La Californie met en vigueur une loi permettant de refuser totalement le partage des données

 (therecord.media)
1 points par GN⁺ 2025-10-10 | 1 commentaires | Partager sur WhatsApp
  • L’État de Californie a adopté une nouvelle loi permettant, via un navigateur web, de refuser globalement la transmission de données à des tiers
  • Le California Consumer Privacy Act, introduit en 2018, accordait déjà un droit d’opt-out, mais son usage réel restait difficile
  • Cette loi permet désormais un opt-out global en un clic, ce qui crée des exigences claires d’implémentation pour les principaux navigateurs
  • D’autres lois signées le même jour renforcent l’obligation de suppression complète des données lors de la suppression d’un compte sur les réseaux sociaux ainsi que la divulgation d’informations sur les data brokers
  • Il s’agit d’un tournant qui élargit fortement la protection de la vie privée et le pouvoir des consommateurs sur la gestion de leurs données

Aperçu de la loi californienne sur le refus du partage des données

  • Le gouverneur de Californie Gavin Newsom a officiellement signé une loi visant à simplifier la fonction d’opt-out de la vente de données dans les navigateurs web
  • Grâce au California Consumer Privacy Act adopté en 2018, les citoyens californiens avaient obtenu le droit d’envoyer un signal de refus de la vente de leurs données, mais les navigateurs web n’offraient pas réellement un accès simple à cette option
  • La nouvelle loi adoptée exige désormais que les navigateurs web mettent en place un mécanisme d’opt-out facilement accessible
  • L’objectif central est de remplacer le refus manuel site par site par un environnement permettant d’envoyer en un clic un signal d’opt-out à l’ensemble des sites

Portée sociale de l’introduction de cette loi

  • Cette loi est la première loi universelle de refus des données introduite aux États-Unis
  • Jusqu’à présent, il fallait utiliser des extensions de navigateur tierces ou des navigateurs spécialisés dans la protection de la vie privée pour bénéficier d’un opt-out universel
  • Désormais, des millions d’utilisateurs pourront refuser beaucoup plus facilement la vente de leurs données

Autres lois adoptées sur la protection des données

  • Une autre loi signée le même jour par le gouverneur impose aux entreprises de réseaux sociaux de proposer une suppression facile du compte ainsi qu’une suppression complète des données
  • Une autre encore renforce la Data Broker Registration Law, en élargissant la divulgation d’informations sur les types de données personnelles collectées par les data brokers et sur les personnes autorisées à y accéder

Perspectives

  • Cette série de textes constitue une étape majeure pour renforcer la protection de la vie privée et le contrôle des consommateurs sur leurs données
  • Le mouvement vers un renforcement de la régulation et de la transparence concernant les navigateurs, les réseaux sociaux et les data brokers devrait se poursuivre

À lire aussi

1 commentaires

 
GN⁺ 2025-10-10
Avis Hacker News

  • Il est souligné que, pour être efficace, il faudrait permettre des recours collectifs quand les entreprises ignorent ces demandes ; l’auteur a écrit un script qui teste régulièrement directement sur les sites la fonctionnalité d’opt-out, et a constaté que près de 50 % des implémentations sont incorrectes, y compris chez de grandes entreprises IT récemment introduites en bourse ; selon les lois californiennes CCPA/CPRA, l’essentiel des pouvoirs d’application appartient aux autorités (CPPA, Attorney General), et les particuliers ne peuvent pas poursuivre directement, ce qui réduit la pression sur les entreprises puisqu’elles ne font pas face à la menace de recours collectifs

    • Les recours collectifs sont devenus difficiles à cause des accords étendus d’arbitrage préalable des litiges, des renonciations aux recours collectifs et des clauses interdisant l’arbitrage de masse ; comme la Cour suprême fédérale les a validés, la Californie ne peut pas facilement revenir dessus ; il est donc proposé d’imposer légalement au CPPA ou à l’Attorney General de faire appliquer la loi dès qu’un problème est signalé, de rendre inopérants les NDA lorsqu’un résident californien signale ce type de problème, et de permettre d’exiger l’application par une action contraignante (writ of mandamus) en cas de carence ; les frais d’avocat devraient aussi être pris en charge pour rendre ce type d’action financièrement viable ; l’idée serait de rendre cela obligatoire par défaut, tout en permettant de discuter ouvertement des exceptions ; l’auteur a l’impression que le Parlement californien et le gouverneur s’intéressent davantage à des réponses d’affichage qu’à des solutions concrètes sur ce genre de sujet

    • Quelqu’un demande s’il serait possible de partager le script utilisé

    • Il est jugé étrange qu’il existe des lois que les particuliers ne peuvent pas faire appliquer eux-mêmes ; selon cet avis, une réforme constitutionnelle serait nécessaire pour faciliter l’exécution des lois, même si la manière précise de le faire relève des juristes

  • Un intervenant partage son expérience de l’époque où existait l’en-tête navigateur « Do Not Track » ; en tant qu’utilisateur comme ingénieur, il appréciait cette fonction, mais elle a disparu face à l’opposition du secteur ; si tout le monde l’avait respectée de bonne foi, cela aurait été remarquable ; il estime que ce type d’outil devrait être implémenté par les navigateurs ; si la même logique avait été appliquée aux cookies, le chaos actuel des pop-ups de cookies n’existerait peut-être pas ; à propos de cet article, il pense que les éditeurs de navigateurs devraient aussi implémenter la règle du « do not sell » et se demande si cela ressemble à Do Not Track

    • Au contraire, la vente de données devrait se faire en opt-in explicite ; en cas d’accord, nous devrions pouvoir fixer un prix et être rémunérés à chaque vente, usage ou revente de nos données ; il est souligné qu’il est anormal que les entreprises prennent les données sans compensation ni consentement de l’utilisateur

    • C’est même pire aujourd’hui : dans l’industrie de la vie privée, il est recommandé de ne pas activer l’en-tête « Do Not Track », car non seulement il est très rarement respecté, mais il peut en plus servir de point de données pour le fingerprinting du navigateur, ce qui conduit à encore plus de suivi

  • Des remerciements sont adressés aux législateurs californiens, avec l’espoir que cette loi fonctionne comme prévu et que toute faille soit corrigée immédiatement si elle est découverte

    • C’est le genre de nouvelle qu’on accueille favorablement, mais il faut qu’elle s’accompagne d’amendes réelles et d’une application certaine ; si les dispositions juridiques n’ont aucun effet concret, elles ne servent à rien, et il faudrait des sanctions assez fortes pour réellement exclure les entreprises problématiques

    • Quelqu’un s’attend à voir apparaître un nouveau pop-up à fermer sur tous les sites web, une fois de plus

  • Certains craignent que le cadre américain confus en matière de protection de la vie privée n’affaiblisse l’avantage d’un marché unique aux États-Unis ; les grandes entreprises ne vendent en réalité pas leurs données, elles les exploitent directement, et cette loi toucherait surtout les petites et moyennes entreprises

  • Le projet de loi sur le universal opt-out lui-même a une force exécutoire très faible et n’a de potentiel qu’en combinaison avec la CCPA ; la CCPA ne limite que le partage d’informations à des fins de publicité comportementale inter-contexte ; cette loi exige seulement que les navigateurs et les OS mobiles proposent un réglage permettant d’exprimer facilement un refus, sans exigence explicite sur le format du signal ni sur l’obligation de le respecter ; l’ensemble du texte tient à peine en un tweet ; toutefois, la question des « bannières cookies » relève d’une autre loi (la CCPA), qui prévoit une période de refroidissement de 12 mois ; les principales dispositions du texte et la définition du signal sont également partagées https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa

  • Un outil alternatif est présenté lorsque le universal opt-out ne fonctionne pas : https://simpleoptout.com/

  • Selon un avis, le réglage par défaut devrait être l’opt-out, l’utilisateur devant ensuite revenir explicitement en opt-in ; c’est là le vrai cœur du problème

    • Microsoft a essayé de faire de DNT un opt-out par défaut, mais cela a échoué parce que les entreprises centrées sur les données l’ont tout simplement ignoré

  • Il est proposé de mettre en place un mécanisme dans lequel l’utilisateur partage aussi les revenus chaque fois que ses données sont vendues

    • Ce genre d’idée est débattu depuis longtemps dans l’écosystème startup, mais a très rarement été réellement essayé ; cela semble être un modèle raisonnable consistant à proposer au grand public une compensation du type : « cela ne me dérange pas d’être ciblé par la publicité si je reçois au moins une petite somme »

  • Le lien de l’annonce officielle est partagé https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/

  • Grâce à ce type de fonctionnalité, quelqu’un aimerait réduire le nombre d’extensions de sécurité qu’il a installées actuellement, mais il n’est pas certain que les signaux d’opt-out seront réellement respectés, et pense donc devoir continuer à utiliser des extensions défensives ; l’intention de la loi est néanmoins jugée très positive