Le California Consumer Privacy Act s’applique depuis le 1er janvier à toute entreprise générant un chiffre d’affaires de 25 millions de dollars, récolte les données d’au moins 50 000 personnes ou dont le chiffre provient pour moitié de l’exploitation de données utilisateurs.
Le CCPA instaure trois droits fondamentaux : savoir quelles informations sont en possession d’une entreprise, pouvoir lui réclamer leur suppression et demander que ces données ne soient plus vendues à des tiers (opt-out).
Par « vendues », la loi entend toute transmission d'informations personnelles à des sociétés tierces pour traitement. En clair, tous les processus de suivi publicitaire réalisés par d’autres entreprises sont par exemple concernés. Si l’utilisateur demande que ses données ne soient plus envoyées, les publicités ne seront plus personnalisées.
L’État américain espère que les entreprises suivront rapidement. Comme le RGPD, la force de la nouvelle loi sera jaugée par la capacité de la Californie à poursuivre et faire condamner les contrevenants.
Mozilla a déjà répondu présente : le CCPA servira de modèle pour le reste du monde. Au cours de cette année, la gestion des données évoluera une fois de plus, permettant notamment à l’utilisateur de réclamer leur suppression.
Mozilla ne propose actuellement pas cette option. Firefox émet des données télémétriques, liées à des options actives par défaut. Ces informations ne sont – normalement – pas personnelles : nombre d’onglets ouverts, temps d’ouverture de chaque onglet, nombre d’extensions installées, etc. Les adresses, par exemple, ne sont jamais fournies.
L’éditeur ajoutera donc dans Firefox 72 une nouvelle option de suppression des données. La nouvelle mouture est prévue pour demain. Le changement ne semble pour l’instant concerner que la version pour ordinateurs, mais il n’y aucune raison que le changement ne soit pas répercuté partout.
Mais là où le RGPD avait laissé plusieurs années de préparation aux entreprises, le CCPA n’a donné que quelques mois. Une vraie course a donc commencé, car même si l’on pense aux GAFAM, d’autres gros brasseurs d’informations personnelles sont dans l’urgence.
Selon Reuters, les grandes chaines de type Walmart et Home Depot doivent ainsi informer le public (via des panneaux, QR codes, mentions sur leur site, etc.) de ce qui arrive à leurs données, et comment demander leur suppression ou qu’elles ne soient pas envoyées à des tiers.
Il faut donc prévoir et bâtir rapidement l’infrastructure pour le faire, tout en formant le personnel à répondre aux questions des clients. D'autres, comme Amazon, ont indiqué qu'un bouton « Ne pas vendre mes données » était hors-sujet puisque les informations ne quittaient pas ses serveurs.
La question qui se pose maintenant est évidente : le CCPA fera-t-il tache d’huile ? Il accentue en tout cas la pression du Congrès américain, car une loi fédérale simplifierait la gestion des données personnelles à l’échelle du pays. D’autant que des entreprises, comme Home Depot, choisissent déjà d’appliquer la nouvelle loi au reste des États-Unis. Ou, dans le cas de Mozilla, au reste du monde.
Commentaires (24)
#1
Ce que je trouve nul, c’est qu’on a le RGPD à l’échelle (presque) d’un continent et à l’effet international qui exige la même chose (voir plus si je ne dis pas de bétises) et que Mozilla aura attendu qu’une loi similaire soit appliqué à la Californie (donc à l’échelle d’un bout des USA) pour mettre ça en place.
Comment est-ce qu’on doit prendre la considération de Mozilla pour le “vieux Continent” ?
(on va dire que je chipote, et c’est juste mais sérieusement, qu’est-ce qui vous pousse à mettre ça en place maintenant et pas quand le RGPD a été instauré ?)
#2
Ben, parce qu’ils sont domiciliés en Californie…
#3
Le RGPD s’applique à toute entreprise qui traite les données de résidents de l’UE.
Peu importe que l’entreprise soit domiciliée dans l’UE ou pas.
Peu importe que le traitement soit effectué dans l’UE ou pas.
(cf RGPD article 3 “Champ d’application territorial”)
#4
Mozilla ne respectait pas déjà le RGDP ?… en Union européenne, j’entends. Et sachant que Mozilla fait la publicité de sa préoccupation du respect de la vie privée depuis quelques années même aux USA (sauf erreur de ma part).
#5
Et il faut aussi appliquer la peine de mort pour les Texans résidants en France.
C’est déjà bien que la Californie réagisse. Ce n’était pas gagné.
#6
Je répond juste à la question « pourquoi la loi californienne et pas les autres », pas s’ils auraient dû légalement suivre les autres.
" />
Et techniquement, je ne vois pas ce Mozilla peut craindre d’une loi européenne. Une amende ou qu’on lui interdise d’y commercialiser ses produit ?
#7
une amende oui.
4% du CA mondial, et casser l’image de marque sympa de cet outil également.
#8
#9
#10
#11
A la difference que les etatsuniens appliquent une regle d’extraterritorialité de leurs lois, quand qqchose n’est pas en phases avec leurs exigences/decisions/interets, et que vu que les boites visees ont une “licence” d’utilisation du dollar (si je resume fortement) l’amende est a payer immediatement sous peine d’etre interdit de manipulation du dollar.
Le jour ou les vendeurs de petrole/gaz etc decideront d’etre payes en euro ou tout autre monnaie, la donne pourra changer.
Si je ne m’abuse, c’etait une des decisions prevues par Khadafi lors de la presentation de son projet d’etats unis d’afrique, qui a peut etre joué un role dans sa chute.
J’attends impatiemment des decisions de l’UE dans ce sens, ou tout au moins une regle de reciprocité dans les decisions us qui pourraient impacter des interets europeens.
Par ex le coup des impots a declarer/payer au fisc us par les double nationalités meme s’ils ne resident pas ou n’ont passé que qqs jours aux US (enfants de diplomates/expats, par ex)
#12
En soit, ce que je reproche, c’est plus le fait d’avoir attendu une loi locale à leur état pour mettre ça en place plutôt que de prendre l’initiative de le faire au moment de la mise en place du RGPD.
Surtout quand les données télémétriques sont très loin de faire partie des données ciblées par ces lois. J’ai vraiment le sentiment de les voir tirer la corde en mode “Regardez, on est champion sur le respect de la vie privée, on applique dès le début la loi Californienne”… certes, mais vous auriez tout aussi bien pu le faire avec le RGPD.
#13
Uniquement parce qu’elle voulait continuer à faire du business aux US. Sinon, elle n’aurait pas payée.
#14
Microsoft, Intel et Google ont pourtant eu des condamnations en Europe sur fondement de textes légaux européens.
Faut pas oublier que du point de vue économique, l’UE c’est un marché de ~500 millions de consommateurs (-~60 quand le RU aura dynamité le tunnel sous la manche sauf qu’ils parviennent à rester dans le marché unique), soit plus que les USA.
#15
#16
#17
#18
Mozilla c’est une fondation à but non lucratif (Mozilla Foundation), mais elle englobe aussi une entreprise commerciale (Mozilla Corporation) qui elle, pour le coup, a déclaré un revenu net de 89 millions de dollars en 2017 pour un CA de 562 millions.
#19
On peut lire sur NXI :
Mozilla Corp (qui produit Firefox et les autres logiciels et services) : un chiffre d’affaires de 542 millions de dollars. L’entreprise le répète à nouveau, la majorité de cette somme provient des accords avec les moteurs de recherche, tout particulièrement celui avec Google.. (chiffres 2017). Sinon, c’est le CA et pas les bénéfices qui sont pris en compte pour l’amende.
Après, est-ce Mozilla Corp ou la fondation qui serait condamnée en cas de manquement au RGPD, je ne sais pas trop.
#20
#21
En fait, la CNIL est en capacité d’infliger des amendes administratives donc même un organisme à but non lucratif peut être condamné.
L’amende administrative est au maximum de 10 millions d’euros ou 2% du CA annuel mondial pour une entreprise.
Et en cas de violation plus aggravée, c’est 20 millions ou 4% du CA annuel mondial.
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article83
Il a eu des précédents d’associations qui ont fait l’objet d’une amende par la CNIL.
#22
#23
Relis bien : La sanction c’est un montant variable plafonné OU un pourcentage du chiffre d’affaires mondial si c’est une entreprise.
Exemple en 2018 :https://www.nextinpact.com/news/106793-cnil-75-000-euros-damende-pour-faille-sec…
En l’occurrence, il s’agit ici d’une association à but non lucratif qui a eu une amende de la CNIL.
#24