Note de veille

Recherche, sciences, techniques - Société, modes de vie - Territoires, réseaux

Protection des données : la Californie légifère sur le modèle européen

Par

Le 3 novembre 2020, les citoyens californiens n’ont pas seulement voté pour leur prochain président. Ils ont aussi largement approuvé une nouvelle régulation des données personnelles au sein de leur État (plus de 50 % des électeurs ont soutenu le projet de loi). Largement plébiscité, le California Privacy Rights and Enforcement Act (CPRA)vient donc compléter le California Consumer Privacy Act (CCPA), datant seulement du 1er janvier 2020. La soudaine diligence des législateurs californiens pour renforcer le cadre juridique en matière de protection de la vie privée est révélatrice des tensions croissantes entre entreprises et autorités américaines.

Ainsi la nouvelle régulation californienne vient-elle mettre le holà aux pratiques de plus en plus intrusives des gros acteurs de la Silicon Valley, qui tirent leur manne financière de l’exploitation massive des données personnelles de leurs usagers. Elle met en place, en effet, et à la manière du Règlement général pour la protection des données personnelles européen (RGPD), une définition stricte des données personnelles à caractère sensible, et étend les droits des utilisateurs des plus gros sites collectant et utilisant leurs données. La réglementation s’applique, en effet, à toutes les entreprises brassant les données de plus de 100 000 Californiens. Avec cette nouvelle loi, ces derniers disposeront enfin d’outils pour comprendre ce que font les groupes privés de leurs données. Ils pourront accéder aux banques de données les concernant et réclamer que ces données soient supprimées ou modifiées. Ils pourront aussi refuser le partage de leurs données entre entreprises. Les entreprises devront pouvoir, en parallèle, justifier les raisons pour lesquelles elles stockent ces données, et auront pour obligation de s’en tenir au principe de proportionnalité et de pertinence de leur collecte.

Transparence, lisibilité, protection de la vie privée, y compris des mineurs, et droit à l’oubli sont donc les principes structurants du CPRA. Les entreprises disposent de trois ans pour se mettre en conformité avec la loi, un processus long et complexe de tri et d’organisation de leurs bases de données qu’ont déjà connu les entreprises européennes. Dès janvier 2023, elles risqueront ensuite de fortes amendes en cas d’infraction. La Californie a, en parallèle, décidé de créer la première instance de régulation en charge de s’assurer, comme la Commission nationale de l’informatique et des libertés (CNIL) en France, que la loi soit respectée, indice supplémentaire de l’implication croissante des autorités en la matière.

Ce pas en avant vers un meilleur contrôle des pratiques des acteurs du numérique cible très directement les grosses entreprises, puisque, comme indiqué plus haut, seules celles brassant les données de plus de 100 000 Californiens sont concernées par la nouvelle réglementation. Ce zèle juridique est-il le révélateur des inquiétudes qui agitent aujourd’hui la classe politique américaine vis-à-vis des grandes entreprises du numérique ? On peut le supposer, en effet, puisque au même moment Facebook est appelé à comparaître à l’échelle nationale par la Federal Trade Commission pour abus de position dominante. L’entreprise pourrait, au terme de son procès, devoir revendre Whatsapp et Instagram qui lui donnent, à ce jour, une mainmise quasi totale sur le marché des applications de communication dans le pays. Quant à l’extension du CPRA hors des frontières californiennes, ce n’est pas exclu puisque huit autres États travaillent déjà à des versions similaires de la loi pour leur juridiction. L’arrivée à la Maison Blanche de l’administration Biden / Harris en janvier pourra aussi accélérer le processus à l’échelle nationale. La vice-présidente, originaire de Californie, a ainsi été la première procureur générale de l’État californien à instituer une unité dédiée à la protection des données et à la cybersécurité au sein de son cabinet. C’est cette unité qui est maintenant responsable de la bonne application du CCPA et du futur CPRA.

Est-ce la mort à petit feu de la surpuissance des fameux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) ? La route est encore longue pour réduire leur influence, d’autant que ces entreprises ont su diversifier leurs activités, leurs pratiques et leurs régions d’opération pour assurer leurs revenus, signant aussi un certain nombre de contrats avec le gouvernement et la police américaine. Toutefois, ce durcissement progressif des autorités américaines à leur égard, après un relatif laxisme depuis l’émergence de ces acteurs titanesques, est peut-être le signal faible d’un retour de la puissance de l’État face aux acteurs privés et de la fin d’une ère de libéralisme sauvage et non régulé. Par ailleurs, la Californie n’est pas la seule à aligner sa juridiction sur la vie privée avec celle de l’Union européenne, le Brésil ou encore le Japon ayant eux aussi largement avancé en la matière. Cette convergence progressive pourrait être une opportunité pour l’Europe de consolider enfin, à l’échelle internationale, un modèle plus humaniste et protecteur, à l’heure où les inquiétudes autour des pratiques de surveillance et de contrôle des individus ne cessent de croître.

----------------
Sources :
Bowles Jerry, « California Voters Approved a New and Even Tougher Data Privacy Act. What Happens Now? », Diginomica, 7 décembre 2020 ; Coles Terri, « Update to California’s Data Privacy Laws Could Have Wide Reach », ITProToday, 15 novembre 2020 ; Lovells Hogan, « Understanding the New California Privacy Rights Act: How Businesses Can Comply with the CPRA », JD Supra, 25 novembre 2020.

Read related content

Devenir membre

Cet article est en accès libre jusqu'au 22/02/2021. Devenez membre pour accéder à l'ensemble des productions de l'association.

Membership