En 2020, les Californiens auront de nouveaux droits de confidentialité en ligne. Mais ils devront peut-être présenter une pièce d'identité

Internet va ressembler et fonctionner un peu différemment à partir d'aujourd'hui. C'est parce que les Californiens ont de nouveaux droits sur la façon dont leurs informations personnelles sont collectées, stockées et vendues par toute entreprise opérant dans l'État au 1er janvier, grâce à la California Consumer Privacy Act, ou CCPA.

Alors que les entreprises s'efforcent de se conformer à la loi, vous avez probablement vu une série de notifications contextuelles et d'e-mails concernant les mises à jour de la politique de confidentialité. Vous avez peut-être également remarqué les petits boutons «ne vendez pas mes informations» qui ont commencé à apparaître au bas des sites Web.

Mais quels sont ces nouveaux droits? Comment pouvez-vous réellement les exercer? Et est-ce que tout cela fera une différence dans la façon dont vous utilisez Internet?

Trois nouveaux droits sont au cœur de la CCPA, la loi sur la protection des données des consommateurs la plus stricte du pays: le droit de savoir, le droit de supprimer et le droit de se retirer.

Savoir est la moitié de la bataille

Le droit de savoir signifie que vous pouvez demander à une entreprise de produire une copie de toutes les informations personnelles qu'elle a recueillies sur vous au fil des ans, et vous faire connaître les catégories (mais pas les noms spécifiques) des entreprises auprès desquelles elle a collecté ces informations ou vendu cette information à.

Cela signifie également que les entreprises doivent vous informer, généralement dans leur politique de confidentialité, des catégories d'informations personnelles qu'elles collectent et vous informer si elles les vendent à des tiers.

Frapper supprimer

Le droit de supprimer signifie que les entreprises doivent supprimer toutes les informations qu'elles détiennent sur vous lorsque vous demandez, et si elles ont partagé vos informations avec une autre entreprise qu'elles ont embauchée pour fournir un service, elles doivent également dire à cette entreprise de les supprimer. Les entreprises peuvent toujours conserver les données qu'elles jugent nécessaires pour certaines utilisations, telles que l'achèvement d'une transaction en cours ou la détection de violations de sécurité, mais dans l'ensemble, elles sont tenues de vous éliminer si vous le demandez.

Les entreprises soumises à la loi (qui incluent la plupart des entreprises ayant des sites Web et des clients en Californie) doivent fournir au moins une adresse e-mail et un numéro de téléphone gratuit où vous pouvez soumettre ces demandes, que vous devriez pouvoir trouver dans leurs politiques de confidentialité. .

Une loi distincte adoptée en Californie cette année obligera toutes les entreprises qui agissent en tant que courtiers de données – ce sont des entreprises qui n'interagissent jamais directement avec les consommateurs, mais qui collectent et vendent des données provenant d'autres sources – à s'enregistrer auprès de l'État avant le 31 janvier. general publiera ensuite cette liste de courtiers de données en ligne, et vous pourrez également y faire des demandes d'informations ou de suppression.

Où cela se complique Mais un problème épineux est au cœur de ces deux nouveaux droits: comment les entreprises peuvent-elles s'assurer de supprimer ou de partager les informations de la bonne personne?

Malgré l'exactitude étrange de certaines publicités hyper-ciblées et le sentiment (correct) que vous êtes surveillé en tout temps en ligne, le système sophistiqué de suivi et de partage de vos données personnelles n'est pas parfait. Les défis techniques inhérents à l'architecture d'Internet rendent difficile pour de nombreuses entreprises de vérifier, avec une précision totale, qui se trouve de l'autre côté de l'écran à un moment donné.

Grâce à ce flou fondamental, même Facebook, la société qui en sait probablement le plus sur vous, dit aux utilisateurs qu'elle devra peut-être demander une photo d'une pièce d'identité du gouvernement avant de pouvoir se conformer à un droit de savoir ou droit de -supprimer la demande. Ce niveau de vérification supplémentaire est destiné à prévenir les situations où un David Lopez reçoit le profil complet d'un autre David Lopez – ou pire encore, une personne se faisant passer pour David Lopez met la main sur ses informations les plus personnelles.

Et ces informations sont personnelles. La loi concerne les informations suffisamment spécifiques pour pouvoir être clairement liées à vous ou à votre ménage. Cela comprend des éléments tels que votre nom, votre adresse, votre adresse IP, le numéro d'identification de l'appareil, le numéro de sécurité sociale, l'adresse e-mail, l'historique des achats, l'image du visage ou des empreintes digitales, l'historique de navigation ou de recherche, l'emplacement physique, les informations sur l'emploi ou l'éducation, les enregistrements audio ou vidéo, et même des descriptions de vos caractéristiques physiques.

Sortez

Le troisième droit – de se retirer – semble être simple, mais il comporte de nombreuses mises en garde et détails techniques.

Pour commencer, il autorise les utilisateurs à refuser de vendre leurs données à des tiers, mais il ne leur permet pas de refuser que leurs données soient collectées et utilisées en premier lieu.

Si vous cliquez sur l'un des nombreux boutons "ne pas vendre mes informations personnelles" qui figureront bientôt sur chaque site Web que vous visitez (bien que vous deviez peut-être faire défiler vers le bas pour les trouver), la société exploitant le site Web est obligée de réserver vos informations personnelles en tant que bloc de données qu'il ne peut pas empaqueter et vendre à une firme de marketing ou à un courtier en données. Mais il peut toujours continuer à collecter des données chaque fois que vous visitez pour ses propres utilisations, ce qui inclut la vente de publicités ciblées.

Alastair Mactaggart, le promoteur immobilier de San Francisco qui a dirigé l'effort initial pour faire adopter cette loi sur la protection des renseignements personnels en tant que mesure de vote en 2018, a toujours soutenu que la loi n'était pas destinée à abolir la publicité ciblée. Faire en sorte qu'une annonce vous suive sur Internet peut être l'une des expériences les plus étrangement viscérales de l'économie des données, mais l'ensemble des transactions rapides entre les vendeurs et les acheteurs qui produisent ces annonces est casher en vertu de la CCPA, car chaque entreprise le long du pipeline n'est que utiliser les informations personnelles pour fournir un service (l'annonce), sans vendre les informations à un tiers.

Ce système contraste avec la loi européenne sur la protection de la vie privée plus stricte, le règlement général sur la protection des données, ou RGPD, qui exige que les entreprises demandent aux utilisateurs de choisir de faire collecter leurs données en premier lieu. Dans ce système, les utilisateurs ont la possibilité de couper le flux de données qui alimente l'économie publicitaire ciblée à la source.

Dans le système californien, il pourrait être difficile de remarquer une grande différence dans l'expérience de navigation, même pour les utilisateurs les plus actifs de ces nouveaux droits. Si vous demandez que chaque site Web que vous visitez supprime vos informations personnelles et que vous refusiez de vendre vos informations chaque fois que vous le pouvez, il est possible que vous voyiez de la publicité de moins en moins spécifique au fil du temps.

Mais les dispositions de transparence de la loi sont destinées à donner aux utilisateurs un aperçu sans précédent de la façon dont leurs informations personnelles sont partagées et monétisées sur Internet. Et les principaux soutiens de la loi, notamment Mactaggart et le chef de la majorité au Sénat de l'État de Californie, Bob Hertzberg, D-Van Nuys, préparent une nouvelle mesure de vote pour 2020 qui renforcera les réglementations entourant les informations personnelles plus sensibles, telles que l'emplacement, l'état de santé et les relations sexuelles. l'orientation, créer un système d'adhésion de type GDPR pour les utilisateurs de moins de 16 ans et financer une nouvelle agence d'État autonome pour appliquer ces règles.

Déjà, un certain nombre de grandes entreprises modifient leurs politiques de confidentialité pour tous les utilisateurs américains afin de répondre aux exigences de la Californie.

Ainsi, la Californie – où une grande partie du monde numérique dans lequel nous vivons tous aujourd'hui a été inventée pour la première fois – pourrait encore conduire le reste du pays vers un Internet plus axé sur la confidentialité.

© 2020 Los Angeles Times

Distribué par Tribune Content Agency, LLC.