La loi californienne sur la suppression concentre l'attention sur les courtiers en données

À partir de 2026, la vie deviendra beaucoup plus difficile pour les courtiers en données exerçant leurs activités en Californie. À partir du 1er août de la même année, ils doivent se conformer à une nouvelle loi les obligeant à supprimer les données d'un consommateur sur la base d'une seule demande.

SB 362, promulguée par le gouverneur Gavin Newsom le 10 octobre, est également connue sous le nom de Delete Act. La nouvelle loi renforce les règles initialement imposées aux courtiers en données par le California Consumer Privacy Act (CCPA) en 2019.

Le CCPA protégeait déjà les résidents de l'État en obligeant les courtiers en données à supprimer les informations personnelles d'un individu sur demande. Cependant, les gens devaient faire ces demandes individuellement.

La loi sur la suppression, présentée au Parlement en avril de cette année, a remplacé une première tentative législative visant à résoudre ce problème (SB 1059). Il vise à simplifier la suppression des données pour les consommateurs en offrant un point d'accès unique, permettant aux citoyens de demander la suppression massive de leurs informations auprès de tous les courtiers de données enregistrés en vertu de la loi.

La California Privacy Protection Agency, l'organisme de réglementation indépendant créé par l'État pour mettre en œuvre la California Privacy Rights Act de 2020, doit mettre en place ce système de suppression massive d'ici le 1er janvier 2026. Tous les courtiers en données doivent commencer à se conformer aux exigences de suppression au plus tard en août. 1er 2026.

Qu’est-ce qu’un courtier de données ?

La loi sur la suppression décrit un courtier en données comme « une entreprise qui collecte et vend sciemment à des tiers les informations personnelles d'un consommateur avec lequel l'entreprise n'a pas de relation directe ».

Il existe cependant des exclusions importantes pour les entreprises couvertes par d’autres réglementations. Il s'agit notamment des agences d'information sur la consommation telles que les agences d'évaluation du crédit, les institutions financières, les compagnies d'assurance et leurs agents, ainsi que les prestataires de soins de santé ou d'autres entreprises couvertes par HIPAA.

Exigences du courtier de données

Les courtiers en données pures couverts par la loi paieront le registre du régulateur via des frais d'inscription qui seront versés dans un fonds dédié. Outre leurs coordonnées, ils doivent également divulguer d'autres informations lors de l'inscription, notamment s'ils collectent des informations sur des mineurs, des données de géolocalisation ou des données sur la santé reproductive.

La loi exige que les courtiers en données suppriment les données sur les individus dans les 45 jours suivant une demande. Cette exigence est récurrente ; ils doivent continuer à supprimer les données tous les 45 jours par la suite pour s'assurer de ne pas reconstituer un référentiel de données personnelles sur un individu après coup. Ils doivent également ordonner à l'un de leurs prestataires de services et sous-traitants de supprimer les données de l'individu après une demande.

Si le courtier en données ne peut pas vérifier une demande, il doit la traiter comme si le consommateur avait choisi de ne plus vendre ou partager des données à l'avenir. Le statut de toute demande reste en vigueur jusqu'à ce que le consommateur décide autrement.

Fournir une preuve de conformité

La loi comporte également des exigences importantes en matière de reporting de la part des courtiers en données. Avant le 1er juillet de chaque année, ils doivent signaler le nombre de demandes de suppression qu'ils ont reçues, ainsi que les mesures qu'ils ont prises. Ils doivent également indiquer le temps de réponse moyen aux demandes, le nombre de demandes refusées et la raison. Toutes ces informations doivent être publiées sur leur site Web.

2026 n'est pas la seule année marquante pour les courtiers en données dans le cadre de la loi sur la suppression. Tous les trois ans à compter du 1er janvier 2028, ils doivent également se soumettre à un audit réalisé par un tiers indépendant pour prouver leur conformité aux exigences de la loi.

Sanctions en cas de violation de la loi

Les courtiers en données qui ne s'inscrivent pas dans le nouveau registre du gouvernement s'exposent à une amende pouvant aller jusqu'à 200 dollars par jour. La loi les menace également d'amendes supplémentaires pouvant aller jusqu'à 200 dollars pour chaque demande de suppression qu'ils n'honorent pas. Cependant, on s'inquiète du fait que La Californie n’a pas fait grand-chose pour chasser et imposer des amendes aux courtiers qui n'ont pas réussi à s'inscrire dans le registre actuel et que cela pourrait encourager les courtiers à éviter également ce registre, dans l'espoir de passer inaperçus. Le contre-argument est que la nouvelle loi retire le contrôle du registre du ministère de la Justice de l’État au profit du régulateur de la vie privée. Peut-être que ce dernier sera plus ciblé ?

Les enjeux sont élevés, car le manque de réglementation du gouvernement fédéral américain sur les courtiers de données rend difficile la détermination de leur nombre à l'échelle nationale. Le registre californien actuel, établi en vertu de la législation CCPA, compte plus de 500 courtiers en données, parmi lesquels de grands noms de l'industrie informatique comme Oracle, qui exerce une activité saine dans la vente de données personnelles. L’État attend des dizaines d’autres personnes qui ont demandé leur enregistrement mais n’ont pas encore payé.

Les courtiers peuvent collecter une quantité alarmante de données, y compris non seulement leurs coordonnées, mais aussi des informations sur tout, depuis leurs revenus et préférences politiques jusqu'aux biens immobiliers qu'ils possèdent et leur comportement en ligne. Cela a conduit à des violations étonnantes de la vie privée. En 2021, un média en ligne a acheté des données de localisation auprès d'un courtier en données qui montraient quand et où les gens utilisaient l'application de rencontres gay Grindr. Ce conduit à la sortie d'un prêtre catholique et sa démission ultérieure.

Autres mesures étatiques

Lors du dernier Congrès, les députés ont proposé trois projets de loi destinés à régner sur les pratiques des courtiers en données : l'American Data Privacy and Protection Act, le Data Elimination and Limiting Extensive Tracking and Exchange (DELETE), qui n'a aucun rapport avec la loi californienne. Une autre loi, la Health and Location Data Privacy Act, visait à empêcher la vente de données de santé et de localisation par les courtiers. Aucun n’est parvenu au bureau du président.

Avec la Colline apparemment paralysée par des luttes politiques internes et des élections fédérales dans moins d’un an, il semble peu probable que le gouvernement fédéral adopte immédiatement des lois nationales pour régner sur les courtiers de données. Entre-temps, les États prennent les choses en main en adoptant des lois locales sur les courtiers de données. Le Delaware a House Bill 262, tandis que le Vermont a 9 VSA § 2430. Le gouverneur du Texas, Greg Abbott, a signé SB 2015 en mai.

Il y en a d’autres en préparation. Le Massachusetts réfléchit toujours à Loi sur la confidentialité et la sécurité des informations (projet de loi S.2687), tandis que l'Oregon envisage House Bill 4017. Bien que chaque mesure au niveau de l’État ait ses forces et ses faiblesses, elles devraient toutes envoyer un signal clair aux courtiers en données : se préparer à un contrôle plus strict et à des garde-fous réglementaires.