Protection des données personnelles en Californie : tout ce qu’il faut savoir sur le CCPA

En juin 2018, les législateurs californiens ont adopté le California Consumer Privacy Act (CCPA), une proposition concernant la protection des données personnelles des consommateurs résidant en Californie, transformée en projet de loi puis validée en une semaine seulement. De nombreuses entreprises vont devoir se lancer dans des démarches administratives complexes afin de s’y conformer. Cependant, cette loi propose des réponses aux questions d’éthique liées à l’utilisation d’internet en encadrant le stockage et le traitement des données numériques par les entreprises. En respectant les choix des consommateurs, les entreprises enverront un signal fort de confiance et de transparence.

CCPA : ce qui se cache derrière l’acronyme

Le CCPA, entré en vigueur le 1er janvier 2020, vise à attirer l’attention des citoyens californiens sur le traitement et la vente de leurs données personnelles collectées par les entreprises. Le but ? Protéger leurs droits en termes de vie privée. Globalement, cette nouvelle législation exigera des entreprises d’être transparentes sur la collecte, le partage et le traitement des données des utilisateurs. Un en-tête bien visible devra apparaître sur tous les sites internet, afin de permettre aux internautes californiens de savoir quelles données ont été collectées par l’entreprise à leur sujet, si ces dernières ont été vendues (et si oui, à qui), et de demander à ce que l’entreprise cesse de les vendre (opt-out).

Le CCPA garantit cinq droits principaux aux citoyens californiens :

•  Le droit d’être informé de la nature des données collectées par une entreprise, ainsi que les finalités de leur collecte notamment concernant leur vente. Cela comprend non seulement les PII (données à caractère personnel) de l’utilisateur, mais aussi la manière dont elles ont été utilisées et si elles ont été partagées avec des tiers.
•  Le droit de demander une copie de ses PII collectées au cours des 12 derniers mois
•  Le droit de demander à ce que ses PII soient supprimées
•  Le droit de refuser que ses PII soient vendues
•  Le droit de ne pas subir de discrimination suite à l’exercice de ces droits

Quelles sont les entreprises concernées ?

• La loi s’applique à toutes les entreprises qui font du commerce en Californie, il s’agit donc au final d’une loi à portée internationale. Tous les entreprises qui réalisent des ventes ou hébergent un site internet en Californie sont concernées, qu’elles aient ou non des employés en Californie ou aux États-Unis. Elles choisiront certainement de se conformer à la loi plutôt que de renoncer au cinquième marché mondial.
• Les entreprises concernées sont celles qui remplissent les conditions suivantes : au moins 25 millions de dollars de chiffre d’affaires annuel, des PII sur plus de 50 000 utilisateurs ou au moins 50 % de leurs bénéfices issus de la vente de données.
• Les acteurs des assurances sont exemptés car ils sont déjà conformes à l’IIPA

Les entreprises auront 6 mois pour se mettre en conformité. Elles devront non seulement modifier leurs politiques de confidentialité, mais aussi déterminer exactement quel(s) type(s) de données elles collectent :
« Cela peut paraître étonnant, mais en réalité la plupart des entreprises ne savent pas vraiment quelles données elles collectent et traitent. »
– Christopher Budd, mathématicien et professeur à l’Université de Bath.

En cas d’infraction, les entreprises devront régulariser leur situation sous 30 jours après le signalement (« Cure Rule » ou délai de régularisation). Passé ce délai, le montant de l’amende s’élèvera à 7,5 $ par fichier de données. Les utilisateurs pourront intenter un procès ou mettre en place un recours collectif afin d’être dédommagés. Si la fuite de données découle d’une faille de sécurité, le montant de l’amende peut atteindre entre 100 $ et 750 $ par consommateur/incident/dégât.

La version américaine du RGPD ? Pas tout à fait !

À première vue, le CCPA ressemble à une version américaine du RGPD. Ces deux lois ont en effet pour objectif de permettre aux utilisateurs d’accéder à leurs données et de les supprimer, de demander davantage de transparence quant à leur utilisation, et d’exiger que des contrats encadrent leur transmission à des fournisseurs de services. Malgré ces points communs, les deux lois présentent des différences majeures.

Pour commencer, le CCPA est moins exigeant que le RGPD. Il n’oblige pas l’entreprise à établir une base juridique sur la collecte et l’utilisation des données sensibles et ne régule pas le transfert de données en-dehors des États-Unis. Il n’exige pas non plus la nomination d’un DPO (responsable de la protection des données) qui réalise des analyses d’impact. Enfin, les utilisateurs peuvent demander à accéder aux données collectées seulement au cours des douze derniers mois, et les restrictions sont moins fortes pour les fournisseurs de services.

Ceci dit, le CCPA est plus restrictif que le RGPD sur d’autres points. Il se base par exemple sur une définition plus large de ce qui constitue une donnée sensible. Sont caractérisées comme sensibles les données des utilisateurs concernant la biométrie, les recherches sur internet, les produits achetés ou visionnés, la géolocalisation, les informations sur la profession ou les études ainsi que les inférences utilisées pour créer un profil selon les préférences du consommateur. Le CCPA ne concerne pas les données collectées auprès des employés de l’entreprise et seulement partiellement celles des candidats, propriétaires, directeurs, agences, contractuels ou du personnel médical. Par ailleurs, il donne le droit à chaque utilisateur de refuser que ses données soient vendues. Cela oblige les entreprises à ajouter une bannière sur leurs sites internet et applications avec la mention : « Je refuse que mes données personnelles soient vendues ».

Les deux lois prévoient des clauses différentes au sujet des prestataires de services et le CCPA a des exigences plus strictes que le RGPD sur le traitement des données. Enfin, les deux lois abordent différemment la question des données privées des enfants. Avec le RGPD, les parents doivent donner leur autorisation (jusqu’à ce que l’enfant ait 16 ans) seulement si le consentement est nécessaire pour le traitement des données. Le CCPA se concentre davantage sur la vente des données personnelles des enfants que sur leur traitement de manière générale, et exige des entreprises qu’elles obtiennent d’abord un consentement explicite. Les parents doivent donner leur autorisation pour les enfants de moins de 13 ans. Les adolescents de 13 à 15 ans peuvent donner eux-mêmes leur consentement.

Les évolutions à venir

Étant donné la vitesse à laquelle le CCPA a été adoptée, des amendements viendront sûrement compléter le texte de loi afin de préciser certains éléments. Par exemple, la définition de « données sensibles » est approximative et non exhaustive. De plus, le CCPA accorde 30 jours à l’entreprise pour régulariser sa situation en cas de faille, et éviter un contentieux. Actuellement, aucun procès ni recours collectif ne peut être intenté si l’entreprise 1) régularise sa situation et 2) informe l’utilisateur par écrit que le problème est en train d’être réglé et que la faille ne se reproduira plus. Contrairement aux autres lois de protection des consommateurs, le CCPA précise que si la régularisation est suffisante pour le plaignant, alors « aucune action en justice ne pourra résulter en des dommages-intérêts individuels ou collectifs à l’encontre de l’entreprise ». La régularisation d’un cas individuel a donc une portée collective. Le problème ici est que le terme « régularisation » n’est pas clair.

Le CCPA et le RGPD ont tous deux été créés en réponse à l’utilisation d’internet par les entreprises pour collecter, stocker, traiter et partager des données personnelles. Ce phénomène a pris une telle ampleur qu’il a entraîné de nombreux cas de piratage et d’utilisation abusive de données personnelles. Si le CCPA n’est pas exactement le RGPD des États-Unis, il n’en est pas moins le commencement. La loi est officiellement entrée en vigueur le 1er janvier 2020. Les entreprises qui ont une activité en Californie ont six mois pour comprendre ses implications et s’y conformer.

Abonnez-vous à Tea O’Clock, notre newsletter mensuelle, pour ne pas manquer la deuxième partie de notre série sur le CCPA et comprendre ses impacts sur le traitement des données. Nous aborderons les mesures à mettre en place en entreprise afin de prendre une longueur d’avance sur le sujet des données personnelles !