Le California Consumer Privacy Act s’applique depuis le 1er janvier à toute entreprise générant un chiffre d’affaires de 25 millions de dollars, récolte les données d’au moins 50 000 personnes ou dont le chiffre provient pour moitié de l’exploitation de données utilisateurs.
Le CCPA instaure trois droits fondamentaux : savoir quelles informations sont en possession d’une entreprise, pouvoir lui réclamer leur suppression et demander que ces données ne soient plus vendues à des tiers (opt-out).
Par « vendues », la loi entend toute transmission d'informations personnelles à des sociétés tierces pour traitement. En clair, tous les processus de suivi publicitaire réalisés par d’autres entreprises sont par exemple concernés. Si l’utilisateur demande que ses données ne soient plus envoyées, les publicités ne seront plus personnalisées.
L’État américain espère que les entreprises suivront rapidement. Comme le RGPD, la force de la nouvelle loi sera jaugée par la capacité de la Californie à poursuivre et faire condamner les contrevenants.
Mozilla a déjà répondu présente : le CCPA servira de modèle pour le reste du monde. Au cours de cette année, la gestion des données évoluera une fois de plus, permettant notamment à l’utilisateur de réclamer leur suppression.
Mozilla ne propose actuellement pas cette option. Firefox émet des données télémétriques, liées à des options actives par défaut. Ces informations ne sont – normalement – pas personnelles : nombre d’onglets ouverts, temps d’ouverture de chaque onglet, nombre d’extensions installées, etc. Les adresses, par exemple, ne sont jamais fournies.
L’éditeur ajoutera donc dans Firefox 72 une nouvelle option de suppression des données. La nouvelle mouture est prévue pour demain. Le changement ne semble pour l’instant concerner que la version pour ordinateurs, mais il n’y aucune raison que le changement ne soit pas répercuté partout.
Mais là où le RGPD avait laissé plusieurs années de préparation aux entreprises, le CCPA n’a donné que quelques mois. Une vraie course a donc commencé, car même si l’on pense aux GAFAM, d’autres gros brasseurs d’informations personnelles sont dans l’urgence.
Selon Reuters, les grandes chaines de type Walmart et Home Depot doivent ainsi informer le public (via des panneaux, QR codes, mentions sur leur site, etc.) de ce qui arrive à leurs données, et comment demander leur suppression ou qu’elles ne soient pas envoyées à des tiers.
Il faut donc prévoir et bâtir rapidement l’infrastructure pour le faire, tout en formant le personnel à répondre aux questions des clients. D'autres, comme Amazon, ont indiqué qu'un bouton « Ne pas vendre mes données » était hors-sujet puisque les informations ne quittaient pas ses serveurs.
La question qui se pose maintenant est évidente : le CCPA fera-t-il tache d’huile ? Il accentue en tout cas la pression du Congrès américain, car une loi fédérale simplifierait la gestion des données personnelles à l’échelle du pays. D’autant que des entreprises, comme Home Depot, choisissent déjà d’appliquer la nouvelle loi au reste des États-Unis. Ou, dans le cas de Mozilla, au reste du monde.
Commentaires