Les électeurs californiens ont voté mardi soir pour adopter la proposition 24, autrement connue sous le nom de California Privacy Rights and Enforcement Act, une décision qui élargira les protections actuelles de la vie privée des consommateurs en ligne de l’État et supprimera sa plus grande zone d’ambiguïté pour les éditeurs.
Selon le dernier décompte publié par le bureau du secrétaire d’État de Californie au moment de la rédaction, 56% des électeurs ont soutenu la mesure et 44% s’y sont opposés.
Le CPRA remplacera l’actuel California Consumer Privacy Act, qui n’est entré en vigueur que cette année. Le CPRA doit entrer en vigueur le 1er janvier 2023, mais s’appliquera aux données collectées à partir du 1er janvier 2022.
« Le terrain se déplace constamment sous ces entreprises qui essaient de se conformer », a déclaré Pollyanna Sanderson, conseillère politique au sein du groupe de réflexion basé à Washington DC, le Future of Privacy Forum. « Maintenant, c’est plus avancé. »
Voici ce que les éditeurs doivent savoir sur le prochain CPRA et comment il s’applique à leurs entreprises.
Contenu de l'article :
Au début, c’était « Ne pas vendre » – maintenant c’est aussi « Ne pas partager »
Une grande critique du CCPA était sa définition d’une «vente» d’informations personnelles et si cela pouvait ou non être appliqué à la publicité numérique, où les entreprises disent généralement qu’elles «partagent» des données tout au long de la chaîne d’approvisionnement plutôt que de les vendre de la manière traditionnelle. . Certains éditeurs ont adopté l’interprétation stricte selon laquelle ils sont impliqués dans la vente de données en vertu de la loi lorsqu’ils utilisent des informations personnelles afin de diffuser des publicités ciblées ; d’autres ont dit que la loi n’était pas assez claire pour adopter cette approche.
La CPRA supprime cette ambiguïté de la loi et donne plus explicitement aux consommateurs le droit de refuser le « partage » de leurs données. La législation fait également spécifiquement référence au partage de données pour ce qu’elle appelle la « publicité comportementale intercontexte ». Les éditeurs seront tenus d’afficher « bien en vue et visiblement » sur leurs pages d’accueil un lien « Ne pas vendre ni partager mes informations personnelles ».
« Prestataires de services » et « entrepreneurs »
Le CCPA prévoyait auparavant une désignation de « prestataire de services » que les entreprises peuvent adopter afin de traiter les informations personnelles des personnes collectées par une autre entreprise sans que le partage de ces données soit considéré comme une vente au regard de la loi. Étant donné que l’ACPL appelle désormais explicitement la « publicité comportementale intercontexte », le fournisseur de services n’est plus une exemption valable à cette fin pour les nombreux fournisseurs de technologies publicitaires que les éditeurs pourraient utiliser. Les fournisseurs en aval doivent également se conformer à ces demandes des personnes concernées.
« Un fournisseur de services ou un entrepreneur ne doit pas combiner les informations personnelles des consommateurs qui se sont désinscrits que le fournisseur de services ou l’entrepreneur reçoit de ou au nom de l’entreprise avec des informations personnelles que le fournisseur de services ou l’entrepreneur reçoit de ou au nom d’une autre personne ou de personnes. , ou recueille à partir de sa propre interaction avec les consommateurs », déclare l’ACPL.
Moins d’ambiguïté autour des « informations personnelles sensibles »
L’ACPL décrit également plus clairement ce qu’elle définit comme des « renseignements personnels sensibles ». Il comprend une grande partie des données auxquelles on peut s’attendre – numéros de sécurité sociale, numéros de carte de crédit, orientation sexuelle – mais aussi d’autres informations, telles que « la géolocalisation précise d’un consommateur », souvent utilisées à des fins publicitaires.
En vertu de la CPRA, les consommateurs peuvent limiter la façon dont les entreprises utilisent leurs renseignements personnels sensibles.
« Peut-être sans intention ni prise de conscience, de nombreux annonceurs construisent déjà des modèles de ciblage publicitaire à partir de ce type de données », a déclaré Cillian Kieran, PDG de la société de confidentialité des données Ethyca. Le CPRA « exige que les annonceurs et les éditeurs aient une meilleure maîtrise de la source d’information qu’ils utilisent » auprès des fournisseurs en aval, a-t-il ajouté.
La création d’une nouvelle agence d’exécution
L’ACPL créera une agence appelée California Privacy Protection Agency dédiée à l’application de la nouvelle loi sur la protection de la vie privée. L’agence a le pouvoir d’imposer une amende de 2 500 € aux entreprises pour chaque violation de la CPRA ou de 7 500 € pour ce qu’elle considère comme des «violations intentionnelles» ou celles qui impliquent des mineurs. Une « entreprise » au sens de la CPRA est une entreprise qui a déclaré des revenus bruts de 25 millions de dollars ou plus au cours de l’année civile précédente et qui achète, vend ou partage les informations personnelles de 100 000 consommateurs ou ménages ou plus par an.
« La création d’un organisme de réglementation doté des dents, du budget et des ressources nécessaires pour poursuivre les entreprises non conformes rend certainement cela plus réel », a déclaré Kieran. « Cela démontre le sérieux avec lequel la Californie, au niveau des législateurs de l’État, prend cela.«
Les éléments de base d’une loi fédérale sur la protection de la vie privée
La CPRA est susceptible de fournir les éléments de base pour d’autres lois étatiques similaires sur la protection de la vie privée et, en fin de compte, peut-être une loi fédérale sur la protection de la vie privée.
« J’ai hâte d’inaugurer une nouvelle ère de droits à la vie privée des consommateurs avec l’adoption de la Prop 24, la loi californienne sur les droits à la vie privée », a déclaré le président du conseil des conseillers des Californiens pour la vie privée des consommateurs et ancien candidat démocrate à la présidentielle Andrew Yang dans un communiqué. « Cela va balayer le pays et je suis reconnaissant aux Californiens d’avoir établi une nouvelle norme plus élevée pour la manière dont nos données sont traitées. »
Opt-in versus opt-out
Comme toujours, quelle que soit la forme d’intervention en matière de protection de la vie privée, certains opposants ont déclaré que l’ACPL n’allait toujours pas assez loin. La principale distinction entre le CPRA et le règlement général européen sur la protection de la vie privée est que le premier fonctionne sur une base d’opt-out, tandis que le second est formé autour d’un consentement opt-in, a déclaré Brian Kane, directeur de l’exploitation de la société de respect de la vie privée Sourcepoint.
« C’est étrange qu’ils n’aient pas inclus une composante de consentement », lors de l’élaboration du CPRA, a déclaré Kane. « Ce serait un domaine vers lequel je le verrais évoluer à un moment donné. »
Pourtant, même si d’autres scrutins liés à l’ACPL suivaient cette voie, certains observateurs de l’industrie sont convaincus que cela n’aurait pas trop d’impact sur les revenus des éditeurs.
« Nous voyons le taux auquel les consommateurs donnent leur consentement [in Europe, under GDPR] tend à être au nord de 95% », a déclaré Jeremy Arditi, directeur commercial de la société de technologie publicitaire Teads.
En attendant, « la désactivation nécessite plus d’efforts de la part des utilisateurs – c’est une approche beaucoup plus proactive », a déclaré Arditi. « Nous nous attendons fortement à ce qu’il y ait un impact minimal basé sur ce mécanisme. »
La vie privée ‘a’ et ‘a pas’
Les opposants ont également fait valoir que la loi pourrait créer un système à deux niveaux entre ceux qui peuvent se permettre de refuser le partage de leurs données et ceux qui ne le peuvent pas. Un éditeur de nouvelles, par exemple, pourrait donner aux utilisateurs la possibilité de s’inscrire à un abonnement plutôt que d’avoir à partager leurs informations à des fins publicitaires ciblées.
L’Electronic Frontier Foundation a écrit en juillet qu’elle craignait que l’ACRP n’entraîne une augmentation des « systèmes de paiement pour la confidentialité ».
« Malheureusement, les programmes de paiement pour la confidentialité font pression sur tous les Californiens pour qu’ils renoncent à leur droit à la vie privée », a écrit l’EFF. « Pire encore, en raison des inégalités économiques flagrantes de notre société, ces stratagèmes conduiront injustement à une société de « nantis » et de « démunis » en matière de vie privée.
