Le gouverneur de Californie Gavin Newsom a signé le 10 octobre le projet de loi SB-362, baptisé le Delete Act, qui permet aux consommateurs californiens d'exiger la suppression de leurs données personnelles aux courtiers en données (ou data brokers) via un guichet unique géré par la California Privacy Protection Agency (CPPA), l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil). Ce nouveau droit entre en vigueur le 1er janvier 2026 et la procédure d'effacement devra être effective au 1er août 2026.
Un droit à l'effacement 2.0
Le California Consumer Privacy Act (CPPA), reconnu comme étant l'équivalent du Règlement général sur la protection des données (RGDP) en Californie, consacre déjà un droit à l'effacement, c'est-à-dire que les personnes peuvent demander aux organismes publics et entreprises la suppression de leurs données personnelles. La nouveauté du Delete Act est la simplification de la procédure grâce à un canal unique.
Le texte californien vise les courtiers en données définis comme étant "une entreprise qui collecte et vend sciemment à des tiers les informations personnelles d'un consommateur avec lequel l'entreprise n'a pas de relation directe". Cet Etat américain en compte environ 500. Un chiffre connu grâce aux déclarations devant être faites obligatoirement au procureur général.
Ainsi, lorsqu'un data broker recevra une demande d'effacement, il devra le faire "au moins une fois tous les 45 jours" et il ne pourra plus "vendre ou partager" de nouvelles données personnelles du requérant. Par ailleurs, tous les trois ans, les courtiers en données devront se soumettre à un audit mené par un tiers indépendant pour déterminer la conformité aux dispositions légales. Un rapport devra aussi être fourni à la CPPA.
Une astreinte de 200 dollars par jour
Les courtiers en données récalcitrants s'exposent à une amende administrative de 200 dollars par jour pour chaque demande non satisfaite. Le montant total de l'amende peut rapidement donc être conséquent.
La loi ne s'applique pas immédiatement car elle demande la mise en place de tout un mécanisme par la Cnil californienne. Celle-ci doit trouver le moyen de compiler les demandes de tous les consommateurs et de les soumettre à tous les data brokers déclarés en Californie puis de vérifier que les réclamations sont bien prises en compte.
La Californie est encore une fois un Etat précurseur dans la protection des données personnelles. Bien que son application demeure encore floue, cette procédure est une nouveauté intéressante. Le RGPD prévoit bien un droit à l'effacement mais la demande doit être formulée auprès de chaque organisme. Une procédure longue et fastidieuse car il est bien souvent difficile de connaître tous les détenteurs de données.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
