L'État de Californie aux États-Unis a récemment lancé officiellement une plateforme en ligne appelée « Delete Requests and Opt-Out Platform » (DROP), offrant aux résidents de l'État un nouvel outil centralisé pour limiter la capacité des courtiers en données à stocker et à vendre leurs informations personnelles. En vertu des précédentes réglementations en matière de confidentialité en vigueur, les résidents californiens avaient le droit de demander aux entreprises de cesser de collecter et de vendre leurs données depuis 2020, mais dans le passé, ils devaient soumettre des demandes de désinscription distinctes à chaque entreprise une par une, ce qui était un processus fastidieux.

La loi sur la suppression adoptée en 2023 vise à simplifier ce processus, en permettant aux résidents de demander à plus de 500 courtiers en données enregistrés de supprimer leurs informations personnelles via une demande unique.

Actuellement, la plateforme DROP a commencé à accepter les candidatures. Une fois que les résidents ont effectué la vérification de leur résidence en Californie sur la plateforme, ils peuvent soumettre une demande de suppression, qui sera automatiquement envoyée à tous les courtiers en données enregistrés dans l'État et à ceux enregistrés à l'avenir. Cependant, cela ne signifie pas que toutes les données pertinentes seront supprimées immédiatement : selon la réglementation, les courtiers ne commenceront à traiter officiellement ces demandes qu'en août 2026 et disposeront également d'un délai de traitement de 90 jours, après quoi ils devront fournir un retour d'information à l'agence de régulation une fois le traitement terminé. Si le courtier ne parvient pas à trouver les enregistrements pertinents ou supprime les données, les utilisateurs peuvent compléter davantage d'informations via la plateforme pour aider l'entreprise à localiser leurs données personnelles.

Il convient de noter que le nouvel outil s'adresse principalement aux courtiers en données qui achètent et vendent des informations personnelles, et n'oblige pas les entreprises à supprimer les données qu'elles obtiennent directement des utilisateurs en tant que première partie. En d’autres termes, les données de première partie légalement collectées et conservées par l’entreprise sur la base de sa propre relation de service peuvent toujours être conservées ; ce qui doit être supprimé, ce sont les données personnelles utilisées par le courtier pour acheter et vendre, y compris les numéros de sécurité sociale, l'historique de navigation, les adresses e-mail, les numéros de téléphone et d'autres types d'informations. En outre, certaines informations dérivées des archives publiques, telles que les informations sur l'immatriculation des véhicules et les registres d'inscription des électeurs, ne peuvent pas être supprimées. Certaines données très sensibles, telles que les informations médicales protégées par d'autres lois fédérales ou étatiques telles que la Health Insurance Portability and Accountability Act (HIPAA), sont soumises à leurs propres cadres juridiques spécifiques.

La California Privacy Protection Agency a déclaré qu’en plus de renforcer davantage le contrôle des résidents sur leurs propres données, ce nouvel outil devrait avoir de multiples effets dans la vie réelle, tels que la réduction des messages texte, des appels téléphoniques et des e-mails indésirables. L'agence a également souligné que la suppression centralisée des données peut également contribuer à réduire le risque d'usurpation d'identité, de fraude, d'« usurpation d'identité par l'IA » (l'utilisation de l'intelligence artificielle générative pour simuler une voix ou une identité afin de commettre une fraude), ainsi que de violations de données ou de pirates informatiques. Pour les courtiers en données qui ne s'enregistrent pas auprès de la Californie comme requis ou ne remplissent pas leurs obligations après avoir reçu une demande de suppression, les régulateurs peuvent imposer des amendes de 200 $ par jour et récupérer les frais d'application.

Les initiés du secteur estiment que la mise en œuvre du DROP signifie que les principaux maillons de mise en œuvre de la « loi sur la suppression » ont officiellement pris forme, fournissant un exemple pratique pour la surveillance du courtage de données dans les autres États et même au niveau fédéral. Dans le contexte du développement rapide de l’intelligence artificielle générative et du risque croissant d’abus de données, la supervision de la chaîne d’achat et de vente de données personnelles devient un nouvel objectif dans le domaine des politiques de confidentialité et de sécurité. Le mécanisme centralisé de « suppression en un clic » lancé par la Californie pourrait pousser davantage de régions à réexaminer les limites de conformité et les obligations du secteur du courtage de données.