A l’instar du RGPD européen, cette nouvelle loi octroie aux californiens une série de droits sur leurs données personnelles. Désormais, chaque résident de l’État le plus peuplé des États-Unis disposera notamment d’un droit d’accès, d’un droit à l’effacement, d’un droit d’opposition sur ses données collectées par les responsables de traitements.

Cependant, fidèle à la conception américaine des données qui privilégie l’approche économique, le texte laisse aux GAFA un libre pouvoir d’intrusion dans l’intimité des individus.

Alors que pour l’Europe, les données personnelles relèvent des droits fondamentaux qui ne peuvent être cédés, les Américains considèrent la donnée personnelle comme un simple bien commercialisable. Ainsi, quand le RGPD vise à garantir le droit à la vie privée des individus en tant que citoyens, le CCPA se limite à protéger les américains en tant que consommateurs.

Plus pragmatique que le RGPD à qui il est reproché de s’imposer à toutes les entreprises, le CCPA vise uniquement les entreprises de grande taille ou traitant de très nombreuses données. Le texte exclue également de son champ d’application les traitements des données par le gouvernement fédéral, les États fédérés ou les administrations locales.

Cette loi n’entend ainsi pas donner de réponse à la collecte des données par les pouvoirs publics américains qui constituent pourtant une grave menace sur les libertés si l’on en croit les dénonciations d’Edward Snowden ou de Julien Assange.

Un droit de discriminer les consommateurs

Du point de vue économique, le traitement des données personnelles est un atout concurrentiel majeur pour les entreprises que le législateur californien a pris garde de ne pas entraver.

Les entreprises se voient ainsi autorisées à fournir différents niveaux de service selon les données transmises par le consommateur et l’appréciation qu’en auront fait les algorithmes. De même, le refus par un consommateur que l’on collecte ses données pourra avoir légalement des conséquences sur la qualité des services qui lui seront fourni, s’il y a accès.

Sur le plan des sanctions, le législateur du 31^eEtat américain n’a pas cru bon de décourager les GAFA de leurs abus en prévoyant une amende élevée. Il est vrai qu’au regard de leurs chiffres d’affaires la tâche n’aurait pas été aisée.

Le texte californien prévoit une amende modeste de 7 500 dollars et 750 dollars de dommages intérêts maximum par consommateur et par infraction. Certes, le système des actions de groupe (class action) pourra aboutir à des condamnations importantes, mais il y a fort à parier qu’elles ne seront pas suffisantes pour entraver les GAFA dans leur logique intrusive.

Il faut d’ailleurs noter que si le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial, ces peines n’ont pas dissuadé les GAFA dans leurs violations de la confidentialité des données des Européens.

Vers un affrontement des législations sur la protection des données

D’autres projets semblables s’apprêtent également à voir le jour ailleurs dans le monde. La Chine a annoncé, vendredi 10 janvier 2020, vouloir à son tour légiférer sur les données personnelles.

L’année 2020 sera à n’en pas douter émaillée d’une série de législations à travers lesquelles s’affronteront les grandes puissances. L’enjeu sera pour elles de préserver la compétitivité de leurs entreprises en leur permettant de maîtriser les données personnelles, tout en protégeant leurs citoyens des traces numériques laissées sur internet, sources d’insécurité pour les Etats et de pouvoir pour ceux qui les collectent.

Face à la multiplication des textes nationaux sur la protection des données, le prochain défi sera celui de l’uniformisation.  Les solutions pourraient venir plus vite qu’on ne le pense : le prochain sommet du G20, qui se tiendra à Riyad en novembre 2020, mettra peut-être à son ordre du jour la recherche d’un accord sur des règles mondiales unifiées. Tel serait le seul moyen viable de contenir le pouvoir des GAFA.