L’ADCA inclut une exclusion, stipulant que si un site ou une application offre un niveau élevé de protection des données (par exemple, il ne vend pas de données utilisateur, n’utilise pas de publicités ciblées), il n’a pas besoin d’un âge- mécanisme d’estimation du tout.
Disons qu’il existe un site Web appelé Fake-website.com. S’il s’avère que Fake-website.com a un nombre “significatif” de visiteurs de routine qui sont des adolescents, il serait alors soumis à un contrôle réglementaire en vertu de l’ADCA. À ce stade, Fake-website.com a deux options : s’il utilise des publicités ciblées ou vend des données d’utilisateurs, il devra installer un mécanisme d’estimation de l’âge, comme une invite pour que les utilisateurs saisissent leur anniversaire, afin qu’il n’offre pas des publicités ciblées aux utilisateurs qui s’identifient comme ayant moins de 18 ans. Fake-website.com ne peut alors pas utiliser le point de données de l’utilisateur (leur anniversaire) d’une autre manière et doit le supprimer dès que possible. S’il n’utilise pas de publicités ciblées ou ne vend pas les données des utilisateurs, il n’y a plus rien à faire. Les partisans disent que la clause pertinente (“appliquer la protection de la vie privée et des données accordée à tous les enfants à tous les consommateurs”) est au cœur du projet de loi et le mécanisme par lequel l’ADCA pourrait réellement inciter à rendre Internet plus sûr pour tous les utilisateurs.
C’est-à-dire si elle peut être appliquée. D’autres craignent que les ambiguïtés du projet de loi, y compris la clause d’estimation de l’âge, soient trop vagues pour être mises en œuvre. “Je suppose que cela sera probablement simplement ignoré par les entreprises technologiques”, déclare Justin Brookman, directeur de la politique technologique chez Consumer Reports, une organisation à but non lucratif. “Cela ressemble à une politique bâclée.”
Les partisans, cependant, disent que l’ambiguïté est délibérée. La loi créera un nouvel organisme de réglementation chargé de préciser les détails du projet de loi, y compris l’exigence d’estimation de l’âge. Il est censé travailler avec les entreprises au cas par cas pour déterminer comment elles pourraient se conformer à la loi, qui entrerait en vigueur en juillet 2024.
L’ADCA n’est pas sans précédent – le projet de loi s’inspire d’une législation britannique similaire entrée en vigueur en 2021. On ne sait pas si le UK Design Code a eu beaucoup d’impact. Il n’a pas encore été appliqué, bien qu’il soit exécutoire depuis un an. Le commissaire à l’information du pays, John Edwards, a déclaré à Bloomberg que son bureau “étudie comment plus de 50 services en ligne différents se conforment au code”.
Bien que le gouverneur Newsom n’ait pas encore pris position publiquement sur l’ADCA, il devrait la signer, ce qu’il doit faire d’ici la fin septembre. Une fois promulgué, le projet de loi pourrait avoir des conséquences plus importantes que les seuls enfants de Californie. Bien que la loi ne soit applicable que pour les utilisateurs et les entreprises basés en Californie, les entreprises peuvent choisir d’offrir des protections de confidentialité des données plus élevées pour tous les enfants, plutôt que des protections de géorepérage pour la Californie. Par exemple, lorsque l’Europe a adopté le RGPD, Microsoft a choisi d’étendre les protections du RGPD à tous les utilisateurs.
Comme Wicks l’a dit lors d’une conférence de presse mardi: “J’espère absolu que si ce projet de loi est promulgué, il deviendra effectivement la loi du pays.”