News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

CCPA_Compaas-1024x536

Partager l'article

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Le California Consumer Privacy Act (CCPA) en 6 points clés

Le California Consumer Privacy Act (CCPA), relatif à la protection des informations des consommateurs californiens est souvent comparé au RGDP. Pourtant, les personnes visées ne sont pas les mêmes. Là où le règlement européen concerne toute personne physique et ce quel que soit son statut, le CCPA ne vise pour sa part, que les consommateurs et les ménages californiens. Par ailleurs, le RGPD focalise sur le consentement des personnes, alors que le CCPA met l’accent sur l’information.

Y-a-t-il une règlementation data privacy aux Etats-Unis ?

En l’absence d’une réglementation fédérale complète sur la protection de la vie privée, le CCPA californien sur la protection du consommateur et des ménages est la plus importante en la matière aux Etats-Unis.

 

Le Californian Consumer Privacy Act (CCPA) est entré en application le 1er janvier 2020 dans l’État de Californie et entrera en vigueur à l’été 2020. Bien que cette loi ne s’impose qu’en Californie, elle va toutefois concerner 1 Américain sur 8.

 

Si le législateur européen a laissé une période de transition pour que les entreprises puissent anticiper leur mise en conformité, les sociétés américaines soumises au CCPA s’exposent à des poursuites dès le 1er janvier 2020.

 

La définition donnée dans le CCPA de l’information personnelle est proche de celle de la donnée à caractère personnel précisée dans le RGPD. Toutefois, le périmètre de la loi californienne est plus large car il concerne également les ménages (household) et pas seulement les individus.

 

En revanche, le CCPA exclut de son champ d’application les relations avec les administrations publiques (organisme public fédéral, étatique ou local) mais également, les données sensibles au sens du RGPD telles que les données sur les origines raciales, ethniques, les opinions, la vie sexuelle. Les données de santé, outre-Atlantique sont régies par une réglementation spécifique.

Quel est le champ d’application du texte ?

Il s’agit d’un texte de droit de la consommation s’appliquant aux entreprises dans leur relation aux consommateurs (BtoC).

 

Les entreprises sont concernées par le texte si elles cumulent différents critères :

 – Faire des affaires dans l’Etat de Californie,

 – Collecter des informations personnelles sur les résidents californiens,

 – Et remplir l’une de ces exigences de seuil : présenter un revenu brut annuel de plus de 25 millions de dollars ; acheter, vendre, recevoir ou partager à des fins commerciales les données d’au moins 50 000 consommateurs californiens, ménages ou appareils ; ou tirer 50% de ses recettes annuelles de la vente d’informations personnelles de consommateurs californiens.

 

Par conséquent, les entreprises françaises ou européennes qui exercent leur activité en Californie, collectent des informations personnelles de consommateurs californiens et répondent à un des critères de seuil, sont concernées par le CCPA.

Quels sont les droits accordés aux consommateurs californiens ?

La plupart des droits consentis aux consommateurs sont similaires à ceux édictés par le RGPD. Ils disposent d’un droit à l’information, d’accès, d’opposition ou de portabilité. L’objectif est de permettre à ces personnes de savoir si leurs données personnelles ont été collectés mais surtout vendues.

 

À ce titre, toute entreprise concernée par le CCPA doit mettre en place sur son site une page « ne vendez pas mes données ». Si un consommateur s’oppose à ce que ses données soient revendues, il doit remplir un formulaire dédié. Par défaut, ses informations personnelles peuvent être vendues.

 

Un consommateur est également en droit de savoir si ses données sont communiquées dans le cadre d’un profilage. Par exemple, l’entreprise catégorise-t-elle ses clients selon leur comportement d’achat ou selon leur capacité de financement ?

 

Les résidents californiens peuvent désormais avoir accès aux catégories de données personnelles collectées par les entreprises telles que la localisation provenant de leur smartphone ou l’historique de leur consommation. Ils peuvent également exiger l’effacement de ces données. Certaines entreprises ont suivi l’exemple de Facebook ou Microsoft et proposent à leurs utilisateurs le téléchargement d’une copie de toutes leurs données personnelles traitées.

 

Dans une philosophie différente de celle du RGPD, le Californian Consumer Privacy Act accorde aux consommateurs le droit de demander l’interdiction de la vente des informations personnelles. Le règlement européen ne prévoit aucune interdiction stricte à la vente de données personnelles. Selon le RGPD, la transmission, par vente ou non, de données personnelles est conditionnée au consentement de la personne concernée au moment de la collecte de ses données.

 

La notion de vente au sens du CCPA est particulièrement large. Elle consiste en la mise à disposition d’information personnelles auprès d’un tiers : vente, location, communication, divulgation, diffusion, transfert des informations d’un consommateur d’entreprise à entreprise ou à un tiers en échange d’une contrepartie monétaire ou d’une autre forme d’avantage. Concrètement, les entreprises sont incitées à insérer un lien « Ne pas vendre mes données » ou « Ne pas vendre mes informations » sur leur site internet afin que les internautes puissent retirer leurs données des ventes par des tiers.

 

De plus, le CCPA prévoit des règles relatives aux données personnelles des mineurs. Les entreprises ont l’obligation d’obtenir l’accord des parents ou des représentants légaux avant de communiquer les données personnelles de leurs enfants de moins de 13 ans.

 

Par ailleurs, la règlementation renforce le principe de non-discrimination entre consommateurs dans la mesure où elle précise que tous doivent bénéficier d’un service de même qualité pour le même prix. Cela se traduit par l’interdiction de discriminer par quelconque moyen (interruption d’un service, prix différencié etc…) un consommateur qui aurait exercé un des droits précédemment cités.

Quelles sont les obligations des entreprises ?

Le responsable de traitement impacté par le Californian Consumer Privacy Act a pour obligation principale de respecter l’ensemble des droits précédemment cités dont celui d’afficher une section permettant au consommateur de refuser la vente de ses données personnelles comme stipulé plus haut en mettant en place sur leur site internet une une page « ne vendez pas mes données ».

 

Aucune notion se rapprochant de l’accountability, à savoir la responsabilisation des entreprises prônée par le RGPD, ne se retrouve dans le texte californien. Ainsi, les sociétés n’ont pas d’obligation de documenter leurs actions liées à la protection des données personnelles.

Quelles sont les pénalités encourues par l’entreprise en cas de manquements à ses obligations ?

Le montant maximal des amendes encourues varie entre 2 500 $ pour chaque violation constatée et 7 500 $ pour chaque violation intentionnelle à la législation. Ces montants peuvent paraître moins impressionnants que ceux fixés par le RGPD, qui peuvent atteindre jusqu’à 4% du chiffre d’affaire mondial consolidé, mais peuvent être multipliés par le nombre d’infractions retenues et peut donc atteindre des sommes bien supérieures.

 

Ces sanctions sont prononcées par l’Etat par l’intermédiaire du procureur général et non par une autorité de contrôle. Aucune autorité de régulation n’est prévue par l’administration américaine. Les sommes dues sont versées au Consumer Privacy Fund, placé sous la direction du procureur général finançant les avancés en matière de protection des données personnelles.

Le CCPA est-il l’équivalent de son homologue européen ?

Si le CCPA reprend certains concepts du RGPD tel l’apport de nouveaux droits pour les Californiens et le respect de leur libre arbitre, les enjeux sont bien différents.

 

Le RGPD a une portée globale, s’applique à un très large nombre d’acteurs et protège les données personnelles des citoyens européens. Tandis que le CCPA vise un groupe d’entreprises en particulier dans l’objectif de protéger les consommateurs californiens et principalement pour leur permettre de refuser la vente de leurs données personnelles.

 

Dans tous les cas, il s’agit d’un texte prometteur, témoin de la prise de conscience des autorités américaines. A tel point qu’un projet de loi fédérale pourrait prochainement voir le jour.

Tableau comparatif CCPA / RGPD

CCPA

RGPD

Champs d’application

Champs d’application restreint
  • Californie uniquement
  • Entreprises privées détenant les données de plus de 50 000 consommateurs et générant au moins 25 millions de dollars de CA dont ½ liés à la vente de données personnelles

Champs d’application large

  • Extra-territorialité
  • Tout type d’organisme (public/privé) dès lors que les citoyens européens sont ciblés

Personne concernée

Consommateur et ménages (exclusion de toutes les autres personnes)

Toute personne physique

Acteurs et responsabilité

Consommateur et ménages (exclusion de toutes les autres personnes)

Toute personne physique

Droits

Droits similaires au RGPD

  • Information
  • Accès
  • Effacement
  • Droit renforcé pour les mineurs


Droits supplémentaires au RGPD

  • Vente de données
  • Droit à la non-discrimination

Information

Accès

Rectification

Suppression

Opposition

Retrait du consentement

Limitation

Portabilité

Limitation

Réclamation auprès de l’autorité de contrôle

Données concernées

  • Exclusion des données relatives à la famille ou au foyer
  • Pas de règles spécifiques pour les données sensibles

Prise en considération des données sensibles

Autorité de contrôle

Pas d’autorité de contrôle

Texte dépendant du bureau du procureur général de Californie

Autorité de contrôle

Présente dans chaque Etat européen (la CNIL en France)

Obligations

Allégées

Respect des grands principes et droits

Importantes

Respect des grands principes et droits

Accountability

Sanctions

Souples

Jusqu’à 2 500 et 7 500 $ par infraction

Dissuasives

Jusqu’à 4% du CA mondial consolidé

Marine Ravry, Consultante Compaas

Voir d'autres articles

Le saviez-vous ? Vos sous-traitants sont une énorme source de risques pour votre entreprise !

Qui est encore étonné de lire dans la presse qu’une entreprise, un hôpital ou encore une mairie est victime d’une attaque informatique, bloquant tout ou partie de son activité ? Qui n’a pas encore pris connaissance d’une décision de la...

Écouter et enregistrer les conversations téléphoniques de ses salariés : est-ce légal ?

Est-il possible d’écouter les conversations téléphoniques de ses employés sur leur lieu de travail ? Votre employeur peut-il enregistrer toutes vos conversations ? En réalité, le régime des écoutes et enregistrements des appels concerne directement les plateformes téléphoniques : du support technique au...

Nos téléphones, des espions nouvelle génération ?

A qui cela n’est pas arrivé ? Vous discutez d’un nouveau produit, d’un nouveau service ou d’un voyage et qu’est-ce que vous retrouvez sur votre téléphone, dans les publicités qui sont proposées ? Ce produit, ce service ou cette destination...