Archives des étiquettes : RGPD

L’état de Washington pourrait adopter une loi proche du RGPD avec le consentement de Microsoft et Amazon…

upload.wikimedia.org/wikipedia/commons/2/2f/Spa...

L’état de Washington va tenter une nouvelle fois d’adopter une réglementation sur la protection des données sur le modèle des lois européennes (RGPD) et californiennes – et la troisième fois pourrait bien être la bonne, selon Reuven Carlyle, le sénateur de l’État qui port se projet depuis le début… Le « Privacy Act » de Washington accorde aux consommateurs le droit d’accéder, de transférer, de corriger et de supprimer les données que des entreprises telles que Facebook ou Google détiennent sur eux. Les consommateurs peuvent également refuser la publicité ciblée et la vente de leurs données personnelles en vertu de cette législation. Sans surprise on retrouve donc les éléments de base du RGPD mais aussi des éléments introduit en 2018 par la Californie. Loi établie en Californie avec la bénédiction de la Procureur Générale de l’état jusqu’en 2017 : une certaine Kamala Harris 🙂

« J’ai essayé de prendre les meilleures pratiques du RGPD et les meilleures pratiques de la loi californienne et le caractère unique de Washington, et de proposer un projet de loi basé sur les meilleures pratiques« , a noté M. Carlyle.

Les nouvelles règles s’appliqueraient aux entreprises qui ciblent les résidents de l’État et atteignent un ou plusieurs de ces seuils :

  • L’entreprise contrôle ou traite les données de 100 000 consommateurs ou plus par an
  • Plus de 25 % du revenu brut de l’entreprise provient de la vente de données à caractère personnel et cette entreprise traite ou contrôle les données de 25 000 consommateurs ou plus
  • Mais les organismes gouvernementaux, les transporteurs aériens et les entreprises de traitement des données médicales sont bizarrement exemptés de la réglementation…

Carlyle pense que son projet de loi de troisième génération réussira là où les tentatives précédentes grâce au soutien de l’industrie technologique dont Microsoft et Amazon, (les géants locaux) :

Ryan Harkins, le directeur des affaires publiques de Microsoft déclarait « Nous pensons qu’il s’agit d’une approche réfléchie qui répondrait à ce qui est devenu un besoin urgent de moderniser la loi américaine sur la protection de la vie privée« . Tandis que Brian Huseman, vice-président de la politique publique d’Amazon écrivait « Bien que nous soutenions depuis longtemps une approche fédérale de la protection de la vie privée, nous apprécions le travail critique en cours au niveau des États et sommes reconnaissants de pouvoir travailler avec les décideurs politiques de notre État d’origine, Washington, sur ces questions importantes« 

Ces dernières années, les critiques ont accusé le projet de loi de manquer de mordant parce qu’il ne permet pas aux consommateurs individuels de poursuivre les entreprises technologiques pour violation de leurs droits en matière de protection des données. Cette possibilité d’intenter un procès en tant que consommateur individuel, ne figure pas dans la dernière version du projet de loi. Comme dans les versions précédentes, le droit de poursuivre en justice pour violation de la loi appartient au seul procureur général de l’État une belle limitation donc…

Autre élément ne figurant plus cette fois dans cette troisième édition : les technologies de reconnaissance faciales qui ne sont plus concernées par cette proposition de lois… Dont les sociétés Amazon et Microsoft fournissent les éléments technologiques. Avec un enjeux : ne pas laisser le terrain libre aux géants chinois.

Il est vrai q’au printemps dernier, l’assemblée législative de l’État de Washington avait adopté un projet de loi établissant de nouveaux garde-fous pour les logiciels de reconnaissance faciale et le sénateur Carlyle a déclaré qu’il « ne ressentait pas le besoin de s’engager à nouveau dans cette question pour le moment ».

La loi sur la protection de la vie privée s’applique en Californie depuis le 1er juillet

1200px-Flag_of_California.svgLa Californie a commencé le 1er juillet à appliquer sa loi sur la protection des données numériques, six mois après son entrée en vigueur. Elle a été décrite comme la loi sur la protection de la vie privée la plus stricte des États-Unis, ayant été en partie modelée sur la loi de référence européenne, notre fameuse RGPD.

La loi a été adoptée le 1er janvier, mais l’État a donné aux entreprises six mois pour se mettre en conformité. Pour rappel nous avions 2 ans en Europe pour le faire. Donc beaucoup moins de temps ici. Mais il est vrai que les entreprises californiennes avait déjà travailler sur le sujet justement pour leur mise en conformité avec la GDPR…

Malgré les appels de l’industrie et des géants de la tech (Facebook et Google en tête) pour que l’État attende en raison de la pandémie de coronavirus, le procureur général de l’état, Xavier Becerra n’a pas cédé…Elle donne aux consommateurs de l’État – et à beaucoup d’autres en dehors de la Californie – la possibilité de demander aux entreprises de leur indiquer les données personnelles qu’elles détiennent sur chaque personne et de demander aux entreprises de cesser de vendre leurs données personnelles à des tiers annonceurs ou autres. Un casse-tête pour certaines sociétés comme Facebook, pris une nième fois encore, la semaine dernière avec la main dans le pot de confiture…

Que se passera-t-il si les sociétés ne respectent pas la loi ? À partir de cette semaine, le bureau du procureur peut commencer à envoyer des avertissements aux entreprises qui pourraient être en infraction avec la loi et leur donner 30 jours pour régler les problèmes avant de faire face à d’éventuelles amendes ou poursuites. Un petit délais de grâce.

Pas question au passage pour ces sociétés de menacer de quitter l’état pour s’installer au Delaware per exemple (Paradis fiscal interne aux États Unis, sorte de Luxembourg, d’Irlande et de Pays bas réunis pour les Entreprises), là où est installé leurs sièges sociaux (comme c’est le cas de Facebook ou Alphabet la maison mère de Google), le législateur ayant prévu ce cas de figure en protégeant comme avec la GDPR les citoyens avant tout.

Cette loi est limité à la Californie, même si d’autres états, majoritairement Démocrates sont en train de mettre en oeuvre leur loi de protection de la vie privée également, là encore sur le modèle de l’Europe (pour une fois que c’est dans ce sens …). Des entreprises comme Apple en particulier qui a fait de la vie privée son cheval de bataille (face à un Google…) et d’autres géants comme Microsoft (qui ne tire pas non plus de gros revenus de la publicité) continuent de réclamer une loi fédérale unique sur la protection de la vie privée afin de faciliter la mise en conformité. Là encore sur le modèle européen !

Le RGPD favorise-t-il les géants d’Internet sur le marché de la publicité ?

RGPDDepuis son entrée en vigueur le 25 mai 2018, le règlement général pour la protection des données (RGPD) instauré par l’Union Européenne, est censé donner quelques droits aux internautes européens quant à l’utilisation faite de leurs données par les opérateurs Internet ou plus globalement toute entreprise collectant des données personnelles, professionnelles ou critiques (médicales par exemple).

Mais ce RGPD a très tôt été critiqué pour son caractère assez vague concernant les obligations des entreprises (nous avons évoqué ce problème lors du Briefing Calipia de juin 2017), ce qui a rapidement aboutit à une certaine cacophonie quant aux mesures prises par les entreprises pour rester conformes à cette réglementation comme le décrivait en juin le site Digiday.

Si certaines entreprises pour limiter les risques ont suspendu temporairement leurs activités au sein de l’Union européenne ou ont simplement annoncé l’arrêt de leurs activités en ligne, les plus grosses ce son adaptée afin de juridiquement échapper à toute poursuite, comme Facebook qui a transféré la gestion de tous ses utilisateurs non européens ou américains (donc 1,5 milliards de personnes) de sa filiale Irlandaise à son siège en Californie.

De plus le flou concernant les mesures à prendre pour être en conformité à aboutit à différentes interprétations des acteurs du Net, qui utilisent des options d’adhésion (opt in) préalablement cochées, des options masquées que des consommateurs sont obligés de rechercher, des bannières de consentement dont les informations ne peuvent être atteintes qu’avec un clic supplémentaire et qui n’ont pas de bouton « Rejeter ». D’autres se servant du bouton dit « nuke button » qui permet à l’utilisateur de rejeter absolument tout sans même lui donner une idée de ce qu’il rejette ou accepte.

Donc le premier constat est que la mise en place de ce RGPD est assez loin d’être parfaite.

Mais il y a pire : une enquête de Reuters montre que les directives du règlement contribuent à renforcer la mainmise des géants tels que Google et Facebook sur le marché de la publicité au détriment de dizaines d’entreprises plus petites. En effet, Google, Facebook et d’autres grands du Web continuent à amasser et analyser des quantités colossales de données à travers des procédés « conformes au RGPD ». Lesquelles données pourront être exploitées par les annonceurs moyennant une forte rétribution du fait d’un manque de concurrence lié au fait que les sociétés plus petites, et elles sont nombreuses, n’ont pas à leur disposition les moyens de contourner la réglementation en vigueur.

Le RGPD, dont un des buts était de contraindre à une certaine éthique des acteurs comme Google et Facebook qui prospèrent sur la vente de nos données semble donc leur donner un avantage concurrentiel ! Personnellement j’hésite entre le rire et les larmes …