Vie privée et Data Brokers: le cas californien
Aziz Fatnassi est étudiant dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)
Introduction : la Californie, le laboratoire étasunien en matière de protection des données personnelles
Au sud de la baie de San Francisco, sur les comtés de Santa Clara et de San Mateo en Californie, s’étend la Silicon Valley, épicentre mondial de l’innovation technologique. Sur ce territoire relativement restreint d’environ 200 km², soit deux fois la surface de la ville de Paris, les grandes firmes industrielles historiques comme Hewlett-Packard, Intel et Apple côtoient les géants de l’économie numérique, au premier rang desquels figurent Google, Meta, Yahoo, LinkedIn, Twitter, PayPal et Netflix.
Berceau de la haute technologie et de l’innovation mondiale, la Californie ne cesse pourtant de prendre les devants en matière de protection de données personnelles depuis le scandale Facebook/Cambridge Analytica, un choix qui se traduit par l’entrée en vigueur au 1ᵉʳ janvier 2020 du California Consumer Privacy Act, une version étatsunienne du Règlement européen de protection des données (RGPD). Première du genre aux États-Unis, elle impose aux géants du Net, dont le modèle économique repose sur la collecte et l’exploitation commerciale des données personnelles de leurs utilisateurs, des obligations de transparence quant aux types de données qu’ils collectent, ainsi que l’obligation de permettre aux personnes concernées de s’opposer à une telle exploitation.
Dans la droite lignée de son engagement en faveur d’un renforcement du contrôle des consommateurs californiens sur leurs données personnelles, le législateur a entendu leur conférer le droit de supprimer leurs données collectées par les plateformes numériques, tout en en rationalisant le processus de mise en œuvre. Ce choix s’est concrétisé avec l’adoption en 2023 du Senate Bill SB-362, un projet de loi connu sous le nom de Delete Act, en vertu duquel la California Privacy Protection Agency (ci-après CPPA), l’Agence californienne de protection de la vie privée, devrait mettre en place, au plus tard le 1ᵉʳ janvier 2026, un moyen permettant aux consommateurs de demander l’effacement de leurs données personnelles, en une seule demande.
C’est dans le prolongement de cette démarche qu’a été créée la « Delete Request and Opt-out Platform » (ci-après DROP), une plateforme gratuite grâce à laquelle les consommateurs peuvent désormais, dans le cadre d’une seule procédure, exiger la suppression de leurs données personnelles auprès de plus de 500 courtiers en données.
Sur les courtiers en données personnelles souffle le vent du Delete Act
Les controverses récentes liées au recours par certaines entreprises aux algorithmes de tarification dynamique pour ajuster les prix, tout comme les pratiques d’achat et d’exploitation de données personnelles des utilisateurs de certaines applications, montrent l’ampleur prise par le marché de courtage de données et rappellent combien leur protection constitue désormais un enjeu central.
Aux termes de l’article 1798.99.80 du Delete Act, qui reprend à l’identique la définition du California Civil Code, est un courtier en données « une entreprise qui collecte et vend sciemment à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’a pas de relation directe ». Il en découle que la notion de courtiers en données renvoie à une entreprise qui commercialise à des tiers des informations personnelles collectées auprès d’autres entreprises, concernant des personnes avec lesquelles elle n’entretient aucun lien direct.
Le California Civil Code prévoyait déjà l’obligation, pour les courtiers en données, de s’inscrire auprès de la CPPA, selon les modalités prévues à l’article 1798.99.82. L’apport du Delete Act tient donc moins à l’enregistrement en tant que tel qu’à l’obligation faite aux courtiers en données de répondre aux demandes de suppression toutes les 45 jours, telle que prévue à l’article 1798,99,86 (C)(1), sous peine de sanctions. Pour veiller au respect des nouvelles règles en place, le paragraphe (e)(1) du même article introduit un mécanisme de surveillance assurée par des tiers, dont la mise en œuvre interviendra en 2028 et sera renouvelée tous les trois ans.
Fonctionnement de la « Delete Request and Opt-out Platform »
La plateforme DROP permet au consommateur d’adresser, par une seule soumission, une demande de suppression de ses données personnelles à l’ensemble des courtiers enregistrés, ainsi que, le cas échéant, une demande d’opposition à leur vente ou à leur partage futur. Les courtiers sont ensuite tenus de consulter régulièrement la plateforme et de traiter les demandes dans les délais fixés par la loi.
Avant de formuler sa demande, le consommateur doit préalablement s’inscrire à la plateforme. À cette fin, il lui appartient d’attester de sa résidence en Californie en communiquant certaines informations d’identification, notamment son nom, sa date de naissance et son adresse. Ces données sont ensuite transmises, sous forme hachée, aux courtiers en données concernés afin de permettre le traitement de la demande.
Le consommateur peut, le cas échéant, compléter son profil en ajoutant d’autres informations complémentaires susceptibles de faciliter l’identification de ses données, telles qu’un numéro de téléphone, avant d’adresser sa demande soit à l’ensemble des courtiers inscrits, soit à une sélection d’entre eux, et d’en suivre l’évolution depuis son espace personnel.
En offrant aux consommateurs un « guichet unique » qui leur permet de centraliser l’exercice de leur droit d’exiger la suppression de leurs données personnelles auprès d’une pluralité de courtiers en données souvent difficilement identifiables, la plateforme DROP répond à un enjeu d’accessibilité et de rationalisation des procédures.
Suppression, désindexation, effacement, oubli, une perspective de droit comparé
Au Québec, le droit à la suppression des renseignements personnels est consacré à l’article 40 du Code civil du Québec, au visa duquel « Toute personne peut faire corriger, dans un dossier qui la concerne, des renseignements inexacts, incomplets ou équivoques ; elle peut aussi faire supprimer un renseignement périmé ou non justifié par l’objet du dossier, ou formuler par écrit des commentaires et les verser au dossier… » et le droit à la désindexation à l’article 28.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), dont le premier paragraphe dispose que « La personne concernée par un renseignement personnel peut exiger d’une personne qui exploite une entreprise qu’elle cesse la diffusion de ce renseignement ou que soit désindexé tout hyperlien rattaché à son nom permettant d’accéder à ce renseignement par un moyen technologique, lorsque la diffusion de ce renseignement contrevient à la loi ou à une ordonnance judiciaire ». Ces deux droits ne recouvrent toutefois pas le même objet, la suppression visant le renseignement lui-même, tandis que la désindexation n’affecte que sa visibilité en ligne.
Outre-Atlantique, le premier paragraphe de l’article 17 du RGPD au titre duquel la personne concernée est en droit « d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ». Il en découle que la personne concernée peut exiger l’effacement de données à caractère personnel la concernant dans les cas prévus à l’article 17, notamment à la suite de l’exercice du droit d’opposition, lorsque les données ont fait l’objet d’un traitement illicite ou encore afin de respecter une obligation légale issue du droit de l’Union ou du droit de l’État membre auquel le responsable du traitement est soumis.
Ce droit à la suppression des données est toutefois souvent confondu avec le droit à l’oubli, alors que ces deux notions ne se situent pas au même rang juridique.
Évoqué pour la première fois en 1966 par Gérard Lyon-Caen dans un commentaire d’un jugement du Tribunal de grande instance de la Seine, le droit à l’oubli renvoyait alors à l’idée que certains faits, devenus anciens, ne devaient plus être rappelés en justice, une conception inspirée de la prescription de l’action publique, fondée sur la logique selon laquelle, passé un certain délai, il n’est plus nécessaire de rappeler en justice les crimes dont les effets ont disparu.
Le droit à l’oubli est en effet plus large et l’effacement n’en constitue qu’une modalité. En ce sens, l’oubli peut être assuré autrement que par la suppression des données, notamment par le droit au déréférencement, défini par la Cour de justice de l’Union européenne dans l’arrêt Google Spain comme le droit à ce que l’information « relative à sa personne ne soit plus […] liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom […] », dans une logique assez proche du droit à la désindexation prévu au Québec.
Le droit à la désindexation pourrait, à première vue, être assimilé au droit à l’effacement. Il n’en est pourtant rien, puisqu’il ne vise pas à supprimer l’information du site source, qui reste accessible par d’autres critères de recherche, mais à empêcher qu’elle apparaisse dans les résultats du moteur de recherche lorsqu’une requête est effectuée au nom de la personne.
Toutefois, faute d’une mise en œuvre centralisée aussi bien au Québec qu’en Europe, l’exercice de ces droits par les personnes concernées demeure fragmenté.
Alea jacta est, une réforme audacieuse aux effets limités
Malgré des avancées notables, la réponse californienne aux enjeux du marché des services de courtage de données n’est toutefois pas exempte de limites et gagnerait à être renforcée, ce que les développements suivants entendent mettre en évidence en s’attachant plus particulièrement au caractère largement discrétionnaire du dispositif et à sa portée territoriale restreinte.
Une effectivité laissée au bon vouloir des courtiers en données
Le mécanisme repose sur l’enregistrement des courtiers à la plateforme DROP, condition nécessaire pour que les consommateurs puissent exercer leur droit à la suppression. Le Delete Act prévoit à cet effet une amende de 200 dollars par jour en cas de défaut d’enregistrement, en plus des coûts d’enquête engagés par la CPPA. Une fois enregistrés, les courtiers doivent en outre consulter la plateforme et traiter les demandes dans les délais légaux, sous peine d’une amende identique en cas de non-suppression.
Cependant, compte tenu du poids économique de l’industrie des services de courtage de données, ces sanctions nous semblent relativement limitées, de sorte que l’effectivité du dispositif semble dépendre, dans une large mesure, du bon vouloir des courtiers eux-mêmes.
Un champ d’application ratione loci limité
Adopté dans le cadre d’une loi étatique, et non fédérale, le dispositif DROP ne s’impose qu’aux courtiers soumis au droit californien, ce qui restreint considérablement son champ d’application territorial alors même que le marché des services de courtage de données se déploie dans un environnement numérique transnational.
Dès lors, le dispositif californien issu du Delete Act ne constitue pas tant un aboutissement qu’une étape dans une réflexion encore en construction sur les conditions d’effectivité du droit à l’effacement. Reste à savoir si cette réflexion trouvera demain un cadre juridique à la mesure des mutations qu’elle révèle. Une telle réflexion semble devoir se déployer dans un contexte plus large, marqué par l’essor de l’intelligence artificielle générative. Elle est générative dans la mesure où elle permet de « générer », à partir de requêtes textuelles, des objets numériques tels que des textes, des images, des sons, des vidéos, ou encore des fichiers. Ces productions suscitent tout autant l’émerveillement que les débats.
Ce contenu a été mis à jour le 4 mars 2026 à 11 h 19 min.
Commentaires