Par Diane MICHEL, étudiante du Master 2 Droit des médias électroniques

Le 25 mai 2018, le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur, modifiant le cadre juridique applicable aux données personnelles afin de répondre aux évolutions technologiques et permettre une protection des données personnelles plus efficace au niveau européen. 

Le traitement des données personnelles constitue aujourd’hui un enjeu crucial pour les dirigeants d’entreprises, d’administrations ou d’associations, qu’il s’agisse des données de leurs salariés, clients, utilisateurs ou membres. Leur importance économique est également croissante : l’utilisation de ces données permet non seulement de fournir de meilleurs services aux clients, mais aussi de financer à elle seule ces services. Toutefois, ces responsables des traitements ne peuvent se permettre d’abuser des données qu’ils ont récoltées. La protection des données personnelles des individus est essentielle pour sauvegarder leur vie privée et leurs droits fondamentaux, tels que la liberté d’opinion, d’expression et de communication.

Contrairement à l’Europe qui a adopté un socle de règles communes avec le RGPD, les États-Unis ne disposent pas d’une loi fédérale protégeant les données personnelles. Par conséquent, chaque État est chargé de créer son propre arsenal juridique. L’adoption en Californie du projet de loi connu sous le nom de « Delete Act » en est une parfaite illustration. 

Entre CCPA, CPRA et CPPA : une mise au point nécessaire 

Le 10 octobre dernier, la Californie a approuvé une législation essentielle en matière de protection de la vie privée, après que le gouverneur Gavin Newsom ait adopté le projet de loi SB-362 baptisé Delete Act. 

Cette loi fait suite à la loi californienne sur la protection de la vie privée des consommateurs, le California Consumer Privacy Act (ci-après CCPA) adopté en septembre 2018 et entré en application au 1er janvier 2020. Inspiré du RGPD européen, le CCPA a pour ambition de protéger la vie privée des consommateurs et des ménages résidant en Californie. De nouveaux droits (d’accès, à l’effacement…) ont été instaurés pour un meilleur contrôle sur ces informations personnelles. Ce texte représente le premier effort significatif aux États-Unis pour réglementer la collecte et l’utilisation des données personnelles par les entreprises. 

Pour aller plus loin et renforcer encore la sécurité des données personnelles, la loi californienne sur les droits à la vie privée, le California Privacy Rights Act (ci-après CPRA), a été adopté en novembre 2020. Le CPRA renforce davantage les dispositions du CCPA en accordant aux résidents de la Californie des droits supplémentaires en matière de protection des données (droit de rectification, droit de consentir au traitement de données sensibles, etc.). Cette loi vient ici établir la première autorité de régulation dédiée à la protection des données personnelles aux États-Unis : la California Privacy Protection Agency (ci-après CPPA) chargée de veiller au respect du CPRA par les entreprises.

Le Delete Act : un mécanisme innovant de suppression des données personnelles

Même si le CCPA consacre déjà un droit à l’effacement qui permet aux consommateurs de demander aux entreprises la suppression de leurs données personnelles, la nouveauté du Delete Act est la simplification de la procédure grâce à un canal unique.

En effet, la Californie est le premier État à adopter une loi créant un mécanisme de suppression accessible permettant aux consommateurs de supprimer en une seule étape les données personnelles détenues par les courtiers en données. Selon le Senate Bill 362, les courtiers en données sont définis comme : « des entreprises qui collectent et vendent sciemment à des tiers les données à caractère personnel des consommateurs avec lequel l’entreprise n’a pas de relation directe ». 

Ainsi, le Delete Act, prévoit de transférer à la California Privacy Protection Agency la régulation du registre californien des courtiers en données, ces missions étant auparavant celles du ministère de la justice de Californie. La nouvelle loi demande à l’agence de mettre en place, d’ici le 1er janvier 2026, un mécanisme de guichet unique permettant aux consommateurs de demander, en une seule fois, à tous les courtiers de supprimer leurs données à caractère personnel. En outre, il sera interdit à ces derniers de vendre ou de partager les données d’un consommateur qui a déjà demandé la suppression de ses données. De plus, à partir du 1er août 2026, ils seront également tenus de traiter les nouvelles demandes de suppression dans les 45 jours suivant la réception d’une demande vérifiée. Enfin, la nouvelle loi prévoit qu’un courtier en données qui ne se conforme pas aux exigences relatives au mécanisme de suppression accessible décrit ci-dessus est passible d’amendes administratives. 

En vertu des dispositions actuelles, les consommateurs peuvent demander aux courtiers en données de supprimer leurs données personnelles en adressant une demande individuelle à chaque société. Environ 500 courtiers en données exercent leurs activités dans l’État.  Ce mécanisme de suppression accessible est donc une innovation qui confirme la position de leader de la Californie dans le domaine de protection de la vie privée des consommateurs même si la mise en place d’un tel mécanisme ne sera pas une tâche facile pour la CPPA. 

Qu’en est-il de la situation en Europe ? 

Le RGPD, mis en place en 2018, est une réglementation de l’Union européenne qui vise à renforcer et à unifier la protection des données personnelles des citoyens de l’UE. L’un des droits renforcés par cette réglementation est le droit à l’oubli, offrant à chaque individu la possibilité, sur simple demande, de faire supprimer ses données hébergées par une entreprise donnée. 

Bien que ce dispositif légal soit conçu pour contrer les activités des courtiers en données et prévenir l’utilisation malveillante des données personnelles, sa mise en œuvre est confrontée à plusieurs obstacles. En effet, la procédure est extrêmement longue et fastidieuse, en particulier pour une personne lambda pour laquelle le processus devient un véritable parcours du combattant, ne serait-ce que par l’identification de ces courtiers en données. 

La difficulté principale réside dans le fait que ces sociétés sont souvent peu connues du grand public. De plus, il existe des centaines de sociétés capables d’héberger les données personnelles des individus, ce qui complique encore davantage la tâche. La nécessité de les localiser et de les contacter une par une représente déjà un défi important. Le processus est également entravé par le fait de devoir relancer ces sociétés une fois la demande initiale soumise. Les retards potentiels dans le traitement des demandes et le suivi nécessaire pour s’assurer de la suppression effective des données augmentent la charge administrative pour les individus cherchant à exercer leur droit à l’oubli.

Ainsi, bien que le RGPD offre des protections significatives en renforçant le droit à l’oubli, la Californie se distingue une fois de plus en tant que pionnière dans la protection des données personnelles. Bien que son application demeure encore floue, cette procédure représente une innovation intéressante qui mérite une attention particulière.

Sources : 

•  https://www.usine-digitale.fr/editorial/les-californiens-peuvent-desormais-exiger-la-suppression-de-leurs-donnees-personnelles-en-une-seule-fois.N2181282 
• https://cppa.ca.gov/announcements/2023/20231011.html 
• https://www.theguardian.com/technology/2023/oct/10/california-delete-act-signed-newsom
• https://iapp.org/news/a/california-governor-signs-ca-delete-act-into-law/ 
• https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB362