La Californie adopte son RGPD, ou presque

Eric Gardner de Béville, co-Directeur de HR Consulting Groupe et juriste international à Madrid

Après avoir été condamnée le 18 juillet 2018 à une amende record de 4,3 milliards d’Euros pour abus de position dominante dans l’Union Européenne, la société californienne Google risque d’être prise dans un nouvel étau.

La Californie s'est dotée d'une loi très similaire au RGPD ou Règlement Général sur la Protection des Données. Le RGPD est entré en vigueur dans l’UE le 25 mai 2018 et la loi californienne votée le 28 juin 2018 la « California Data Privacy Protection Act » entrera en vigueur le 1er janvier 2020. Il s’agit de la loi la plus stricte en matière de protection des données personnelles des 50 Etats qui forment les Etats-Unis d’Amérique.

Les pensées de Montesquieu et des Encyclopédistes français du 18ème siècle -Diderot et D’Alembert entre autres- avaient influencé les « Founding Fathers » des colonies anglaises en Amérique qui allaient se révolter contre l’oppresseur pour créer les premiers Etats-Unis d’Amérique avec la Déclaration d’Indépendance de 1776. Il n’est pas exclu que les rédacteurs européens du RGPD voté en 2016 aient aussi influencé les défenseurs de la toute récente loi californienne.

Trois faits particuliers attirent l’attention : En premier lieu, cette loi californienne sur la protection des données est la première du genre aux USA et la plus stricte en faveur de la protection des utilisateurs et de leurs données personnelles. En effet il n’existe pas aux Etats-Unis de loi fédérale s’appliquant à tous les Etats, chaque Etat ayant la charge de légiférer dans ce domaine. Il existe toutefois certaines lois cadres telles que le Federal Trade Commission Act (15 U.S.C. §§41-58) (FTC Act), le Children's Online Privacy Protection Act (COPPA) ou le Financial Services Modernization Act (Gramm-Leach-Bliley Act) qui prévoient une certaine protection des données personnelles dans des secteurs et pour des groupes de personnes spécifiques.

Deuxièmement, la loi a été adoptée par la Californie qui est non seulement l’Etat le plus peuplé des Etats-Unis mais aussi le plus sévère et avant-gardiste notamment dans le domaine législatif. Loi anti-paparazzi, lois règlementant strictement le port d’armes, loi « Dog-Bite » rendant les propriétaires de chiens responsables pénalement des morsures, lois sur l’environnement, loi sur l’égalité salariale homme-femme, la liste est longue. Pas étonnant donc que ce soit la Californie qui ait enfourché le cheval de bataille de la protection des données personnelles.

Troisièmement, la Californie est aussi l’Etat de la « tech americana » et de la fameuse « Silicon Valley » où les principales sociétés d’internet et une multitude de start-up et PME tech ont leur siège. Apple, Google, Uber, Twitter, Facebook ont toutes leur siège en Californie. Microsoft et Amazon ont le leur un peu plus au nord dans l’Etat de Washington. Il est pour le moins curieux que ce soit précisément la Californie qui adopte une loi si stricte en matière de données personnelles.

Tout en étant très similaire, la loi californienne n’est pas un copier-coller du RGPD. En effet, les dispositions du RGPD prévoyant l’obligation de prévenir les autorités dans les 72 heures d’une violation (art. 33), ou instaurant une autorité de contrôle dans chaque Etat Membre (art. 51), ou encore sur le montant des amendes celles-ci pouvant aller jusqu’à 4% du chiffre d’affaires de la société condamnée (art. 83), ne sont pas présentes dans la loi californienne. Lorsque l’on sait que le chiffre d’affaires de Apple était de 215 milliards de dollars en 2016, 4% représentent une amende potentielle de 8,6 milliards de dollars. C’est peut-être cela qui fait réfléchir à deux fois le législateur californien avant d’adopter la même disposition que le RGPD…

Mais la loi californienne varie du RGPD dans d’autres domaines importants tels que le principe « pay for privacy » qui autorise les sociétés d’internet à faire payer plus cher les utilisateurs qui refusent que leurs données soient vendues à des tiers. De même, la loi californienne si elle permet aux utilisateurs d’interdire la vente de leurs données personnelles, semble néanmoins en autoriser le « partage » même en cas d’interdiction de vente. Enfin, la loi californienne n’interdit pas la possibilité de s’assurer contre les amendes qui résulteraient de violations de la loi -ce qui n’est pas possible dans le cadre du RGPD- et ouvre donc un important et lucratif négoce de cyber-assurance pour les sociétés d’assurance.

La loi californienne vient après les nombreux scandales de « pertes » et de « hacking » de données personnelles -notamment financières- des utilisateurs aux Etats-Unis par des grands groupes tels que Target, Sony, Yahoo et Subway mais aussi et récemment Facebook et les auditions de Mark Zuckerberg devant le Congrès américain et le Parlement Européen au sujet des agissements de la société anglaise Cambridge Analytica concernant l’exploitation politique de données personnelles de 87 millions d’utilisateurs de Facebook.