La Californie s’est engagée, quelques semaines après l’entrée en application du RGPD, dans la voie du renforcement de la protection des « données des personnes » au regard des traitements automatisés en adoptant, le 28 juin 2018, le « California Consumer Privacy Act » (CCPA).

L’entrée en application du CCPA, fixée au 1er janvier 2020, à l’échelon fédéral, suscite des débats sur les modalités d’un dispositif plus étendu.

Le nouveau texte s’inscrit dans le même objectif que le RGPD, en ce qu’il vise à renforcer la maîtrise et le contrôle des personnes sur leurs données.

Pour autant il indique, dès le préambule, que le principe de protection de la vie privée, bien que garanti par la constitution de la Californie, implique des dispositions spécifiques en raison du contexte particulier lié à l’omniprésence du partage des données personnelles dans la plupart des actes de la vie courante. Le positionnement de l’Etat parmi les « leaders » mondiaux de l’industrie des nouvelles technologies est aussi à prendre en considération.

Alors que le RGPD ne s’applique pas aux seules personnes présentes sur le territoire de l’Union et n’opère pas de distinction selon la nature de l’activité concernée par les traitements, la protection du CCPA ne bénéficie qu’aux « consumers » de l’état de Californie et de manière circonscrite. Le texte ne contraint ainsi que les entités qui génèrent sur le territoire de l’Etat un chiffre d’affaires annuel supérieur à 25 millions de dollars, achètent, vendent ou partagent à des fins commerciales les informations d’au moins 50.000 consommateurs par an, ou dont la moitié des revenus provient de la vente de données personnelles des consommateurs.

Dans le but de renforcer la maîtrise des personnes sur leurs données, le CCPA leur confère différents droits, parmi lesquels celui d’être informées de la nature des données collectées ainsi que des finalités de leur collecte. En cas de vente ou de communication à un tiers, la personne dispose d’un droit d’opposition « opt-out » via une mention spécifique accessible depuis la page d’accueil du site internet de l’entité.

S’agissant de tels droits, alors même que le CCPA exclut explicitement toute discrimination à l’encontre des « consumers » à raison de l’exercice des prérogatives que le texte leur confère, ce principe connaît des limites. En effet, les intéressés peuvent se voir imposer un niveau de service inférieur ou un prix supérieur directement lié à la perte de valeur potentielle de leurs données du fait de la prise en considération de leurs droits. A l’appui de cette démarche, le CCPA autorise le responsable de traitement à créer des programmes d’incitations, notamment financières, au bénéfice de la personne qui accepte la collecte ou la revente de ses données personnelles. Ces exemples illustrent, de manière significative, les atténuations à l’interdiction de discrimination du fait de l’exercice des droits « Informatique et libertés » et conduisent à considérer les données personnelles en tant que valeur marchande.

Cette approche va à l’encontre de celle du RGPD même si, dans son dernier rapport d’activité, la CNIL invoque les assistants vocaux, tels que les enceintes connectées, comme une caractéristique de « la monétisation de l’intime ».

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste Cabinet ITLaw Avocats [->http://www.itlaw.fr]