mercredi 22 janvier 2020

Quelles perspectives pour le "RGPD californien"?


Le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi sur la protection de la vie privée concerne les données personnelles des consommateurs californiens.  Mais au-delà de celles-ci, c'est bien la protection de l'identité numérique des individus, notre "double numérique", qui semble en jeu. Par sa nature et ses nombreuses implications, ce texte soulève beaucoup de questions.


Qu'est-ce que le CCPA ?
Aux Etats-Unis, le recueil des renseignements personnels n'est réglementé au niveau national que dans de rares secteurs d'activité (santé, finances...). De par son poids démographique, économique et symbolique, la Californie est donc susceptible de donner l'exemple et de devenir un modèle pour le pays. [1]
Le California Consumer Privacy Act a été voté en juin 2018 par le Congrès local dans le contexte du scandale Cambridge Analytica et sous la pression populaire. 

A qui s'applique-t-il ?
Il s'applique depuis le début 2020 à une partie des entreprises à but lucratif implantées en Californie. De même, les firmes ayant des clients ou utilisateurs dans cet Etat doivent s'y conformer.
Sont concernées celles qui utilisent les données d'au moins 50 000 personnes, pour au moins 25 millions de dollars de chiffre d'affaires annuel. Celles aussi qui réalisent au moins 50% de leurs revenus avec la vente de données. Leurs filiales et sociétés mères devront également se plier à la loi. Les courtiers en données (data brokers) sont particulièrement visés.

Quels droits s'y attachent ?
Le CCPA donne de nouveaux droits aux consommateurs sur la façon dont leur données sont collectées et utilisées: droit de portabilité, d'information et d'accès aux données. L'internaute peut cliquer sur la mention 'Ne vendez pas mes données' . Des sanctions sont prévues à partir de juillet 2020 : des amendes de 2 500 à 7 500 dollars par violation constatée (à ramener au nombre de consommateurs).

Est-il vraiment si proche du RGPD que cela ? 
Parler de 'clone' du Règlement Général sur la Protection des Données (RGPD) est abusif malgré de nombreuses ressemblances. Certains parlent plutôt de 'version light' [2]. En réalité, la loi californienne est bien moins contraignante que le règlement européen. On retrouve dans le CCPA les 'droits de la personne' déjà présents dans le RGPD. Mais en Europe, toutes les entreprises, y compris publiques, sont concernées. Elles peuvent être sanctionnées même sans avoir perdu ou vendu des données jusqu'à 4% de leur chiffre d'affaires annuel ou 20 millions d'euros (le montant le plus élevé est retenu).
Cependant, la grande différence est philosophique: le RGPD met l'accent sur le consentement du citoyen (opt-in), le CCPA sur la possibilité de refuser du consommateur (opt-out). Les Européens imposent un délégué à la protection des données (DPO) indépendant au sein des entreprises. Celles ci sont tenues pour responsables de la protection des données privées. Rien de tel n'est prévu en Californie.

Quels espoirs fait-il naître ?
De nombreux spécialistes sont d'accord pour dire que le CCPA renforce la protection des informations personnelles pour des millions de personnes. Cela pourrait être une 'première étape' aux Etats-Unis d'un mouvement de fond qui touche toute la planète. En effet, une loi au niveau national est poussée par de nombreux acteurs. Ce ne sont pas seulement des associations de consommateurs, des activistes ou des ONG. Certaines entreprises comme Microsoft préfèrent d'ores et déjà appliquer le texte à tous les consommateurs. Une cinquantaine des plus grandes firmes américaines militent pour la création d'une loi fédérale. De manière générale, elles craignent la multiplication de textes et réglementations différentes. Elles veulent une loi unique qui leur conviendrait et faciliterait leurs activités dans tout le pays. Certaines firmes, à l'exemple d'Apple, voient un avantage concurrentiel dans des pratiques vertueuses de protection des données personnelles. 
On suivra ce qu'il ressort des longs débats au Congrès de Washington qui n'ont pour le moment pas abouti. 

Quelles sont ses limites ?
La mise en conformité peut être complexe (des infrastructures logicielles CCPA différentes sont sur le marché), son coût peut éventuellement poser problème aux petites entreprises. Les meilleures élèves sont celles qui se sont déjà mises en conformité avec le RGPD et celles dont les activités les sensibilisent à la question car leur réputation est en jeu (santé, finances...). D'autres ont attendu de voir les résultats des démarches des groupes de pression en Californie et si un texte allait être voté au niveau fédéral. Les experts tablaient donc sur environ 50% de firmes à jour de leurs obligations au 1er janvier 2020.
En réalité, la Californie n'a pas les moyens de poursuivre les infractions. De plus, la notion de 'vente' de données n'est pas claire. Ainsi, Facebook considère ne pas vendre de renseignements personnels mais les mettre à disposition de ses clients annonceurs. Par ailleurs, les essais réalisés avant l'entrée en vigueur du CCPA ont montré que peu de consommateurs utilisaient la possibilité de refuser la vente de leurs informations.

Quelles craintes s'expriment à l'heure actuelle ?
Blogs, tribunes et autres thèses... Leurs titres résument bien la principale inquiétude: 'Un "RGPD'"californien qui transforme les données personnelles en marchandises fictives' [3], 'Les Américains considèrent la donnée personnelle comme un simple bien commercialisable' [4] .... Le prix à payer pour plus de protection serait d'accepter que des entreprises peuvent vendre nos informations personnelles voire que nous puissions nous même vendre nos données aux entreprises. Si cette philosophie de la protection s'impose à l'échelle des Etats-Unis, il est probable qu'elle entrera en concurrence avec celle du RGPD qui affirme que les données personnelles ne peuvent être considérées comme des marchandises.
Plus largement, cela interroge notre réelle volonté de nous protéger des dangers de l'économie numérique [5].



[1] Mediavilla Lucas. Loi sur les données personnelles: la Californie ouvre le bal aux Etats-Unis. Les Echos. 06-01-2020. Vol 23109.
[2] Richard Philippe. CCPA: La Californie aura bientôt son RGPD version light. Techniques de l'ingénieur. [en ligne]. 28-05-2019. <https://www.techniques-ingenieur.fr/actualite/articles/ccpa-californie-rgpd-66865/ > [consulté le 21-01-2020].
[3] Maurel Lionel. Un "RGPD californien" qui transforme les données personnelles en marchandises fictives. -S.I.Lex- Un blog publié par Calimaq. [en ligne]. < https://scinfolex.com/2020/01/07/un-rgpd-californien-qui-transforme-les-donnees-personnelles-en-marchandises-fictives/ > [consulté le 21-01-2020].
[4] Lazarègue Alexandre. Les Américains considèrent la donnée personnelle comme un simple bien commercialisable. Le Monde. [en ligne]. 20-01-2020. <https://www.lemonde.fr/idees/article/2020/01/20/rgpd-les-americains-considerent-la-donnee-personnelle-comme-un-simple-bien-commercialisable_6026550_3232.html> [consulté le 21-01-2020].
[5] Cerf Juliette. Joie d'offrir, plaisir d'être fiché. Entretien avec Bernard E. Harcourt. Télérama. 08-01-2020. Vol 3652. p 37-39.

Aucun commentaire: