La loi californienne sur le respect de la vie privée pourrait s’imposer comme le nouveau standard national aux Etats-Unis, au risque de semer la confusion chez les entreprises et sans savoir si l’Etat progressiste pourra vraiment appliquer ses nouvelles règles.
Le “California Consumer Privacy Act” (CCPA) va entrer en vigueur au 1er janvier, alors que les parlementaires américains sont partis en vacances sans avoir trouvé d’accord au niveau fédéral sur le sujet, malgré de longs débats cette année.
Comme le règlement européen sur la protection des données (RGPD), appliqué dans l’Union européenne depuis mai 2018, cette loi doit garantir aux Californiens certains droits sur leurs données (comment elles sont collectées et utilisées, à des fins commerciales ou non).
Elle a été ratifiée en réaction aux nombreux abus et scandales de gestion des informations personnelles de ces dernières années.
“Il va y avoir beaucoup de confusion à court terme”, remarque Daniel Castro, de la Information Technology and Innovation Foundation, un think tank souvent favorable aux entreprises technologiques.
“Nous allons sans doute assister à un effet domino, avec d’autres Etats copiant la Californie, ce qui complique la tâche des sociétés. Certaines ont déjà intégré le RGPD et maintenant elles doivent se mettre en conformité avec d’autres lois”.
– Casse-tête –
Car le CCPA n’est pas un clone du règlement européen. Bruxelles met en avant le consentement (à récolter et utiliser des données), tandis que la Californie insiste sur la possibilité de refuser.
“La pièce maîtresse du CCPA, c’est l’obligation pour les entreprises d’afficher un lien qui dit +Ne vendez pas mes données+”, explique John Verdi, du Future of Privacy Forum.
Selon lui, la loi californienne aura une portée supérieure à toutes les autres mesures récentes.
“Elle donne aux gens un choix clair sur la vente des données, qui est l’une des pratiques qui les inquiète le plus”, ajoute-t-il.
Reste à définir la “vente”. Facebook, par exemple, dérive ses profits du ciblage publicitaire ultra fin et à très grande échelle. Mais le géant des réseaux sociaux ne vend pas stricto sensu de données aux annonceurs. Il les collecte pour les exploiter commercialement, sous forme de cibles publicitaires anonymes.
La nouvelle loi, estime John Verdi, “représente un casse-tête pour les entreprises dont les services sont fondés sur les données”, comme les plateformes de streaming de musique ou les spécialistes du référencement en ligne.
– 55 milliards de dollars –
Se conformer au CCPA pourrait coûter jusqu’à 55 milliards de dollars aux entreprises, d’après Roslyn Layton, une experte de l’American Enterprise Institute, un autre think tank.
“Je ne m’attends même pas à 50% de mise en conformité”, déclare-t-elle, estimant que les grandes firmes comme Google ou Facebook y parviendront sans difficulté, mais pas les petites entreprises et ONG.
La Californie est censée commencer à sanctionner les infractions à partir de mi-2020. La tâche ne sera pas aisée: toutes les organisations qui ont des clients ou utilisateurs dans l’Etat de l’Ouest américain sont concernées.
“Je crois que la Californie aimerait que le Congrès viennent à sa rescousse (avec une loi nationale)”, assure Roslyn Layton. “Leur budget n’est pas suffisant pour vraiment appliquer la loi”.
La situation pourrait même se corser si les citoyens californiens décidaient de renforcer encore plus la protection des données sensibles (comme la géolocalisation) lors d’un référendum prévu pour 2020.
La balle est maintenant dans le camp du Congrès. La commission de l’énergie et du commerce a annoncé en décembre être parvenue à un brouillon, soutenu par les deux bords politiques, qui pourrait servir de base à une législation nationale.
