Connexion
Abonnez-vous

Le RGPD californien est actif, Mozilla l’appliquera dans le reste du monde

Le RGPD californien est actif, Mozilla l’appliquera dans le reste du monde

Le 06 janvier 2020 à 09h36

Le California Consumer Privacy Act s’applique depuis le 1er janvier à toute entreprise générant un chiffre d’affaires de 25 millions de dollars, récolte les données d’au moins 50 000 personnes ou dont le chiffre provient pour moitié de l’exploitation de données utilisateurs.

Le CCPA instaure trois droits fondamentaux : savoir quelles informations sont en possession d’une entreprise, pouvoir lui réclamer leur suppression et demander que ces données ne soient plus vendues à des tiers (opt-out).

Par « vendues », la loi entend toute transmission d'informations personnelles à des sociétés tierces pour traitement. En clair, tous les processus de suivi publicitaire réalisés par d’autres entreprises sont par exemple concernés. Si l’utilisateur demande que ses données ne soient plus envoyées, les publicités ne seront plus personnalisées.

L’État américain espère que les entreprises suivront rapidement. Comme le RGPD, la force de la nouvelle loi sera jaugée par la capacité de la Californie à poursuivre et faire condamner les contrevenants.

Mozilla a déjà répondu présente : le CCPA servira de modèle pour le reste du monde. Au cours de cette année, la gestion des données évoluera une fois de plus, permettant notamment à l’utilisateur de réclamer leur suppression.

Mozilla ne propose actuellement pas cette option. Firefox émet des données télémétriques, liées à des options actives par défaut. Ces informations ne sont – normalement – pas personnelles : nombre d’onglets ouverts, temps d’ouverture de chaque onglet, nombre d’extensions installées, etc. Les adresses, par exemple, ne sont jamais fournies.

L’éditeur ajoutera donc dans Firefox 72 une nouvelle option de suppression des données. La nouvelle mouture est prévue pour demain. Le changement ne semble pour l’instant concerner que la version pour ordinateurs, mais il n’y aucune raison que le changement ne soit pas répercuté partout.

Mais là où le RGPD avait laissé plusieurs années de préparation aux entreprises, le CCPA n’a donné que quelques mois. Une vraie course a donc commencé, car même si l’on pense aux GAFAM, d’autres gros brasseurs d’informations personnelles sont dans l’urgence.

Selon Reuters, les grandes chaines de type Walmart et Home Depot doivent ainsi informer le public (via des panneaux, QR codes, mentions sur leur site, etc.) de ce qui arrive à leurs données, et comment demander leur suppression ou qu’elles ne soient pas envoyées à des tiers. 

Il faut donc prévoir et bâtir rapidement l’infrastructure pour le faire, tout en formant le personnel à répondre aux questions des clients. D'autres, comme Amazon, ont indiqué qu'un bouton « Ne pas vendre mes données » était hors-sujet puisque les informations ne quittaient pas ses serveurs. 

La question qui se pose maintenant est évidente : le CCPA fera-t-il tache d’huile ? Il accentue en tout cas la pression du Congrès américain, car une loi fédérale simplifierait la gestion des données personnelles à l’échelle du pays. D’autant que des entreprises, comme Home Depot, choisissent déjà d’appliquer la nouvelle loi au reste des États-Unis. Ou, dans le cas de Mozilla, au reste du monde.

Le 06 janvier 2020 à 09h36

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce que je trouve nul, c’est qu’on a le RGPD à l’échelle (presque) d’un continent et à l’effet international qui exige la même chose (voir plus si je ne dis pas de bétises) et que Mozilla aura attendu qu’une loi similaire soit appliqué à la Californie (donc à l’échelle d’un bout des USA) pour mettre ça en place.



Comment est-ce qu’on doit prendre la considération de Mozilla pour le “vieux Continent” ?



(on va dire que je chipote, et c’est juste mais sérieusement, qu’est-ce qui vous pousse à mettre ça en place maintenant et pas quand le RGPD a été instauré ?)

votre avatar

Ben, parce qu’ils sont domiciliés en Californie…

votre avatar

Le RGPD s’applique à toute entreprise qui traite les données de résidents de l’UE.

Peu importe que l’entreprise soit domiciliée dans l’UE ou pas.

Peu importe que le traitement soit effectué dans l’UE ou pas.



(cf RGPD article 3 “Champ d’application territorial”)

votre avatar

Mozilla ne respectait pas déjà le RGDP ?… en Union européenne, j’entends. Et sachant que Mozilla fait la publicité de sa préoccupation du respect de la vie privée depuis quelques années même aux USA (sauf erreur de ma part).

votre avatar

Et il faut aussi appliquer la peine de mort pour les Texans résidants en France.

C’est déjà bien que la Californie réagisse. Ce n’était pas gagné.

votre avatar

Je répond juste à la question « pourquoi la loi californienne et pas les autres », pas s’ils auraient dû légalement suivre les autres.

Et techniquement, je ne vois pas ce Mozilla peut craindre d’une loi européenne. Une amende ou qu’on lui interdise d’y commercialiser ses produit ? <img data-src=" />

votre avatar

une amende oui.

4% du CA mondial, et casser l’image de marque sympa de cet outil également.

votre avatar







oursgris a écrit :



une amende oui.

4% du CA mondial, et casser l’image de marque sympa de cet outil également.







Et comment la lui appliquer ? C’est une entreprise US. Rien ne l’oblige à respecter une loi qui ne la concerne pas.


votre avatar







joma74fr a écrit :



Et sachant que Mozilla fait la publicité de sa préoccupation du respect de la vie privée depuis quelques années.





Comme Qwant ? <img data-src=" />


votre avatar







Ricard a écrit :



Et comment la lui appliquer ? C’est une entreprise US. Rien ne l’oblige à respecter une loi qui ne la concerne pas.



La BNP s’est pris une amende ricaine, en tant que banque francaise. Aucun pb pour ca.


votre avatar

A la difference que les etatsuniens appliquent une regle d’extraterritorialité de leurs lois, quand qqchose n’est pas en phases avec leurs exigences/decisions/interets, et que vu que les boites visees ont une “licence” d’utilisation du dollar (si je resume fortement) l’amende est a payer immediatement sous peine d’etre interdit de manipulation du dollar.

Le jour ou les vendeurs de petrole/gaz etc decideront d’etre payes en euro ou tout autre monnaie, la donne pourra changer.

Si je ne m’abuse, c’etait une des decisions prevues par Khadafi lors de la presentation de son projet d’etats unis d’afrique, qui a peut etre joué un role dans sa chute.

J’attends impatiemment des decisions de l’UE dans ce sens, ou tout au moins une regle de reciprocité dans les decisions us qui pourraient impacter des interets europeens.

Par ex le coup des impots a declarer/payer au fisc us par les double nationalités meme s’ils ne resident pas ou n’ont passé que qqs jours aux US (enfants de diplomates/expats, par ex)

votre avatar

En soit, ce que je reproche, c’est plus le fait d’avoir attendu une loi locale à leur état pour mettre ça en place plutôt que de prendre l’initiative de le faire au moment de la mise en place du RGPD.



Surtout quand les données télémétriques sont très loin de faire partie des données ciblées par ces lois. J’ai vraiment le sentiment de les voir tirer la corde en mode “Regardez, on est champion sur le respect de la vie privée, on applique dès le début la loi Californienne”… certes, mais vous auriez tout aussi bien pu le faire avec le RGPD.

votre avatar

Uniquement parce qu’elle voulait continuer à faire du business aux US. Sinon, elle n’aurait pas payée.

votre avatar

Microsoft, Intel et Google ont pourtant eu des condamnations en Europe sur fondement de textes légaux européens.



Faut pas oublier que du point de vue économique, l’UE c’est un marché de ~500 millions de consommateurs (-~60 quand le RU aura dynamité le tunnel sous la manche sauf qu’ils parviennent à rester dans le marché unique), soit plus que les USA.

votre avatar







Ricard a écrit :



Et comment la lui appliquer ? C’est une entreprise US. Rien ne l’oblige à respecter une loi qui ne la concerne pas.





j’ai déjà eu une amende en Allemagne

j’aurai pu ne pas la payer, je l’a fait, pour avoir la paix. pas envie de me retrouver prix à défaut dans les 10 années suivantes

pour mozilla, je doute que ça passe niveau relations publiques d’avoir une amende sur le cul parce qu’ils ne respectent pas la vie privée

j’utilise personnellement firefox, si ils se prennent une amende de ce genre, je ne suis pas sûr de continuer à utiliser ce brave navigateur

ça vaut ce que ça vaut



quelqu’un connait la différence entre le RGPD européen et le californien ?


votre avatar







SebGF a écrit :



Microsoft, Intel et Google ont pourtant eu des condamnations en Europe sur fondement de textes légaux européens.







Et comment tu calcules le prix de l’amende sur 4% du CA chez Mozilla ? Mozilla c’est du non lucratif, donc pas de bénéfices.


votre avatar







Patch a écrit :



La BNP s’est pris une amende ricaine, en tant que banque francaise. Aucun pb pour ca.







Ouais, la BNP faisait des affaires aux USA, et les tribunaux ont clairement mis dans la balanec son droit de travailler en $ si l’amende n’était pas payée.


votre avatar

Mozilla c’est une fondation à but non lucratif (Mozilla Foundation), mais elle englobe aussi une entreprise commerciale (Mozilla Corporation) qui elle, pour le coup, a déclaré un revenu net de 89 millions de dollars en 2017 pour un CA de 562 millions.

votre avatar

On peut lire sur NXI :

Mozilla Corp (qui produit Firefox et les autres logiciels et services) : un chiffre d’affaires de 542 millions de dollars. L’entreprise le répète à nouveau, la majorité de cette somme provient des accords avec les moteurs de recherche, tout particulièrement celui avec Google.. (chiffres 2017). Sinon, c’est le CA et pas les bénéfices qui sont pris en compte pour l’amende.



Après, est-ce Mozilla Corp ou la fondation qui serait condamnée en cas de manquement au RGPD, je ne sais pas trop.

votre avatar







SebGF a écrit :



Mozilla c’est une fondation à but non lucratif (Mozilla Foundation), mais elle englobe aussi une entreprise commerciale (Mozilla Corporation) qui elle, pour le coup, a déclaré un revenu net de 89 millions de dollars en 2017 pour un CA de 562 millions.







Alors qui paye dans ce cas ? La corporation, ou sa maison mère ? Dilemme.


votre avatar

En fait, la CNIL est en capacité d’infliger des amendes administratives donc même un organisme à but non lucratif peut être condamné.

L’amende administrative est au maximum de 10 millions d’euros ou 2% du CA annuel mondial pour une entreprise.

Et en cas de violation plus aggravée, c’est 20 millions ou 4% du CA annuel mondial.



https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article83



Il a eu des précédents d’associations qui ont fait l’objet d’une amende par la CNIL.

votre avatar







SebGF a écrit :



En fait, la CNIL est en capacité d’infliger des amendes administratives donc même un organisme à but non lucratif peut être condamné.

L’amende administrative est au maximum de 10 millions d’euros ou 2% du CA annuel mondial pour une entreprise.

Et en cas de violation plus aggravée, c’est 20 millions ou 4% du CA annuel mondial.



https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article83



Il a eu des précédents d’associations qui ont fait l’objet d’une amende par la CNIL.







Oui mais justement. La fondation n’a pas de CA. Elle ne vend rien. C’est la le soucis.


votre avatar

Relis bien : La sanction c’est un montant variable plafonné OU un pourcentage du chiffre d’affaires mondial si c’est une entreprise.



Exemple en 2018 :nextinpact.com Next INpact

En l’occurrence, il s’agit ici d’une association à but non lucratif qui a eu une amende de la CNIL.

votre avatar







Mihashi a écrit :



Uniquement parce qu’elle voulait continuer à faire du business aux US. Sinon, elle n’aurait pas payée.





c’est un peu plus vaste que ça. En pratique, le deal avec les autorités américaines est : soit vous payez, soit nous interdisons à toute entité qui veut avoir affaire avec nous de travailler avec vous.

Ce qui outre l’utilisation du dollar inclut toutes les entreprises et citoyens des Etats-Unis, mais aussi tous ceux qui travaillent avec de telles entreprises ou citoyens. Voir la définition plutôt large de US Person.


Le RGPD californien est actif, Mozilla l’appliquera dans le reste du monde

Fermer