Discussion :

[Stéphane le calme]

Les législateurs californiens approuvent des règles de confidentialité auxquelles la Silicon Valley s'oppose,
début d'un RGPD aux USA ?

Le gouverneur de la Californie, Jerry Brown, a posé sa signature jeudi sur la California Consumer Privacy Act, un projet de loi régulant la confidentialité des données. L’objectif est de donner aux consommateurs plus de contrôle sur la façon dont les entreprises collectent et gèrent leurs informations personnelles. La proposition n’a pas trouvé un écho favorable auprès de grandes enseignes technologiques comme Google qui l’ont jugée trop lourde.

Selon le projet, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.

La loi pourrait donc entrer en vigueur le 1^er janvier 2020 et chaque violation entraînerait une amende de 7 500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.

« C'est un grand pas en avant pour la Californie », a déclaré le sénateur d'Etat Bob Hertzberg, un démocrate, lors d'une conférence de presse en direct jeudi. « C'est un grand pas en avant pour les gens à travers le pays ».

Brown a signé la mesure seulement quelques heures après son adoption à l'unanimité par les deux chambres de la législature.

gouverneur de la Californie, Jerry Brown

Qu’est ce que cela signifie concrètement ?

Les renseignements personnels sont définis comme tout élément « pouvant être associé ou pouvant raisonnablement être lié, directement ou indirectement, à un consommateur ou à un ménage particulier ». Cela comprend, sans s’y limiter, la navigation sur Internet et l'historique de recherche, les données biométriques, les données de géolocalisation, les informations sur le travail et l'éducation et divers types d'identifiants tels que noms, alias, adresses postales, adresses IP, adresses e-mail, numéros de permis de conduire et numéros de passeport.

Tout ce qui serait autrement accessible au public ne serait pas protégé par la loi.

Les consommateurs auraient le droit de demander toutes les données recueillies par une entreprise jusqu'à deux fois par an, et les entreprises seraient tenues de divulguer l'information gratuitement. Les consommateurs auraient « le droit de demander à une entreprise de supprimer toute information personnelle concernant le consommateur que l'entreprise a collecté auprès du consommateur ».

Les entreprises qui vendent des renseignements personnels sur les consommateurs à des tiers devraient laisser les consommateurs la possibilité de retirer leurs informations personnelles de ces ventes à tout moment. La règle est plus stricte pour les enfants, car les entreprises ne seraient pas autorisées à vendre des informations personnelles concernant les personnes de moins de 16 ans, sauf si elles reçoivent un « opt-in » de l'enfant ou du parent ou tuteur de l'enfant. Le consentement du parent ou tuteur serait nécessaire pour les enfants de moins de 13 ans.

Les entreprises seraient également interdites « de discriminer un consommateur parce que le consommateur a exercé les droits du consommateur en vertu de cette loi, par exemple en facturant des prix ou des taux différents, ou en fournissant un niveau ou une qualité de biens ou de services différents ».

Les grandes entreprises ne sont pas satisfaites

La mesure toucherait presque toutes les grandes entreprises, mais les grandes entreprises technologiques qui jouent un rôle de plus en plus important dans les communications et le commerce en ligne sont une cible importante. Les violations de données affectant Facebook Inc (FB.O), Uber Technologies Inc et d'autres sociétés ont généré une pression publique accrue pour que les régulateurs interviennent.

Les dirigeants d'Alphabet Inc (GOOGL.O) Google avaient averti que la mesure pourrait avoir des conséquences inattendues, mais n'ont pas dit ce que celles-ci pourraient être : « Nous pensons qu'il y a une série de ramifications qui sont vraiment difficiles à comprendre », a déclaré mardi le vice-président de Google, Sridhar Ramaswamy. « La confidentialité des utilisateurs doit être soigneusement équilibrée par rapport aux besoins commerciaux légitimes »

L'Internet Association, qui représente également Facebook et Amazon.com Inc. (AMZN.O), s'est opposée à ce projet de loi, tout comme la Chambre de commerce de Californie, la National Retail Federation et l'Association of National Advertisers.

CTIA, un groupe de commerce de l'industrie sans fil, a appelé le Congrès américain à adopter la loi afin qu’elle soit applicable sur l’ensemble du territoire américain : « Les lois spécifiques à un État vont étouffer l'innovation américaine et confondre les consommateurs », a expliqué CTIA.

Eric Goldman, professeur de droit technologique à l'Université de Santa Clara, a déclaré sur son blog cette semaine que la loi « va probablement affecter » les utilisateurs en dehors de la Californie « à cause des problèmes et des dépenses dans l’adaptation de la consommation État par État ».

Source : Reuters, projet de loi

Et vous ?

Qu'en pensez-vous ? Est-ce le début d'un RGPD aux USA ?

Voir aussi :

USA : le Sénat de Californie se prononce en faveur d'un projet de loi qui rétablit la neutralité du net, au grand regret de l'industrie du haut débit
Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation
L'État de New York rejoint la Californie pour rétablir et renforcer la neutralité du Net, la coalition défie ainsi AT&T et les autres FAI
Voiture autonome : des rapports adressés au DMV californien donnent un état des lieux des circonstances entraînant le retour au mode manuel
Facebook se retire de la campagne qui s'oppose au Consumer Privacy Act de Californie, qui veut restreindre la vente des données des utilisateurs

[Heisabe]

Le RGPD a été mis en place pour lutter contre les bus des grandes entreprises et notamment Facebook. Mais il représente beaucoup de contrainte pour les PME. Le budget pour faire les choses correctement est souvent trop élevé.. et la plus value apportée est quasi nulle. C'est donc une charge supplémentaire imposée aux petits acteurs. Rien que conformer Google analytics est déjà coton https://www.g1site.com/google-analytics-conforme-rgpd/

Au moins, le Consumer Privacy Act prévoit que seules les entreprises avec une base de données de plus de 50.000 personnes sont concernées. Et côté amende, cela n'a rien à voir non plus puisque le RGPD, c'est 2 voir 4% du chiffre d'affaires, ce qui peut faire couler des boîtes à faible marge.

[Christian Olivier]

La Silicon Valley terrifiée par la loi californienne sur la vie privée
Estime que les consommateurs sont trop simples d’esprit pour comprendre des lois qui changeraient suivant le lieu de résidence

Dans quelques mois, l’État de la Californie va appliquer les changements les plus importants apportés à sa législation sur la protection de la vie privée à l’échelle régionale depuis des années, avec l’entrée en vigueur de la California Consumer Privacy Act (CCPA). Effective à compter du 1er janvier 2020 sur l’ensemble du territoire californien, cette nouvelle loi devrait permettre aux 40 millions d’habitants de l’État de Californie et à toutes les entreprises technologiques de la Silicon Valley de bénéficier de nouveaux avantages en matière de protection de la vie privée.

Signalons au passage qu’en février dernier, Gavin Newsom, le gouverneur de la Californie , a proposé l’instauration d’un « dividende numérique » qui pourrait permettre aux consommateurs de partager les milliards de dollars générés par les entreprises de technologie du plus peuplé des États-Unis. Il a déclaré que la Californie était fière d’abriter des entreprises de technologie et a insisté sur le fait que ces entreprises qui gagnent des milliards de dollars « en collectant, conservant et monétisant nos données personnelles ont le devoir de les protéger. Les consommateurs ont le droit de savoir et de contrôler la manière dont leurs données sont utilisées ». Newsom est allé plus loin en suggérant que les entreprises partagent une partie de ces bénéfices, rejoignant d’autres politiciens appelant à des taxes plus élevées sur les riches dans la société américaine.

La CCPA est similaire au RGPD européen : elle accorde aux consommateurs de la Californie le droit de savoir quelles informations les différentes entreprises détiennent sur eux, le droit de faire supprimer ces données et le droit de refuser la vente de ces données. Le CCPA pourrait même aller encore plus loin que le RGPD européen en instituant un droit d’action privé qui pourrait donner lieu à des recours collectifs en matière de protection de la vie privée contre les entreprises qui ne respectent pas la loi.

De plus, compte tenu des lourdes amendes imposées ces derniers mois dans le cadre du RGPD, les entreprises technologiques concernées devront s’attendre à d’autres amendes, lorsque la disposition d’exécution pour la CCPA entrera en vigueur six mois plus tard. Rien d’étonnant donc que la loi fasse trembler la Silicon Valley.

Il n’est pas surprenant que certaines des plus grandes entreprises technologiques américaines, dont la plupart se trouvent en Californie, aient fait pression pour reporter l’entrée en vigueur de la CCPA et, le cas échéant, démanteler ou affaiblir ses dispositions. Ces entreprises voulaient sans doute éviter d’avoir à supporter les nouvelles contraintes juridiques inscrites dans la nouvelle loi de l’État qu’elles considèrent comme des demandes fastidieuses, comme cela avait pu être observé avec le RGPD.

Malgré le lobbying intensif des détracteurs de la CCPA, la Californie a adopté le projet de loi avec des amendements mineurs. Mais les entreprises technologiques n’ont pas dit leur dernier mot. En effet, depuis l’adoption de la loi, les géants technologiques ont sorti leur dernière carte : faire pression en faveur d’un projet de loi fédéral global. Grâce à elle, les entreprises seraient en mesure de contrôler leurs communications grâce à leurs efforts de lobbying, ce qui leur permettrait de faire pression en faveur d’une loi moins contraignante qui invaliderait certaines dispositions de la CCPA. Ce faisant, ces entreprises n’auraient pas à allouer des ressources supplémentaires pour se conformer à une mosaïque de lois dans plusieurs États.

Pas plus tard que ce mois-ci, un groupe de 51 chefs d’entreprise, parmi lesquels Jeff Bezos d’Amazon et Ginni Rometty d’IBM ont adressé une lettre ouverte aux législateurs en leur suggérant la mise en place d’une loi fédérale sur protection de la vie privée, affirmant que les consommateurs ne sont pas assez intelligents pour « comprendre les règles qui peuvent changer selon leur État de résidence ». En parallèle, TechNet, un réseau national de DG et de cadres supérieurs du secteur de la technologie, et l’Internet Association qui compte parmi ses membres des acteurs tels que Uber, Reddit, Facebook, Dropbox et Snap ont fait pression pour l’instauration rapide d’une loi fédérale sur la confidentialité qui pourrait entrer en application avant la CCPA et rendre cette dernière caduque. TechNet estime, par ailleurs, que toute loi sur la protection de la vie privée devrait garantir que « les entreprises peuvent se conformer à la loi tout en continuant à innover ».

« Ne laissez pas ce “mea culpa” post-Cambridge Analytica vous faire croire que ces entreprises ont à l’esprit le souci des meilleurs intérêts des consommateurs », a écrit Neema Singh Guliani de l’ACLU l’an dernier, peu après la promulgation de la CCPA. « Cette volonté apparente de se soumettre à la réglementation fédérale est, en fait, un effort pour rallier l’administration Trump et le Congrès aux efforts des entreprises pour affaiblir la protection de la vie privée des consommateurs au niveau des États », a-t-elle averti.

Source : Lettre des 51 chefs d’entreprise adressées aux législateurs, TechNet, ACLU

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables
USA : Microsoft appelle à une réglementation fédérale de l'industrie technologique qui devrait être interopérable avec le GDPR
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Facebook se retire de la campagne qui s'oppose au Consumer Privacy Act de Californie qui veut restreindre la vente des données des utilisateurs

[defZero]

Moralement parlant les lois "Type RGPD" sont totalement justifiées, mais vont à l'encontre du modèle économique de ces sociétés, c'est donc normale qu'elles n'en veuillent pas.
Alors oui, c'est un calvaire pour les PME/TPE, mais les politiciens, US ou EU, n'en ont manifestement rien à faire.
En parallèle, même si la population est contente sur le moment, il ne faudra pas venir pleurer si des pans entiers du Web deviennent payant.
Il faut voir que si les services que nous utilisons majoritairement aujourd'hui sont gratuit, c'est bien parce que nous sommes le produit.

[tanaka59]

Les mammouth de la Tech n'ont que trop joué ... maintenant qu'ils jouent franc jeu avec plus de règles du jeu. Et par forcement en leur faveur.

[defZero]

Les mammouth de la Tech n'ont que trop joué ... maintenant qu'ils jouent franc jeu avec plus de règles du jeu. Et par forcement en leur faveur.

Le problème avec les RGPD, c'est bien qu'elles s'appliquent à tout le monde sans aucunes distinctions.
Que les GAFAM est les moyens de faire avec, je n'en doute pas.
Le cœur du problème c'est tous les autres, qui doivent subir ces loi sans en avoir forcement les moyens.
Ça devient marche ou crève dans le milieu et pourtant les politiques persistent et signent.
Alors je veut bien, mais à ce moment là qu'ils arrêtent de venir ce peindre qu'il n'existe pas de "Champion Européen" de la tech et qu'ils arrêtent de dilapider des milliards de subventions à essayer d'en créé un artificiellement (qui ne survivra de toute façons pas à l’arrêt des dites subventions).
Sans protectionnisme et devant des loi hostile à l'émergence d'un business modèle viable sur le long terme, je vois pas comment ça pourrait arriver.

J'en suis le premier désolé, mais qui voudrait payer pour faire des recherche/réseauté/...etc sur le web, même sans pub/flicage.
Juste personne.

[Stéphane le calme]

La California Consumer Privacy Act entre enfin en vigueur. Sous cette version américaine du RGPD,
les entreprises proposent aux utilisateurs de supprimer leurs données s'ils ne veulent pas qu'elles les vendent

En juin 2018, le gouverneur de la Californie, Jerry Brown, a posé sa signature sur la California Consumer Privacy Act (CCPA), un projet de loi régulant la confidentialité des données. L’objectif était de donner aux consommateurs plus de contrôle sur la façon dont les entreprises collectent et gèrent leurs informations personnelles. Sans surprise, la loi qui s'inspire fortement du RGPD européen n’a pas trouvé un écho favorable auprès de grandes enseignes technologiques comme Google qui l’ont jugée trop lourde.

Selon les textes, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.

La loi est entrée en vigueur le 1^er janvier 2020 et chaque violation entraînerait une amende de 7500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.

gouverneur de la Californie, Jerry Brown

Qu’est ce que cela signifie concrètement ?

Les renseignements personnels sont définis comme tout élément « pouvant être associé ou pouvant raisonnablement être lié, directement ou indirectement, à un consommateur ou à un ménage particulier ». Cela comprend, sans s’y limiter, la navigation sur Internet et l'historique de recherche, les données biométriques, les données de géolocalisation, les informations sur le travail et l'éducation et divers types d'identifiants tels que noms, alias, adresses postales, adresses IP, adresses e-mail, numéros de permis de conduire et numéros de passeport.

Tout ce qui serait autrement accessible au public ne serait pas protégé par la loi.

Les consommateurs ont le droit de demander toutes les données recueillies par une entreprise jusqu'à deux fois par an, et les entreprises sont tenues de divulguer l'information gratuitement. Les consommateurs ont « le droit de demander à une entreprise de supprimer toute information personnelle concernant le consommateur que l'entreprise a collectée auprès du consommateur ».

Les entreprises qui vendent des renseignements personnels sur les consommateurs à des tiers doivent laisser aux consommateurs la possibilité de retirer leurs informations personnelles de ces ventes à tout moment. La règle est plus stricte pour les enfants, car les entreprises ne sont pas autorisées à vendre des informations personnelles concernant les personnes de moins de 16 ans, sauf si elles reçoivent un « opt-in » de l'enfant ou du parent ou tuteur de l'enfant. Le consentement du parent ou tuteur est nécessaire pour les enfants de moins de 13 ans.

La loi interdit également aux entreprises « de faire de la discrimination sur un consommateur parce que le consommateur a exercé les droits du consommateur en vertu de cette loi, par exemple en facturant des prix ou des taux différents, ou en fournissant un niveau ou une qualité de biens ou de services différents ».

En fait, environ un Américain sur 10 aura le pouvoir d'examiner ses informations personnelles collectées par de grandes entreprises, depuis les historiques d'achat et le suivi de l'emplacement jusqu'aux profils compilés qui répartissent les gens dans des catégories telles que la religion, l'ethnicité et l'orientation sexuelle. Depuis le 1^er janvier, ils peuvent également forcer ces entreprises (y compris les banques, les détaillants et, bien sûr, les entreprises technologiques) à cesser de vendre ces informations ou même à les supprimer en masse.

La loi définit les ventes de données de manière si large qu'elle couvre presque tout partage d'informations qui profite aux entreprises, y compris les transferts de données entre des sociétés affiliées et avec des courtiers en données tiers (des intermédiaires qui échangent des informations personnelles).

On ne sait pas encore comment cela affectera l'activité de la publicité ciblée, dans laquelle des entreprises comme Facebook accumulent des tonnes de données personnelles et les utilisent pour diriger des publicités vers des groupes spécifiques de personnes. Pour sa part, Facebook assure qu'il ne partage pas ces informations personnelles avec les annonceurs.

Les vendeurs au détail ajoute un bouton « Do Not Sell My Info »

Dès le 1^er janvier, les vendeurs au détail ont ajouté un bouton « Do Not Sell My Info » à leur site Web, permettant aux acheteurs californiens d'avoir pour la première fois une idée plus complète des données qu'ils collectent sur eux.

D'autres, comme Home Depot, ont décidé de permettre aux acheteurs non seulement en Californie, mais dans tous les É.-U., d'accéder à ces informations en ligne. Dans ses magasins en Californie, Home Depot a décidé de donner la possibilité aux acheteurs de rechercher les informations dont ils disposent sur eux à l'aide de leurs appareils mobiles et de former les employés du magasin pour répondre aux questions.

Outre les détaillants, la loi affecte un large éventail d'entreprises, y compris les plateformes de médias sociaux telles que Facebook et Google Alphabet, les annonceurs, les développeurs d'applications, les fournisseurs de services mobiles et les services de télévision en continu, et est susceptible de revoir la manière dont les entreprises bénéficient de l'utilisation de renseignements personnels.

Un projet de règlement sur la loi a été publié en octobre. Les détaillants ne prévoyaient pas devoir ajouter des affiches dans leurs magasins, ce qui est requis par la réglementation, mais ne faisait pas partie de la loi d'origine. Exiger des affiches dans les magasins n'est pas une utilisation efficace de l'argent des détaillants, a déclaré Nicholas Ahrens, vice-président de la Retail Industry Leaders Association, qui dirige sa politique technologique.

Une source Walmart connaissant le sujet a déclaré à Reuters que la société « contourne de nombreuses ambiguïtés dans la loi, par exemple, le langage des programmes de fidélité et si les sociétés de vente au détail peuvent les proposer à l'avenir ».

Il y a également un manque de clarté sur ce qui constitue une « vente » d'informations, ont déclaré des lobbyistes et des avocats du commerce de détail.

La porte-parole de Target, Jessica Carlson, a déclaré qu'un bouton « Do Not Sell My Info » sera visible par tous les acheteurs américains sur son site Web et que les résidents de Californie auront accès aux informations décrites dans la nouvelle loi. Target permet déjà à ses acheteurs de refuser de partager leurs informations avec des tiers à des fins de marketing, a-t-elle déclaré.

Amazon.com Inc adopte une approche différente. « Nous ne prévoyons pas de mettre un bouton "Do Not Sell My Info" sur notre site Web, car Amazon n'a pas pour vocation de vendre les données personnelles des clients et cela n'a jamais été le cas », a déclaré une porte-parole de la société dans un communiqué.

Amazon va faire une mise à jour de sa politique de confidentialité révisée et examinera la réglementation finale pour « comprendre quelle signalisation peut être nécessaire pour informer les clients sur la façon dont ils peuvent trouver l'avis de confidentialité dans ses magasins », a ajouté la porte-parole.

Supprimer mes données

Walmart et Amazon ont intensifié leurs investissements dans l'élaboration de « cartes de données » au cours des derniers mois, ce qui leur permet de rassembler l'étendue des informations personnelles collectées par différentes unités commerciales, où et comment ces informations sont stockées, ce qu'elles en font et avec qui il est partagé, ont indiqué des sources à Reuters.

Une source à Walmart a déclaré que les différentes équipes commerciales de l'entreprise, parmi lesquelles les équipes techniques, marketing, publicité, paiements et sécurité, investissent des ressources dans l'audit et prennent des décisions sur la façon de répondre aux demandes des clients de voir leurs données ou de ceux qui demandent leur suppression.

Une étude d'impact économique préparée pour le bureau du procureur général de Californie par une firme de recherche indépendante a révélé que la conformité aux réglementations coûtera aux entreprises entre 467 millions et 16,5 milliards de dollars entre 2020 et 2030. L'industrie estime que les coûts initiaux de mise en conformité sont supérieurs à 50 milliards de dollars.

Le procureur général de Californie a récemment déclaré à Reuters dans une interview que l'application des lois sur la protection de la vie privée se penchera avec bonté sur ceux qui font preuve d'un effort pour se conformer. Mais des sources ont déclaré à Reuters qu’elles s’attendaient à ce que les avocats plaignants intègrent des actions en justice au cours de la nouvelle année contre un éventail d’entreprises qui pourraient ne pas respecter les exigences de la loi.

De nombreuses entreprises concernées par la loi ont exercé de fortes pressions en faveur d'un projet de loi fédéral sur la protection des renseignements personnels qui pourrait l'emporter sur la loi en Californie. Mais leurs efforts n'ont jusqu'à présent guère progressé.

Comment les entreprises pourraient éviter de se conformer à la loi ?

La loi californienne est le plus grand effort américain à ce jour pour faire face au « capitalisme de surveillance », l'activité consistant à profiter des données que la plupart des internautes abandonnent (souvent à leur insu) pour accéder à des services gratuits et souvent financés par la publicité. La loi a été mise sur pieds pour tous ceux qui se sont étonnés lorsqu'une publicité concernant un produit sur lequel ils ont fait une recherche est apparue, ou ceux qui ce sont demandé quel pourcentage de leur vie privée ils abandonnaient en se connectant à l'outil de changement de visage brièvement populaire FaceApp.

Bien sûr il y a des failles. La California Consumer Privacy Act, ou CCPA semble susceptible de soulever des contestations judiciaires, dont certaines pourraient soulever des objections constitutionnelles sur sa large portée. Elle est également remplie d'exceptions qui pourraient transformer certaines protections apparemment larges en tamis à gros grains et n'affecte que les informations collectées par les entreprises et non par le gouvernement.

Par exemple, si vous êtes alarmé après avoir examiné les données que Lyft détient sur vous, vous pouvez demander à l'entreprise de les supprimer. Ce qu'il devra faire légalement à moins qu'il ne prétende que certaines informations répondent à l'une des nombreuses exceptions de la loi, parmi lesquelles des dispositions qui permettent aux entreprises de continuer à détenir les informations nécessaires pour terminer une transaction ou de les conserver d'une manière à laquelle vous devriez « raisonnablement » vous attendre.

« Il s'agit plus d'un "droit de demander et d'espérer une suppression" », explique Joseph Jerome, directeur des politiques au sein du groupe de confidentialité Common Sense Media / Kids Action.

Un problème plus fondamental, cependant, est que les Californiens sont en grande partie seuls à trouver comment utiliser leurs nouveaux droits. Pour rendre la loi efficace, ils devront prendre l'initiative de se retirer de la vente de données, demander leurs propres informations et déposer des dommages-intérêts en cas de violation de données.

« Si vous ne lisez même pas les accords de confidentialité que vous signez, allez-vous vraiment demander vos données ? » demande Margot Kaminski, professeur agrégé de droit à l'Université du Colorado qui étudie le droit et la technologie. « Allez-vous comprendre tous les termes juridiques sur les accords de confidentialité ? Les passerez-vous au crible lorsque vous les lirez ? »

Source : Reuters

Et vous ?

Dans la mesure où peu d'internautes lisent les politiques de confidentialité avant de souscrire à un service, cette loi vous semble-t-elle pertinente ?
Que pensez-vous de l'essence même de cette loi ?
Vient-elle mettre en péril le modèle économique construit par des entreprises comme Facebook et Google ?

Voir aussi :

Un camion autonome a livré du beurre de la Californie en Pennsylvanie en trois jours, dans ce qui semble être une première dans l'industrie du fret commercial, selon un rapport
La Californie sévit contre les deepfakes politiques et pornographiques avec deux nouveaux projets de loi, les résidents pourront poursuivre quiconque met leur image dans du porno sans consentement
Tesla et Elon Musk ont enfreint la loi dans un différend syndical-patronal, estime un juge de la Californie, mais l'entreprise peut encore faire appel
Dragonfly Futurefön : le téléphone à financement participatif du futur était une arnaque, un homme d'affaires californien reconnu coupable devant un tribunal de Chicago

[Invité]

Ce coté no bullshit fait plaisir à voir, chez nous on trouve encore du "décochez cette case si vous ne voulez pas faire parti du programme fidélisation blablabla" là où ils font un gros "Ne vendez pas mes données" d'entrée de jeu. Et pourtant je ne suis vraiment pas un fan des USA en général.

[Neckara]

Ce coté no bullshit fait plaisir à voir, chez nous on trouve encore du "décochez cette case si vous ne voulez pas faire parti du programme fidélisation blablabla" là où ils font un gros "Ne vendez pas mes données" d'entrée de jeu. Et pourtant je ne suis vraiment pas un fan des USA en général.

? Le RGPD Européen exige de l'opt-in actif.

"décochez cette case si vous ne voulez pas faire parti du programme fidélisation blablabla" est donc illégal au sens du RGPD.

[emilie77]

"chaque violation entraînerait une amende de 7 500 $". C'est l'utilisateur qui doit etre remboursé!

[Stéphane le calme]

Mozilla assure que ses utilisateurs du monde entier vont bénéficier du droit de supprimer leurs données de ses serveurs,
conformément à la California Consumer Privacy Act

En juin 2018, le gouverneur de la Californie, Jerry Brown, a posé sa signature sur la California Consumer Privacy Act (CCPA), un projet de loi régulant la confidentialité des données. L’objectif était de donner aux consommateurs plus de contrôle sur la façon dont les entreprises collectent et gèrent leurs informations personnelles. Sans surprise, la loi qui s'inspire fortement du RGPD européen n’a pas trouvé un écho favorable auprès de grandes enseignes technologiques comme Google qui l’ont jugée trop lourde.

Selon les textes, à partir de 2020, il sera exigé aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes) de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers. Les entreprises doivent fournir un prix et un service égaux aux consommateurs qui exercent de tels droits en vertu de la loi.

La loi est entrée en vigueur le 1^er janvier 2020 et chaque violation entraînerait une amende de 7500 $. Bien entendu la loi s'applique aux utilisateurs en Californie.

Mozilla veut rester le bon élève

Dans un billet, l'éditeur a déclaré :

« Mozilla soutient depuis longtemps les lois sur la confidentialité des données qui responsabilisent les gens - y compris la CCPA. En fait, nous avons été l'une des rares entreprises à avoir approuvé la CCPA en 2018, alors qu'elle passait devant l'Assemblée législative de Californie.

« La California Consumer Privacy Act (CCPA) étend les droits des Californiens sur leurs données - et offre au procureur général des moyens d'enquêter et de faire respecter ces droits, ainsi que de permettre aux Californiens de poursuivre les entreprises. Les Californiens ont désormais le droit de savoir quelles informations personnelles sont collectées, d'y accéder, de les mettre à jour et de les corriger, de les supprimer, de savoir avec qui leurs données sont partagées et de refuser la vente de leurs données.

« Une grande partie de ce que le CCPA exige des entreprises pour aller de l'avant est conforme à la façon dont Firefox fonctionne et gère déjà les données. Nous pensons depuis longtemps que vos données ne sont pas les nôtres et que la confidentialité en ligne est fondamentale. Néanmoins, nous prenons des mesures pour aller au-delà de ce qui est prévu dans la CCPA ».

Voici les mesures évoquées par Mozilla :

1. Droits CCPA pour tout le monde : lorsque l'Europe a adopté sa loi sur la confidentialité du RGPD, nous nous sommes assurés que tous les utilisateurs, qu'ils se trouvent dans l'UE ou non, jouissaient des mêmes droits en vertu de la loi. En tant qu'entreprise qui estime que la confidentialité est fondamentale pour l'expérience en ligne, nous avons estimé que tout le monde devrait bénéficier des droits énoncés dans le RGPD. C'est pourquoi nos nouveaux paramètres et avis de confidentialité s'appliquent à tous nos utilisateurs.
   
   Avec l'adoption et la mise en œuvre de la CCPA, nous ferons de même. Les modifications que nous apportons dans le navigateur s'appliqueront à tous les utilisateurs de Firefox, pas seulement à ceux de Californie.
   
2. Suppression de vos données : l'une des nouvelles dispositions clés de la CCPA est sa définition élargie des « données personnelles » en vertu de la CCPA. Cette définition étendue permet aux utilisateurs de demander aux entreprises de supprimer leurs données spécifiques.
   
   En règle générale, Firefox collecte déjà très peu de vos données. En fait, la plupart de celles que nous recevons sont destinées à nous aider à améliorer les performances et la sécurité de Firefox. Nous les appelons données de télémétrie. Ces données de télémétrie ne nous renseignent pas sur les sites Web que vous visitez ni sur les recherches que vous effectuez ; nous connaissons simplement des informations générales, comme [I]un utilisateur de Firefox avait une certaine quantité d'onglets ouverts et combien de temps a duré sa session[/B]. Nous ne collectons pas de données de télémétrie en mode de navigation privée et nous avons toujours proposé aux utilisateurs des options simples pour désactiver la télémétrie dans Firefox. Et parce que nous pensons depuis longtemps que les données ne doivent pas être stockées pour toujours, nous avons des limites strictes sur la durée de conservation des données de télémétrie.
   
   Nous avons décidé d'aller plus loin et d'étendre les droits de suppression des utilisateurs pour inclure la suppression de ces données de télémétrie stockées dans nos systèmes. À ce jour, l'industrie n'a généralement pas considéré les données de télémétrie comme des « données personnelles », car elles ne sont pas identifiables à une personne spécifique, mais nous sommes convaincus que cette étape est la bonne pour les personnes et l'écosystème.
   
   Conformément au travail que nous avons fait cette année pour rendre la confidentialité plus facile et plus accessible à nos utilisateurs, le contrôle de suppression sera intégré à Firefox et commencera à être déployé dans la prochaine version du navigateur le 7 janvier. Ce paramètre fournira aux utilisateurs un moyen de demander la suppression de la télémétrie de bureau directement depuis Firefox - et un moyen pour nous, chez Mozilla, d'effectuer cette suppression.

Et d'expliquer que pour Firefox, la confidentialité n'est pas facultative : « nous ne pensons pas que les gens devraient avoir à choisir entre la technologie qu'ils aiment et leur vie privée. Nous pensons que vous devriez avoir les deux. C’est pourquoi nous prenons ces mesures pour apporter une protection supplémentaire à tous nos utilisateurs en vertu de la CCPA. Et c'est la raison pour laquelle nous continuerons de faire pression en 2020 - à travers les produits que nous construisons et les politiques que nous préconisons - pour un Internet qui offre aux gens la confidentialité et la sécurité qu'ils méritent ».

LA CCPA déchiffrée par Mozilla

Mozilla a également fourni une FAQ pour mieux expliquer aux internautes les implications de la CCPA :

Que fait la CCPA ?

Elle donne aux Californiens plus de propriété et de contrôle sur leurs informations personnelles. Ils peuvent demander leurs données et les supprimer s'ils le souhaitent. Ils peuvent également demander que leurs données ne soient pas vendues à des tiers. Les parents doivent désormais consentir à ce que les entreprises partagent les données collectées sur les enfants de moins de 13 ans. Cela permet à l'État d'enquêter et de faire respecter ces droits, ainsi qu'aux consommateurs californiens de poursuivre les entreprises.

Seuls les Californiens sont concernés ?

Techniquement oui, mais comme tant d'entreprises font des affaires dans l'État, elles apporteront probablement des changements qui auront un impact sur les gens partout dans le monde. De nombreux États américains envisagent une législation propre. Les modifications que nous apportons dans le navigateur s'appliqueront à tous les utilisateurs de Firefox, pas seulement à ceux de Californie.

Pouvez-vous donner un exemple de son fonctionnement ?

Par exemple, supposez que vous voulez voir ce que Facebook sait de vous. Vous pouvez demander à Facebook de vous transmettre vos données et vous pouvez choisir quoi en faire. Ils doivent se conformer à la loi. Il en va de même pour toute autre entreprise qui respecte la loi.

Quelles sont les entreprises touchées par la CCPA ?

La CCPA définit une entreprise comme une entité à but lucratif qui recueille des données personnelles des consommateurs. Les entreprises qui atteignent ces seuils doivent:

• gagner 25 000 000 $ ou plus de revenus par an
• acheter, recevoir, vendre ou partager chaque année des informations personnelles de 50 000 consommateurs, ménages ou appareils à des fins commerciales
• tirer 50 % ou plus de ses revenus annuels de la vente de renseignements personnels sur les consommateurs.

Et si elles ne se conforment pas ?

Les citoyens auront la possibilité de poursuivre les entreprises qui ne s'y conforment pas. L'État de Californie peut également porter ces accusations, en facturant une amende de 7500 $ par infraction non traitée dans les 30 jours.

En quoi la CCPA est-elle différente du RGPD ?

Le règlement général européen sur la protection des données (RGPD) était un modèle pour le CCPA. Beaucoup des plus grandes entreprises qui ont pris des mesures pour se conformer au RGPD étaient prêtes pour la CCPA. Mais les petites entreprises qui exercent largement leurs activités en Californie n'étaient peut-être pas prêtes et devront désormais prendre des mesures. Les amendes imposées par la CCPA sont différentes et pourraient avoir de profondes implications pour les entreprises non conformes.

Et les enfants ?

Il sera également interdit aux entreprises de vendre les informations personnelles des consommateurs âgés de 13 à 16 ans (sauf si l'adolescent choisit de le faire). Pour les enfants de moins de 13 ans, le consentement à la vente est requis d'un parent ou d'un tuteur, améliorant ainsi efficacement la protection de la loi fédérale sur la Children’s Online Privacy Protection Act (“COPPA”) qui régit actuellement la collecte et le traitement des données des enfants.

Y a-t-il encore du travail à faire ?

Il y en a toujours. La CCPA est un signe de progrès, mais il reste beaucoup à faire. Nous savons que les données personnelles sont utilisées par les entreprises pour améliorer leurs produits. Mais ils n'ont pas besoin d'inclure autant d'informations personnelles. Firefox ne recueille que les données qui vous servent, et nous sommes transparents sur ce que nous collectons et pourquoi. Vous saurez toujours où vous en êtes avec nous.

Source : Mozilla, Firefox

Et vous ?

Que pensez-vous de cette décision de Mozilla ?

Voir aussi :

Un camion autonome a livré du beurre de la Californie en Pennsylvanie en trois jours, dans ce qui semble être une première dans l'industrie du fret commercial, selon un rapport
La Californie sévit contre les deepfakes politiques et pornographiques avec deux nouveaux projets de loi, les résidents pourront poursuivre quiconque met leur image dans du porno sans consentement
Tesla et Elon Musk ont enfreint la loi dans un différend syndical-patronal, estime un juge de la Californie, mais l'entreprise peut encore faire appel
Dragonfly Futurefön : le téléphone à financement participatif du futur était une arnaque, un homme d'affaires californien reconnu coupable devant un tribunal de Chicago