La loi californienne sur la vie privée des consommateurs peut affecter les entreprises des États-Unis

Si les milliers de Californiens qui utilisent l'application de Josh Simons pour les musiciens exigent le mois prochain que Vampr supprime leurs informations personnelles, Simons sera prêt à se conformer.

La société de réseau social s'attend à être l'une des nombreuses entreprises à l'échelle nationale soumises à la California Consumer Privacy Act, une loi qui entre en vigueur le 1er janvier et donne aux consommateurs le contrôle sur les informations personnelles que les entreprises collectent, stockent et partagent souvent avec d'autres entreprises. Simons, qui avait déjà une politique de confidentialité des utilisateurs en place avant que la loi ne devienne loi l'année dernière, a réorganisé la politique et l'application Vampr.

«Nous avons un demi-million d'utilisateurs dans le monde», explique Simons. "C'est certainement quelque chose que nous devons garder à l'esprit."

Partout au pays, les entreprises doivent être conscientes des exigences complexes de la loi, même si elles ne traitent pas directement avec les consommateurs. Il couvre les entreprises qui exercent leurs activités en Californie, y compris les entreprises hors État qui vendent des produits ou des marchandises aux résidents de la Californie. La loi peut également couvrir les entreprises qui gagnent de l'argent en fournissant des services tels que le traitement des paiements ou l'hébergement de sites Web à des entreprises soumises à la loi.

La loi contient des dispositions visant à exempter les petites entreprises – les entreprises sont soumises à la loi si elles ont des revenus mondiaux supérieurs à 25 millions de dollars, collectent ou reçoivent les informations personnelles de 50 000 consommateurs, ménages ou appareils électroniques californiens ou plus; ou ceux qui tirent au moins la moitié de leurs revenus de la vente d'informations personnelles. Mais les petites entreprises peuvent facilement atteindre le seuil de 50 000 pour la collecte ou la réception d'informations – une personne qui a un téléphone, une tablette, un PC à la maison et une au travail compte pour quatre utilisateurs, pas un.

Vampr compte actuellement environ 1000 utilisateurs en deçà du seuil, mais Simons s'attend à ce que l'application atteigne ce jalon au cours du mois de janvier. L'État d'origine de la société basée à Santa Monica, en Californie, est son plus grand marché.

La loi vise à protéger les consommateurs contre la vente de leurs informations à leur insu ou sans leur consentement. Il a été adopté par la législature de Californie en juin 2018 et calqué sur le règlement général de l'Union européenne sur la protection des données, qui est entré en vigueur en mai 2018. La loi californienne a été promulguée alors que les entreprises partageaient des données sur les consommateurs, surtout après avoir appris que le la société de données Cambridge Analytica a mal accédé aux informations des utilisateurs de Facebook.

La loi californienne donne aux consommateurs le droit de savoir quelles informations personnelles les entreprises collectent auprès d'eux et ce que les entreprises en font, qu'elles les partagent, les transfèrent ou les vendent, et qui est le destinataire des informations. En vertu d'une disposition clé, les entreprises doivent donner aux consommateurs la possibilité de faire supprimer leurs informations des bases de données.

La loi couvre un large éventail de données, y compris les noms, adresses, numéros de sécurité sociale et de passeport, adresses e-mail, historiques de navigation sur Internet, historiques d'achat, biens personnels et informations sur la santé, informations professionnelles ou d'emploi, dossiers éducatifs et informations provenant d'applications et de programmes GPS.

Les entreprises soumises à la loi doivent s'assurer que leurs systèmes et sites Web sont conformes. De nombreux employés sans technologie interne ont engagé des entreprises pour installer des logiciels qui, entre autres, créent les boutons et les liens du site Web qui permettent aux consommateurs de voir leurs informations et de refuser de les stocker. Certaines entreprises peuvent décider d'obtenir une aide juridique pour s'assurer qu'elles sont sur la bonne voie. Simons, qui a lui-même installé le logiciel pour rendre Vampr conforme, estime que le processus a coûté 7 000 $ à l'entreprise, une somme importante pour une petite entreprise.

Bien que la loi californienne entre en vigueur le 1er janvier, l'application ne commencera que le 1er juillet. Et la loi telle qu'elle est actuellement peut changer – la législature a déjà adopté un certain nombre d'amendements pour clarifier et affiner les exigences de la loi, et le procureur de l'État Le bureau du général élabore toujours des règlements et des directives sur la loi.

Certaines complexités de la loi découlent des relations entre les entreprises qui utilisent les données des autres, par exemple, dans le cas d'un processeur de paiement qui doit utiliser une carte de crédit et d'autres informations personnelles fournies par un détaillant pour effectuer des transactions. Dans de tels cas, le fournisseur de services doit signer un contrat qui lui interdit d'utiliser les données à d'autres fins que celles stipulées dans le contrat, explique Travis LeBlanc, un avocat spécialisé en droit de la cybersécurité avec le cabinet Cooley LLP à Washington, D.C.

Les fournisseurs qui peuvent se connecter aux systèmes des entreprises clientes peuvent involontairement être un point d'entrée pour les pirates essayant de voler des informations personnelles. Ce fut le cas lorsque des pirates ont pu voler des informations personnelles à plus de 60 millions de clients Target en 2013.

"Les vendeurs sont souvent une source de faiblesse", explique LeBlanc. «L'ACCP aide à encourager l'entreprise qui a la relation principale avec les consommateurs à en assumer la responsabilité.»

Les avocats trouvent que certaines des dispositions de la loi sont vagues, ce qui ne permet pas de savoir quelles entreprises doivent se conformer. Une disposition stipule que les informations sont protégées si elles sont vendues ou transférées "à une autre entreprise ou à un tiers pour une contrepartie monétaire ou autre". Les avocats se demandent ce que signifie une «considération valable», déclare David Stauss, un avocat spécialisé en droit des technologies au sein du cabinet Husch Blackwell à Denver.

"Cela peut vraiment devenir difficile à appliquer", explique Stauss. "Il y a certaines choses qui vont clairement être des ventes, mais c'est une zone grise."

Certaines entreprises qui ne seront pas soumises à la loi se mettent néanmoins en place pour être conformes. Certains s'attendent à ce que d'autres États promulguent des lois similaires, tandis que d'autres sont conscients que la confidentialité des données est un problème sensible qu'ils doivent résoudre.

"Nous sommes dans un domaine en évolution où le sentiment des consommateurs est très élevé", explique Dawn Barry, présidente de Luna Public Benefit Corp., une société basée à San Diego qui recueille des données pour la recherche médicale. Bien que la nature des activités de la société l'exempte de la loi californienne, elle est néanmoins conforme au statut et au RGPD européen, explique Barry.

© 2019 The Associated Press. Tous les droits sont réservés.