Ces deux lois californiennes façonnent l’environnement américain de la confidentialité et de la sécurité des données – voici ce que vous devez savoir à leur sujet
La California Consumer Privacy Act (CCPA) et la California Privacy Rights Act (CPRA) sont deux lois californiennes qui ont été les premiers éléments de protection complète de la vie privée aux États-Unis. Depuis leur adoption, elles ont inspiré un certain nombre de lois similaires dans tout le pays et deviennent rapidement la norme en matière de confidentialité et de protection des données aux États-Unis.
Mais en partie à cause des abréviations similaires des lois et de leur formulation similaire, beaucoup de gens sont confus quant à ce que sont ces deux lois et ce qu’elles signifient pour les entreprises et les consommateurs. Examinons les deux lois plus en détail afin que nous puissions comprendre ce qu’elles sont, comment elles peuvent vous affecter et ce à quoi vous pouvez vous attendre à l’avenir.
Qu’est-ce que le CCPA ?
La California Consumer Privacy Act de 2018 était une loi promulguée en 2018 par le gouverneur de Californie de l’époque, Jerry Brown. La loi est une loi d’État qui a renforcé les droits à la vie privée et la protection des consommateurs pour les personnes vivant en Californie, et cela signifie que les résidents de la Californie ont le droit de:
- Savoir quelles données personnelles sont collectées à leur sujet
- Savoir si leurs données personnelles sont vendues ou révélées et à qui
- Dites non à la vente de leurs données personnelles
- Accéder à ces données personnelles
- Demander à une entreprise de supprimer toutes les données personnelles qui ont été collectées à son sujet
- Ne pas faire l’objet de discrimination pour avoir fait l’une des choses ci-dessus dans le but de protéger leur vie privée
Cette loi s’applique à toute entreprise ou organisation à but lucratif qui recueille des données sur les consommateurs, fait des affaires en Californie et présente l’une des caractéristiques suivantes:
- Revenus bruts supérieurs à 25 millions de dollars
- Achète, reçoit ou vend les renseignements personnels d’au moins 50 000 consommateurs ou ménages
- Tire plus de la moitié de son chiffre d’affaires annuel de la vente de données consommateurs
Un certain nombre de dispositions visant à rendre des comptes sont incluses dans l’ensemble de règles. Par exemple, toute personne qui recueille des renseignements personnels doit avoir un processus pour obtenir le consentement des parents ou du tuteur pour les mineurs de moins de 13 ans, et le consentement affirmatif pour toute personne âgée de 13 à 16 ans.
Un lien doit également apparaître sur la page d’accueil du site Web qui dit quelque chose à l’effet de « Ne pas vendre mes renseignements personnels », qui dirige vers une page Web qui permet aux gens de refuser la vente des renseignements personnels de la personne.
Il doit également y avoir des méthodes en place pour que les gens soumettent des demandes d’accès aux données – au minimum, cela doit inclure un numéro de téléphone sans frais. Enfin, le collecteur de données ne doit pas demander le consentement explicite d’une personne qui se retire pendant au moins 12 mois.
Les amendes pour non-respect de la règle sont notables. Les entreprises qui sont victimes de vol de données ou d’autres failles de sécurité peuvent être condamnées à payer des dommages-intérêts allant jusqu’à 750 $ par résident californien et par incident, ou des dommages réels si ceux-ci sont plus élevés. Une amende maximale de 7 500 $ pour chaque violation intentionnelle et jusqu’à 2 500 $ pour chaque violation non intentionnelle est également incluse.
Il y a deux exceptions notables à la règle : les renseignements personnels sur la santé et les renseignements financiers.
Qu’est-ce que l’ACPL?
La California Privacy Rights Act de 2020, également connue sous le nom de Proposition 24 et CPRA, était une proposition de vote approuvée par les électeurs californiens en 2020 par un vote de 56% contre 44%. L’ACPL a élargi les lois sur la protection de la vie privée des consommateurs accessibles aux résidents de l’État et s’est appuyée sur les fondations créées par le CCPA. L’ACPL ne remplace pas exactement le CCPA – plus précisément, elle modifie la loi et ajoute de nouvelles dispositions. La LFH est entrée en vigueur le 16 décembre 2020, mais la plupart des dispositions ne sont pas pleinement applicables avant le 1er janvier 2023.
Entre autres choses, l’ACPL établit une nouvelle agence, la California Privacy Protection Agency, qui a « le plein pouvoir administratif, l’autorité et la compétence pour mettre en œuvre et appliquer le CCPA. L’agence partagera la surveillance de la vie privée des consommateurs et l’application de la loi avec le ministère de la Justice de la Californie. La loi exige également que les entreprises obtiennent la permission des consommateurs de moins de 16 ans avant de collecter leurs données.
D’autres dispositions de la loi permettent aux consommateurs d’empêcher les entreprises de partager leurs données personnelles et créent un cadre pour interdire la collecte de données personnelles inexactes. Cela limite également la capacité des entreprises à utiliser des informations personnelles sensibles telles que l’emplacement précis, la race, l’origine ethnique, la religion, la constitution génétique, les communications privées, l’orientation sexuelle et des informations spécifiques sur la santé.
Quelles sont les répercussions (jusqu’à présent) des nouvelles lois sur la protection des renseignements personnels?
Jusqu’à présent, les lois sur la protection de la vie privée ont eu un impact sur les éditeurs et les entreprises technologiques qui avaient besoin d’embaucher des équipes juridiques pour examiner leurs opérations ainsi que les logiciels de conformité, bien que cela ait eu peu ou pas d’impact sur les revenus publicitaires, les prix publicitaires ou les stocks, selon un groupe industriel. Cela contraste fortement avec les impacts observés dans le sillage de la loi qui a inspiré la loi californienne – le Global Data Protection Regulation, qui est entré en vigueur quelques années plus tôt en Europe et a eu de vastes ramifications mondiales.
L’impact réel, cependant, ne sera peut-être pas visible avant plusieurs années – cela se produira alors que de plus en plus d’États invoqueront leurs propres lois sur la protection de la vie privée, ce qui exercera davantage de pression sur les législateurs fédéraux pour promulguer une loi nationale complète. Une loi nationale peut être demandée par les acteurs de l’industrie ainsi que par les organismes de surveillance des consommateurs, car elle simplifiera la conformité au lieu d’avoir une variété de règles qui s’appliquent à chaque État.
Êtes-vous prêt pour l’ACPL et l’ACCP?
CookieHub, c’est la conformité des cookies simplifiée – une plateforme complète de gestion des consentements qui dispose de tout ce dont vous avez besoin pour rester conforme au CCPA ainsi qu’à une foule d’autres règles aux États-Unis et dans le monde entier.