CCPA : California Consumer Privacy Act

En juillet 2020, la non-conformité sera risquée

L’État de Californie est la cinquième plus grande économie du monde; plus grand que le Royaume-Uni, la France ou l’Inde. Le 1er janvier 2020, la California Consumer Privacy Act (CCPA) 1 entre en vigueur et cette nouvelle loi sur la confidentialité a des implications extraterritoriales. Le CCPA vise à protéger les consommateurs, à renforcer les droits à la vie privée et à offrir une plus grande transparence aux résidents de l’État de Californie. Le CCPA habilite également les consommateurs à déposer des recours collectifs pour les atteintes à la vie privée sans les obliger à présenter une perte probante de biens ou d’argent. En cas de violation de données, une entreprise pourrait faire face à des dommages-intérêts civils pouvant atteindre 750 $ par violation, par consommateur ou dommages réels, selon le montant le plus élevé, ainsi que tout autre redressement que le tribunal jugerait approprié.

Une entreprise partout dans le monde qui subit une violation de données qui inclut des données personnelles sur quelques milliers de clients en Californie pourrait encourir des millions de dollars d’amendes CCPA.

Les intentions de la CCPA sont de donner aux résidents de Californie le droit de :

  • savoir quelles informations personnelles sont collectées à leur sujet.
  • savoir si leurs informations personnelles sont vendues ou divulguées et à qui.
  • dire non à la vente d’informations personnelles.
  • accéder à leurs informations personnelles.
  • ne pas faire l’objet de discrimination, même s’ils exercent leur droit à la vie privée.
  • demander à une entreprise de supprimer toutes les informations personnelles collectées auprès de ce consommateur (sous réserve de certaines exceptions).

Le CCPA s’applique-t-elle à votre entreprise ?

Les entreprises ne doivent pas être basées ou avoir une présence physique dans l’État de Californie pour tomber sous le coup de la loi. Ils n’ont même pas besoin d’être basés aux États-Unis. En règle générale, la CCPA s’applique à une entreprise qui fait des affaires en Californie (y compris les affaires en ligne), recueille des renseignements personnels et satisfait à un ou plusieurs des éléments suivants :

  • génère des revenus bruts annuels supérieurs à 25 millions de dollars.
  • achète, reçoit, vend ou partage annuellement, seul ou en combinaison, les informations personnelles de 50 000 consommateurs, ménages ou appareils.
  • tire 50% ou plus de ses revenus annuels de la vente des informations personnelles des consommateurs.

Qu’est-ce qui constitue des données personnelles ?

Les données personnelles dans la CCPA sont définies comme * «les informations qui identifient, se rapportent à, décrivent, sont susceptibles d’être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier»*. L’article 1798.40 2 définit ce qui est inclus dans les informations personnelles et peut être résumé comme suit :

  1. Identifiants (par exemple, nom réel, alias, adresse postale, e-mail ou adresse IP, etc.)
  2. Informations personnelles dans les dossiers clients (par exemple informations financières, etc.)
  3. Caractéristiques juridiquement protégées (par ex. Race, religion, orientation sexuelle, etc.)
  4. Informations commerciales (par exemple, biens personnels, historiques d’achat, etc.)
  5. Informations biométriques
  6. Activité Internet ou réseau (par exemple, historique de navigation, historique de recherche, etc.)
  7. Données de géolocalisation
  8. Informations sensorielles (audio, visuelles, thermiques, olfactives ou similaires)
  9. Informations professionnelles ou liées à l’emploi
  10. Informations sur l’éducation, définies comme des informations non accessibles au public
  11. Métadonnées tirées ci-dessus utilisées pour créer des profils (par exemple, prédispositions, etc.)

Le procureur général a le pouvoir d’ajouter des catégories supplémentaires de renseignements personnels afin de faire face aux changements technologiques, aux pratiques de collecte de données, aux obstacles à la mise en œuvre et aux problèmes de confidentialité.

Exigences de sécurité des données personnelles du CCPA

Comme le RGPD, le CCPA exige qu’une entreprise mette en œuvre des mesures de protection des données appropriées sur les informations personnelles, y compris les mesures organisationnelles et techniques. Contrairement au RGPD, le CCPA permet aux consommateurs de poursuivre les entreprises lorsque leurs «informations personnelles non chiffrées ou non caviardées… font l’objet d’un accès non autorisé et d’une exfiltration, d’un vol ou d’une divulgation suite à la violation par l’entreprise de son obligation de mettre en œuvre et maintenir des procédures et des pratiques de sécurité raisonnables adaptées à la nature des informations.» Comme indiqué précédemment, les violations de cette disposition sont passibles de dommages civils pouvant aller jusqu’à 750 $ par violation, par utilisateur, en plus des dommages réels.

Des amendes plus lourdes encourues par des entreprises sciemment non conformes

Le 1er janvier 2020, les entreprises ont 30 jours pour se conformer à la loi une fois que les régulateurs les ont notifiées d’une violation. Si le problème n’est pas résolu ou si une organisation a sciemment ignoré ses obligations, la CCPA autorise le procureur général à demander des sanctions civiles pouvant atteindre 7500 $ par violation, par consommateur. Les citoyens de Californie auront la possibilité d’intenter une action civile contre une entreprise que le procureur général refuse de poursuivre, et cela autorise des actions collectives.

Une entreprise partout dans le monde qui vend sciemment les données personnelles de quelques milliers de clients californiens qui se sont retirésla vente de leurs données pourrait encourir des pénalités de plus de 10 millions de dollars.

Afin de se conformer à la CCPA, les entreprises doivent :

  • mettre à jour les avis et politiques de confidentialité pour refléter les exigences du CCPA ;
  • ajouter un bouton «Ne vendez pas mes données» à leur site Web ;
  • former les employés concernés sur les nouvelles exigences de conformité du CCPA ;
  • systèmes d’audit et de mise à jour pour s’assurer qu’ils sont conformes aux nouveaux droits des consommateurs accordés par le CCPA ;
  • mettre en œuvre des systèmes pour se conformer à ces nouveaux avis et politiques de confidentialité et assurer le suivi des demandes légitimes des consommateurs en vertu de la CCPA ;
  • s’assurer qu’ils mettent en œuvre des mesures de protection des données appropriées, protégeant les données personnelles des consommateurs.

Le CCPA: un travail en cours…

L’État de Californie a mis en œuvre d’urgence le CCPA en juin 2018 et il contenait de nombreuses ambiguïtés. Il a été adopté, en partie, pour anticiper sur une initiative de vote qui devait être votée en novembre 2018 et qui, si elle avait été adoptée, aurait imposé des exigences plus strictes en matière de confidentialité des données. Le CCPA utilise «les données personnelles utilisées à mauvais escient par une société d’exploration de données appelée Cambridge Analytica» comme exemple de pratiques commerciales auxquelles elle cherche à mettre fin. D’autres modifications auront probablement lieu, même après son entrée en vigueur en janvier 2020, mais les principes fondamentaux et les droits accordés aux consommateurs resteront.

Le climat réglementaire dans le monde pour la protection des données personnelles se réchauffe. La Californie compte parmi plus d’une douzaine d’États qui adoptent ou envisagent de nouvelles lois sur la confidentialité. Les réglementations sur la confidentialité des données comme le RGDP et le CCPA deviennent la norme et les organisations doivent mettre en œuvre une variété de les technologies et les meilleures pratiques pour garantir leur conformité. Un non-respect peut entraîner des conséquences importantes et négatives, notamment des coûts financiers directs par le biais de lourdes amendes, la perte de réputation de l’entreprise, des opportunités commerciales perdues, des dommages à la marque, etc. Pour plus d’informations sur la manière dont la California Consumer Privacy Act peut avoir un impact sur votre entreprise et pour garantir la conformité avec les règles de confidentialité de l’ACCP, contactez-nous. [Contactez-nous] (/fr-services/contact)

1: CCPA AB-375 Confidentialité: informations personnelles: entreprises..

2: California Consumer Privacy Act of 2018 - 1798.140.