Suppression de la loi : tout ce qu'il faut savoir

Image of Carlo Cilento

Publié le 25 oct. 2023 par Carlo Cilento

Le 10 octobre, l'État de Californie a adopté le Delete Act, une nouvelle loi qui permet aux résidents californiens d'exiger simultanément de tous les courtiers en données qu'ils suppriment leurs informations personnelles. Cette loi devrait avoir un impact considérable sur les pratiques en matière de protection de la vie privée, tant à l'intérieur qu'à l'extérieur de l'État. Voyons donc en quoi consiste cette loi !

  1. Qu'est-ce que la loi "Delete Act" ?
  2. Les Californiens ne disposaient-ils pas déjà d'un droit à l'effacement ?
  3. Comment fonctionne la loi Delete Act ?
  4. En quoi la loi sur la suppression diffère-t-elle des autres lois ?
  5. À qui s'applique la loi ?
  6. Existe-t-il des dérogations à la loi sur la suppression des données ?
  7. Quelles sont les sanctions prévues par la loi sur la suppression des données ?
  8. Quel sera l'impact de la loi sur la suppression des données ?
  9. Conclusion
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Qu'est-ce que la loi "Delete Act" ?

Le Delete Act est une nouvelle loi californienne sur le droit à la suppression de ses données auprès des courtiers en données. Elle sera appliquée par l'Agence californienne de protection de la vie privée (CPPA).

Les Californiens ne disposaient-ils pas déjà d'un droit à l'effacement ?

Oui, les résidents californiens ont un droit à l'effacement en vertu de la CCPA. Toutefois, deux problèmes se posent en ce qui concerne les courtiers en données.

Tout d'abord, il n'est pas certain qu'ils puissent exercer ce droit à l'encontre des courtiers en données sur la base du libellé de la CCPA. Deuxièmement, à supposer qu'ils puissent le faire, il serait difficile en pratique de demander aux courtiers en données de supprimer des informations à caractère personnel. De nombreux courtiers différents contrôlent généralement les informations relatives à un seul consommateur, et les consommateurs ne savent généralement pas qui sont ces courtiers et comment les contacter.

En bref, le droit à l'effacement introduit par la loi Delete Act n'est pas nouveau dans le droit californien, mais la loi facilite grandement l'exercice de ce droit par les consommateurs à l'encontre des courtiers en données.

Comment fonctionne la loi Delete Act ?

Le système d'effacement décrit par la loi consistera en un registre unifié des demandes d'effacement. Les courtiers en données devront accéder périodiquement au système et vérifier que leurs bases de données ne contiennent pas de données sur les personnes qui ont présenté une demande.

Les courtiers en données seront également soumis à d'autres obligations, telles que la documentation du respect des demandes de suppression et l'audit des résultats de leurs procédures pour honorer les demandes.

La loi sur la suppression des données reste vague sur les aspects techniques du système et demande à l'ACPP de résoudre les problèmes dans sa future réglementation. Selon la loi, le système doit être opérationnel au plus tard en 2026. Selon toute vraisemblance, la planification du système ne sera pas une sinécure pour l'ACCP - et sa mise en œuvre ne sera pas une sinécure pour les entreprises !

En quoi la loi sur la suppression diffère-t-elle des autres lois ?

La loi sur la suppression est une loi innovante. Les lois sur la protection de la vie privée, telles que le GDPR et la CCPA californienne, définissent le droit à l'effacement comme une affaire entre un individu et une entreprise ou une organisation spécifique. En revanche, la loi sur l'effacement élargit le champ d'application d'une demande unique à tous les courtiers en données. Ce système diffère des demandes d'effacement habituelles et ressemble plutôt à une sorte de registre des numéros de téléphone interdits.

La loi sur la suppression diffère également des autres lois sur la protection de la vie privée en ce sens que les demandes ont également un impact sur toutes les données collectées après la soumission. Un courtier en données ne peut pas se contenter de supprimer vos données et de s'en tenir là ; il doit périodiquement revoir sa base de données et effacer toute nouvelle donnée vous concernant. Un processus continu d'examen et d'effacement est nécessaire.

À qui s'applique la loi ?

D'une part, la loi s'applique aux résidents californiens, tout comme la CCPA. Personne d'autre ne peut soumettre une demande en vertu de la loi.

D'autre part, la loi s'applique aux courtiers en données. La loi définit les courtiers en données comme toute entreprise qui collecte et vend sciemment des informations sur des consommateurs avec lesquels elle n'a pas de relation directe. Les courtiers en données agissent donc essentiellement comme des intermédiaires, acquérant des informations personnelles sur les consommateurs par l'intermédiaire d'un tiers et les vendant à un autre tiers.

Il convient de noter que la loi utilise la même définition large de la vente de données que la CCPA/CPRA. La divulgation de données sur les consommateurs en échange de quelque chose de valeur sera probablement considérée comme une vente, qu'il y ait ou non paiement d'une somme d'argent. Cela signifie que la loi peut s'appliquer à de nombreux intermédiaires dans le secteur de la publicité, en fonction de la manière dont les régulateurs interprètent la définition.

On ne sait pas encore si la définition du courtier en données couvre également les entreprises qui achètent ou reçoivent des données d'intermédiaires - en d'autres termes, les clients des courtiers en données. Ce point encore flou est crucial, car de nombreuses entreprises (y compris les plus petites) enrichissent les données de leurs clients avec des informations provenant de tiers. Il est à espérer que la future réglementation de la CCPA clarifiera ce point.

Une chose est claire, cependant : tout comme la CCPA, la loi Delete s'appliquera également aux courtiers en données en dehors de la Californie, et même en dehors des États-Unis.

Par ailleurs, il convient de souligner que la Californie dispose d'un registre pour les courtiers en données et que l'enregistrement était obligatoire avant même l'adoption de la loi sur les données. Cela pourrait faciliter l'application de la loi, car l'ACCP saura qui sont les courtiers en données et comment les contacter.

Existe-t-il des dérogations à la loi sur la suppression des données ?

Oui. À l'instar de la CCPA, la loi sur la suppression des données ne s'applique pas aux entreprises soumises à des réglementations sectorielles (telles que la HIPAA pour le secteur des soins de santé).

Quelles sont les sanctions prévues par la loi sur la suppression des données ?

Les courtiers en données sont passibles d'une amende de ** 200 dollars pour chaque jour où** ils n'honorent pas une demande de suppression. Les courtiers en données peuvent également être condamnés à une amende en vertu des lois californiennes préexistantes s'ils ne s'inscrivent pas dans le registre des courtiers en données.

Quel sera l'impact de la loi sur la suppression des données ?

La loi sur la suppression des données aura probablement un impact important sur le secteur de la publicité et sur d'autres secteurs qui dépendent fortement des intermédiaires de données (comme la détection des fraudes). Pour se conformer à la loi, les entreprises doivent établir de nouvelles procédures et revoir périodiquement leurs bases de données pour en extraire les données qu'elles doivent supprimer.

Cela entraînera probablement une augmentation considérable des coûts juridiques et des coûts d'exploitation. En outre, les entreprises devront, si ce n'est déjà fait, mettre en œuvre de solides pratiques de gouvernance des données afin de faciliter le filtrage des bases de données et la récupération des informations devant être supprimées.

Enfin, il convient de noter que les courtiers en données doivent vérifier les demandes de suppression. En d'autres termes, les courtiers doivent s'assurer que les consommateurs sont bien ceux qu'ils prétendent être et déterminer exactement quelles sont les informations personnelles qui les concernent dans leurs bases de données.

Cette tâche sera compliquée par le fait que les courtiers en données ne collectent pas toujours les identifiants directs qui permettraient une vérification aisée. Il serait judicieux que les entreprises mettent en place des procédures de vérification solides avant que les demandes ne commencent à arriver et qu'elles gardent un œil sur l'ACPP pour toute orientation en matière de vérification.

Conclusion

Il est encore trop tôt pour dire dans quelle mesure la loi sur la suppression aura un impact sur l'économie numérique. Toutefois, il est clair qu'elle rendra la conformité plus difficile pour les courtiers en données. Les entreprises concernées par la loi doivent anticiper et commencer immédiatement à se préparer à respecter ses obligations.

Nous sommes passionnés par la protection de la vie privée. Il s'agit d'un droit de l'homme, qui devient de plus en plus important à mesure que le monde devient de plus en plus interconnecté.

C'est pourquoi nous avons créé Simple Analytics. Notre outil de protection de la vie privée permet à nos clients d'obtenir toutes les informations dont ils ont besoin d'une manière éthique et respectueuse de la vie privée. Simple Analytics fournit des informations précises sans cookies, sans traceurs et sans collecter la moindre donnée personnelle ! Si cela vous convient, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours