La proposition 24 de Californie pourrait être une « lueur d'espoir » pour les plateformes d'échange de Crypto cherchant à se conformer au RGPD.

Le jour des élections, les Californiens ont choisi non seulement l'orientation de leur gouvernement, mais aussi celle de certaines des lois qu'il administrera.56% des électeurs l'approuvent jusqu'à présent, la proposition 24, également connue sous le nom de California Politique de confidentialité Rights Act (CPRA), est en passe de remplacer les éléments clés du California Consumer Politique de confidentialité Act (CCPA), ONEune des lois sur la Politique de confidentialité des données les plus solides du pays.

Bien que le CPRA ne soit pas exempt de controverse, il accroît les risques de non-conformité et encourage les entreprises, y compris les plateformes d'échange de Cryptomonnaie , à prendre des mesures supplémentaires pour respecter la Politique de confidentialité des utilisateurs. Il pourrait également aider ces entreprises à se conformer davantage à la loi générale sur la protection des données (RGPD), la loi européenne sur la protection de la Politique de confidentialité qui va plus loin que le CPRA.

« Le point positif est qu'une plateforme d'échange qui s'efforce de se conformer au RGPD (par exemple, en utilisant des techniques de hachage reconnues pour effectuer des suppressions de données) pourrait utiliser certaines de ces mêmes mesures pour démontrer sa conformité au CPRA », a déclaré Steven Blickensderfer, avocat spécialisé en Technologies et Politique de confidentialité au sein du cabinet Carlton Fields. « En effet, le CPRA pourrait contraindre les plateformes d'échange à adopter une vision globale de leur conformité en Politique de confidentialité , ce qui n'est peut-être pas une mauvaise chose après tout. »

Le CCPA contre le CPRA

La CCPA est la première loi de ce type aux États-Unis. Elle permet aux consommateurs californiens de savoir quand des entreprises privées collectent, partagent ou vendent leurs données et d'empêcher cette vente si nécessaire. Elle s'applique aux entreprises dont le chiffre d'affaires annuel brut est supérieur à 25 millions de dollars ou qui détiennent des informations sur 50 000 consommateurs ou plus.

La CPRA prévoit des protections supplémentaires pour les données sensibles, notamment les données biométriques, les données de localisation et les données raciales. Une nouvelle agence d'État dotée d'un budget de 10 millions de dollars sera chargée de faire appliquer la loi, qui devrait entrer en vigueur en 2023. Auparavant, cette tâche incombait au bureau du procureur général de Californie, en sous-effectif.

Andrew Yang, défenseur des Cryptomonnaie et du revenu universel de base, candidat à la primaire démocrate à la présidence des États-Unis, présidait le comité consultatif de la proposition. Il a déclaré que cela pourrait servir de modèle pour d'autres États.

Sur le même sujet : Les lois sur la Politique de confidentialité ne sont efficaces que si les entreprises les mettent en œuvre

« Une fois que cette loi sera entrée en vigueur en Californie, je pense que d'autres États se demanderont : « Pourquoi les Californiens ont-ils tous ces droits en matière de données et de Politique de confidentialité que nous n'avons T ? » », a déclaré Yang. ABC7 News. « Donc, comme d’habitude, la Californie pourrait finir par montrer la voie. »

Au moins une entreprise de Crypto a soutenu l'adoption de la loi. Kosala Hemachandra, fondateur et PDG de MyEtherWallet (MEW), basé à Los Angeles, a déclaré que l'entreprise était un fervent partisan d'initiatives comme la Proposition 24, ainsi que de lois renforçant la Politique de confidentialité des données et permettant aux utilisateurs de contrôler l'utilisation et la diffusion de leurs données.

« Un monde de plus en plus numérique signifie que de plus en plus de données personnelles sont disponibles pour que les entreprises puissent en tirer profit, et des lois comme celle-ci sont un bon pas vers la garantie de la Politique de confidentialité des utilisateurs », a déclaré Hemachandra dans un e-mail à CoinDesk.

MEW T collecte aucune donnée sur ses utilisateurs et nous sommes opposés à la collecte massive de données sans leur consentement. La Politique de confidentialité des utilisateurs deviendra un enjeu de plus en plus important dans les jours et les années à venir, et nous continuerons de défendre ce droit pour nos utilisateurs.

Pas une panacée en Politique de confidentialité des données

Cette loi n'est cependant pas exempte de controverse. Dans une déclaration publiée mi-octobre, l'Union américaine pour les libertés civiles et plusieurs de ses sections californiennes onts'est opposé à la proposition.

« La Proposition 24 ne renforcera T le droit à la Politique de confidentialité des Californiens », ont écrit Jacob Snow et Chris Conley, de l'ACLU de Californie du Nord. « Au contraire, elle affaiblira les protections prévues par la loi actuelle et alourdira la charge de travail des citoyens, ce qui portera un préjudice disproportionné aux personnes pauvres et aux personnes de couleur. »

La CPRA permet aux gens de refuser manuellement la collecte de données, ce qu’ils devraient faire pour les services numériques pertinents qu’ils utilisent, ce qui impose cette charge au consommateur plutôt qu’aux entreprises.

En juillet, l'Electronic Frontier Foundation (EFF) a fait part de ses inquiétudes quant au fait que la loi pourrait entraîner une extension de la «payer pour la Politique de confidentialité« schémas ».

Sur le même sujet : Dépréciation : Les chercheurs en sécurité critiquent Voatz pour sa position sur les hackers white hat

« Plus précisément, l'initiative exempterait les « clubs de fidélité » de la limite actuelle de la CCPA sur les entreprises facturant des prix différents aux consommateurs qui exercent leur droit à la Politique de confidentialité . » a écrit Lee Tien, Adam Schwartz et Hayley Tsukayama.

Concrètement, cela signifie que les entreprises pourraient facturer davantage aux consommateurs qui font valoir leur droit à la Politique de confidentialité . Par exemple, une entreprise de médias pourrait offrir un abonnement gratuit aux clients qui choisissent de ne pas exercer leurs droits. Les défenseurs de la Politique de confidentialité affirment que cela aurait un impact disproportionné sur les consommateurs à faibles revenus.

L'impact à venir

Les critiques de la proposition 24 méritent d’être davantage prises en compte et d’être prises en compte, mais Blickensderfer a exposé quelques avantages de la loi lorsqu’elle sera mise en œuvre.

« La création d'une agence dédiée à l'application des lois californiennes sur la protection de la Politique de confidentialité des consommateurs pourrait changer la donne », a-t-il déclaré.

Selon Blickensderfer, ONEune des critiques formulées par les défenseurs de la Politique de confidentialité à l'égard de la CCPA est que le bureau du procureur général de Californie est trop dispersé et incapable d'appliquer la loi efficacement. La création d'un organisme de surveillance dédié à la protection de la Politique de confidentialité aux États-Unis changerait la donne et refléterait la manière dont la protection de la Politique de confidentialité est appliquée en Europe et dans d'autres régions du monde.

Il introduit également un autre modèle d'application, plus proactif, en plus des « actions privées », a-t-il déclaré. Un droit d'action privé permet à un particulier d'agir en justice pour obtenir réparation du préjudice causé par la violation d'une obligation légale, mais uniquement si le préjudice ou les blessures ont déjà eu lieu.

En outre, le CPRA rapproche la Californie du RGPD européen.

« En fait, je ne serais pas surpris si nous voyions finalement des efforts déployés pour déterminer que la Californie est une juridiction adéquate en vertu du RGPD aux fins d’approuver les transferts transfrontaliers de l’Espace économique européen vers la Californie », a-t-il déclaré.

Sur le même sujet : La décision du bouclier de Politique de confidentialité de l'UE est une opportunité et un casse-tête pour les technologies décentralisées

Comme CoinDesk l'a fait signalé précédemmentEn juillet, la Cour de justice de l’Union européenne (CJUE) a invalidé un accord clé de partage de données entre les États-Unis et l’Union européenne.

L'accord de 2016, connu sous le nom deBouclier de Politique de confidentialité, permet aux entreprises américaines d'autocertifier leur conformité aux lois sur la Politique de confidentialité des données, comme le RGPD. La décision portait en grande partie sur l'absence de loi fédérale sur la Politique de confidentialité aux États-Unis et sur la manière dont les agences de sécurité américaines exercent une surveillance intensive des individus, y compris de leurs données.

« Cela pourrait être une aubaine potentielle pour les entreprises en Californie, car tout le monde a encore du mal à comprendre la légalité de tels transferts », a déclaré Blickensderfer.

Les entreprises devront probablement aller au-delà de la conformité au CCPA et s'orienter davantage vers le RGPD pour se conformer au CPRA. La mise en œuvre étant prévue pour 2023, il reste quelques années pour y parvenir. Mais cela ne signifie T qu'il y ait de raison de retarder.

« Comme en Europe, une fois que la mise en application commencera, le nouveau régulateur aura probablement peu de compassion pour les entreprises qui ont eu deux ans pour se mettre en conformité », a déclaré Blickensderfer.