Les entreprises devraient prendre au sérieux la nouvelle loi californienne sur la confidentialité des données

HL'HISTOIRE FAIT pas répéter mais parfois ça rime. Il semble donc que vous fassiez des efforts pour protéger la vie privée des internautes. L'Union européenne a dominé le monde avec son règlement général sur la protection des données (GDPR), qui est entrée en vigueur en mai 2018. Cette loi a secoué les géants de l'internet et les agences de publicité mondiales, qui avaient auparavant utilisé – et parfois abusé – les données des consommateurs avec peu de surveillance. Le 11 décembre, le gouvernement indien a présenté un projet de loi qui obligerait les entreprises à traiter les données uniquement avec le consentement des consommateurs et donnerait aux autorités un accès rapide à celles-ci. Le même jour, Scott Morrison, Premier ministre australien, a promis une révision des lois sur la protection de la vie privée et déclaré que l’autorité de la concurrence surveillerait la manière dont la publicité se fait sur les plateformes numériques. Mais le texte législatif le plus important rime avec GDPR en ce moment est la California Consumer Privacy Act (CCPA), qui entre en vigueur le 1er janvier. Pour les entreprises en ligne, ça fait des bocaux.

La loi californienne copie certains des GDPRDispositions de Il donne aux consommateurs le droit de savoir quelles informations en ligne sont collectées à leur sujet et comment elles sont utilisées, leur permet d'exiger que leurs données soient détruites et de poursuivre les entreprises pour violation de données. À certains égards, CCPA est plus lâche que son prédécesseur européen. Il n'insiste pas, par exemple, sur le fait que les entreprises ont une «base juridique» pour collecter et utiliser des données personnelles ou restreindre le transfert international de données. Elle ne demande pas non plus la nomination de responsables de la protection des données et l’évaluation des risques des projets en matière de protection des données. Et tandis que le GDPR permet aux individus d'exiger que des informations privées les concernant soient supprimées du Web dans certaines circonstances, le premier amendement fait de ce «droit à l'oubli» un non-démarreur en Amérique.

À d’autres égards, cependant, la Californie va plus loin UE. le CCPA adopte une définition plus large des informations personnelles (qui s'étend à des éléments tels que les cookies Internet qui identifient les utilisateurs sur les sites Web) et interdit explicitement la discrimination (en offrant des remises à ceux qui accordent aux entreprises l'accès à leurs données). Les entreprises doivent permettre aux Californiens de se retirer de la vente de données personnelles avec un lien clair «ne pas vendre» sur leur page d'accueil, plutôt que via GDPRProcessus plus compliqué. Michelle Richardson du Center for Democracy and Technology, un groupe de défense de la vie privée financé en partie par de grandes sociétés de technologie, appelle CCPA «Révolutionnaire».

La loi californienne s’appliquera aux entreprises dont le chiffre d’affaires est de 25 millions de dollars ou plus et qui font des affaires dans l’État ou traitent les données de leurs résidents, même si elles n'y sont pas basées. Toute entité à but lucratif qui achète, partage ou vend les données de plus de 50 000 clients, ménages ou appareils californiens par an est également couverte. Les contrevenants encourent des amendes pouvant atteindre 7 500 $ pour chaque infraction, contre 4% des revenus annuels mondiaux ou 20 millions d'euros (22 millions de dollars), le montant le plus élevé étant retenu, pour le GDPR. Mais le plafond relativement insignifiant de la Californie peut s'additionner rapidement pour les entreprises comptant des milliers d'utilisateurs.

le GDPRLes antécédents de CCPA sera de grande envergure. Quelque 250 000 plaintes ont été déposées en vertu de la UE règles et certaines sanctions approchent les 100 millions d'euros. Si enfreindre les règles pouvait s'avérer coûteux, il en va de même pour les respecter. L'Association internationale des professionnels de la vie privée, un organisme de l'industrie et EY, une comptabilité, estiment que le respect des GDPR coûte à l'entreprise moyenne 2 millions de dollars. Les entreprises technologiques dépensent plus de 3 millions de dollars; les sociétés financières, plus de 6 millions de dollars. Selon une estimation, le coût total pour toutes les entreprises américaines de plus de 500 employés pourrait atteindre 150 milliards de dollars.

«Conformité initiale» à la CCPA pourrait, pour sa part, coûter aux quelque 500 000 entreprises américaines affectées, selon les estimations, 55 milliards de dollars, selon une étude commandée par le procureur général de Californie. Ces estimations doivent être prises avec un grain de sel. D'une part, les entreprises mondiales qui sont déjà GDPR-conforme ont une longueur d'avance, même si les différences entre les deux lois signifient que respecter la loi californienne sera loin d'être automatique. Les grandes entreprises, qui sont déjà GDPR, devraient dépenser 2 millions de dollars supplémentaires chacun. Pour les géants de la technologie qui ressemblent à des changements de conneries. Microsoft et Apple disent qu'ils ne sont pas seulement prêts pour CCPA, mais prévoient également de le mettre en œuvre à travers l'Amérique.

Pour les légions américaines de petits vendeurs de bibelots en ligne, de fabricants d'applications ou d'autres entreprises présentes sur Internet, la loi californienne sera onéreuse. Ils peuvent ignorer les réglementations européennes, car la plupart UE mais ne peut pas facilement rester à l'écart de l'un des plus grands marchés intérieurs américains. Une nouvelle enquête du NOUS La Chambre de commerce, un groupe de pression, affirme que seulement 12% des petites entreprises en Amérique connaissent la loi, et encore moins s'y sont préparées.

L'impact de la CCPA se fait sentir au-delà des salles de réunion. Big Tech fait du lobbying auprès des législateurs de Washington, DC, pour une loi fédérale sur le sujet. «Nous soutenons vraiment, vraiment une loi fédérale omnibus sur la protection de la vie privée», déclare un responsable de la confidentialité des données dans une grande entreprise technologique américaine. Facebook et Google le font également. le NOUS La Chambre de commerce, mieux connue pour s'être opposée à la réglementation, est également désormais favorable.

Une explication de l’enthousiasme soudain des entreprises technologiques pour protéger les informations des utilisateurs est leur désir raisonnable d’éviter un gâchis balkanisé de lois étatiques contradictoires. L'Illinois, New York et Washington ont des législations d'État différentes en préparation. Beaucoup d'autres étudient la question.

Apprivoiser l'ouest, l'est sauvage

Les entreprises technologiques pourraient avoir un autre motif de soutenir les règles fédérales. Étant donné qu'une grande partie des activités en ligne franchissent les frontières des États, elles relèvent de la compétence fédérale. Une loi nationale sur les données remplacerait donc la Californie, à moins qu'elle ne fasse explicitement des règles fédérales le plancher que les États pourraient soulever s'ils le souhaitent. Une proposition démocrate au Sénat fait exactement cela. Un républicain rival établirait des règles plus favorables aux entreprises comme plafond, ce qui CCPA. Aucun point pour deviner lequel de ces America Inc préférerait. Aucun des deux ne devrait passer avant les élections présidentielles de novembre. Jusque-là, les entreprises devront tenir compte des shérifs de données de la Californie. Après cela, attendez-vous à une fusillade.

Laisser un message

Your email address will not be published.