Si vous êtes américain, vous connaissez probablement le California Consumer Protection Act (CCPA), une réglementation sur la confidentialité des données promulguée en janvier 2020. Cette législation a été conçue pour protéger la vie privée des consommateurs en donnant aux individus un plus grand contrôle sur la vente de leurs données personnelles. données. L'une de ses dispositions les plus importantes est le droit de refuser la vente d'informations personnelles.

Lorsque la CCPA a commencé à être appliquée en juillet 2020, les entreprises ont commencé à recevoir des avis de non-conformité présumée de la part du Bureau du procureur général (OAG). Les entreprises ont dû rapidement mettre en œuvre un mécanisme « Ne pas vendre » sur leurs plateformes numériques pour permettre aux consommateurs de refuser la vente d'informations personnelles, sous peine de s'exposer à des amendes et des pénalités substantielles. En conséquence, presque tous les sites Web qui font des affaires avec des résidents californiens disposent désormais d’un lien « Ne pas vendre mes informations personnelles » facilement accessible.

Bien qu’il soit relativement simple de refuser la vente d’informations personnelles en recherchant des liens « Ne pas vendre » sur des sites Web, cela peut devenir fastidieux pour les personnes qui visitent quotidiennement de nombreux sites, que ce soit directement ou via des liens de réseaux sociaux. C’est là que Global Privacy Control (GPC) vient à la rescousse. GPC n'est pas une législation mais une norme technique conçue pour compléter le CCPA existant en facilitant la désinscription des consommateurs.

GPC fonctionne en permettant aux utilisateurs de définir leurs préférences concernant la vente de leurs données dans un navigateur ou une extension prenant en charge la spécification GPC. Une fois cette préférence définie, le navigateur envoie automatiquement un signal (Sec-GPC) à chaque site visité, indiquant que l'utilisateur ne souhaite pas que ses données soient vendues, partagées ou utilisées à des fins de publicité ciblée. Le site doit traiter ce signal de la même manière qu’il le ferait pour une demande « Ne pas vendre » en vertu du CCPA. Cela élimine le besoin pour les utilisateurs de faire manuellement une demande « Ne pas vendre » pour chaque nouveau site qu'ils visitent. Vous définissez la préférence une fois et vous l’oubliez.

La véritable force de GPC réside dans sa capacité à normaliser le processus de désinscription en matière de confidentialité des données dans les pays autres que les États-Unis qui ont des directives de désinscription similaires dans leur législation sur la confidentialité des données.

Une fois la préférence définie, chaque fois que l'utilisateur visite un site, le navigateur envoie automatiquement un signal (Sec-GPC) indiquant que l'utilisateur ne souhaite pas que ses données personnelles soient vendues, partagées ou utilisées à des fins de publicité ciblée. Le site doit alors traiter ce signal comme il le ferait pour une demande « Ne pas vendre » en vertu du CCPA. Cela élimine le besoin pour l'utilisateur de faire manuellement une demande « Ne pas vendre » pour chaque nouveau site qu'il visite : définissez la préférence une fois et vous avez terminé.

Là où ce mécanisme excelle vraiment, c'est dans la normalisation du processus de non-participation à la confidentialité des données dans les pays en dehors des États-Unis qui ont des directives de non-participation similaires dans leur législation sur la confidentialité des données.

Par exemple, le règlement général sur la protection des données (RGPD) de l'UE, qui favorise fortement l'opt-in, stipule également dans son article 21 que les utilisateurs peuvent s'opposer au traitement de leurs données personnelles à tout moment si le traitement est nécessaire aux intérêts légitimes poursuivis par le controlle. Un droit similaire figure à l'article 24 de la Loi sur la protection des données (LPD) de Maurice, fortement inspirée du RGPD.

Comme mon ami et collègue Loganaden Velvindron (cyberstorm.mu) l'a souligné dans le Explicateur GPC, "Les régulateurs mauriciens peuvent considérer que le GPC constitue une invocation juridiquement contraignante des droits de l’article 24. Ce serait le cas si les préférences de non-participation des utilisateurs à GPC étaient leurs seules préférences de non-participation connues ou si leurs préférences de non-participation à GPC s'alignaient sur toute autre préférence de non-participation qu'ils avaient invoquée. Cependant, en cas de conflits, des ambiguïtés peuvent subsister, car il n'est pas explicitement fait mention d'un mécanisme global de désinscription prévalant sur le consentement direct donné pour une demande de partage spécifique sur un site spécifique.»

Pour l’instant, GPC semble gagner du terrain. Plusieurs navigateurs majeurs, tels que Firefox et Brave, ont déjà implémenté cette fonctionnalité de manière native, et plusieurs grands éditeurs américains honorent les demandes GPC. Firefox a défini des préférences GPC ne pas vendre ou partager des données par défaut en mode privé. Pour les navigateurs qui ne prennent pas encore en charge GPC, des extensions comme Blaireau de confidentialité fournir des fonctionnalités similaires aux utilisateurs.

Personnellement, je pense que GPC est un excellent outil pour signaler les préférences des utilisateurs pour les sites. Mais à lui seul, il ne peut pas faire grand-chose. En fin de compte, c'est vraiment aux éditeurs de décider s'ils souhaitent ou non respecter les préférences de l'utilisateur. C'est pourquoi on affirme souvent que les solutions basées sur le consentement ne fonctionnent pas efficacement. Pour que GPC fonctionne efficacement, il doit compléter les législations complètes sur la confidentialité qui donnent aux consommateurs des droits explicites sur leurs données privées en ligne, comme dans le cas du CCPA. Sans une législation complète sur la confidentialité, les éditeurs peuvent simplement refuser l'accès à leurs produits plutôt que d'avoir à répondre à la demande d'un utilisateur de ne pas partager ou vendre ses données.

Cela étant dit, le fait que GPC soit une solution de non-participation universelle, non liée à une mise en œuvre juridique spécifique, signifie que tout pays doté de lois sur la protection de la vie privée qui donnent à ses citoyens le droit de refuser la vente ou le partage de leurs données personnelles peut facilement prendre des mesures. profitent de la spécification GPC, tout comme les résidents californiens.

Article par Veegish Ramdani, membre de cyberstorm.mu