Joe Biden (78 ans), 46e président des Etats-Unis, pourrait être celui qui mettra au pas les GAFA

Donald Trump est mort, vive Joe Biden ! A 78 ans, l’ancien vice-président de Barack Obama (2009-2017) et ancien sénateur du Delaware (1973-2009) a été investi 46e président des Etats-Unis le 20 janvier. Membre du Parti démocrate depuis 1969, Joseph Robinette Biden Junior est attendu au tournant par les Big Tech et la Silicon Valley.

Joe Biden (photo) et Kamala Harris ont donc prêté serment le 20 janvier 2021 en tant que respectivement président et viceprésidente des Etats-Unis. Battu de justesse et ayant eu du mal à admettre sa défaite, Donald Trump a boudé la cérémonie. Maintenant, la fête est finie et le 46e président des Etats-Unis se retrouve avec une pile de dossiers à traiter dans le Bureau ovale de la Maison-Blanche, sa résidence officielle jusqu’en janvier 2025 – son mandat étant de quatre ans, sauf décès ou destitution, renouvelable une fois. Située plutôt en haut de la pile des urgences se trouve la régulation de l’Internet, tant les problèmes se sont accumulés sous l’administration Trump : les enquêtes antitrust lancées à l’encontre des GAFA menacés de démantèlement pour en finir avec les abus de positions dominantes dans l’économie numérique et le e-commerce ; la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par les réseaux sociaux ; l’explosion des contenus controversés voire illicites sur Internet tels que publicités politiques, cyberhaine, cyberviolence ou encore désinformation ; la liste noire d’une dizaine d’entreprises technologiques chinoises devenues indésirables aux yeux de son prédécesseur sur le sol américain ; l’augmentation envisagée des droits de douanes sur des produits provenant des pays, dont la France, instaurant des taxes « GAFA ».

Biden et Trump, bonnet blanc et blanc bonnet ?
Ainsi, Joe Biden hérite d’au moins une demi-douzaine de problématiques digitales qui marqueront son mandat présidentiel. Ce à quoi s’ajoutent d’autres préoccupations des Big Tech depuis l’administration Trump : les décrets limitant les visas américains pour les salariés étrangers diplômés qui souhaiteraient travailler aux Etats-Unis, Silicon Valley comprise ; la neutralité de l’Internet annulée en 2018 par la FCC (1), laquelle décision fut confortée par un jugement mais laissant le dernier mot aux Etats fédérés (2). Plus globalement, le président démocrate est réputé plus favorable au renforcement du pouvoir fédéral, voire à un renforcement des lois antitrust que l’ancien président républicain. Ce dernier aspirait à moins de réglementation. Biden rime avec « plus de concurrence ». Alors que Trump rimait plus avec « positions dominantes ». Mais que l’on ne s’y trompe pas : Biden pourrait faire vis-à-vis des Big Tech dans le « Je t’aime… moi non plus » (2), et même Continuer la lecture

Pourquoi Oracle, géant du logiciel de bases de données et de services aux entreprises, s’intéresse-t-il à TikTok ?

Mais que vient faire Oracle – numéro deux mondial du logiciel (derrière Microsoft), spécialiste des bases de données et services de cloud aux entreprises – dans la bataille pour tenter de s’emparer des activités américaines de l’application grand public TikTok, très prisée des ados ? Pour l’instant, Larry Ellison n’en dit mot.

Oracle et TikTok, c’est la rencontre improbable entre un géant du logiciel pour les entreprises et une application mondiale pour jeunes. Dans le cas où la firme cofondée il y a 43 ans par Larry Ellison (photo) rachèterait l’activité de la filiale du chinois de ByteDance aux Etats-Unis (voire aussi au Canada, en Australie et en Nouvelle- Zélande), ce serait le mariage de la carpe et du lapin. Pourquoi le fleuron américain du logiciel B2B, numéro un mondial du logiciel d’entreprise, s’est entiché d’une application B2C d’origine chinoise ? Rien de commun entre les deux entreprises. Aucune synergie possible. Pas de clients communs. Tout les oppose. Leurs intérêts ne sont pas les mêmes. Quant à Larry Ellison (76 ans depuis le 17 août dernier), il a passé l’âge de pousser la chansonnette dans de mini clips vidéo musicaux et de partager ses improvisations sur les réseaux sociaux. Ses hobbies sont ailleurs : la guitare, la voile, l’avion et le tennis.

Larry Ellison, l’ami de Donald Trump
Même ses deux enfants, David (37 ans) et Megan (34 ans), ne sont pas de la génération des tiktokers. Le président d’Oracle Corporation, dont il est aussi l’actuel directeur de la technologie (CTO) après en avoir été PDG de juin 1977 à septembre 2014, est-il tombé dans un délire stratégique sans queue ni tête ? Depuis l’article du Financial Times daté du 18 août dernier, révélant que la firme de Redwood City (Californie) a engagé des discussions avec des investisseurs (dont General Atlantic et Sequoia Capital) déjà actionnaires de ByteDance, la maison mère chinoise de TikTok, aucun commentaire ni démenti de l’intéressé. Au-delà des sources proches du dossier qui ont confirmé – au Financial Times, à Bloomberg ou encore à Reuters – l’existence de ces discussions entre Oracle et des investisseurs de ByteDance, la confirmation implicite des tractations est venue du président des Etats-Unis lui-même. « Eh bien, je pense qu’Oracle est Continuer la lecture

Cambridge Analytica n’en finit pas de révéler ses secrets et Facebook d’en payer les pots cassés

Depuis deux ans, depuis ce lundi noir du 19 mars 2018 pour Facebook, la firme de Mark Zuckerberg – qui avait reconnu ce jour-là la collecte de plus de 50 millions d’utilisateurs du réseau social par la société Cambridge Analytica à des fins électorales aux Etats-Unis – continue d’être sanctionnée.

L’ a f faire « Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur. Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie (photo de gauche), qui se présente depuis comme le « lanceur d’alerte » de l’affaire.

5 Mds $ d’amendes, pour l’instant
Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser (photo de droite) se présente elle aussi comme « lanceuse d’alerte » de ce même scandale. Les révélations faites ce samedi-là font l’effet d’une bombe, dont l’image de Facebook et la confiance envers le numéro un mondial des réseaux sociaux portent encore les séquelles : la société londonienne, spécialisée dans la collecte et l’exploitation massive de données plus ou moins personnelles à des fins de ciblage politique (en faveur du Parti républicain américain), est accusée d’avoir siphonné les données de plus de 50 millions d’utilisateurs de Facebook à leur insu. Elles ont servi à influencer la campagne présidentielle de Donald Trump en 2016, Cambridge Analytica ayant en outre été financé par le milliardaire américain Robert Mercer via son fonds spéculatif (hedge fund) Renaissance Technologies.
The Observer a affirmé il y a deux ans que Steve Bannon, alors conseiller technique de Donald Trump (dont il a été le directeur de campagne présidentielle) jusqu’à son éviction de la Maison Blanche à l’été 2017, a été l’un des dirigeants de Cambridge Analytica et par ailleurs patron du site web ultra-conservateur proche de l’extrême droite Breitbart News. Les révélations citent les propos de Christopher Wylie, lequel a travaillé pour la société londonienne incriminée et sa maison mère SCL Group où il est identifié dès mai 2017 par The Guardian comme « directeur de recherche » (1). Il vient de publier « Mindf*ck » chez Penguin Random House (2), tandis que Brittany Kaiser, elle, l’a devancé en faisant paraître en janvier « L’affaire Cambridge Analytica » chez HarperCollins (3). C’est donc le lundi suivant ce breaking news retentissant, soit le 19 mars 2018, que la firme de Mark Zuckerberg accuse le coup en Bourse : son action a chuté lourdement de près de 7% en une séance à Wall Street, et elle a continué de plonger de 15 % au total jusqu’au pire de la sanction boursière le 6 avril 2018. C’est que les régulateurs américain FTC (4) et britannique Information Commissionner’s Office (ICO) avaient ouvert chacun une enquête dès le 20 mars 2018. On connaît la suite : Facebook a été condamné au début de l’été 2019 par la FTC au paiement d’une amende record de 5 milliards de dollars, pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs, tandis que la « Cnil » britannique (ICO) l’a condamné au maximum que lui permettait la loi britannique pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). « La société Cambridge Analytica s’est livrée à des pratiques trompeuses pour recueillir des informations personnelles auprès de dizaines de millions d’utilisateurs de Facebook à des fins de profilage et de ciblage des électeurs. Il ressort également qu’elle s’est livrée à des pratiques trompeuses dans le cadre du Privacy Shield (5) entre l’Union européenne et les Etats- Unis », a conclu la FTC à l’issue de sa vaste enquête bouclée en décembre dernier (6).
Mais la firme de « Zuck », dont finalement 87 millions de ses utilisateurs (américains mais aussi ailleurs dans le monde) ont été victimes des pratiques illégales de Cambridge Analytica, reste encore aujourd’hui enlisée dans des procès et mise à l’amende pour ce scandale planétaire à la hauteur du tentaculaire réseau social de 2,5 milliards d’utilisateurs. Dernière plainte en date : le 9 mars dernier, après deux ans d’enquête, la « Cnil » australienne – l’OAIC (7) – a lancé une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens transmises (8). Un mois auparavant, le 6 février, c’était le Commissariat à la protection de la vie privée du Canada (OPC) qui a saisi la justice canadienne contre Facebook pour là aussi transmission de données privées à Cambridge Analytica (9).

Répercutions : Italie, Espagne, Brésil, …
En Italie cette fois, le gendarme de la concurrence AGCM a mis en garde la firme de Mark Zuckerberg qui, a-t-il constaté, continue à collecter de façon non transparente des données personnelles et à ne pas respecter ses engagements de novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros (10). En Espagne et au Brésil, Facebook a dû aussi mettre la main au portefeuille, passant d’« ami » à « ennemi » des données personnelles. @

Charles de Laubier

A la demande des industries créatives, les Etats-Unis déclarent la guerre à la contrefaçon et au piratage

La peur va-t-elle changer de camp aux Etats-Unis ? Le président Donald Trump entend donner des gages aux industries créatives en déclarant la guerre à la contrefaçon et au piratage de produits, y compris en ligne. Les plateformes de e-commerce devront coopérer. Mais le risque liberticide existe.

Fabrice Lorvo*, avocat associé, FTPA.

Au commencement de la révolution numérique, les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Cependant, se pose avec persistance l’éternelle question : « Peut-il y avoir de liberté sans contrainte ? ». Dans les faits, le cyberespace est devenu un terreau fertile sur lequel a pu prospérer tant la contrefaçon que la piraterie.

Contrefaçon : plus de 1.000 milliards de $
Le contrefacteur est celui qui vend au public une copie de produits originaux copiés ou imités, alors que le pirate met à la disposition du public, sans autorisation du titulaire des droits, une œuvre ou un événement protégé et en tire un revenu ou un avantage direct de son activité, par exemple par abonnement ou par la publicité. D’un point de vue général, la vente de produits contrefaits et piratés – via des plateformes de commerce électronique et des marchés tiers en ligne – est une entreprise très rentable. En 2018, d’après une étude publiée par Bascap (1) et Frontier Economics (2), le montant des ventes mondiales des produits de contrefaçon était estimé en 2013 entre 710 et 917 milliards de dollars (3), et il est prévu qu’il atteindra 1.000 à 1.220 milliards de dollars d’ici 2022.
Pour les contrefacteurs, les coûts de production sont faibles. Internet permet d’accéder à des millions de clients potentiels. Le processus transactionnel est simple et le référencement sur des plateformes de notoriété internationale confère une apparence de légalité. De plus, les risques sont faibles car les contrefacteurs peuvent être résidents de pays dans lesquels cette activité illégale est peu poursuivie ou peu sanctionnée, que ce soit sur le plan civil ou pénal.
L’industrie numérique est aussi directement touchée. L’étude démontre que le montant des ventes mondiales des produits numériques piratés en 2015 était de 213 milliards de dollars (dont 160 milliards pour les films, 29 milliards pour la musique et 24 milliards pour les logiciels). Il est prévu qu’il atteindra d’ici 2022 entre 384 et 856 milliards de dollars (dont entre 289 et 644 milliards pour les films, entre 42 et 94 milliards pour la musique, et entre 42 et 95 milliards pour les logiciels).
Les réseaux sociaux sont eux-aussi concernés par la prolifération des contrefaçons. Selon un rapport de Ghost Data paru en 2019, près de 20 % des articles analysés sur les produits de mode sur Instagram comportaient des produits contrefaits ou illicites (4). Plus de 50.000 comptes Instagram ont été identifiés comme faisant la promotion et la vente de contrefaçons, une augmentation de 171 % par rapport à 2016. Ce phénomène est notamment justifié par les fonctionnalités proposées par les réseaux sociaux. Sur Instagram, par exemple, la recherche de certains biens est facilitée par l’utilisation des noms des marques de luxe dans les hashtags, les fameux mots-dièse. Les résultats de ces recherches mêlent cependant, à l’insu des utilisateurs, des produits contrefaits et des produits authentiques. Il est donc difficile de les différencier. De plus, la fonctionnalité « Story » d’Instagram est très utilisée par les vendeurs de contrefaçons car le contenu publié disparaît en vingt-quatre heures, ce qui permet de vendre rapidement et de disparaître.
Le 3 avril 2019, le président des Etats-Unis a publié un « Memorandum sur la lutte contre le trafic de marchandises contrefaites et piratées » (5) dans lequel il demandait un rapport faisant des recommandations pour lutter plus efficacement contre le trafic de marchandises contrefaites et piratées, y compris en ligne. Le 10 juillet 2019, le département du Commerce américain (DoC) a publié un appel à contribution (6) pour obtenir du secteur privé – détenteurs de droits de propriété intellectuelle, des plateformes de marchés en ligne et autres parties prenantes – leurs commentaires sur l’état de la contrefaçon et de la piraterie et leurs recommandations pour freiner ledit trafic.

Les exigences des industries culturelles
En août 2019, plusieurs associations professionnelles américaines de l’industrie créatrice – à savoir la MPAA (7), l’IFTA (8), CreativeFuture (9), et le Sag-Aftra (10), ont répondu à cet appel en demandant à l’administration :
• de continuer d’exhorter les plateformes de contenus et les intermédiaires Internet à collaborer avec la communauté créative sur les meilleures pratiques volontaires pour lutter contre la violation du droit d’auteur ;
• d’encourager le département de la Justice (DoJ) à engager des poursuites pénales contre les entités impliquées dans une violation du droit d’auteur en ligne ;
• de persister à faire pression sur l’Icann (11) pour rétablir l’accès aux données « Whois » (12), accès qui serait entravé par une application excessive du RGPD européen, et d’adopter une loi si l’Icann ne parvient pas à le faire rapidement ;
• et d’élever le niveau de protection des droits d’auteur à l’étranger par le biais de négociations commerciales.

Les recommandations du « Homeland Security »
Le 24 janvier 2020, le département de la Sécurité intérieure des Etats-Unis – le « Homeland Security » (DHS) – a remis au président américain Donald Trump un rapport intitulé « Combattre le trafic de produits contrefaits et piratés » (13). Il conclut qu’il est essentiel, pour l’intégrité du commerce électronique et pour la protection des consommateurs et des titulaires de droits, que les plateformes de e-commerce et autres intermédiaires tiers assument un plus grand rôle, et donc une plus grande responsabilité dans la lutte contre le trafic de marchandises contrefaites et piratées. Ce rapport préconise de prendre immédiatement les mesures suivantes :
• S’assurer que les entités ayant des intérêts financiers dans les importations aux Etats-Unis assument une responsabilité. Elles devront apporter un soin raisonnable dans la lutte contre la piraterie. De plus, les entrepôts et les centres de distribution situés aux Etats-Unis seront considérés comme les destinataires finaux pour tout bien qui n’a pas été vendu à un consommateur spécifique au moment de son importation.
• Accroître l’examen du périmètre de l’article 321 (texte qui permet l’admission de produits en franchise de droits si sa valeur n’excède pas 800 dollars) pour obtenir plus d‘informations sur l’identité des tiers vendeurs. A défaut d’information, la responsabilité pèsera sur l’entrepôts ou le centre de distribution présent sur le sol américain.
• Lutter contre les acteurs de la fraude. Pour les acteurs directs, en excluant les récidivistes de la piraterie de toute participation aux marchés publics américains et/ou de pouvoir obtenir un numéro d’importateur pour les Etats-Unis. Pour les acteurs indirects, en adoptant des mesures de non-conformité dans l’utilisation du courrier international et en agissant contre les postes internationales qui ne les respecteraient pas.
• Renforcer la responsabilité des intermédiaires, dont les plateformes Internet, en appliquant des sanctions (amendes civiles, pénalités et injonctions), dès lors qu’il est prouvé qu’ils ont illégalement participé à l’importation de produits contrefaits.
• Améliorer la collecte des données concernant l’arrivée des produits contrefaits aux Etats-Unis par l’intermédiaire du courrier international.
• Créer un « Consortium anti-contrefaçon pour identifier les acteurs en ligne néfastes », et ce, en collectant les données auprès des acteurs tiers (plateformes, intermédiaires tiers ainsi que les transporteurs, expéditeurs, moteurs de recherche et centres de paiement en ligne). Ces données permettront de créer une technique d’automatisation des risques pour surveiller les plateformes et ainsi identifier les produits contrefaits.
• Augmenter les ressources de l’administration pour surveiller les envois (estimés 500 millions annuellement) par courrier international. Cela permettra, d’une part, de détecter les produits contrefaits, et, d’autre part, d’accroître la collecte des données sur ce type de transaction pour en améliorer la détection.
• Créer un cadre effectif moderne pour le commerce électronique qui pourrait prévoir des immunités pour les plateformes en échange d’un contrôle interne suffisant et de la communication d’informations aux autorités américaines.
• Evaluer, notamment avec le secteur privé, le cadre de la responsabilité des plateformes de e-commerce en cas de contrefaçon par fourniture de moyens.
• Réexaminer le cadre légal entourant les importateurs non-résidents (et notamment leurs agents résidents aux Etats-Unis).
• Etablir une campagne nationale de sensibilisation des consommateurs concernant les risques de contrefaçon (risques directs en cas de produits dangereux et risques indirects en cas, par exemple, de financement du terrorisme), ainsi que les différentes façons dont ils peuvent repérer les produits contrefaits.

En conclusion, le gouvernement américain déclare la guerre à la contrefaçon et à la piraterie et appelle à la mobilisation générale, tant des institutions politiques américaines, des acteurs tiers – dont les plateformes Internet – que des consommateurs situés aux Etats-Unis. Il conviendra de suivre la manière dont ces recommandations vont trouver une transcription dans la législation américaine.

L’Europe devrait avoir son mot à dire
Deux dangers doivent être conservés à l’esprit. D’une part, que la législation américaine devienne le standard international auquel devront se soumettre directement ou indirectement les opérateurs européens : dans cette perspective, une contribution de l’Europe à ce débat s’impose. D’autre part, qu’au nom de la protection du commerce et des consommateurs un vaste plan de collecte de données et de surveillance va probablement être mis en place. Il faudra garder à l’esprit que les modalités techniques de protection de la liberté peuvent aboutir, si l’on y prend garde, à l’anéantissement des libertés fondamentales. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.