Qu'est-ce que le CALIFORNIA CONSUMER PRIVACY ACT ?
Le California Consumer Privacy Act (CCPA) est une loi étatique destinée à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis. Officiellement appelée AB-375, la loi a été présentée par Ed Chau, membre de l’Assemblée d’État de Californie, et le sénateur d’État Robert Hertzberg.
Dates clés du CCPA
Loi définitivement adoptée le 28 juin 2018
Amendements définitifs adoptés le 11 octobre 2019
Entrée en vigueur le 1er janvier 2020 mais exigence de « look back » de 12 mois qui permet aux consommateurs de demander les données collectées sur eux remontant à une année entière à partir du moment où la demande a été faite. Cela signifie que les entreprises devront identifier les fichiers de données personnelles recueillies à compter du 1er janvier 2019 (12 mois avant le 1er janvier 2020).
Qui est concerné par cette loi
Elle s'applique à toute entreprise qui :
Recueille ou traite directement ou indirectement les données personnelles de consommateurs californiens (c’est-à-dire tout individu personne physique résidant en Californie), et détermine seul ou conjointement avec d’autres les buts et moyens de ce traitement des données personnelles
Fait affaire en Californie (peu importe le lieu d’établissement de l’entreprise, en Californie ou dans un autre Etat ou pays, tant que les conditions sont remplies)
Atteint au moins un des seuils suivants :
– A un revenus annuel brut supérieur à 25 millions de dollars
– Ou annuellement achète, reçoit, vend, ou partage, à des fins commerciales, 50 000 ou plus données personnelles de consommateurs, ménages ou appareils californiens
– Ou tire plus de la moitié de ses revenus annuels de la vente des données personnelles
Le CCPA s’applique également, indirectement, à la société mère et aux filiales d’une entité qui satisfait aux critères a), b) et c) ci-dessus si elles partagent la même marque ou la même dénomination (« common branding »).
NB : La notion de « vente » de données personnelles s’entend notamment :
- du placement d’un cookie tiers sur un site internet pour permettre la publicité ; ou
- du droit accordé aux vendeurs d’analyser les données à leurs propres fins.
Quelle définition des
« données personnelles »
Les données personnelles désignent « des renseignements qui identifient, concernent, décrivent, sont susceptibles d’être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier ».
Sont notamment considérées comme des données personnelles tout identifiant cookie, identifiant d’appareil, balise pixel, numéro de client ainsi que les informations liées à un foyer.
Ne sont pas considérées comme des données personnelles, les données anonymisées ainsi que les données agrégées.
Principaux droits des consommateurs
Droit d’information concernant (i) les catégories de données personnelles qui seront recueillies à son sujet avant sa collecte ainsi que de tout changement à cette collecte, (ii) l’objet de la collecte, (iii) les tiers avec lesquelles ses données personnelles sont partagées (i) avant toute collecte
Droit de consentir ou d’objecter à la vente de ses données personnelles (opt-out)
Droit d’accès : connaître les données le concernant recueillies par une entreprise et la source de cette collecte
Droit d’opposition à la vente de ses données personnelles
Droit de suppression de ses données personnelles
Droit d’engager une action (à titre personnel, pas d’action collective) à l’encontre des entreprises qui manquent à leurs obligations légales
Principales obligations des entreprises
Informer les personnes concernées par :
– Une privacy notice lors de la collecte
– Une politique de confidentialité comportant des informations sur les pratiques de collecte en ligne et hors ligne (mise à jour obligatoire tous les 12 mois)
– Une notification en cas d’enrichissement ou de modification des renseignements recueillis
Notifier des conditions des incitations financières existantes lors de la collecte, la vente ou la conservation des données personnelles
Fournir un moyen d’opt-out pour permettre à la personne concernée de s’opposer à la vente de ses données personnelles
Obligations spécifiques concernant la collecte de données personnelles de mineurs de moins de 13 ans
Former son personnel aux règles de protection des données personnelles
A la différence du RGPD, le CCPA reconnaît le droit à la patrimonialisation des données en permettant aux personnes concernées de vendre leurs données personnelles en contrepartie d’un avantage financier (« financial incentive »).
Sanctions en cas de violation de la loi
Mise en demeure par le Procureur Général de Californie de se mettre en conformité
Pénalités civiles infligées par le Procureur Général de Californie pouvant aller de 2 500 $ à 7 500 $ pour chaque violation à laquelle il n’est pas remédié à la suite d’une mise en demeure
Action civile de la personne concernée à l’encontre de l’entreprise défaillante
Exemptions et exceptions
Le CCPA prévoit diverses exceptions et exemptions aux traitements de données personnelles. A titre d’exemple, une exemption générale s’applique jusqu’au 1er janvier 2021 :
Aux renseignements qu’une entreprise recueille auprès de ses candidats, employés, entrepreneurs et autres personnes semblables
Aux informations sur le personnel des entreprises clientes d’une entité, dans les scénarios B2B