- La Virginie interdit la vente de données de géolocalisation via une révision du VCDPA, renforçant ainsi au niveau de l’État les restrictions sur le commerce des données de localisation dans le droit de la protection de la vie privée
- Cette révision a été entérinée par la signature du S.B. 388, et l’interdiction s’appliquera à partir du 1er juillet 2026
- Dans le VCDPA, la définition de la vente (sale) se limite au transfert de données personnelles à un tiers en échange d’une contrepartie financière, ce qui lui donne une portée plus étroite que dans d’autres États
- Le Maryland et l’Oregon ont également interdit la vente de données de géolocalisation, mais ces deux États incluent dans la vente non seulement l’argent, mais aussi toute autre contrepartie de valeur
- Avec des projets de loi similaires en California, Massachusetts, Vermont et dans l’État de Washington, ainsi que l’enquête du California Attorney General et un accord de la FTC, la vente de données de géolocalisation s’impose comme un nouveau point focal de la régulation
Révision du VCDPA par la Virginie
- La gouverneure de Virginie, Abigail Spanberger, a signé le S.B. 388 le 13 avril 2026
- Cette loi modifie le Virginia Consumer Data Protection Act (VCDPA) afin d’interdire la vente de données de géolocalisation
- Dans le VCDPA, la vente est définie comme « l’échange par un responsable de traitement de données personnelles avec un tiers contre une contrepartie financière »
- Pour cette raison, la définition de la vente en Virginie reste plus étroite que dans les lois globales sur la protection de la vie privée d’autres États
Date d’entrée en vigueur et différences avec les lois d’autres États
- L’interdiction de la vente de données de géolocalisation entrera en vigueur le 1er juillet 2026
- La Virginie emboîte ainsi le pas au Maryland et à l’Oregon, qui ont eux aussi interdit la vente de données de géolocalisation
- Le Maryland et l’Oregon définissent plus largement la vente comme l’échange de données personnelles contre « une contrepartie financière ou toute autre contrepartie de valeur »
Projets de loi similaires et enquêtes réglementaires
- Plusieurs autres États ont également proposé des textes similaires visant à interdire la vente de données de géolocalisation
- Cette dynamique législative s’inscrit dans un mouvement plus large d’enquêtes réglementaires sur la vente de données de géolocalisation
- En mars 2025, le California Attorney General a lancé une enquête sur l’industrie des données de localisation
- En 2024, un accord de la FTC a interdit à un data broker de vendre des données de géolocalisation
1 commentaires
Commentaires sur Hacker News
Quand les gens ont réellement un choix éclairé et non contraint, ils refusent ce type de collecte de données, et en particulier leur vente
Il en va de même pour les usages autres que ceux pour lesquels ils pensent avoir donné une autorisation explicite, comme la navigation ou le réglage de l’heure. C’est bien qu’il y ait quelques formulations protectrices, mais il faut une application réelle. Si des données ont été collectées sous de faux prétextes ou de manière coercitive, il devrait y avoir non seulement des amendes, mais aussi des poursuites pénales
Édition : mon cerveau vient seulement de traiter l’information, mais des poursuites pénales auraient effectivement un peu plus d’effet dissuasif. Bien sûr, personne ne ferait jamais rien d’illégal ;)
Est-ce qu’un produit qui afficherait en gros sur l’écran de paiement « nous allons vendre vos données de localisation » serait possible ? Le simple fait de vouloir ce produit suffit-il à rendre cela coercitif ?
C’est un bon début. En 2024, il a été rapporté qu’« une enquête a révélé qu’une entreprise avait suivi les visites d’environ 600 sites de Planned Parenthood dans 48 États, et avait fourni ces données à l’une des plus grandes campagnes publicitaires anti-avortement des États-Unis » - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Par exemple, si une entreprise constituée dans le Delaware vend des données de localisation collectées en Virginie, mais qu’elle n’exerce pas en Virginie, que se passe-t-il ?
À l’inverse,
us-east-1est en Virginie, et on ne sait pas combien de serveurs de traitement des paiements y tournentCela dit, le fait que
us-east-1soit en Virginie risque de compliquer sérieusement la question, et cela semble relever de ce que les tribunaux devront trancherIl y a quelques années, le NYTimes a parlé de la façon dont les assureurs auto utilisent ce genre de données. Il était question du suivi des freinages brusques, de la conduite de nuit, ou des trajets à plus de 80 mph
Dans les zones rurales de l’Utah, certaines portions ont une limitation à 80 mph, et il existe aussi des règles de vitesse présumée illégale. Beaucoup de conducteurs dans l’Utah dépassent régulièrement 80 mph, parfois légalement, je suppose. C’est un chiffre étrange pour servir de référence
En tant que personne travaillant dans l’achat média, ce genre de loi est vraiment une bonne chose. Ces points de données n’auraient jamais dû être vendus au départ
Cela évite de laisser la protection des gens reposer uniquement sur la bonne volonté. C’est un pas dans la bonne direction
Cet article date d’avril, et l’interdiction est entrée en vigueur le 1er juillet
Si cela vise réellement la « vente » de données et impose des restrictions strictes aux courtiers en données et à divers acteurs malveillants, j’y suis totalement favorable
En revanche, si c’est comme la loi californienne qui qualifie tout usage de données de « vente de données », brouille les pistes et n’impose en pratique aucune régulation réellement utile aux mauvais acteurs du secteur, ce serait regrettable. Il y a aussi une valeur à garder le sens des mots clair et cohérent. Que Google exploite ses propres données Google Maps pour fournir de meilleures recommandations ne pose pas de problème, mais qu’AT&T vende à des tiers des données de localisation agrégées facilement réidentifiables, c’est un gros problème. J’espère qu’il y aura une voie claire pour interdire le second sans toucher au premier
Puisqu’on se donne la peine de faire une telle loi, je me demande pourquoi elle interdit seulement la vente et pas tout partage
Des tiers commerciaux comme les opérateurs peuvent avoir besoin de collecter et partager des données pour des raisons fonctionnelles, sans pour autant les vendre, j’imagine que c’est la logique. Mais cela ouvre aussi une faille intéressante. Ils peuvent conclure un accord de partage puis récupérer autrement l’argent qu’ils auraient touché à l’origine. Si le fournisseur A veut vendre des données au fournisseur B et que B veut les acheter mais qu’ils n’en ont pas légalement le droit, A peut glisser le coût dans un autre contrat sans rapport avec B, puis partager « gratuitement » les données de localisation dans le cadre de la « relation », avec un clin d’œil, une poignée de main et un signe de tête. Les deux parties savent que le coût est intégré dans l’autre contrat, mais seul A connaît le détail poste par poste ; B se contente de calculer si le prix de l’autre package et ce partage amical de données de localisation valent le coût total. Cela dit, pour être juste, avant qu’il y ait de l’argent en jeu, les gens sont généralement moins malveillants dans leur usage de l’information et dans leurs intentions. Pas toujours, mais en moyenne oui
Le simple fait que la vente des données de localisation précises des gens ait un temps été traitée comme un modèle économique normal est franchement absurde
On sait déjà qu’une collecte massive de données a eu lieu. Ce genre de loi n’est qu’une mesure minimale et tardive pour essayer de rattraper le retard. J’aimerais qu’on puisse aussi adopter des lois qui sanctionnent ces entreprises au point de rendre leur existence impossible, mais j’ai peu d’espoir
J’ai trouvé intéressant que la localisation approximative d’une adresse IP soit aussi de la « donnée de localisation », mais la loi semble parler de données de localisation précises, ce qui paraît la limiter aux données signalées par l’appareil