En novembre, les Californiens ont approuvé une mesure de vote, la proposition 24, alias la loi californienne sur les droits à la vie privée (CPRA), pour créer une nouvelle agence de protection des données des consommateurs. Cette mesure donne à la Californie une longueur d’avance sur les autres États en termes de production de données personnelles pour les consommateurs et d’exigences en matière de sécurité des données pour les entreprises. La Californie disposait déjà d’une loi sur la confidentialité, la California Consumer Privacy Act (CCPA), adoptée en 2018. Elle est entrée en vigueur en janvier 2020, et son application a officiellement commencé en juillet dernier.

La CCPA était censée aider à empêcher la Californie d’adopter une initiative de protection de la vie privée plus stricte par voie de scrutin. « Le CCPA est probablement l’une des principales lois américaines sur la protection de la vie privée qui protège les consommateurs aujourd’hui », déclare Christophe Bertrand, analyste chez Enterprise Strategy Group, mais il était initialement censé être plus restrictif. « Elle était le produit de nombreuses négociations politiques qui ont affaibli le produit final. »

Ce n’est pas ce qui va se passer avec la nouvelle loi. Une fois adoptée, elle ne peut être que renforcée, pas affaiblie. Elle a été adoptée. La CPRA a été approuvée par les électeurs à 56% contre 44%.

Surprenant, il n’y a pas eu beaucoup de lobbying contre l’initiative de vote par les grandes entreprises technologiques. « Je pense qu’une partie de cela est le feu de poubelle de 2020 et la pandémie et la course à l’élection », dit Jessica Lee, partenaire chez Loeb & Loeb et coprésidente de la pratique de confidentialité et de sécurité du cabinet. « Beaucoup de choses se sont produites en même temps. De plus, au cours des deux dernières années, nous avons eu un retour de bâton contre les grandes entreprises technologiques et de nombreux scandales liés à la protection de la vie privée. Donc, pour qu’une entreprise technologique se prononce contre un projet de loi sur la protection de la vie privée, il y a probablement des considérations de relations publiques et de marque. »

En outre, les plus grandes entreprises doivent déjà se conformer au Règlement général sur la protection des données (RGPD) de l’Europe. « Ce n’est pas comme si c’était une proposition écrasante pour beaucoup de grandes entreprises », dit-elle.

La CPRA durcit certaines exigences, réduit le risque ailleurs

La CPRA durcit certaines exigences, rend la Californie plus conforme au GDPR et crée une nouvelle agence d’État – la California Privacy Protection Agency. Auparavant, le procureur général de l’État traitait les questions de confidentialité des consommateurs en plus de toutes ses autres responsabilités. La confidentialité des données obtient maintenant une agence dédiée avec un budget de base de 10 millions de dollars, plus elle recevra également une partie des amendes et des règlements qu’elle collecte auprès des entreprises qui enfreignent la loi.

La loi entre en vigueur le 1er janvier 2023, dit Lee, et l’application commencera six mois plus tard. « Les entreprises ont essentiellement deux ans pour se préparer », dit-elle.

Ces deux années pourraient apporter des changements qui se traduisent par un examen, des pénalités et des activités d’application supplémentaires, dit Orson Lucas, directeur des services de cybersécurité chez KPMG. Cela pourrait être le résultat de l’évolution du paysage technologique et commercial ou d’autres développements. « Par exemple, s’il y a une série de violations substantielles entre maintenant et janvier 2023 », dit-il.

Deux aspects de la CCPA réduiront les risques et les responsabilités potentiels des entreprises. Premièrement, la CCPA s’applique aux entreprises desservant au moins 50 000 résidents, ménages ou appareils californiens. La CPRA porte ce chiffre à 100 000 et supprime les « appareils » de cette liste, explique Catherine Lyle, responsable des sinistres chez Coalition, une société de cyberassurance. Les entreprises ne seront pas tenues responsables des violations de la LRPC commises par des tiers si certains accords sont en place et si le partenaire commercial lui-même est en conformité avec la LRPC, dit-elle. « Cela pourrait réduire votre responsabilité potentielle. »

L’impact de la CPRA est minime pour les entreprises préparées

Pour les entreprises qui sont déjà en conformité avec la CCPA de 2018 – et surtout avec le GDPR européen – les changements seront mineurs. C’est le cas de Branch Metrics a, entreprise mondiale de marketing en ligne qui compte Airbnb, Target et Yelp parmi ses milliers d’entreprises clientes. L’entreprise traite des milliards de dossiers de consommateurs, ce qui la place directement dans le collimateur de la loi.

« Une chose qui est bien à propos de la CPRA est que, d’une certaine manière, elle s’aligne plus étroitement sur le GDPR que la CCPA », déclare Alex Austin, PDG de Branch Metrics. « Donc, c’est moins lourd à porter si votre entreprise s’est préparée au GDPR ». Cela signifie que les changements progressifs qu’elle devra apporter pour se conformer à la CCPA seront « relativement mineurs », dit-il. « Cela aide aussi que nous ayons beaucoup de temps pour apporter les changements requis », ajoute-t-il. « La loi n’entre pas en vigueur avant 2023, et ne concerne généralement que les données remontant à 2022, ce qui signifie plus d’un an pour mettre de l’ordre dans votre maison. »

En général, selon Austin, plus il y a d’harmonisation entre les différentes lois sur la protection de la vie privée qui surgissent dans le monde, mieux c’est. « Pour les entreprises opérant à l’échelle mondiale comme Branch, tout rapprochement de ce genre est une bonne chose. »

Nouvelles exigences en matière de minimisation des données

Pour certaines entreprises, les changements entre le CCPA et le CPRA seront importants, dit Dan Frank, leader américain de la protection de la vie privée et des données chez Deloitte. Prenons par exemple la minimisation des données. Les nouvelles règles interdisent aux entreprises de conserver les informations personnelles « plus longtemps qu’il n’est absolument nécessaire », dit-il. C’est un problème, car lorsqu’il s’agit de supprimer des données, les entreprises l’évitent comme la peste, dit-il. « Certaines données sont bonnes, plus de données sont meilleures, toutes les données sont meilleures ». Les données peuvent être analysées par des systèmes d’apprentissage automatique et d’IA et peuvent aider les entreprises à développer de nouveaux produits, services et applications.

La suppression des données est un problème épineux. D’abord, il y a les retenues légales et autres exigences réglementaires et de conformité pour conserver les données. Ensuite, il y a l’aspect technique. « Vous avez toutes ces interdépendances qui existent entre les systèmes et qui rendent la suppression des données effrayante », dit-il. « Nous ne voulons pas casser quoi que ce soit. »

Ce que la plupart des organisations prévoient de faire, c’est d’anonymiser les données expirées, dit Frank. De cette façon, elles peuvent toujours être utilisées pour former des systèmes d’IA et peuvent créer moins de problèmes de dépendance. « Nous verrons comment cela se passe sur le long terme », dit-il. « Si ces données peuvent d’une manière ou d’une autre être attribuées à un individu – directement ou par déduction – alors elles ne sont plus anonymes. C’est un défi. »

L’utilisation par la loi du mot « raisonnable » est également un drapeau rouge. Qui décide de ce qui est raisonnable ? Un solide système de gouvernance des données peut également aider les entreprises à aborder un autre aspect de la nouvelle loi — permettre aux consommateurs de corriger les données inexactes les concernant.

« C’est un défi si une entreprise n’a pas vraiment rationalisé sa gestion des données de base et n’a pas de disque d’or de ces données », explique Angela Saverice-Rohan, Americas privacy leader chez Ernst & Young. « Si vous modifiez certaines données dans un système, comment cela aura-t-il un impact sur tous vos autres processus ? »

Nouvelles exigences en matière de partage des données

Les entreprises devront désormais également s’assurer que tous les partenaires commerciaux avec lesquels elles partagent des données se conforment également à la CPRA. Étant donné qu’une partie de la loi implique la mise en place de mesures de cybersécurité raisonnables, les RSSI pourraient devoir s’impliquer, dit Saverice-Rohan. « C’est un travail qui se fait habituellement lors des évaluations des risques de sécurité », dit-elle.

Un autre grand changement concerne la façon dont les consommateurs autorisent le partage de leurs informations. Sous l’ancienne CCPA, les entreprises devaient offrir aux clients californiens la possibilité de refuser que leurs données soient vendues à des tiers. Désormais, cela inclut tous les types de partage, et pas seulement les ventes, explique M. Frank de Deloitte. « Les consommateurs doivent pouvoir refuser des utilisations particulières de leurs données personnelles », dit-il. « S’ils le font, vous devez être en mesure de cesser de les utiliser, ce qui, si vous y réfléchissez bien, est une tâche assez ardue. La gouvernance des données est donc essentielle. Cela va nécessiter une gestion fine du consentement. »

Plus d’exposition à la responsabilité pour les violations de données

Une autre différence est que les entreprises auront des inquiétudes supplémentaires concernant les violations de données, dit Frank. Par exemple, la responsabilité en cas de violation couvre désormais les adresses électroniques lorsqu’elles sont utilisées en combinaison avec une question de sécurité. Si une violation de données implique des informations sur des mineurs, les amendes peuvent être triplées. « Vous feriez mieux de savoir quelles informations vous avez sur les enfants et d’appliquer des protections de données renforcées en cas de compromission », dit-il.

La loi originale du CCPA et la nouvelle CPRA permettent toutes deux aux consommateurs individuels de poursuivre les entreprises après une violation de données. Maintenant, les gens auront plus de raisons potentielles de déposer ces poursuites, dit-il. « Peut-être avez-vous recueilli plus d’informations que je ne vous l’ai permis », dit-il.

La CPRA élargit également le potentiel de poursuites liées à une violation d’une autre manière, selon Alan Friel, associé du cabinet d’avocats BakerHostetler. Sous le régime de la CCPA, les entreprises disposaient d’une fenêtre d’opportunité pour régler les problèmes après que les consommateurs aient déposé une plainte, dit-il. La loi était un peu confuse quant aux types exacts de problèmes qui pouvaient être « corrigés » de cette manière.

Maintenant, la CPRA clarifie que le droit de remédier n’inclut pas la capacité d’éviter les pénalités en bouchant les trous de sécurité après qu’une violation se soit produite. « Si vous ne maintenez pas une sécurité adéquate, et que vous avez une violation, puis que vous remédiez à ce qui a causé cette violation, vous êtes toujours soumis à un droit d’action privé et à des dommages-intérêts légaux », dit Friel. « Cela va certainement être quelque chose qui est accueilli favorablement par le barreau des plaignants. »

Un autre changement est que les consommateurs ne doivent plus démontrer qu’ils ont été lésés par une violation. « Vous pouviez intenter une action en justice auparavant, mais vous deviez prouver le préjudice », dit Friel.

BakerHostetler défend actuellement des entreprises contre plusieurs procès liés à la vie privée en Californie. « Nous avons eu beaucoup plus de succès à faire tomber les poursuites où il y avait une norme de préjudice », dit Friel. « La plupart des consommateurs ne peuvent pas prouver qu’ils ont subi un préjudice financier réel à la suite d’une violation de données, c’est pourquoi ils bénéficient d’une surveillance gratuite de leur crédit. Ce sont les banques et les détaillants qui finissent par avoir des frais à débourser – les consommateurs, en général, pas tellement. Le changement de jeu ici est que le simple fait que la violation a eu lieu est un préjudice suffisant pour avoir la qualité pour intenter une action en justice. »

S’attendre à plus de poursuites liées à la vie privée

Les entreprises ont déjà commencé à voir des poursuites liées à la vie privée. Le mois dernier, le détaillant de vêtements pour enfants Hanna Andersson a accepté un règlement de 400 000 $ en réponse à un recours collectif découlant d’une violation de données de 2019. D’autres entreprises ont déjà été poursuivies en vertu de l’ACPR, notamment Salesforce, Walmart, le détaillant de papeterie en ligne Minted, le Sunshine Behavioral Health Group, TikTok, Zoom et Houseparty.

Il n’y a pas que les consommateurs et leurs avocats contre lesquels les entreprises devront se défendre, dit Saverice-Rohan d’Ernst & Young. Même si la CPRA elle-même ne sera pas appliquée avant 2023, la nouvelle agence devrait se mettre au travail dès maintenant, en appliquant les lois existantes. « En janvier, la nouvelle agence sera en mesure d’appliquer la LPC existante », dit-elle. « Et ils seront à la recherche d’actions. La mise en application n’est pas seulement probable. Elle est imminente — et elle aura lieu en 2021. »

Les entreprises de taille moyenne vont être particulièrement touchées, prédit Benjamin Wright, avocat américain et instructeur principal au SANS Institute. Pour les entreprises dont les examens annuels sont inférieurs à 25 millions de dollars, les exigences sont moins lourdes, dit-il. « Les entreprises géantes peuvent lancer des armées d’avocats et de professionnels de la conformité pour régler les litiges ». Les entreprises de taille moyenne n’ont pas les types d’économies d’échelle qui leur permettraient d’embaucher des armées d’avocats, dit-il.

Plus, selon le soutien que la nouvelle agence obtiendra des autres responsables et législateurs de Californie, elle pourrait ne pas avoir les ressources ou le talent nécessaires pour s’attaquer aux plus grandes cibles. C’est ce qui se passe déjà en Europe dans le cadre du GDPR, selon Wright, les régulateurs étant souvent plus susceptibles d’engager des actions contre les petites et moyennes entreprises.

« Les entreprises géantes peuvent se battre pendant des années devant les tribunaux, que ce soit en Europe ou en Californie », dit Wright. « Pour les organismes de réglementation, il est très épuisant et coûteux de se battre contre des poursuites pendant des années. Une agence faible qui se bat pendant des années contre un adversaire puissant peut subir une forte rotation du personnel. »

Opportunités pour les entreprises la conformité avec la CPRA

La CPRA n’est pas entièrement mauvaise pour les entreprises. « Attendez-vous à ce que les entreprises intelligentes essaient d’en tirer parti pour démontrer leur conformité et leur soutien à la protection de la vie privée », déclare Steve Durbin, directeur général de l’Information Security Forum.