Personne n'est prêt pour la nouvelle loi californienne sur la vie privée des consommateurs

La California Consumer Privacy Act entre en vigueur le 1er janvier et il ne semble pas que quiconque, même l'État de Californie lui-même, soit totalement prêt. Les projets de règlement d'application de la loi sont toujours en cours de finalisation au niveau des États, et les questions sur les aspects spécifiques du règlement de confidentialité le plus complet depuis le règlement général de l'Union européenne sur la protection des données (RGPD) ne sont toujours pas claires.

"Si vous pensiez que le RGPD était cahoteux, le CCPA va être un véritable roller coaster", raconte Reece Hirsch Le bord. Hirsch est co-responsable des pratiques de confidentialité et de cybersécurité de Morgan Lewis et a conseillé ses clients sur la manière de s’adapter à la nouvelle loi. «Il s'agit d'un ensemble complexe de nouvelles règles, qui sont toujours en cours d'élaboration.»

Le nœud du CCPA est le suivant: si votre entreprise achète ou vend des données sur au moins 50000 résidents californiens chaque année, vous devez divulguer à ces résidents ce que vous faites avec les données et ils peuvent vous demander de ne pas les vendre. Les consommateurs peuvent également demander aux entreprises liées par la CCPA de supprimer toutes leurs données personnelles. Et comme Le journal de Wall Street signalés, les sites Web avec un suivi tiers sont censés ajouter un bouton «Ne pas vendre mes informations personnelles» qui, s'il est cliqué, interdit au site d'envoyer des données sur le client à des tiers, y compris aux annonceurs.

Malgré l'écriture manuscrite avant son échéance de l'année dernière, l'adoption officielle du RGPD s'est déroulée aussi bien que prévu. Facebook et Google font déjà face à des poursuites d'un milliard de dollars pour des violations présumées du RGPD, mais il faudra des années avant que ces poursuites ne soient fermées. Jusque-là, les petites entreprises n'auront qu'une idée confuse de la façon dont elles pourraient être vulnérables à la règle, et la conformité continue d'être une sorte de puzzle.

Mais l'ACCP est susceptible d'être un défi de conformité encore plus grand. Il s'agit de la première législation en vigueur aux États-Unis pour donner aux consommateurs le contrôle sur la façon dont leurs informations personnelles sont utilisées en ligne, et peut indiquer comment d'autres États chercheront à protéger la vie privée de leurs résidents, a déclaré Hirsch.

Il conseille aux clients non seulement de mettre à jour leurs politiques de confidentialité, mais également de créer des processus pour conserver des copies de toute information personnelle collectée sur les consommateurs. Hirsch conseille également aux entreprises de déterminer qui répondra et traitera les demandes d'informations des consommateurs et la suppression de ces informations.

Le procureur général de Californie, Xavier Becerra, a déclaré plus tôt ce mois-ci que même si l'application généralisée de la CCPA n'était pas probable avant juillet, les entreprises ne devraient pas considérer les six premiers mois de l'année comme une période de grâce. "Nous allons essayer d'aider les gens à comprendre notre interprétation de la loi", a déclaré la semaine dernière Becerra, cité par le San Francisco Chronicle. "Et une fois que nous avons fait ces choses, notre travail consiste à nous assurer de la conformité, donc nous allons appliquer."

James Steyer, PDG de Common Sense, une organisation de défense de la vie privée des enfants, dit qu'il pense que la plupart des entreprises font des efforts de bonne foi pour se conformer à la CCPA. Microsoft a annoncé le mois dernier son intention de mettre en œuvre les dispositions de la CCPA non seulement en Californie, mais également pour tous ses clients.

Facebook semble adopter une approche différente envers l'ACCP, soulignant que «nous ne vendons pas les données des gens», selon un article de blog de décembre. Facebook dit avoir déjà des outils pour permettre aux utilisateurs d'accéder et de supprimer leurs informations, où qu'ils vivent. Le service dispose d'une page CCPA où les résidents de Californie peuvent demander des informations sur l'un de ses produits – WhatsApp, Instagram, Portal, Messenger Kids et Facebook lui-même. En conséquence, Facebook se considère comme déjà largement conforme à la CCPA.

Steyer conteste la position de Facebook, car, comme il le dit, le modèle commercial de l'entreprise est basé sur la collecte et la monétisation des données de ses utilisateurs. La Californie devrait garder un œil sur la manière dont les entreprises collectent et utilisent les données de leurs clients, et pas seulement sur la vente de ces données, ajoute-t-il.

"Comme c'est malheureusement devenu la coutume, Facebook est la plus grande valeur aberrante", explique Steyer. «Becerra va devoir se concentrer sur la tenue de comptes à des sociétés comme Facebook.»

Facebook a refusé de commenter davantage.

Hirsch dit qu'il n'est pas tout à fait clair ce que la Californie utilise comme définition d'une «vente» d'informations sur les consommateurs. Autre problème: comment une entreprise va-t-elle s'assurer de supprimer les bonnes données client sans collecter plus d'informations pour les vérifier?

«La définition large de« vente »est un point délicat pour de nombreuses entreprises car elle inclut potentiellement le partage d'informations pour la publicité en ligne», explique Hirsch. Les accords avec les prestataires de services sont un autre domaine dans lequel les entreprises devront examiner de près leurs pratiques; un accord avec un sous-traitant ou un fournisseur doit préciser soigneusement comment les informations personnelles sont utilisées ou partagées, a ajouté Hirsch.

La plupart des grandes entreprises technologiques, dit Steyer, considèrent l'ACCP comme étant dans leur intérêt à long terme, car cela créera plus de confiance parmi les consommateurs. Mais avec ses nombreuses gaffes sur la confidentialité au cours des dernières années, il est curieux de savoir pourquoi Facebook ne saisirait pas l'occasion d'améliorer son bilan en matière de confidentialité.

«C'est un moment historique, c'est la première grande législation complète sur la confidentialité adoptée aux États-Unis depuis que Zuckerberg était à la maternelle», a déclaré Steyer. "Mais Facebook essaie de trouver des moyens de contourner la loi."

Traduit de la source : https://www.theverge.com/2019/12/31/21039228/california-ccpa-facebook-microsoft-gdpr-privacy-law-consumer-data-regulation

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.