Protection des données: la Californie s'inspire de l'Europe

Le 02/01/2020 à 7:43

Une première grande loi répondant au nom de California Consumer Privacy Act (CCPA) est entrée en vigueur le 1er janvier 2020 dans l'Etat américain. Mais son application effective au sein des entreprises pourrait leur coûter cher.

C'est désormais chose faite. Après l'Europe, c'est au tour de la Californie de se pencher sur la question de la protection des données. En s'inspirant du célèbre RGPD européen (autrement dit: du Règlement Général sur la Protection des Données) appliqué depuis 2018, l'Etat américain aspire à renforcer la confidentialité de ses résidents et à contraindre les entreprises qui exercent leur activité en Californie à déployer des changements structurels dans leurs programmes de confidentialité.

Depuis le 1er janvier 2020, la CCPA est donc effective. Toutes les entreprises qui traitent les données de consommateurs californiens et qui génèrent un chiffre d'affaires annuel de plus de 25 millions de dollars sont concernées. Dorénavant, en cas de fuites d'informations personnelles et de non-respect de la CCPA, les sociétés en question risquent des amendes pouvant atteindre 7.500 dollars par infraction. Certains grands groupes à l'instar de Google ou de Microsoft disent déjà s'être mis en conformité. Les autres disposent encore de quelques mois pour appliquer concrètement les changements.

Casse-tête pour les entreprises

Le fait est que si la CCPA a le mérite d'établir une première référence dans le pays en matière de protection des données, les parlementaires américains n'ont toujours pas trouvé d'accord au niveau fédéral sur le sujet. Et ce, malgré de longs débats cette année. D'autres Etats pourraient s'en inspirer, quitte à donner naissance à une multitude de lois locales qui pourraient compliquer la vie des entreprises.

"Il va y avoir beaucoup de confusion à court terme", remarque Daniel Castro, de la Information Technology and Innovation Foundation, un think tank souvent favorable aux entreprises technologiques. "Nous allons sans doute assister à un effet domino, avec d'autres Etats copiant la Californie, ce qui complique la tâche des sociétés. Certaines ont déjà intégré le RGPD et maintenant elles doivent se mettre en conformité avec d'autres lois".

Il faut dire que la CCPA n'est pas un clone du règlement européen. Bruxelles met en avant le consentement (à récolter et utiliser des données), tandis que la Californie insiste sur la possibilité de refuser.

"La pièce maîtresse de la CCPA, c'est l'obligation pour les entreprises d'afficher un lien qui dit 'Ne vendez pas mes données' ", explique John Verdi, du Future of Privacy Forum. Selon lui, la loi californienne aura une portée supérieure à toutes les autres mesures récentes. "Elle donne aux gens un choix clair sur la vente des données, qui est l'une des pratiques qui les inquiète le plus", ajoute-t-il.

Reste à définir la "vente". Facebook, par exemple, dérive ses profits du ciblage publicitaire ultra fin et à très grande échelle. Mais le géant des réseaux sociaux ne vend pas stricto sensu de données aux annonceurs. Il les collecte pour les exploiter commercialement, sous forme de cibles publicitaires anonymes.

La nouvelle loi, estime John Verdi, "représente un casse-tête pour les entreprises dont les services sont fondés sur les données", comme les plateformes de streaming de musique ou les spécialistes du référencement en ligne.

Une mise en conformité qui coûte cher

En outre, l'autre problématique à laquelle vont être confrontées les entreprises californiennes dans un premier temps, c'est évidemment le coût que cette mise en conformité pourrait générer. Se conformer au CCPA pourrait leur coûter jusqu'à 55 milliards de dollars, estime Roslyn Layton, une experte de l'American Enterprise Institute, un autre think tank. "Je ne m'attends même pas à 50% de mise en conformité", déclare-t-elle, estimant que les grandes firmes y parviendront sans difficulté, mais pas les petites entreprises et ONG.

En principe, la Californie est censée commencer à sanctionner les infractions à partir de mi-2020. La tâche ne sera pas aisée: toutes les organisations qui ont des clients ou des utilisateurs dans l'Etat de l'Ouest américain sont concernées. "Je crois que la Californie aimerait que le Congrès vienne à sa rescousse (avec une loi nationale)", assure Roslyn Layton. "Leur budget n'est pas suffisant pour vraiment appliquer la loi".

La situation pourrait même se corser si les citoyens californiens décidaient de renforcer encore plus la protection des données sensibles (comme la géolocalisation) lors d'un référendum prévu pour 2020.