Le 10 octobre, le gouverneur de Californie, Gavin Newsom, a signé une nouvelle loi qui permet aux résidents de l’État d’exiger la suppression de leurs données personnelles auprès de toutes les sociétés de courtage de données opérant en Californie.

Le projet de loi SB 362, surnommé le « Delete Act », introduit des changements significatifs par rapport aux lois sur la vie privée existantes en Californie. Cette législation vise à renforcer la protection de la vie privée des consommateurs et simplifie considérablement le processus de suppression des données personnelles.

Actuellement, environ 500 courtiers en données sont enregistrés en Californie, englobant divers types d’entreprises, des sites web de recherche de personnes aux sociétés d’analyse collaborant avec des campagnes politiques.

« Les courtiers en données passent leurs journées et leurs nuits à constituer des dossiers avec des informations sur la santé reproductive, la géolocalisation et les habitudes d’achat de millions de personnes, qu’ils revendent au plus offrant. Le Delete Act repose sur un principe très simple : chaque Californien devrait pouvoir contrôler qui a accès à ses informations personnelles et ce qu’ils peuvent en faire »

a déclaré le sénateur Becker, a l’initiative du projet de loi.

Ce changement important dans la législation donne au CCPA jusqu’en 2026 pour développer et mettre en place le système nécessaire pour faciliter ces demandes de suppression des données. Le CCPA aura également l’autorité de facturer les courtiers de données pour l’utilisation de ce système. En vertu de la nouvelle loi, chaque courtier de données sera tenu de s’inscrire auprès du CCPA et de répondre aux demandes de suppression toutes les 45 jours. Ceux qui ne se conforment pas à ces exigences s’exposeront à des sanctions, y compris des amendes.

Le Delete Act introduit également un mécanisme de surveillance par des tiers qui devrait débuter en 2028 et se répéter tous les trois ans. Cela garantira que les courtiers de données respectent les nouvelles règles en place.

Qui est le courtier en données ?

Un courtier de données, tel que défini dans le Delete Act, désigne « une entreprise qui collecte et vend sciemment à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’a pas de relation directe.  » Il existe une autre définition en vertu de la loi californienne sur les courtiers de données, et selon laquelle un « courtier en données » est une entreprise couverte par le CCPA/CPRA qui vend les informations personnelles d’un consommateur avec lequel l’entreprise n’a pas de relation directe. Cela signifie que vous vendez les informations de personnes que vous avez reçues d’autres entreprises, Cal. Civ. Code §§ 1798.99.80 et seq.

En d’autres termes, les courtiers de données sont des intermédiaires qui rassemblent et échangent les données personnelles des individus sans interagir directement avec ces derniers.

Les entités suivantes ne sont pas considérées comme des courtiers de données :

• Les entités relevant du champ d’application de la loi fédérale sur les rapports de solvabilité équitable (FCRA)
• Les entités couvertes par la Loi Gramm-Leach-Bliley (GLBA)
• Les entités couvertes par la Loi sur l’information sur les assurances et la protection de la vie privée (IIPPA)
• Les entités ou associés commerciaux d’entités couvertes, dans la mesure où leur traitement des informations personnelles est exempté en vertu du Code civil de Californie

Mécanisme de suppression accessible

L’Agence de Protection de la Vie Privée de Californie (CPPA) est chargée d’établir un mécanisme de suppression accessible d’ici le 1er janvier 2026, conformément aux dispositions de la loi Delete Act (1798.99.86) . Ce mécanisme se caractérise par plusieurs caractéristiques clés et des exigences définies dans la législation:

Sécurité et Mesures de Protection, Le mécanisme de suppression accessible est tenu de mettre en œuvre et de maintenir des procédures de sécurité solides et des pratiques appropriées, y compris des mesures administratives, physiques et techniques adaptées à la nature des informations et à l’objectif de leur utilisation (1798.99.86. (a)(1)). L’objectif principal est de garantir que les informations personnelles des consommateurs restent protégées contre toute utilisation, divulgation, accès, destruction ou modification non autorisée.

Simplification des Demandes de Suppression, Une caractéristique fondamentale de ce mécanisme est sa capacité à faciliter les demandes de suppression des consommateurs. Au moyen d’une seule demande vérifiable du consommateur, les individus peuvent demander la suppression de toutes les informations personnelles les concernant détenues par les courtiers en données ou par leurs prestataires de services associés ou entrepreneurs. (1798.99.86. (a)(2))

Exclusion Sélective, Le mécanisme de suppression accessible offre également aux consommateurs la possibilité d’exclure sélectivement des courtiers en données spécifiques de leurs demandes de suppression. Cette flexibilité garantit que les individus ont le contrôle sur les entités soumises à leurs demandes de suppression de données. (1798.99.86. (a)(3))

Modifications des Demandes, Reconnaissant la nature évolutive des préférences en matière de données personnelles, les consommateurs sont autorisés à modifier les demandes de suppression précédentes faites dans le cadre de ce mécanisme. Cependant, de telles modifications peuvent être apportées après une période d’attente d’au moins 45 jours suivant la dernière demande. (1798.99.86. (a)(4))

Traitement des demandes de suppression et gestion des demandes non vérifiables

À partir du 1er août 2026, les courtiers en données doivent accéder au mécanisme de suppression accessible au moins une fois tous les 45 jours. Dans un délai de 45 jours après réception d’une demande effectuée conformément au Delete Act, les courtiers en données sont tenus de traiter toutes les demandes de suppression initiées par les consommateurs. Cela signifie qu’ils doivent prendre rapidement les mesures nécessaires pour supprimer toutes les informations personnelles liées aux consommateurs ayant formulé ces demandes.

Dans les cas où un courtier en données refuse la demande d’un consommateur de supprimer des informations personnelles en vertu des dispositions de cette loi parce que la demande ne peut pas être vérifiée, ils sont tenus de traiter la demande comme une « désinscription/ opt-out  » de la vente ou du partage des informations personnelles du consommateur. Cela signifie que même si une demande ne peut pas être vérifiée, les consommateurs ont toujours la possibilité d’empêcher la vente ou le partage de leurs données.

Nouvelles exigences en matière de divulgation

Les nouvelles exigences de divulgation pour les courtiers en données impliquent de fournir des informations spécifiques lors de l’inscription auprès de la California Privacy Protection Agency (CPPA). Ces exigences incluent des informations de base sur les courtiers en données telles que leur nom, leur adresse physique principale, leur adresse e-mail principale et l’adresse de leur site Web Internet principal.

Pour la collecte de données spécifiques, 1) Les courtiers en données doivent révéler s’ils collectent des informations personnelles sur des mineurs, 2) Ils doivent indiquer s’ils collectent des informations de géolocalisation précises des consommateurs et 3) Les courtiers en données sont tenus de déclarer s’ils collectent des données liées à la santé reproductive des consommateurs.

Les courtiers en données doivent inclure un lien sur leur site Web expliquant comment les consommateurs peuvent exercer leurs droits à la vie privée en vertu du California Consumer Privacy Act (CCPA). Ces informations doivent couvrir divers aspects, tels que la suppression des informations personnelles, la correction des données inexactes, la compréhension des données collectées, avec qui elles sont partagées et comment refuser la vente ou le partage de données. Il devrait également détailler comment les consommateurs peuvent limiter l’utilisation et la divulgation d’informations personnelles sensibles. Il est important de noter que le lien ne doit pas utiliser de “dark patterns”, qui incluent toute interface utilisateur qui a pour effet de subvertir ou d’altérer considérablement l’autonomie, la prise de décision ou le choix de l’utilisateur.

En outre, les courtiers en données sont tenus de déclarer explicitement s’ils sont réglementés par certaines lois, notamment la Fair Credit Reporting Act (FCRA), le Gramm-Leach-Bliley Act (GLBA), la loi sur l’assurance et la protection de la vie privée (IIPPA), la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) ou la loi californienne sur la confidentialité des informations médicales. (1798.99.86. H)

Pénalités de non-conformité

En cas de défaut d’inscription d’un courtier de données tel qu’exigé par la loi, des sanctions sous forme d’amendes administratives et de frais peuvent être imposées. Si un courtier de données ne s’inscrit pas, l’Agence de protection de la vie privée de la Californie peut engager des actions administratives, et ces actions peuvent inclure :

• Une amende administrative quotidienne de 200 $ pour chaque jour où le courtier de données demeure non inscrit comme requis.
• Le remboursement des frais dus mais impayés pendant la période où l’inscription n’a pas été effectuée.
• L’agence peut également récupérer les dépenses raisonnables liées à l’enquête et à l’administration de l’action.

Il est important de noter que les sanctions peuvent s’accumuler pour chaque jour de non-conformité. Cependant, il existe une prescription de cinq ans sur ces actions, ce qui signifie que les sanctions pour une non-conformité passée ne peuvent pas être poursuivies après cette période. De plus, la loi sur la suppression des données ne permet pas aux particuliers de poursuivre des actions en justice pour non-conformité ; l’application est principalement effectuée par l’Agence de protection de la vie privée de la Californie.

Renforcement des droits de la vie privée des données à l’échelle mondiale

Le Delete Act représente une avancée significative en matière de protection des données, mais il se concentre principalement au niveau de l’État. Comme de nombreuses réglementations, il n’entrera pas en vigueur immédiatement, attendez jusqu’en 2026. Ce délai permet des discussions continues, des plaidoyers et des clarifications.

Un sujet clé toujours ouvert à la discussion publique est la définition de l’étendue des droits des individus sur leurs données, en particulier au-delà de la portée des réglementations étatiques individuelles.

Chaque cadre de protection de la vie privée, avec ses règles spécifiques, contribue à l’histoire plus large de l’autonomisation des individus dans le monde numérique. Le Delete Act est une étape importante dans le parcours de protection des données de la Californie, l’alignement davantage sur les principes de protection complète des données du RGPD.