La nouvelle réglementation pour la protection des données CCPA entre en vigueur le 1er janvier 2020, et les entreprises ont un temps limité pour se pencher sur leurs données utilisateurs et l’usage qu’ils en font. Si elles ne le font pas, elles risquent non seulement d’écoper d’une amende, mais aussi d’écorner leur image et la confiance des consommateurs.
La Californie a été l’un des premiers états américains à reconnaitre dans sa législation le droit à la vie privée, et le premier à passer une loi sur la notification des violations de données. Et le fait que c’est un des états les plus importants et les plus peuplés des USA fait que la plupart des entreprises américaines vont devoir s’y conformer.
Et ce n’est pas une simple formalité : les entreprises devront notifier aux visiteurs californiens quelles données personnelles ils collectent sur eux, et cesser de les commercialiser et les effacer si ces derniers le requièrent. Les amendes pourraient facilement atteindre 7500 $ en cas de violation intentionnelle, 2500$ si cette intention manque et 750$ pour chaque utilisateur concerné par une fuite des données.
Notion d’information personnelle
Jusqu’à présent la notion de PII ( information personnelle permettant l’identification) était claire d’un point de vue juridique -des données qui permettent de distinguer l’identité d’un individu. Les informations personnelles simples (PI) quant à elles étaient moins régulées et beaucoup plus abondantes.
Cependant, la mise en place RGPD en Europe en 2018 et l’arrivée du CCPA ont changé la donne, introduisant par exemple la notion de droit des consommateurs en matière de données à caractère personnel.
«données à caractère personnel» : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
RGPD article 4 alinéa 1
Avec le CCPA, les USA rattrapent le retard qu’ils ont sur le RPGD et élargissent de manière similaire la définition de la notion de données à caractère personnel :
« personal information » : information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household.
California Consumer Privacy Act [1798.100 – 1798.199]
( Title 1.81.5 added by Stats. 2018, Ch. 55, Sec. 3. )
Le CCPA c’est quoi ?
Le California Consumer Privacy Act a été signé le 28 juin 2018 par le gouverneur de Californie, moins d’un mois après l’entrée en vigueur du RGPD.
Suite aux nombreuses violations de données à caractère personnel au cours de l’année 2018, cette réglementation apporte dans l’état les mesures les plus strictes en ce qui concerne les données des consommateurs.
Comme son nom l’indique, son but est de protéger les droits des consommateurs californiens et d’apporter un cadre permettant la protection de la vie privée. L’idée est de redonner aux californiens la pleine propriété de leurs données et informations personnelles. Ils pourront ainsi :
- accéder aux informations personnelles collectées les concernant
- savoir avec qui elles sont partagées et s’y opposer
- pouvoir exiger la suppression de leurs informations personnelles
- bénéficier d’un service de qualité et à prix identiques, quel que soit leur choix en matière de partage des informations personnelles.
Il sera interdit de revendre les informations personnelles de mineurs de moins de 13 ans sans l’accord de leurs parents.
CCPA : qui est concerné ?
La Californie a une population de 40 millons d’habitants et une gigantesque économie (la 5ème du monde) avec 2.7 trillions de $. L’influence des ses consommateurs et de ses entreprises tech dans l’écosystème américain fera à terme du CCPA la norme de facto pour le traitement des données personnelles.
Toute entreprise à but lucratif exerçant son activité sur le sol californien et répondant à l’un des critères suivant doit s’y conformer :
- plus de 25 millions de $ de CA annuel
- achetant, revendant, collectant ou partageant plus de 50 000 enregistrements de données par an
- ayant plus de 50 % de son CA annuel provenant de la vente d’informations à caractère personnel
RGPD et CCPA : les différences
Il est évident que le RGPD a influencé le CCPA mais il y a des différences notables entre les deux réglementations.
La différence fondamentale réside dans le fait qu’avec le CCPA, une entreprise ne peut être condamnée que si une fuite de données a été constatée alors qu’en Europe, le RGPD prévoit des sanctions même en l’absence de piratage ou de fuites des données.
Le RGPD prévoit une sanction financière se chiffrant en % du CA. Mais avec le CCPA, des amendes de 750 $ par utilisateur concerné sont prévues. Le texte de loi californien donne aussi la possibilité aux consommateurs américains de poursuivre l’entreprise en cas de violation du droit à la confidentialité des données à caractère personnel.
Retrouvez ici un tableau reprenant les différences entre le RGPD et le CCPA.