La Californie réécrit les règles de l'Internet et les entreprises se démènent pour suivre le rythme

Une nouvelle loi radicale qui vise à réécrire les règles de l'Internet en Californie devrait entrer en vigueur le 1er janvier.

La plupart des entreprises ayant un site Web et des clients en Californie – c'est-à-dire la plupart des grandes entreprises du pays – doivent suivre le nouveau régime, qui est censé rendre la vie en ligne plus transparente et moins effrayante pour les utilisateurs.

Seul problème: personne ne sait comment fonctionnent les nouvelles règles.

Le California Consumer Privacy Act est parti d'une prémisse simple: les gens devraient pouvoir savoir si les entreprises vendent leurs informations personnelles, voir quelles informations les entreprises ont déjà recueillies à leur sujet et avoir la possibilité de quitter l'ensemble du système.

Mais rien n'est simple en ce qui concerne l'économie de données en ligne à grande vitesse et largement opaque. Depuis plus de deux décennies, les entreprises technologiques ont construit un système profondément enchevêtré pour suivre les habitudes et les identités de millions d'utilisateurs, chaque seconde de chaque jour, puis échanger ou vendre ces informations pour affiner le marketing, la publicité et la stratégie commerciale.

Grâce à la complexité technique du système et au calendrier précipité de mise en œuvre, un certain nombre de questions fondamentales restent sans réponse. Que signifie «vendre»? Comment les entreprises peuvent-elles s'assurer de supprimer les données de la bonne personne? Et le simple fait d'avoir un site Web qui enregistre le nombre de visiteurs chaque année signifie-t-il que vous devez vous précipiter dans le fourré réglementaire?

Le bureau du procureur général, chargé d'interpréter et d'appliquer la loi, n'a publié sa première série de projets de règlement qu'au début d'octobre. Il est peu probable qu'un dernier set arrive jusqu'en 2020, et la loi ne sera pas appliquée avant juillet.

Dans l'intervalle, les entreprises se démènent pour s'assurer qu'elles ne violent pas les bases de la loi. Les grandes entreprises signent des accords avec des entreprises spécialisées dans la conformité pour créer des boutons «ne pas vendre mes informations personnelles» sur leurs sites (et s'assurer qu'ils fonctionnent réellement). Les petites entreprises mettent en place des comptes de messagerie pour répondre aux demandes des clients – ou gardent simplement la tête baissée et parient que le procureur général ne prendra pas la peine de s'en occuper une fois l'application commencée.

"Il n'y a pas d'avocat spécialisé dans la protection de la vie privée dans l'industrie qui ne travaille pas 24 heures sur 24 pour se préparer pour le 1er janvier", a déclaré Michael Hahn, avocat général d'Interactive Advertising Bureau, un groupe de l'industrie composé de sociétés du secteur en ligne. écosystème publicitaire.

Cela a commencé quand Alistair McTaggart, un développeur immobilier de San Francisco, a eu une conversation troublante sur la confidentialité numérique avec un ingénieur de Google lors d'un cocktail. Il a décidé de financer une campagne de mesures de scrutin en 2018. Les législateurs de Sacramento ont conclu un accord pour le transformer en loi, et inhabituellement pour une loi qui affecterait des sociétés d'un milliard de dollars, elle est restée largement inchangée par les efforts de lobbying jusqu'en 2019.

Dans l'économie des données, les informations personnelles des utilisateurs peuvent être utilisées dans des transactions ultra-rapides, comme les enchères en temps réel qui se déroulent derrière chaque annonce en ligne, et stockées dans des bases de données pendant des décennies. Parfois, les entreprises vendent des informations personnelles – l'emplacement, l'âge ou même le nom d'une personne – sans aucune information de contact, ou des moyens faciles de vérifier l'identité de cette personne.

Le résultat est un mélange trouble de surveillance totale et de tenue de registres, ce qui rend les réponses apparemment simples comme "dites-moi quelles informations vous avez collectées sur moi" et "arrêtez de vendre mes informations" étonnamment complexes.

Pour les entreprises, l'impact a été l'équivalent numérique d'exiger que chaque conducteur de l'État installe un nouveau convertisseur catalytique dans sa voiture ou s'expose à une amende, sans partager de noms de marque ou de spécifications techniques de la mise à niveau requise. Un rapport de 2019 commandé par le bureau du procureur général estimait que la mise en conformité avec la loi pourrait coûter 55 milliards de dollars aux entreprises concernées, avec un potentiel de 16 milliards de dollars supplémentaires au cours de la prochaine décennie.

Les législateurs derrière les règles considèrent le chaos comme nécessaire pour freiner une industrie qui fonctionne sans contrôle depuis des décennies.

"Ce fut vraiment le Far West", explique Bob Hertzberg (D – Van Nuys), le leader de la majorité au Sénat de l'État de Californie qui a défendu le projet de loi à Sacramento. "Il y a toujours un peu de bousculade, mais la clé est de garder un œil sur l'horizon et de le rendre réalisable mais profondément tourné vers l'avenir en termes de protection des consommateurs."

Les entreprises concernées par les nouvelles règles ont renoncé à s'y opposer dès lors qu'il était clair qu'elles deviendraient loi. Maintenant, ils veulent juste comprendre ce qui se passe.

Lors d'une réunion au début du mois de décembre à Los Angeles, des représentants de puissants groupes commerciaux et des personnes concernées se sont alignés pour exprimer non pas tant l'opposition que la confusion dans le cadre de la période de commentaires qui façonnera la prochaine série de projets de règlement.

Peter Watson, membre du conseil d'administration de la California Self-Storage Association, a posé une question de base: quelles entreprises doivent respecter la loi?

L'ACCP ne s'applique qu'aux entreprises ayant plus de 25 millions de dollars de revenus ou l'accès aux informations personnelles de plus de 50 000 personnes. Donc, si une entreprise de libre-entreposage possède les informations de 10 000 locataires actuels et anciens, mais que plus de 50 000 personnes visitent son site Web chaque année, partageant ainsi leurs adresses IP avec l'entreprise, est-ce admissible?

D'autres questions ont tourné autour de ce qui semble être une contradiction: dans certains cas, les entreprises peuvent avoir besoin de demander plus d'informations personnelles afin de répondre à la demande d'un utilisateur de supprimer ou d'obtenir une copie de toutes ses informations personnelles. Ils savent peut-être qu'une personne nommée Maria Garcia a 36 ans, aime les camions et les drames juridiques, et se connecte régulièrement à partir d'un téléphone dans le centre de Los Angeles, mais si quelqu'un envoie un e-mail prétendant être Maria Garcia et demande toutes ces informations sur lui-même, comment peut-il une entreprise soyez sûr que c'est la bonne? Peuvent-ils demander des informations plus personnelles, comme un e-mail spécifique ou un numéro de sécurité sociale, pour vérifier?

Bo Kim, avocat de la Chambre de commerce de Californie, a commencé par plaider pour que la date limite soit reportée à janvier 2021, puis a souligné une manière dont le projet de règlement se heurte aux limites de la connaissance humaine. Une disposition oblige les entreprises à partager, dans leurs politiques de confidentialité, la valeur des données personnelles d'un utilisateur individuel.

"La grande majorité des entreprises touchées par le CCPA utilisent la technologie mais ne sont pas des entreprises technologiques", a déclaré Kim. "En tant que tel, il n'y a pas de valeur particulière des données allouées sur un bilan existant."

L'impact le plus large de la nouvelle loi concerne l'économie de la publicité en ligne et les entreprises – y compris les géants de la technologie tels que Facebook et Google et les sociétés de médias comme le Los Angeles Times – qui en dépendent.

Le mécanisme de base du monde de la publicité en ligne s'appelle les enchères en temps réel: derrière chaque annonce sur une page Web (y compris celle-ci), il y a une série quasi instantanée de transactions en cours.

La page elle-même, grâce à l'utilisation de trackers numériques, collecte des données sur le lecteur. Ensuite, la page envoie ces informations utilisateur dans le pipeline avec un certain ensemble de règles, telles que les types d'annonces qu'elle est prête à diffuser et à quel prix. Un échange d'annonces organise ensuite instantanément une enchère pour l'espace et l'utilisateur, recherchant souvent l'enchère la plus élevée parmi les acheteurs d'annonces qui ont également pré-entré leurs objectifs préférés, leurs prix et à quoi ressemblent leurs annonces. Une fois que tout ce processus a eu lieu – en quelques microsecondes – l'annonce apparaît.

Aujourd'hui, chaque entité en cours de route enregistre généralement toutes les données qu'elle peut pour plus tard. Plus une page connaît d'informations sur un utilisateur, plus le prix qu'elle peut facturer pour une annonce est élevé – et chaque petite tranche d'informations peut être ajoutée à un profil de consommateur, qui peut être vendue à d'autres sociétés en cours de route à la recherche d'un plus public visé.

Cette pratique a permis à l'industrie de la technologie publicitaire d'amasser des profils de consommateurs auprès de millions de personnes. La nouvelle loi autorise les Californiens à mettre fin à cette surveillance.

L'ACCP ne rompt pas la chaîne d'enchères en temps réel du transfert de données et de l'affichage des annonces – et McTaggart a été clair que cela n'a jamais été l'intention – mais il permet aux utilisateurs de se retirer de la deuxième phase du processus, où leurs données est stocké et emballé pour être vendu à l'avenir.

Ceux qui se retireront verront probablement moins d'annonces hyper-ciblées, les types qui montrent aux utilisateurs une annonce pour un produit qu'ils n'ont pas achetée au milieu du processus de paiement, ou qui semblent étrangement afficher une annonce pour un magasin qu'ils ont visité quelques jours plus tôt . Combiné à plusieurs demandes de suppression, les utilisateurs pourraient éventuellement voir uniquement les annonces liées à la page qu'ils visitent – annonces de voitures sur un article sur les voitures, ou annonces de livraison de repas sur un site Web alimentaire.

L'Interactive Advertising Bureau, un consortium qui comprend la plupart des grands éditeurs, des annonceurs et des sociétés de technologie publicitaire aux États-Unis, a passé une grande partie de 2019 à organiser des réunions pour comprendre comment les milliers d'entreprises le long du pipeline pourraient honorer les demandes des utilisateurs de refuser de recevoir leur données vendues. Il est venu avec un cadre complexe de contrats et d'étiquettes numériques qui agrafe fonctionnellement le désir d'un utilisateur de ne pas vendre ses données aux données elles-mêmes, comme une étiquette d'encre sur une marchandise.

Google a signé ce système en décembre et a donné à ses clients, qui incluent la plupart des sites Web sur Internet, une boîte à outils pour intégrer ce système de désinscription dans leurs propres sites.

Facebook, notamment, a déclaré dans un article de blog qu'il n'avait pas besoin de changer ses pratiques pour se conformer à la loi. L'argument de la société repose sur les définitions des ventes et des tiers, partant du principe que, puisque Facebook est la seule entité à collecter et à monétiser des données personnelles au sein de son système, elle ne s'engage pas dans la vente de données utilisateur à des tiers.

Si suffisamment de personnes se retirent et demandent que leurs données soient supprimées, cela pourrait avoir pour effet de réduire les revenus publicitaires à tous les niveaux. Les annonceurs sont prêts à payer un supplément pour un objectif de meilleure qualité: les sociétés de couches, par exemple, souhaitent diffuser leurs annonces spécifiquement aux nouvelles mamans, et non à un visiteur aléatoire du site Web. C'est ainsi que Google, qui crée des profils basés sur les recherches des utilisateurs, l'utilisation des applications et toute autre information qu'il peut glaner sur les appareils, est devenu une entreprise de 930 milliards de dollars. Et Facebook a récolté des récompenses similaires à partir de son trésor de données comportementales généré par les utilisateurs.

Mais la plupart des experts du secteur semblent penser que la nouvelle loi ne devrait pas affecter le résultat net des entreprises axées sur les données (au-delà du coût de la conformité de base), simplement parce que la plupart des utilisateurs ne prendront probablement pas la peine de se retirer.

"Les gens disent oui", déclare Ben Barokas, directeur général de la société de gestion de la conformité SourcePoint. «Même quand il y a la possibilité de dire non, peut-être 10% des gens disent non» à la vente de leurs données pour afficher une publicité plus ciblée.

Le règlement général européen sur la protection des données, ou RGPD, est un point de comparaison utile. Dans le cadre de ce régime, les utilisateurs devaient activement choisir d'être suivis en ligne et de voir leurs données vendues – une disposition que certains militants ont poussé à inclure dans la loi californienne. Mais encore, il n'y a pas de données claires indiquant que les revenus publicitaires globaux ont subi une baisse à long terme après le début de la loi en mai 2018, et certains rapports montrent que 95% des utilisateurs choisissent d'être suivis en échange de l'accès aux sites Web et aux services.

Alors même que les entreprises s'efforcent de se mettre en conformité, les personnes derrière le CCPA se préparent à introduire une nouvelle série de réglementations sur la confidentialité sous la forme d'une mesure de vote 2020. Les changements majeurs comprennent la création d'une agence distincte pour faire appliquer les lois, plutôt que de laisser le soin au bureau de l'AG, de créer un système d'adhésion pour les utilisateurs de moins de 16 ans et de restreindre davantage l'utilisation de ce que l'initiative appelle "les informations personnelles sensibles", "qui comprend des données telles que l'emplacement, l'état de santé et l'orientation sexuelle.

McTaggart espère que le prochain cycle, avec une agence de confidentialité financée et dotée de personnel, pourra établir une nouvelle norme pour Internet dans son ensemble.

"Nous pensons que cela fera pour la confidentialité ce que le California Air Resources Board a fait pour la qualité de l'air à l'échelle nationale", a déclaré McTaggart.

Il a déclaré que l'intention n'était pas de détruire des entreprises, mais de s'assurer que les entreprises utilisaient les données des consommateurs en toute sécurité. Ou pour étendre l'analogie des voitures au smog numérique de l'économie des données: "Nous pensons que les voitures vont bien, et nous comprenons que LA a beaucoup de voitures, mais ce serait bien de voir à travers LA par temps clair."

© 2019 Los Angeles Times

Distribué par Tribune Content Agency, LLC.