Alors que la plupart des personnes travaillant dans le domaine de la protection des données ont entendu parler du RGPD, le CCPA reçoit beaucoup moins d’attention. Adopté par la législature de l’État de Californie, le CCPA tente de donner aux consommateurs plus de contrôle sur leurs données personnelles.
Le CCPA et le RGPD partagent de nombreuses similitudes, car les deux textes législatifs visent à résoudre les mêmes problèmes. À savoir les nombreuses violations de données personnelles par de grandes entreprises et la collecte secrète de données personnelles sans surveillance réglementaire.
Dans cet article, nous allons explorer ce qu’est le CCPA, qui il réglemente et comment s’y conformer. Donc, si vous êtes une entreprise ayant des liens avec la Californie, vous devez continuer à lire.
Qu’est-ce que le CCPA ?
Le 28 juin 2018, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) a été rédigée et adoptée par la législature de l’État de Californie. Cette loi historique confère aux consommateurs californiens de nombreux nouveaux droits à la vie privée, notamment :
- Le droit de savoir quand leurs données personnelles sont collectées.
- Le droit de supprimer les données personnelles qui ont été collectées.
- Le droit de refuser la vente de leurs données personnelles.
- Le droit à la non-discrimination lorsqu’ils exercent leurs droits en vertu de la CCPA.
En outre, les consommateurs californiens ont également le droit de savoir quand leurs données personnelles sont vendues et à qui et peuvent accéder à leurs données personnelles sur demande.
Pour ceux qui connaissent les bases du RGPD, une grande partie de ce qui précède vous semblera familière. En effet, le cadre des deux règlements est similaire.
Quelles sont les différences entre le CCPA et le RGPD ?
Contrairement au RGPD, la principale différence est que si le RGPD s’applique même aux résidents temporaires, il n’en va pas de même pour le CCPA. Au contraire, pour être considéré comme un « consommateur californien », un individu doit avoir résidé dans l’État suffisamment longtemps pour s’inscrire pour payer des impôts.
Autrement, ils ne sont pas couverts par cette protection législative.
Qui est tenu de se conformer à la CCPA ?
Encore une fois, contrairement au RGPD, le CCPA s’applique exclusivement à une entreprise à but lucratif qui collecte et utilise les données personnelles des consommateurs californiens. Pour répondre à cette définition, une entreprise doit remplir au moins l’un des seuils suivants :
- Revenus bruts annuels supérieurs à 25 millions de dollars
- Recevoir ou divulguer les données personnelles d’au moins 50 000 consommateurs, ménages ou appareils californiens par an
- Générer un chiffre d’affaires annuel de 50 % ou plus grâce à la vente des données personnelles des résidents de Californie
Comme les organisations à but non lucratif et les petites entreprises n’atteignent pas ces seuils, elles n’ont souvent pas besoin de se conformer au CCPA. C’est l’opposé de l’UE, où, en vertu du RGPD, toutes les organisations utilisant des données de citoyens de l’UE doivent se conformer (avec quelques exemptions pour les entreprises de moins de 250 employés).
Les entreprises situées en dehors de la Californie doivent-elles se conformer ?
L’un des principaux points litigieux du RGPD de l’UE et du Royaume-Uni concerne les « effets extraterritoriaux ». Cela signifie que les entreprises situées en dehors de l’UE ou du Royaume-Uni doivent toujours se conformer au RGPD, tant qu’elles s’adressent aux citoyens de l’UE. Par exemple, un vendeur en ligne en Californie doit respecter le RGPD lors de la collecte et de l’utilisation des données des clients de l’UE.
Ce n’est cependant pas l’inverse qui se produit.
À l’heure actuelle, le CCPA ne régit que les sociétés à but lucratif établies en Californie ou qui sont indirectement éligibles (telles que les sociétés mères et les filiales de sociétés établies en Californie). Par conséquent, les organisations situées en dehors de l’État n’ont pas besoin de se conformer au CCPA.
Comment le CCPA définit-il les données personnelles ?
En vertu de la CCPA, les données personnelles sont définies de manière générale comme suit :
« … les renseignements qui identifient, se rapportent à, décrivent, sont susceptibles d’être associés à un consommateur ou à un ménage particulier, ou qui pourraient raisonnablement être liés, directement ou indirectement, à celui-ci.
Cela inclut les numéros de sécurité sociale, les numéros de permis de conduire, l’historique des achats, les identifiants personnels uniques, le nom, l’adresse, les numéros de téléphone, etc.
Il s’agit d’une définition beaucoup plus large que l’on trouve généralement dans les lois sur la protection des données, même dans le RGPD de l’UE.
Comment se conformer au CCPA
Le CCPA est une législation complexe qui comporte de nombreuses facettes. Il est donc compréhensible que de nombreuses entreprises californiennes trouvent la conformité déroutante et problématique.
Cependant, cela ne devrait pas être le cas.
La non-conformité peut entraîner des amendes pouvant aller jusqu’à 2 500 $ par infraction. De plus, les infractions intentionnelles peuvent entraîner des amendes pouvant aller jusqu’à 7 500 $ par infraction. Les consommateurs peuvent également poursuivre les entreprises pour infraction, en récupérant des dommages-intérêts de 100 $ à 750 $ par incident ou des dommages réels, selon le montant le plus élevé. C’est sans compter les coûts indirects pour la réputation et la position d’une marque.
Par conséquent, la conformité est essentielle. Voici les meilleures façons de se conformer au CCPA :
- Informe toujours les consommateurs de la manière et du moment où leurs données personnelles sont traitées, utilisées ou partagées.
- Recevez toujours l’autorisation des consommateurs avant de collecter leurs données.
- Tenir à jour une politique de confidentialité qui est révisée chaque année.
- Permettre aux consommateurs d’accéder à leurs données.
- Permettre aux consommateurs de demander la suppression de leurs données personnelles.
- Fournir une explication complète à un consommateur concernant le CCPA et la manière dont il réglemente ses droits à la confidentialité des données.
- Les entreprises qui vendent des données personnelles doivent créer une page Ne pas vendre mes données personnelles.
Il s’agit d’une liste de contrôle complète pour vous aider à lancer vos efforts de conformité. Cependant, il n’est pas exhaustif. Il existe également des progiciels qui aident à prendre en charge la conformité CCPA.
Et vous pouvez également vous référer à la législation elle-même ici.
Conclusion
À l’instar d’autres lois sur la protection des données, telles que le RGPD, le CCPA réglemente la collecte et l’utilisation des données personnelles. Il est actuellement limité aux résidents de Californie et ne s’applique pas aux entreprises situées en dehors de la Californie.
Pour ces entreprises, il est essentiel d’assurer l’alignement du CCPA afin d’éviter des amendes et des dommages à la réputation d’une entreprise.
Sources:
https://www.truevault.com/ccpa-guide/ccpa-enforcement-and-penalties
https://www.pacificdataintegrators.com/insights/ccpa-compliance
https://contractbook.com/blog/what-is-ccpa-and-how-do-you-become-compliant
https://www.oag.ca.gov/privacy/ccpa
https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html
https://www.cpomagazine.com/data-protection/ccpa-vs-gdpr-spot-the-difference/
https://www.oag.ca.gov/privacy/ccpa
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5