LE 1ER JANVIER 2020 la loi sur la protection de la vie privée des consommateurs de la Californie entrera enfin en vigueur, appelée California Consumer Privacy Act. À la veille de son entrée en vigueur, nous sommes d’avis qu’il y a lieu de faire un résumé des considérations juridiques et politiques les plus pertinentes sur le sujet.

Cette loi est une première pour les États-Unis en ce qu’elle prévoit des dispositions sur la protection des consommateurs directement axées sur la protection des données personnelles de ceux-ci. 

Au niveau fédéral, il n’y a pas de loi applicable à l’ensemble des États-Unis pour la protection des données, sous réserve de la Children’s Online Privacy Protection Act (COPPA). L’initiative californienne s’inscrit cependant dans ce qu’on peut appeler de mouvement vers la protection des données.

En effet, la FTC récolte actuellement les commentaires du public sur l’effectivité de la COPPA, afin d’entrevoir si des modifications à la Loi devraient être apportées. Par ailleurs, 50 États américains ont décidé d’enquêter sur les pratiques de Google en matière de collecte et de traitement des données des citoyens américains.

Le texte de la loi

Le texte de la Loi est fort. Il débute en énonçant clairement le statut constitutionnel du droit à la vie privée pour la Californie, un droit inaliénable. 

Le libellé de la Loi nous en apprend également sur la politique derrière son adoption : il s’agit d’une réaction à l’affaire Cambridge Analtica, ayant d’ailleurs choqué le monde entier par rapport à l’abus des données personnelles : 

« In March 2018, it came to light that tens of millions of people had their personal data misused by a data mining firm called Cambridge Analytica. A series of congressional hearings highlighted that our personal information may be vulnerable to misuse when shared on the Internet. As a result, our desire for privacy controls and transparency in data practices is heightened. »

L’étendue des obligations des entreprises et des droits des consommateurs par rapport aux données est également importante. 

Le consommateur aura le droit de demander à toute entreprise l’ensemble des catégories d’informations détenues, en sus de requérir le détail spécifique des données. Il pourra également demander la fonction de chaque catégorie de données pour le fournisseur ainsi que le nom de toutes entreprises ayant obtenu ces données.

Selon nous, les deux droits les plus importants et innovants sont le droit à la suppression des données :

« A consumer shall have the right to request that a business delete any personal information about the consumer which the business has collected from the consumer. »

et le droit de refuser que ses données soient vendues : 

« The bill would authorize a consumer to opt out of the sale of personal information by a business and would prohibit the business from discriminating against the consumer for exercising this right, including by charging the consumer who opts out a different price or providing the consumer a different quality of goods or services, except if the difference is reasonably related to value provided by the consumer’s data ».

Selon le texte de la Loi, le droit de se dédire de la vente de ses données comprend également les transactions d’échange de données. Par exemple, l’échange de données pour une nouvelle application en contrepartie d’une publicité serait visé par le droit du consommateur :

« “Sell,” “selling,” “sale,” or “sold,” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer’s personal information by the business to another business or a third party for monetary or other valuable consideration ».

Sa portée est également forte. Elle s’applique à l’ensemble des compagnies traitant avec les consommateurs californiens, sous réserve de conditions reliées à la quantité de clients objets de la récolte de données.

Le siège social et la juridiction élue par une compagnie n’ont donc aucun lien avec l’application de la Loi. Par ailleurs, on se rappellera que les plus grandes entreprises de technologie au monde sont de toute façon situées en Californie, dans une région qu’on surnomme Silicon Valley.

Il y a tout de même un hic. Le manquement par les entreprises de respecter les dispositions de la Loi ne fait qu’entrainer une pénalité civile de 7 500$ pour chaque violation si l’intention est prouvée, tel que prévoit l’article 1798.155 (b).

Par ailleurs, en cas de bris de confidentialité par manquement de conserver les données de façon diligente, le consommateur pourra demander une indemnité minimale de 100$, mais maximale de 750$. Il sera intéressant de voir si ces marges d’indemnisation auront un impact positif ou négatif par rapport à l’ancienne jurisprudence.

Les réactions

Google pour sa part déclare être déjà conforme avec la Loi. La géante mentionne haut et fort qu’elle ne vend pas les données qu’elle récolte. Il sera intéressant de voir si la définition de vendre prévue à la Loi viendra atteindre la validité de cette déclaration… Le texte même de sa déclaration laisse déjà envisager un débat à ce niveau :

« Nous utilisons les données pour vous proposer des annonces pertinentes dans les produits Google, sur les sites Web partenaires et dans les applications mobiles. Bien que ces annonces contribuent à financer nos services et à les rendre gratuits pour tous, vos informations personnelles ne sont pas à vendre. »

Amazon, de son côté, semble sous-entendre que le traitement des données exigé pourrait compromettre la gratuité de ses services. On voit donc le lien que les géants tenteront probablement de faire entre la gratuité de leurs services et la liberté de circulation des données, afin de faire pencher l’opinion publique de leur côté.

Le 11 novembre dernier, le géant de l’informatique, Microsoft, a annoncé son intention d’appuyer et de respecter la Loi, en plus d’étendre sa portée à l’ensemble du pays, par l’intermédiaire d’une déclaration de Julie Brill, la vice-présidente à la vie privée et la gestion des affaires.

Facebook quant à elle, se dit prête à l’entrée en vigueur de la Loi le 7 décembre dernier. Apple invite même le FTC à pousser plus loin, en adoptant un règlement applicable à l’ensemble du pays.

En conclusion, l’application de la CCPA est un sujet à suivre en 2020. Tout comme plusieurs arrêts préjudiciels ont découlé de l’application de la General Data Protection Regulation, le célèbre règlement européen ayant des dispositions protectrices similaires, plusieurs recours risquent d’être intentés en vue de délimiter la portée de cette Loi.