En BigIDeas en mouvementMary Stone Ross, co-auteure de l'ouvrage Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et ancienne présidente de Californians for Consumer Privacy, explique comment elle est arrivée dans le domaine de la protection de la vie privée depuis « l'autre côté », en tant qu'analyste du contre-espionnage à la CIA.
Un problème « terrifiant » à résoudre
Dans un pré-Cambridge Analytica Dans le monde, le sentiment populaire vis-à-vis de la confidentialité des données se résumait à : « Si vous voulez garder quelque chose privé, ne le publiez pas sur Internet. »
Une fois initié au monde de la protection de la vie privée et fort de son expérience en politique et en droit, Ross « a commencé à creuser et à essayer de comprendre s'il y avait un problème ici ? Y a-t-il un problème que nous cherchons à résoudre ? »
En tant qu'ancien membre de la commission du renseignement de la Chambre des représentants qui a aidé à superviser le programme d'écoutes téléphoniques de la NSA qu'Edward Snowden a plus tard divulgué, Ross avait une vision unique de ce que pourrait être ce problème.
« Honnêtement, cela ne nous inquiétait pas vraiment », explique Ross à propos du programme à l'époque. « Il y avait de nombreux mécanismes de surveillance en place pour contrôler l'utilisation de ces informations et s'assurer qu'elles n'aillent pas trop loin. »
Du point de vue de Ross, de nombreux problèmes majeurs étaient dus à des oublis. « Quand j'ai commencé à faire des recherches et à voir combien d'informations ces grandes entreprises collectaient et granularité des détailsÇa m'a vraiment terrifié. Et quand j'ai commencé à voir la quantité d'informations, comme informations sur la santé « Et des informations de géolocalisation précises étaient disponibles, et comme personne n’avait de contrôle sur elles ni sur la façon dont elles étaient utilisées, je savais que c’était le problème que nous devions résoudre. »
De défenseur de la vie privée à actionnaire du CCPA
Ross a commencé des recherches pour CCPA En 2016, on entend sans cesse : "Oh, c'était adopté en une semaine, c'était écrit en une semaine !" Et c'est tout à fait faux.
En travaillant main dans la main avec l’ACLU, l’EFF et de nombreuses organisations de protection de la vie privée, « nous avons vraiment essayé d’être réfléchis et d’aborder les choses d’une manière différente ».
La CCPA a débuté comme une loi sur la liberté d'information pour les entreprises privées. « L'idée était de pouvoir se rendre dans n'importe quelle entreprise et demander : "Que savez-vous de moi ?" et ils devraient te le dire.
« Même pour les gens qui ne sont peut-être pas intéressés ou qui n'ont pas le temps de faire ces choses, c'est un contrôle sur ces entreprises… S'ils doivent le faire divulguer en langage clair Ce qu'ils collectent et ce qu'ils en font devient un contrôle indirect. Peut-être y a-t-il certains types d'informations Ils ne veulent pas collecter parce qu’ils ne voudraient pas que cela soit rendu public.
CCPA : Qu'est-ce qui a fonctionné ?
Des consommateurs droits sur leurs données En ce qui concerne les exigences de divulgation pour les entreprises, la CCPA a établi des réglementations importantes.
« Ce que vous ne voyez pas dans les coulisses, c'est qu'il y a beaucoup d'entreprises qui, pour la première fois, se sont demandé : « Quelles informations collectons-nous sur les gens ? » » Les organisations ont commencé cartographier leurs données et d’améliorer leurs processus internes, non seulement pour les régulateurs, mais aussi pour leur image publique.
En vertu de la CCPA, les entreprises devaient se demander : quelles informations possédons-nous ? En avons-nous besoin ? Et, si ce n’est pas le cas, devrions-nous les divulguer ? débarrasse-toi de ça« C’était un immense triomphe », déclare Ross.
CCPA : Qu'est-ce qui n'a pas fonctionné ?
Selon Ross, l’application de la loi CCPA a souffert de compromis législatifs qui ont privé les individus et les fonctionnaires du droit d’intenter une action en justice contre les organisations non conformes.
« Dans le cadre de cette initiative, nous avons mis en place des mesures d'application très strictes. Nous avons instauré un droit d'action privé, permettant à toute personne lésée par une violation de la CCPA d'intenter une action en justice. Ce droit a été supprimé. »
Les procureurs de district, les procureurs municipaux et les procureurs municipaux n'ont plus le droit d'engager des poursuites judiciaires ; seul le procureur général de Californie est habilité à le faire. « Je pense que le procureur général [Xavier] Becerra et les personnes de son cabinet ont clairement montré leur intention d'appliquer cette loi avec sérieux », déclare Ross.
Le problème est que le procureur général dispose de ressources limitées. Très limitées, elles suffisent à environ trois actions coercitives par an. Résultat : de nombreuses entreprises se contentent du strict minimum, pariant sur les probabilités et partant du principe qu'elles ne figureront pas parmi ces trois entreprises.
La CPRA résoudra-t-elle le « problème d’application de la loi » ?
Alors que la dernière initiative en matière de confidentialité en Californie, la California Privacy Rights Act (CPRA), vise à mettre de « vraies dents » derrière le CCPA En créant une nouvelle agence dédiée à l'application de la loi, Ross émet des réserves.
« Je pense que c'est formidable d'avoir une nouvelle agence californienne de protection des données », déclare Ross, « mais la façon dont la nouvelle initiative est rédigée, le budget est plafonné à 14410 millions de livres sterling par an. »
En revanche, « le budget de la FTC dépasse 14300 millions de livres sterling par an, et tout le monde s'accorde à dire que ce n'est pas suffisant pour mener toutes les actions répressives nécessaires. 1410 millions de livres sterling, c'est donc vraiment peu. C'est peut-être suffisant pour financer une agence, mais je ne vois pas pourquoi plafonner le budget à un montant aussi faible alors que l'ampleur du problème est immense. »
L'avenir de la réglementation fédérale
Tout comme d’autres initiatives nées en Californie, comme des normes d’émissions automobiles plus strictes et notification de violation exigences — Ross a prévu la prolifération à l'échelle nationale et l'impact que le CCPA aurait au-delà des frontières de la Californie.
En tant qu'ancienne agente fédérale et fervente défenseure de la vie privée, elle considère cela comme un signe positif pour une éventuelle législation fédérale qui remplacerait les réglementations à l'échelle de l'État.
« L'État de Washington continue d'introduire de nouvelles lois sur la protection de la vie privée… Je pense que d'ici quelques années, une législation fédérale complète sur la protection de la vie privée sera adoptée. Cela va au-delà du CCPA et du CPRA. C'est ce que font d'autres États. Je pense que le secteur craint une mosaïque de 50 États. Du point de vue des entreprises, cela complique considérablement leur conformité. »
Ross soutient que les avantages de pratiques responsables en matière de confidentialité des données résident dans la confiance du public, la simplification des processus opérationnels et un avantage concurrentiel majeur. « La confidentialité », affirme-t-elle, « est en réalité une excellente stratégie commerciale. »
Écoutez l'interview complète pour en savoir plus sur la manière dont Ross aide les entreprises à naviguer dans la législation sur la confidentialité et sur l'évolution de la situation en matière de confidentialité, selon elle.