La Californie a-t-elle enfin trouvé la parade contre la revente incontrôlable de nos données personnelles ? Si les citoyens californiens réclament depuis des années plus de pouvoir sur la gestion de leurs informations privées, jusqu’où cette nouvelle initiative va-t-elle réellement bousculer l’industrie du data broking ?
Depuis 2020, les résidents avaient en théorie le droit de demander à une entreprise de cesser de collecter et de vendre leurs données. Mais en pratique, qui avait la patience de répéter cette démarche fastidieuse pour chaque société ? Cette complexité n’était-elle pas la meilleure alliée des courtiers en données ? Avec l’adoption, en 2023, du “Delete Act”, l’État promettait une révolution : un seul clic pour faire valoir ses droits auprès de plus de 500 data brokers officiellement recensés. Mais la loi ne s’est pas pour autant incarnée dans un outil accessible. Jusqu’à aujourd’hui.
C’est ici qu’entre en scène DROP (Delete Requests and Opt-Out Platform), la nouvelle plateforme officielle permettant à tous les Californiens, une fois leur résidence vérifiée, de soumettre une requête unique de suppression de leurs données. Mais cette plateforme tient-elle toutes ses promesses ? Ou bien s’agit-il d’un écran de fumée où les limites l’emportent encore sur les avancées ?
DROP ambitionne de simplifier l’effacement de nos traces numériques, mais qu’en est-il dans la réalité ?
D’abord, l’effet ne sera pas immédiat. Les brokers n’entameront le traitement effectif des demandes qu’en août 2026, avec un délai de 90 jours pour obéir et rapporter leur action. Ceux qui rechignent à supprimer pourront exiger des informations supplémentaires pour localiser telle ou telle donnée. Comment s’assurer alors que la suppression soit totale et sans conditions ?
Il est crucial de noter que cette obligation ne s’applique qu’aux data brokers, ceux qui achètent et revendent nos identités numériques à grande échelle. Les entreprises récoltant des données pour leur propre usage ne sont pas concernées, de sorte que toute une partie de notre histoire digitale restera sous leur contrôle, bien en dehors de ce nouveau radar.
De plus, certaines informations, comme les immatriculations de véhicules ou les registres électoraux, restent intouchables car issues de documents publics. D’autres, notamment les données médicales sensibles, relèvent d’autres législations telles que le HIPAA. Peut-on alors parler de suppression globale lorsque la fragmentation légale est ainsi la règle ?
Parmi les arguments mis en avant par la California Privacy Protection Agency, on promet aux habitants moins d’appels, de SMS et d’e-mails non désirés, une réduction du risque de vol d’identité, de fraude ou de piratage par des intelligences artificielles. Les fautifs seront-ils vraiment dissuadés par une amende prévue de 200 dollars par jour et par infraction, sans compter les frais d’application ? Ou existe-t-il déjà mille façons pour les géants du data de se jouer du système ?
Finalement, DROP représente-t-il un vrai tournant pour la protection des données personnelles ou surtout un nouveau terrain pour la créativité juridique et technique des data brokers ?
Source : Techcrunch
