La Californie en avance

« Or-bit »

La Californie, berceau des exploitants hors pair de ce que j’ai déjà appelé « l’or-bit », autrement dit la donnée les propulsant dans des zones stratosphériques quelque soit l’axe du graphique que vous pouvez regarder, a vu entrer en fonction le 1er janvier dernier le California Consumer Privacy Act, soit une loi sur la protection des données personnelles. Fortement inspiré du RGPD en Europe, le CCPA (pour les intimes) a de ça de particulier qu’il permet aux Californiens l’accès à l’ensemble de leurs données personnelles détenues par les entreprises permettant de les identifier, et s’opposer à leur revente, voire, demander carrément leur suppression. Cependant, l’application de cette loi est limitée aux entreprises réalisant plus de 25M$ de revenu et détenant des informations sur plus de 50 000 consommateurs. Dès lors, vous vous doutez bien qu’il a été contesté par les géants de la Silicon Valley qui ont déjà obtenu que certaines restrictions s’appliquent avant qu’un consommateur puisse saisir les tribunaux.

Capitalisme de surveillance

Bien sûr, ce capitalisme de surveillance – l’idée de faire du cash avec la donnée des autres – élève bien des voix du côté de l’opposition, avec comme idée principale que si c’est gratuit, c’est que vous êtes le produit. Pourtant, les internautes n'ont toujours pas conscience de payer avec leurs données personnelles les services supposément gratuits qui leur sont offerts en ligne. Et c’est pourquoi un Think Tank comme Génération Libre propose l’introduction d’un système de prix. « À combien valorises-tu ma donnée personnelle chère entreprise qui l’exploite si bien ? ». À 49$ par an en ce qui concerne Facebook selon Génération Libre. Donc, je te donne 49$ par an pour pouvoir utiliser ton service ou, tu me payes pour pouvoir utiliser ma donnée. En gros, c’est la logique que propose ce Think Tank européen… qui a fait son petit bout de chemin jusqu’en Californie.

Le référendum qui change tout

Et oui, à peine mis en place, le CCPA se voit flanqué d’un référendum, accueillis favorablement à 56%, qui permettra aux sociétés de demander aux internautes de payer pour mieux protéger leurs données… ou de les payer pour les exploiter davantage. Un texte qui entrera en fonction officiellement en 2023, et qui se rapproche encore un peu plus du RGPD qui existe en Europe, en créant une agence dédiée à la protection de la vie privée, fonction qui relève actuellement du procureur général de la Californie. Les internautes devraient pouvoir bénéficier de la monétisation de leurs informations, même si l'idée est considérée comme inégalitaire par de nombreuses organisations. De plus, les protections pour les données sensibles, comme la géolocalisation, la santé, l'ethnicité et l'orientation sexuelle, seront renforcées.

RGPD vs entreprises

Allons donc faire un petit tour du côté de l’Europe pour voir comment performant peut être le RGPD dans son application auprès des entreprises. Et bien sachez que ces dernières, selon un article de Les Échos, dans les deux dernières années et demie depuis l’application du RGPD, ont structuré la gouvernance de leurs données à caractère personnel (DCP) relatives aux salariés, clients, utilisateurs, partenaires et fournisseurs, sous la responsabilité, tenez-vous bien, d'un délégué à la protection des données un « data protection officer » (et oui, un nouveau métier), dont 31% d’entre eux (ils sont 21 000 en France) sont dans des entreprises de plus de 1000 employés. Toujours selon le même article, les DPO opèrent le plus souvent dans le cadre d'un comité de pilotage qui rassemble au minimum la direction générale, la direction informatique et le service juridique.

Chez nous, le projet de loi #64 s’en vient, visant à moderniser l'encadrement des renseignements personnels au Québec afin de s'aligner sur le contexte numérique dans lequel les renseignements personnels sont maintenant utilisés, et de donner aux citoyens « le plein contrôle sur leurs renseignements personnels » selon les textes officiels. Par conséquent, les entreprises devront adapter prendre en compte les éléments suivants

• Au niveau de la collecte des données, elles devront obtenir le consentement préalable et clair du client
• Au niveau du stockage des données, elles devront accorder la possibilité au client de rectifier ou même de supprimer les informations fournies
• Enfin, au niveau de l’analyse des données, elles devront fournir des informations et assurer la transparence sur l'utilisation des données

Je vous conseille donc d’y regarder de plus près, et de mettre à jour vos CV, la fonction de CDPO (pour Chief Data Protection Officer) s’en vient dans notre réalité nord-américaine.