Newborn for New Year : entrée en vigueur du CCPA en Californie

ArticleActualités Réglementation
Écrit par Oriana Labruyère

En cette période de fêtes, les cadeaux ne sont pas les seuls à arriver dans nos boîtes aux lettres. Les courriers électroniques nous informant des mises à jour de politiques de confidentialité ou de conditions d’utilisation se multiplient, un phénomène qui n’est pas sans rappeler la frénésie qui a précédé l’entrée en application du RGPD.

Et pour cause. Le California Consumer Privacy Act (« CCPA »), promulgué le 28 juin 2018, entre en application le 1er janvier 2020. De l’autre côté de l’Atlantique, le RGPD a ainsi fait des émules.

Si son entrée en vigueur commence à dater, la question de son application est, elle, toujours d’actualité pour bien des entreprises, aussi bien françaises qu’européennes ou internationales. Dès lors, l’apparition de ce nouveau texte pose beaucoup d’interrogations : quel est son but ? quelles sont ses implications pour les entreprises ? comment le concilier avec le RGPD ? etc.

Une loi née d’une initiative citoyenne

L’originalité de cette loi est qu’elle est le résultat d’une prise de conscience et d’une initiative citoyenne. L’association Californians for Consumer Privacy a porté ce texte par un référendum signé par plus de 600 000 Californiens. Le texte a ensuite été repris par le Parlement d’état. Cette loi est donc le produit d’une prise de conscience citoyenne.

Cette loi vise principalement à permettre aux résidents californiens de savoir quelles données personnelles sont collectées à leur sujet, de refuser la vente de leurs informations et de bénéficier de garanties concernant le traitement de leurs données personnelles. Tout comme pour le RGPD, l’objectif -louable- est de permettre aux personnes de reprendre le contrôle de leurs informations personnelles.

Les entreprises sont dorénavant tenues de communiquer aux particuliers les informations qu’elles détiennent sur eux ou encore de recueillir le consentement explicite de la personne avant la vente de ces données.

Si les deux textes présentent des similitudes, ils ne sont cependant pas sans différences.

Les différences entre le RGPD et le CCPA

1.   Le champ d’application territorial

Alors que le RGPD s’applique à toutes les organisations qui traitent les données de personnes physiques présentes sur le territoire européen, le CCPA ne s’applique que si trois critères se trouvent réunis :

  1. Être une entreprise ;

  2. Basée en Californie ;

  3. Dont le chiffre d’affaires brut annuel dépasse les 25 millions de dollars OU dont plus de 50% de l’activité trouve sa source dans la vente de données personnelles OU qui détient les données personnelles de plus de 50 000 personnes, ménages ou appareils.

Concrètement, seules sont visées les grandes entreprises californiennes et celles qui se spécialisent dans la marchandisation de la donnée, comme les régies publicitaires. Le choix de ces critères alternatifs rappellent ainsi ont peut-être été choisis car ne sont pas sans rappeler le scandale Cambridge Analytica.

2. La définition d’une donnée personnelle

Le RGPD définit la donnée personnelle de manière très large. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le texte s’arrête à cette définition, après avoir donné plusieurs exemples.

La définition donnée par le CCPA est similaire, mais comporte toutefois des exclusions explicites. Ainsi, les informations librement rendues publiques par les gouvernements locaux, d’état et fédéral, ne sont pas considérées comme des données personnelles.

3. Les droits conférés

Les deux législations protègent le droit à l’information ainsi que le droit d’accès aux données personnelles de chaque individu. Le CCPA protège en outre :

  • Le droit de demander l’interdiction de la vente de ses informations personnelles. Un tel droit se manifeste par un opt-out spécifique qui doit être visible sur les sites des entreprises concernées.

  • Le droit de ne pas subir de discrimination à la suite de l’exercice de ses droits. Autrement dit, chacun doit pouvoir profiter d’un service de même qualité à un même prix.

Il faut noter que ces droits ne concerneront que les résidents californiens, soit environ 40 millions de personnes. Par comparaison, le RGPD concerne non seulement les 513,5 millions de résidents sur le territoire de l’Union Européenne (« UE »), mais aussi toute personne, même non-résidente en UE, dont les données sont traitées par une entreprise située sur ce territoire.

4. Les sanctions

Les sanctions du RGPD qui sont aujourd’hui bien connues, peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’organisation sanctionnée ou encore 20 millions d’euros. Le CCPA, lui, se distingue de deux manières.

D’une part, il distingue entre les violations de données, pour lesquelles le consommateur peut poursuivre l’entreprise concernée, et la non-conformité en général, pour laquelle seul le Procureur Général peut poursuivre en justice.

D’autre part, les sanctions financières peuvent aller jusqu’à 7 500$ par violation. Ce nombre paraît minime, comparé aux sanctions prévues par le RGPD. Néanmoins, les violations peuvent aisément s’accumuler et seul l’avenir dira comment ces sanctions seront appliquées.

Aucune autorité de contrôle n’existant en Californie, le Procureur Général s’en rapproche le plus. En effet, les entreprises peuvent lui demander conseil sur leur mise en conformité. Ce surplus d’activités devra être géré par ses services et il est raisonnable de penser qu’un temps d’adaptation et des moyens supplémentaires devront être déployés avant le prononcé de sanctions effectives. De l’aveu même du Procureur Général en exercice, Xavier Becerra, seuls trois poursuites pourraient être menées en 2020.

Conclusion

Si le CCPA semble s’inspirer du RGPD, ces deux textes ne revêtent pas la même portée.

Le CCPA représente une étape incontestable vers une prise de conscience à l’échelle du continent américain.

Toutefois, ce texte pose de véritables questions, non seulement en termes d’application en parallèle au RGPD, mais aussi parce qu’il autorise de manière explicite la vente de données personnelles. Cette étape n’a à ce jour pas été franchie en Europe et fait l’objet d’un sérieux débat sur la marchandisation des données d’un individu.

Ainsi, la question de la possibilité et de l’opportunité d’harmoniser les législations à l’échelle mondiale est une fois de plus posée.

Sources et documents sur les sujets abordés dans cet article

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5.

https://www.caprivacy.org/about

https://www.kqed.org/news/11792899/the-california-consumer-privacy-act-mandates-what-again-exactly

https://www.nextinpact.com/news/106349-retour-sur-scandale-cambridge-analytica-et-molle-reponse-facebook.htm

https://www.nextinpact.com/news/106454-affaire-cambridge-analytica-pressions-europeennes-saccentuent-sur-facebook.htm

Oriana Labruyère
Précédent

STOP-COVID sous les feux des projecteurs
Suivant

La CNIL et le démarchage téléphonique : Hang up