La Californie accouchera au 1er janvier 2020 d'un équivalent du RGPD pour protéger les données personnelles de ses concitoyens. Baptisé California Consumer Privacy Act, ce dispositif embarque un ensemble d'obligations pour les entreprises vis à vis de leurs clients pour permettre à ces derniers de mieux contrôler leurs informations privées (accès/rectification/suppression, opt-in/opt-out...).
Parmi les éditeurs ayant ouvertement apporté leur soutien dans la mise en oeuvre du CCPA, Microsoft vient d'enfoncer le clou ce 11 novembre : « Nous sommes de fervents partisans de la nouvelle loi californienne et de l’extension de la protection de la vie privée aux États-Unis qu’elle représente [...] De la même manière, nous étendrons les droits fondamentaux de CCPA à tous nos clients aux États-Unis », a fait savoir Julie Brill, vice-présidente en charge de la protection et de la régulation des données privées de Microsoft.
Ménager la chèvre et le chou vis à vis du Congrès
Toutes les entreprises californiennes ne sont pas concernées par le CCPA. Celles qui le sont doivent remplir l'une des conditions suivantes : dégager plus de 25 millions de dollars de revenus par an ou plus de 50% de leur chiffre d'affaires en Californie, ou encore acheter, vendre ou partager des informations personnelles de plus de 50 000 consommateurs californiens par an. A noter qu'il faudra attendre le 1er juillet 2020 avant que le procureur général de Californie puisse commencer à instruire des dossiers et engager des poursuites. En cas de sanction, les dommages peuvent atteindre entre 100 et 750 dollars par incident et par consommateur complétée par une amende ne dépassant pas 2 500 dollars par violation ou 7 500 dollars par violation intentionnelle.
Microsoft semble toutefois ménager la chèvre et le chou en prenant d'un côté ses distances avec le Congrès sans vouloir pour autant se le mettre à dos : « En faisant preuve de transparence au sujet des données que nous recueillons et de la manière dont nous les utilisons, et en fournissant des solutions permettant aux entreprises de protéger leurs données à caractère personnel et de se conformer aux lois sur la protection de la vie privée, nous pouvons démontrer notre engagement en l'absence de toute action du Congrès », peut-on lire dans son billet. Avant quelques lignes plus loin d'indiquer : « Nous sommes optimistes dans la capacité du Congrès à agir. Entre-temps, nous continuerons à travailler avec des États qui reconnaissent l’urgence de mettre en œuvre des lois plus strictes pour protéger la vie privée de chacun ».
Commentaire