La loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPA) a des répercussions bien au-delà des frontières de la Californie. L’État américain a une économie de 4 billions de dollars; si la Californie était un pays, ce serait la quatrième plus grande économie de la planète.
Tout ce commerce donne à la Californie une très grande portée dans d’autres économies du monde, ce qui signifie que les entreprises du monde entier doivent comprendre comment Le CCPA s’applique à leurs activités.
À qui s’applique le CCPA ?
Le CCPA s’applique à toute entreprise qui effectue des transactions avec des Californiens à des fins de gain financier, par exemple, en fournissant des biens et des services. Une présence physique dans l’État n’est pas requise.
Si vous exploitez une entreprise à but lucratif et que vous collectez des données auprès de résidents de Californie, il est probable que vous deviez savoir comment vous conformer à la CCPA. La loi est en vigueur depuis le 1er janvier 2020 et présente de nombreuses similitudes avec le RGPD, bien qu’il existe également des différences importantes.
Quels sont les droits énoncés dans le CCPA ?
Le CCPA donne aux résidents de Californie le contrôle sur la façon dont leurs données personnelles sont traitées en ligne. Il s’articule autour de cinq droits clés :
- Le droit de savoir – les individus devraient être informés de la collecte et du traitement de leurs données
- Le droit à l’effacement – les individus peuvent demander la suppression des données personnelles
- Le droit de retrait – les individus devraient pouvoir refuser aux entreprises l’autorisation de vendre leurs données personnelles
- Le droit de rectification – les individus devraient être en mesure d’obtenir des copies des données détenues à leur sujet et de corriger les informations inexactes
- Le droit de limiter l’utilisation – les personnes devraient être en mesure de préciser que les renseignements personnels ne peuvent être utilisés qu’à des fins limitées.
Les personnes qui exercent des droits en vertu de la CCPA ne devraient faire l’objet d’aucune discrimination en conséquence.
Quelles sont les sanctions en cas de violation du CCPA ?
Le CCPA est appliqué par le procureur général de Californie. Les entreprises reçoivent une lettre les avisant d’une violation potentielle, après quoi elles ont 30 jours pour remédier au problème et se conformer. Par la suite, des pénalités de 2 500 $ par violation (7 500 $ pour les violations intentionnelles) peuvent être appliquées.
Les particuliers ne peuvent pas poursuivre une entreprise pour violation du CCPA, bien qu’ils aient d’autres droits d’action en cas de violation de données et pourraient se voir accorder des dommages-intérêts civils de 750 $ pour chaque violation de données en vertu de la CCPA. Les violations de données à grande échelle peuvent entraîner des recours collectifs.
Le CCPA s’applique-t-il à d’autres États ?
Les États-Unis n’ont pas de loi fédérale sur la confidentialité des données qui s’applique à tous les États. En tant que loi californienne, le CCPA ne s’applique qu’aux résidents de la Californie, bien qu’il continue de s’appliquer lorsqu’ils voyagent hors de l’État.
Le CCPA s’applique-t-il aux organismes sans but lucratif?
La règle de base est que le CCPA ne s’applique qu’aux entreprises à but lucratif. Il s’agit d’entités juridiques (par exemple, une entreprise individuelle, LLC ou une société) exploitées pour le profit et le bénéfice financier des actionnaires et des propriétaires.
Cependant, dans certaines situations, les organisations à but non lucratif peuvent ne pas être exemptées du CCPA. Cela comprend le cas où un organisme sans but lucratif est contrôlé par une entité à but lucratif et partage une marque commune avec l’entreprise mère. Un organisme à but non lucratif peut également tomber sous le coup de la loi s’il reçoit des informations personnelles par le biais d’une « vente » telle que définie dans le CCPA.
À qui l’ACCP ne s’applique-t-elle pas?
Les règles s’appliquent aux entreprises situées en dehors de la Californie qui répondent à un ou plusieurs de ces critères :
- Revenus annuels bruts de plus de 25 millions de dollars
- Traite (achète, vend, reçoit ou partage) les informations personnelles de 50 000 résidents californiens ou plus à des fins commerciales
- Plus de 50 % des revenus annuels proviennent de la vente de renseignements personnels
Comment puis-je m’y conformer?
Il y a quelques points clés à comprendre pour vous aider à vous conformer à la CCPA :
Définition CCPA des informations personnelles
La loi définit les renseignements personnels comme « des renseignements qui identifient, se rapportent à, décrivent, sont raisonnablement susceptibles d’être associés à, ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier ».
Les renseignements personnels peuvent être classés de différentes façons :
Identifiants directs – nom, adresse postale, numéro de sécurité sociale
Identifiants uniques – cookies, adresses IP, noms d’utilisateur
Données biométriques – empreintes digitales, enregistrements faciaux et vidéo
Données de géolocalisation – informations de localisation et historique
Activité Internet – historique de navigation et de recherche
Informations sensibles – données de santé, caractéristiques personnelles, préférences sexuelles, foi religieuse, données sur l’emploi.
Données pouvant être utilisées pour déduire l’identité – informations qui pourraient être utilisées pour identifier une personne ou un ménage
Contrôles de site Web
Vous devez informer les utilisateurs avant le point de collecte des données de ce que vous collectez et à quelles fins
Vous devez disposer d’un lien « Ne pas vendre mes informations personnelles » permettant aux utilisateurs de refuser que des données soient vendues à des tiers.
Les opt-ins sont requis pour les utilisateurs du site de moins de 16 ans (et le consentement parental pour les utilisateurs de moins de 13 ans)
Les droits des consommateurs doivent être énoncés dans la politique de confidentialité de votre site Web
La politique de confidentialité doit être mise à jour annuellement pour s’assurer que les catégories de renseignements personnels recueillis demeurent à jour.
Vous devez être prêt à répondre aux demandes de divulgation des renseignements personnels que vous avez recueillis à leur sujet au cours des 12 derniers mois, sans frais.
Vous devez vous assurer de ne pas discriminer un consommateur sur la base de son droit de demander la divulgation, d’opter pour la vente, de corriger ou de supprimer des informations.
Assurez-vous que vos politiques en matière de cookies sont conformes au CCPA
Les cookies collectent des informations sur les utilisateurs du site Web, y compris des informations qui pourraient répondre à la définition CCPA des informations personnelles. Même si l’information n’est pas une identification en soi, elle pourrait devenir personnelle lorsqu’elle est considérée en combinaison avec d’autres données.
Les bannières de cookies sont souvent utilisées pour donner aux utilisateurs les informations requises et confirmer leur consentement à la collecte de données. Regarder quelques exemples de bannières de cookies CCPA peut vous donner une idée de la façon dont une bannière pourrait fonctionner sur votre site.
N’oubliez pas que le CCPA n’est pas la seule législation qui s’applique à la protection des données pour les résidents californiens, la California Privacy Rights Act (CPRA) est également pertinente. Apprenez-en davantage sur les différences entre le CCPA et l’ACPL.
Travailler sur les exigences légales de différentes réglementations peut être un casse-tête. Laissez CookieHub prendre la pression pour vous – nous pouvons vous aider à vous assurer que vos cookies sont conformes à la CCPA et à d’autres règles de protection des données, vous offrant ainsi une tranquillité d’esprit.