Le régulateur californien peaufine et clarifie les règles de confidentialité ISMS.online

Le régulateur californien peaufine et clarifie les règles de confidentialité

Par Danny Bradbury • 6er Février 2024.

Décembre a été un mois marquant pour l'organisme de surveillance californien de la confidentialité des données, car il a fait passer une série de révisions réglementaires proposées au stade des commentaires publics. Les révisions consolident une partie de la réflexion qui a fait de la Californie l'un des pionniers en matière de législation régionale sur la protection de la vie privée ces dernières années. Et ils apportent une clarté indispensable aux entreprises opérant dans l’État.

Un bref historique des réglementations californiennes sur la confidentialité

L'histoire de ceux-ci révisions commence en novembre 2020 avec l’approbation par les électeurs de la proposition 24, une initiative de vote qui a donné naissance au California Privacy Rights Act (CPRA). Cette loi a modifié la California Consumer Privacy Act (CCPA) de 2018.

La CCPA a introduit des mesures de protection de la vie privée des consommateurs, notamment le droit de savoir quelles informations personnelles une entreprise collecte à leur sujet et de demander leur suppression, ainsi que le droit de refuser la vente de leurs informations. La CPRA a ajouté davantage de protections, notamment le droit de restreindre l'utilisation des renseignements personnels et de corriger les dossiers inexacts. Il a également élargi le mandat de « ne pas vendre » du CCPA concernant les données des consommateurs pour couvrir le partage de données. Enfin, la Prop 24 a créé la California Privacy Protection Agency (CPPA).

Il s'agissait d'une autorité distincte chargée de superviser l'administration et l'application du CCPA ; un travail autrefois confié uniquement au bureau du procureur général.

En juillet 2022, la CCPA a commencé à élaborer des règles pour adopter ces règlements de la CPRA, harmonisant ainsi la CCPA et la CPRA. Il a introduit le règlement révisé en novembre. Elles ont été approuvées le 29 mars par le Bureau du droit administratif, mais ont été immédiatement contestées devant le tribunal par la Chambre de commerce. Il a fait valoir que les réglementations finales étaient censées avoir été convenues d’ici le 1er juillet 2022, et que leur mise en œuvre devrait avoir lieu au plus tôt un an après cette date, et a demandé au tribunal de suspendre l’application des réglementations jusqu’à un an après leur approbation (29 mars 2024).

Le CCPA n’est pas resté les bras croisés en attendant l’expiration de l’injonction. Le 1er décembre, il a présenté de nouvelles propositions de révision des règlements de la CCPA. C'est cet ensemble de propositions qu'il a discuté lors d'une conseil d'administration le 8 décembre (point trois de l’ordre du jour), puis est passé à l’étape suivante alors qu’il entre dans le processus officiel d’élaboration des règles.

Déballage des dernières révisions proposées

Les dernières révisions proposées ne suscitent pour la plupart aucune controverse, explique Cobun Zweifel-Keegan, directeur général de DC de l'Association internationale des professionnels de la vie privée (IAPP).

"La plupart de ces départs ne sont pas créatifs de la part de l'agence", a-t-il déclaré à ISMS.online. "Je pense qu'ils visent principalement à clarifier et à mettre à jour les normes afin que les choses soient conformes aux changements apportés par le législateur."

Des règles clarifiées devaient contribuer à l’application de la CCPA et de la CPRA, poursuit-il.

« La nouvelle loi habilite très explicitement la CPPA à clarifier certaines normes qui ne sont pas spécifiquement énoncées dans la loi elle-même », ajoute Zweifel-Keegan.

Odia Kagan, associée du cabinet juridique Fox Rothschild LLP, qualifie les révisions proposées de « nouvelles, nouvelles réglementations ». Ils clarifient des points sur lesquels il n'y avait pas de consensus commun et se concentrent sur les nuances dans des domaines tels que le consentement du consommateur.

« Il existe de nouveaux exemples de ce qui ne constitue pas un consentement », explique-t-elle à ISMS.online.

Par exemple, les révisions indiquent explicitement que la fermeture d'une fenêtre contextuelle demandant l'autorisation de collecter et d'utiliser des données plutôt que de cliquer explicitement sur un bouton « oui » n'indique pas un consentement. Il met également en garde contre des techniques trompeuses telles que l’installation de comptes à rebours à côté des choix de consentement pour paniquer les utilisateurs.

Parler franchement, s'il vous plaît

Il convient également de noter l’accent mis sur un langage clair. Les révisions proposées nécessitent un langage simple qui avertit les entreprises de décrire les catégories de sources à partir desquelles les données sont collectées, ainsi que les tiers avec lesquels elles pourraient être partagées. Comme le CCPA le détaille dans son explication des révisions proposées, les consommateurs ont besoin d’une « compréhension significative » de l’endroit où les entreprises obtiennent leurs données personnelles.

Des ajustements comme celui-ci contribueront à rendre le CCPA plus convivial pour le consommateur, explique Kagan.

« Si vous dites 'nous collectons vos classifications protégées', personne ne comprend ce que cela signifie », dit-elle.

Défendre le droit à la suppression

L’une des révisions proposées les plus significatives concerne peut-être le droit de supprimer des informations. Il exige que les entreprises, leurs prestataires de services et leurs sous-traitants veillent à ce que les informations restent supprimées.

"C'est intéressant, car les informations que vous obtenez des courtiers en données sont désormais sous la loupe - en particulier parce que la FTC vient de rendre deux décisions concernant les courtiers en données et les informations que vous obtenez d'eux", explique Kagan.

Ces décisions, toutes deux rendues en janvier après les révisions des règles proposées par l'ACPP, concernaient des données de localisation précises vendues par Réseaux sociaux en mode X et Médias sur le marché.

Suivre le rythme de l’innovation technologique

Il existe de nombreuses autres révisions clarificatrices dans les propositions de la CPPA, dont certaines semblent étrangement spécifiques. Par exemple, on prévient que les entreprises collectant des données en réalité augmentée ou virtuelle (AR/VR) doivent avertir le consommateur avant qu'il n'entre dans l'environnement AR/VR. Ceci a été réintroduit, après avoir été omis précédemment pour simplifier la mise en œuvre. Cela n’est cependant pas surprenant, car le rôle de l’agence est en partie de créer des réglementations qui maintiennent la pertinence des lois sur la protection de la vie privée dans un paysage technologique en évolution rapide qui intègre de telles innovations.

Cette nécessité de suivre le rythme du développement technologique s’applique particulièrement à un autre processus d’élaboration de règles en cours axé sur la prise de décision automatisée, qui fera l’objet d’un ensemble de réglementations distinct de celui de la CPPA.

"Des éclaircissements supplémentaires sont nécessaires dans des situations telles que la technologie de prise de décision automatisée", déclare Zweifel-Keegan. "Il ne s'agit en réalité que d'une petite règle dans la loi, mais elle pourrait devenir un ensemble complet de règles de plusieurs pages aidant à expliquer les exigences en vigueur."

La CPPA travaille également sur deux autres ensembles de règles en matière d’évaluation des risques et de cybersécurité. Alors qu'il fait passer les « nouvelles » réglementations de décembre du stade du crachat au territoire officiel de l'élaboration des règles. Il lui reste encore beaucoup de travail à faire – et ceux qui font des affaires en Californie doivent surveiller de près ce qu’il fait.

Que peuvent faire les entreprises pour suivre ces changements en cours ? En période d’incertitude, recherchez les meilleures pratiques bien établies qui vous rapprocheront – ou même jusqu’au bout – de l’endroit où vous devrez être une fois le processus d’élaboration des règles terminé.

Des normes telles que la norme ISO 27001 pour la gestion de la sécurité et son extension ISO 27701 (qui jette les bases de systèmes efficaces de gestion des informations confidentielles) constituent des bases solides pour la conformité. Ils prépareront les entreprises à répondre aux normes émergentes en matière de gestion et de protection des données des consommateurs au fur et à mesure de leur apparition.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury