

La page elle-même, grâce à l'utilisation de trackers numériques, recueille des données sur le lecteur. Puis, la page envoie ces informations utilisateur dans le pipeline avec un certain ensemble de règles, tels que les types d'annonces qu'il est prêt à diffuser, et a quel prix. Un échange d'annonces organise alors instantanément une enchère pour l'espace et l'utilisateur, recherchant souvent l'enchère la plus élevée parmi les acheteurs d'annonces qui ont également pré-saisi leurs cibles préférées, prix et à quoi ressemblent leurs annonces. Une fois que tout ce processus a eu lieu, en quelques microsecondes, l'annonce apparaît.

Aujourd'hui, chaque entité en cours de route enregistre généralement toutes les données qu'elle peut pour plus tard. Plus une page connaît d'informations sur un utilisateur, plus le prix qu'il peut facturer pour une publicité est élevé et chaque petite tranche d'information peut être ajoutée à un profil de consommateur, qui peuvent être vendus à d'autres entreprises à la recherche d'un public plus ciblé.

Cette pratique a permis à l'industrie de la technologie publicitaire d'amasser des profils de consommateurs sur des millions de personnes. La nouvelle loi autorise les Californiens à mettre un terme à cette surveillance.

Le CCPA ne rompt pas la chaîne d'enchères en temps réel du transfert de données et de l'affichage des publicités - et McTaggart a clairement indiqué que cela n'a jamais été l'intention - mais il permet aux utilisateurs de se retirer de la deuxième phase du processus, où leurs données sont stockées et emballées pour être vendues à l'avenir.

Ceux qui se désengagent verront probablement moins d'annonces hyper-ciblées, les types qui montrent aux utilisateurs une annonce pour un produit qu'ils ont laissé non acheté à mi-chemin du processus de paiement, ou qui semblent étrangement afficher une annonce pour un magasin qu'ils ont visité quelques jours plus tôt. Combiné avec plusieurs demandes de suppression, les utilisateurs pourraient éventuellement ne voir que des publicités liées à la page qu'ils visitent :des publicités pour les voitures sur un article sur les voitures, ou des annonces de livraison de repas sur un site Web alimentaire.

Le Bureau de la publicité interactive, un consortium qui regroupe la plupart des grands éditeurs annonceurs, et les entreprises de technologie publicitaire aux États-Unis, passé une grande partie de 2019 à organiser des réunions pour déterminer comment les milliers d'entreprises le long du pipeline pourraient honorer les demandes des utilisateurs de refuser la vente de leurs données. Il a proposé un cadre complexe de contrats et d'étiquettes numériques qui alimentent fonctionnellement le désir d'un utilisateur de ne pas vendre ses données aux données elles-mêmes, comme une étiquette à l'encre sur une marchandise.

Google s'est connecté à ce système en décembre, et a donné à ses clients, qui comprennent la plupart des sites Web sur Internet, une boîte à outils pour intégrer ce système de désabonnement dans leurs propres sites.

Facebook, notamment, a déclaré dans un article de blog qu'il n'avait pas besoin de changer ses pratiques pour se conformer à la loi. L'argumentation de la société repose sur les définitions des ventes et des tiers, en partant du principe que Facebook est la seule entité à collecter et à monétiser des données personnelles au sein de leur système, il ne s'engage pas dans la vente de données d'utilisateurs à des tiers.

Si suffisamment de personnes se désistent et demandent que leurs données soient supprimées, cela pourrait avoir pour effet de réduire les revenus publicitaires à tous les niveaux. Les annonceurs sont prêts à payer plus cher pour une cible de meilleure qualité :les fabricants de couches, par exemple, veulent montrer leurs annonces spécifiquement aux nouvelles mamans, pas un visiteur aléatoire du site Web. C'est ainsi que Google, qui construit des profils basés sur les recherches des utilisateurs, utilisation de l'application, et toute autre information qu'il peut glaner sur les appareils, est devenue une entreprise de 930 milliards de dollars. Et Facebook a récolté des récompenses similaires de sa mine de données comportementales générées par les utilisateurs.

Mais la plupart des experts du secteur semblent penser qu'il est peu probable que la nouvelle loi affecte les résultats des entreprises axées sur les données (au-delà du coût de la conformité de base), simplement parce que la plupart des utilisateurs ne prendront probablement pas la peine de se retirer.

"Les gens disent oui, " dit Ben Barokas, directeur général de la société de gestion de la conformité SourcePoint. "Même quand il y a la possibilité de dire non, peut-être que 10 % des gens disent non » à la vente de leurs données pour afficher une publicité plus ciblée.

Règlement général européen sur la protection des données, ou RGPD, est un point de comparaison utile. Sous ce régime, les utilisateurs devaient activement choisir d'être suivis en ligne et de voir leurs données vendues, une disposition que certains militants ont poussé à inclure dans la loi californienne. Mais reste, il n'y a pas de données claires indiquant que les revenus publicitaires globaux ont subi une baisse à long terme après l'entrée en vigueur de la loi en mai 2018, et certains rapports montrent que 95 % des utilisateurs choisissent d'être suivis en échange d'un accès à des sites Web et à des services.

Même si les entreprises s'efforcent de se mettre en conformité, les personnes derrière le CCPA se préparent à introduire une nouvelle série de réglementations sur la confidentialité sous la forme d'une mesure de scrutin de 2020. Les principaux changements comprennent la création d'une agence distincte pour faire appliquer les lois, plutôt que de le laisser au bureau de l'AG, créer un système d'opt-in pour les utilisateurs de moins de 16 ans, et en restreignant davantage l'utilisation de ce que l'initiative appelle « les informations personnelles sensibles, " qui comprend des données telles que l'emplacement, état de santé et orientation sexuelle.

McTaggart espère que le prochain tour, avec une agence de protection de la vie privée financée et dotée de personnel, peut établir une nouvelle norme pour l'Internet dans son ensemble.

"Nous pensons que cela fera pour la vie privée ce que le California Air Resources Board a fait pour la qualité de l'air dans tout le pays, " a déclaré McTaggart.

Il a dit que l'intention n'était pas de détruire des entreprises, mais pour s'assurer que les entreprises utilisaient les données des consommateurs en toute sécurité. Ou pour étendre l'analogie avec la voiture au smog numérique de l'économie des données :« Nous pensons que les voitures vont bien, et nous comprenons que LA a beaucoup de voitures, mais ce serait juste agréable de voir à travers LA par temps clair."

©2019 Los Angeles Times
Distribué par Tribune Content Agency, LLC.