La protection des données fait une arrivée remarquée en Californie. Une nouvelle législation a été adoptée, jeudi 28 juin, mais elle ne sera appliquée qu’à compter du 1er janvier 2020
La Californie se dote à son tour d’une loi sur la protection des données personnelles. Jeudi 28 juin, les parlementaires de l’Etat américain le plus peuplé ont adopté à l’unanimité une série de règles similaires au RGPD (règlement général sur la protection des données) européen, qui est entré en vigueur le 25 mai. Le texte, le plus contraignant aux Etats-Unis, est critiqué par les géants de la Silicon Valley, qui réclament déjà des assouplissements.
La législation ne sera appliquée qu’au 1er janvier 2020. Elle obligera les entreprises à divulguer le type de données qu’elles collectent sur leurs usagers ou clients. Ceux-ci pourront s’opposer à l’utilisation de leurs données à des fins commerciales, et réclamer la suppression des informations déjà recueillies. Le texte interdit par ailleurs le partage et la revente des données sur les enfants de moins de 16 ans. Il introduit également la possibilité de poursuivre une société en justice si l’absence de mesures de sécurité permet le vol de données par des pirates informatiques.
Présenté en 2017, ce projet de loi est longtemps resté dans les cartons. Son adoption s’est accélérée ces derniers jours après un ultimatum fixé par Alastair Mactaggart, un promoteur immobilier californien qui a collecté plus de 600 000 signatures afin de sou- mettre au vote populaire des mesures encore plus strictes lors des élections de novembre. En raison du scandale Cambridge Analytica – une firme britannique qui a siphonné les données de 87 millions d’utilisateurs de Facebook –, cette initiative populaire avait de grandes chances d’aboutir.
Prendre les devants
Face à cette menace, les parlementaires ont donc préféré prendre les devants, avec un texte qui va moins loin. Par exemple, ce- lui-ci ne permet pas aux consommateurs de porter plainte contre une entreprise ne respectant pas la loi. Il n’oblige pas non plus à rendre public le nom des sociétés qui ont accès aux données personnelles, mais seulement leur secteur d’activité. Et le montant des réparations pouvant être obtenues en cas de vol de données est dix moins élevé. « Nous n’avons pas fait de concessions importantes », assure cependant M. Mactaggart, qui a mis un terme à sa démarche.
En précipitant l’adoption de cette législation, le Parlement californien se laisse surtout la possibilité de l’amender. Plusieurs élus ont déjà indiqué que des rectifications seront apportées avant même son entrée en vigueur. Cela n’aurait pas été possible en cas de vote favorable en novembre : une initiative populaire ne peut être modifiée que par une autre initiative populaire. « Les effets de ces nouvelles règles restent encore incertains, estime ainsi Lee Tien, de l’Electronic Frontier Foundation. Nous anticipons de nombreux changements de la loi dans les mois et années à venir. »
Après avoir initialement combattu le projet de loi, les grands groupes technologiques américains ont d’ailleurs rapidement réorienté leurs efforts. «L’initiative populaire était pire », souligne Robert Callahan de l’Internet Association, un lobby regroupant Google, Amazon ou encore Microsoft. « Il est maintenant primordial que les parlementaires et l’industrie collaborent pour corriger les effets néfastes de cette loi adoptée dans la précipitation »,poursuit le lobbyiste. « Ils ne peuvent pas réécrire la loi », promet M. Mactaggart, mettant en avant le soutien de l’opinion publique.
En attendant, le nouveau texte suscite déjà des réserves. Un article offre par exemple un délai de trente jours aux entreprises après le constat d’une infraction pour se mettre en conformité et éviter une amende. Un autre permet aux sociétés de fixer un prix plus élevé pour les services apportés aux clients qui refusent le partage de leurs données. « Les consommateurs ne devraient avoir à payer pour exercer leur droit au respect de la vie privée », regrette Justin Brookman, de Consumers Union.
