La Californie veut faciliter la suppression des données personnelles
Une nouvelle loi californienne permettra désormais aux habitants de l’État américain de demander plus facilement la suppression de leurs données personnelles auprès des marchands de données. Le gouverneur démocrate Gavin Newsom a signé mardi ce projet de loi ; la loi entrera en vigueur début 2024. Il ne faut toutefois pas s’attendre à une mise en œuvre complète avant plusieurs années.
Les Californiens ont déjà le droit de demander la suppression de leurs données. Cependant, ils devaient jusqu’à présent faire une demande individuelle auprès de chaque entreprise concernée.
Le dénommé « Delete Act » (en anglais) doit désormais aller plus loin : l’autorité de protection des données « California Privacy Protection Agency »(CPPA) est chargée de mettre en place un « mécanisme de suppression » accessible en ligne, grâce auquel les consommateurs peuvent demander la suppression de leurs données auprès de tous les marchands de données de l’État en une seule étape. Selon la loi, l’autorité a jusqu’au 1er janvier 2026 pour mettre en place ce moyen, mais les détails de sa mise en œuvre exacte ne sont pas encore clairs.
Si les marchands de données veulent opérer en Californie, ils doivent déjà s’enregistrer et payer une taxe. D’après les informations du Los Angeles Times (en anglais), environ 500 marchands de données sont actuellement inscrits dans l’État.
Désormais, la loi les oblige en outre à partir d’août 2026 à accéder au mécanisme de la CPPA au moins une fois tous les 45 jours et à traiter les demandes de suppression qui y sont déposées. De plus, lorsque les consommateurs ont fait la demande de suppression, la vente ou la communication de leurs données est interdite, a expliqué l’administration de protection des données (en anglais).
Sanctions en cas de non-respect
En outre, à partir de 2028, les marchands de données devront faire vérifier tous les trois ans par un organisme indépendant s’ils se conforment aux nouvelles dispositions. S’ils ne le font pas, des sanctions pourront être prises à leur encontre : une amende de 200 dollars est prévue pour chaque jour où un marchand de données ne répond pas à une demande de suppression.
Comme l’explique le magazine de technologie The Verge (en anglais), les entreprises qui sont considérées comme des marchands de données en vertu d’une loi californienne sur la consommation adoptée en 2018 sont soumises à la nouvelle réglementation: d’après cette loi, elles doivent avoir réalisé un chiffre d’affaires de plus de 25 millions de dollars l’année précédente, et réaliser au moins 50 % de leur chiffre d’affaires annuel avec la vente de données personnelles. Elles doivent également acheter, vendre ou partager chaque année les données personnelles d’au moins 100 000 consommateurs ou ménages.
D’après les défenseurs des droits civils, un renforcement de la protection des données
Comme on pouvait s’y attendre, des critiques avaient été émises en amont par le secteur de la publicité. Des associations ont déploré que les petites entreprises auraient plus de mal à atteindre de nouveaux clients, écrit le Guardian (en anglais).
Le sénateur Josh Becker, qui avait présenté le projet de loi, a quant à lui émis les critiques suivantes auprès du Los Angeles Times : « Les marchands de données possèdent des milliers de données sur chacun d’entre nous et ils vendent des informations sur les soins de santé reproductive, des données de localisation et des informations sur les achats au plus offrant ». D’après lui, la nouvelle loi protège « nos informations les plus sensibles ».
L’organisation de défense des droits civils Electronic Frontier Foundation (EFF) a également salué cette nouvelle loi (en anglais). Hayley Tsukayama, une membre de l’organisation, a déclaré au Guardian que la loi renforcerait le droit à la protection des données de toutes les personnes vivant en Californie.
La EFF avait déjà soutenu le projet de loi (en anglais) en amont. En août, l’organisation avait déclaré que celle-ci améliorerait le contrôle des données personnelles. L’EFF dénonce le fait que les marchands de données puissent vendre des informations sur les personnes en n’étant soumis qu’à peu de surveillance ; y compris des informations sensibles, par exemple sur les habitudes d’achat ou les lieux de séjour. Ce genre de données pourraient être utilisées à des fins de fraude et d’usurpation d’identité.
Aux États-Unis, à la différence de l’Union européenne, il n’y a pas de loi uniforme et complète sur la protection des données (en anglais) ; certains États américains ont toutefois adopté leurs propres règles. En Californie, le « California Privacy Rights Act » a été promulgué en 2020, créant également l’autorité de protection des données, la CPPA. La Virginie dispose également d’une loi similaire sur la protection des données depuis début 2023. (js)