La Californie n’en est pas un paradoxe près. L’État de la Silicon Valley, où de nombreuses entreprises s’appuient sur l’analyse des données pour se développer, vient d’instaurer une loi qui règlemente justement l’usage des informations personnelles.
Annoncé depuis plus d’un an, le California Consumer Privacy Act (CCPA) est entré en vigueur en ce début d’année. Les Californiens peuvent désormais demander aux entreprises à recevoir tous les détails personnels qu’elles ont compilés sur eux. Il s’agit entre autres des journaux détaillés de leurs activités en ligne, de la géolocalisation, de leurs itinéraires de transport, des données faciales biométriques et des données de ciblage publicitaire.
Cette loi s’applique aux services de covoiturage, aux détaillants, aux entreprises de télévision par câble, aux fournisseurs de services mobiles et aux autres entreprises qui recueillent des données personnelles à des fins commerciales et plus connues sous le terme de Data brokers.
À la différence du RGPD, tout le monde n’est pas tenu d’être en conformité avec le CCPA. Il ne concerne que les entreprises américaines qui recueillent les renseignements personnels de 50 000 consommateurs ou plus ainsi que des entreprises dont le chiffre d’affaires annuel est supérieur à 25 millions de dollars.
De nombreuses grandes entreprises technologiques, dont Facebook, Microsoft et Twitter, ont mis à disposition des systèmes automatisés permettant aux utilisateurs de télécharger une copie de certaines données personnelles.
Le niveau de détail que les consommateurs pourront voir varie selon les entreprises. Microsoft indique par exemple les segments d’intérêt publicitaire associés à leurs comptes. De son côté, Twitter met à disposition des journaux montrant exactement comment les internautes ont été ciblés par une publicité spécifique.
Comme pour le RGPD, les entreprises américaines doivent (pour la première fois) indiquer à leurs employés les catégories de renseignements personnels qu’elles ont recueillies et leurs finalités. Enfin, les résidents de la Californie ont un nouveau droit. Ils peuvent dorénavant exiger que les entreprises suppriment leurs informations personnelles.
Une amende de… 250 millions de dollars !
Avec l’entrée en vigueur du CCPA, la pression monte sur le Congrès pour qu’il généralise cette loi à tous les États. Certains n’ont pas attendu cette décision. Le Nevada et le Vermont ont leurs propres lois sur la protection de la vie privée. L’État de New York pourrait suivre, mais avec une version encore plus ambitieuse en termes d’obligations des entreprises.
Comme avec le RGPD, les entreprises qui n’auront pas mis en place des procédures pour sécuriser les données personnelles et faciliter leur accès aux consommateurs s’exposeront à des amendes. À compter de juillet prochain, le non-respect de la conformité entraînera des sanctions civiles importantes.
Les amendes seront plafonnées à 7 500 dollars par violation si elle est intentionnelle et à 2 500 dollars si elle est involontaire. Elles pourraient s’appliquer par dossier d’utilisateur. En théorie, une absence de conformité involontaire de 100 000 dossiers d’utilisateurs pourrait entraîner une pénalité de… 250 millions de dollars !
De son côté, le RGPD prévoit une graduation des sanctions en cas de non-conformité et/ou d’atteinte à la protection des données. Elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel global de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).
Dans l'actualité
- Anonymisation des données, une nécessité à l’ère du RGPD
- CCPA : La Californie aura bientôt son RGPD version light
- RGPD : une mise en conformité loin d’être généralisée
- Le RGPD : bientôt un « standard » mondial ?
- Logiciels et applications mobiles : le casse-tête de la conformité avec le RGPD
- Le volume de données ne cesse d’augmenter, les fuites aussi !
- Cybersécurité : bonnet d’âne pour les banquiers !
- Des données de santé chez Microsoft : un hébergement sous haute tension
- Apple pris en flagrant délit de mensonge sur la protection de la vie privée ?
- Respect de la vie privée : les cadeaux à éviter
- Une sécurité renforcée avec la biométrie digitale : mon oeil !
- Facebook risque-t-il une amende de 2,9 milliards d’euros ?
- La fin des CAPTCHA grâce aux clés dédiées à la double authentification ?
- RGPD : un bilan mitigé
- Que devient /e/, le système d’exploitation mobile dégooglisé?
- Le casse-tête des transferts internationaux des données privées
- Campagnes de désinformation et cyberattaques sont en lice pour les élections présidentielles de 2022
- Les dérives de la surveillance biométrique pointées du doigt
- Lutte contre la pédopornographie: Apple est-il trop curieux ?
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites