Deux projets de loi visant à renforcer les droits numériques des Californiens ont récemment été soumis au gouverneur Newsom. Si l’un a été signé, l’autre a été rejeté, suscitant des interrogations sur la position habituellement favorable à la protection des consommateurs du gouverneur. Qu’est-ce que cela signifie pour l’avenir des droits en ligne?
En résumé, deux propositions de loi sur les droits numériques ont été présentées au gouverneur de Californie, Gavin Newsom, ces cinq derniers jours. Elles visaient toutes deux à accorder aux résidents de Californie davantage de contrôle sur leurs affaires en ligne. Le gouverneur a signé l’une d’elles et a opposé son veto à l’autre, suscitant des questionnements sur son habituel support aux consommateurs.
Le projet de loi 2863, introduit en avril, oblige les entreprises proposant des abonnements en ligne ou des applications à permettre aux clients de se désabonner aussi facilement. En effet, de nombreux services sont simples à souscrire, et presque tous se renouvellent automatiquement. En revanche, annuler ces abonnements est souvent difficile, voire impossible, nécessitant parfois un appel à un service client qui pousse inévitablement à la vente.
Le gouverneur Newsom a signé la loi AB 2863 mardi, rendant obligatoire pour les entreprises avec renouvellement automatique ou services continus d’offrir des options d’annulation par le même moyen utilisé pour s’abonner. Autrement dit, si une entreprise dispose d’une page web ou d’une application permettant de s’abonner d’un simple clic, elle doit offrir la même option de désabonnement d’un clic.
« AB 2863 est la législation ‘Cliquez pour annuler’ la plus complète du pays, garantissant aux Californiens la possibilité de résilier facilement des renouvellements d’abonnement automatiques indésirables, tout comme ils se sont inscrits – en un ou deux clics, » a déclaré l’assembléen Pilar Schiavo, qui a introduit le projet avec un large support bipartisan et l’a fait voter à l’unanimité.
Vendredi dernier, le gouverneur Newsom a d’une manière surprenante rejeté la loi AB 3048. Ce projet de loi proposait un amendement à la loi californienne sur la protection de la vie privée des consommateurs de 2018, qui aurait exigé des navigateurs et des systèmes d’exploitation qu’ils rendent disponible un « signal de désinscription » pour les utilisateurs ne souhaitant pas que leurs données soient partagées ou vendues. En termes plus simples, cela impliquait de mettre à jour les options de réglage pour permettre un basculement de désinscription à la collecte de données. Ils auraient également dû limiter l’utilisation des données « sensibles ».
Bien que le projet de loi ait été soutenu, il a été opposé par Newsom. Bien que ses actions puissent sembler contradictoires, il a justifié sa décision en soulignant que les systèmes d’exploitation étaient trop complexes pour que les régulateurs imposent des changements de manière arbitraire.
« Pour garantir l’utilisabilité continue des appareils mobiles, il est préférable que les questions de conception soient d’abord abordées par les développeurs, et non par les régulateurs, » a déclaré le gouverneur Newsom dans une lettre à l’Assemblée de l’État.
Quant aux navigateurs, Newsom soutient que la collecte de données n’est pas un problème puisque les utilisateurs ont déjà les moyens de se désinscrire nativement ou via une extension. Le raisonnement de Newsom semble logique, mais il est une autre question de savoir si ses électeurs partagent cette perspective.
Les consommateurs sont de plus en plus préoccupés par la sécurité de l’information. Bien que les violations de données mondiales aient diminué en 2023, elles ont été multipliées par trois aux États-Unis. Au cours des neuf derniers mois, plusieurs fuites d’informations graves ont eu lieu. Dans de nombreux cas, les entreprises responsables n’ont pas voulu reconnaître leurs manquements en matière de sécurité.
- En décembre dernier, 23andMe a blâmé ses clients pour l’utilisation de mots de passe peu sûrs après le vol de sept millions de dossiers d’utilisateur avant d’admettre que la violation avait duré cinq mois sous son nez.
- En mars, AT&T a vu 73 millions de dossiers clients volés et a nié cela pendant des semaines avant de faire amende honorable en avril. Puis, en juillet, elle a subi un autre vol de 110 millions de dossiers, presque l’ensemble de sa clientèle.
- Dans un cas similaire de déni, Microsoft a exposé des identifiants d’employé sur Internet pendant 28 jours après que des chercheurs en sécurité l’avaient prévenu d’un serveur non sécurisé. Elle a finalement colmaté la faille avec un simple mot de passe.
- Le mois dernier, National Public Data a subi la plus grande violation de données, perdant 2,7 milliards de dossiers des États-Unis, du Royaume-Uni et du Canada contenant des informations personnelles hautement sensibles. Que ce soit à cause d’une attaque par ransomware ou d’une simple mauvaise hygiène de sécurité, NPD ne s’est pas exprimé.
Ainsi, si les entreprises peuvent gérer nos données de manière irresponsable avec peu ou pas de conséquences, autres que quelques poursuites collectives qui enrichissent uniquement les avocats, pourquoi ne devraient-elles pas être soumises à un contrôle réglementaire? Ces courtiers de données génèrent des milliards en les vendant, tandis que les consommateurs n’obtiennent rien d’autre que des arnaques et la peur du vol d’identité.