Le mardi 10 octobre dernier, les Californiens ont adopté une loi permettant d'exiger des courtiers en données qu'ils effacent toutes données personnelles en ligne, sans quoi ces derniers s'exposent à une amende de 200 dollars par jour et par personne. Une mesure qui s'annonce bien moins fastidieuse que l'application du RGPD en France.

Les courtiers en données (ou "data brokers", en anglais), ce sont ces entreprises spécialisées dans le commerce des données, avec lesquelles réseaux sociaux et entreprises collaborent pour engranger davantage.

Comme le rapportait Usbek & Rica, le gouverneur démocrate de Californie, Gavin Newsom, avait promis par voie de communiqué d’interdire "aux plateformes d’encourager les enfants à leur fournir des informations personnelles". Comme tout bon Américain, il s'appuyait sur le registre personnel pour enfoncer le clou : "En tant que père de quatre enfants, je connais les véritables problèmes que [les plus jeunes] rencontrent en ligne […] Notre priorité doit être de protéger leur santé et leur bien-être."

Dans la foulée, il a signé le "Delete Act", proposé quelque temps auparavant par le sénateur Josh Becker. Le texte prévoit d’obliger l’Agence californienne de la protection de la vie privée (California Privacy Protection Agency) à créer un mécanisme contraignant d’ici à janvier 2026. Cela devrait prendre la forme d'un portail en ligne, sur lequel n’importe quel administré pourrait déposer une demande de suppression de l’intégralité de ses données, toutes plateformes confondues, et voir cette même demande exécutée dans la foulée. S'ils refusent, les courtiers se risquent à 200 dollars d'amende par jour et par personne.

Cette loi s'ajoute à une autre qui va dans le même sens : contraindre les entreprises vendant des appareils de plus de 100 dollars à fournir "des pièces, des logiciels et de la documentation" appropriée pour réparer ces objets pendant au moins sept ans. Tout ceci faisant dire à Josh Becker que la Californie se positionne "en tant que leader" des mesures de régulation technologique.

En France, pour faire appliquer le RGPD, "la demande doit être formulée auprès de chaque organisme". Bien qu'on puisse s'appuyer sur des courriers types, ou sur l'aide de la CNIL, c'est singulièrement laborieux. Autrement, il existe de plus en plus de start-ups qui se spécialisent dans la suppression des données en ligne pour les particuliers. Incogni, par exemple, vous demande simplement votre e-mail et se charge de contacter un par un tous les courtiers en données en votre nom pour faire supprimer toutes vos données.