CPRA vs CCPA : que dit la nouvelle loi californienne ?

12/10/2021
Edouard Schlumberger
Guides

Nous sommes le premier janvier 2020. Une révolution numérique s’opère aux États-Unis, pays de l’ultraconsommation et du libéralisme économique. La Californie, l’un des États les plus puissants du monde, applique le CCPA (California Consumer Privacy Act) : une loi sur la protection des données personnelles.

Inspiré du RGPD (Règlement Général sur la Protection des Données) européen, le CCPA protège la vie privée des consommateurs californiens. De nouveaux droits (d’accès, à l’oubli…) pour un meilleur contrôle sur ses informations personnelles. Les éditeurs de sites Web, davantage responsabilisés, doivent agir avec plus de transparence. 

Un véritable “big bang” pour les entreprises qui entretiennent des relations commerciales avec l’état du sud-ouest américain. Et malheureusement, les sociétés concernées par la réglementation californienne, et qui ont déjà adopté de nombreuses mesures de mise en conformité, ne sont pas au bout de leurs surprises.

À peine entré en vigueur, le CCPA profite d’une mise à jour “3.0” avec le CPRA (California Privacy Righs Act), adopté en novembre 2020.

Le 1er janvier 2023, les ressortissants californiens bénéficieront de nouveaux droits. Ceci pour un contrôle accru sur leurs données personnelles et pour une meilleure protection de leur vie privée.

Que devient le CCPA ? Quelles conséquences sur votre activité si vous avez des clients californiens ?

Découvrons-le dans cet article.

CCPA et CPRA : quelles différences

Un point important : le CPRA ne remplace pas le CCPA. Il en modifie les contours pour préserver davantage la vie privée.

Un changement de critères d'admissibilité

Quelles sont les organisations concernées par le CCPA ?

Le CCPA est une réglementation destinée aux consommateurs. Seules les entreprises privées veillent à sa mise en application.

3 critères d’éligibilité : 

  • Réaliser un chiffre d’affaires annuel brut supérieur à 25 millions de dollars en Californie ; 

Ou

  • Réaliser 50 % de son chiffre d’affaires grâce à la revente de données personnelles ; 

Ou

  • Traiter des données personnelles de plus de 50 000 résidents californiens.

Quelles sont les organisations concernées par le CPRA ?

Sont soumises au CPRA, les entreprises qui :

  • Réalisent 50 % de leur chiffre d’affaires grâce à la revente et au partage d’informations personnelles ;

Ou

  • Détiennent les données personnelles de plus de 100 000 résidents californiens.

Les données sensibles enfin protégées

Quel régime de protection avec le CCPA ?

Origine raciale, orientation sexuelle, santé... Contrairement au RGPD, le CCPA, loi "consommation" pour protéger les ménages, n'attache aucune attention particulière aux données sensibles. Elles n'entrent pas dans son champ d'application.

Quel régime de protection avec le CPRA ?

Les données dites “sensibles” apparaissent dans le texte de loi. Pour protéger ces informations confidentielles et personnelles, les consommateurs et ménages californiens profitent de nouveaux droits. Parallèlement, leur traitement est particulièrement encadré. Ainsi, elles nécessitent l’obtention d’un consentement, et seules certaines finalités sont admises.

La fuite des identifiants de connexion : un motif d’action en justice 

Avec le CCPA, les consommateurs, victimes d’une fuite de données, peuvent organiser une “Class Action” (une action collective en justice) contre une entreprise. Un nouveau droit à la défense de leurs intérêts en cas de manquements graves constatés à la protection des données.

Le CPRA facilite cette possibilité de recours. Les identifiants de connexion figurent désormais dans la liste des données qui, si elles sont piratées, autorisent les particuliers à intenter une action judiciaire.

Le CPRA : une mise à jour des droits accordés par le CCPA

La vente et le partage soumis au consentement des consommateurs

Cookies publicitaires, cookies d'analyses... Contrairement au RGPD, le CCPA autorise leur utilisation sans le consentement des internautes. Les éditeurs de sites web peuvent donc récolter les données personnelles de leur audience et les vendre en toute liberté à une seule condition : permettre aux internautes de s’y opposer via un formulaire dédié.

Avec le CPRA, les autorités californiennes offrent un meilleur contrôle sur les données personnelles à leurs administrés. Divulgation, transfert... Quelles que soient les modalités de partage, les consommateurs californiens doivent pouvoir s’opposer à la diffusion de leurs informations.

Le formulaire de non-consentement, imposé par le CCPA, change donc d'intitulé avec une nouvelle option proposée. On passe de « Don’t sell my data » à « Don’t sell and share my data ».

Un droit d'accès "étendu"

Le CCPA autorise un consommateur à demander un “état des lieux” des informations personnelles recueillies par une entreprise au cours des 12 derniers mois (par voie postale ou électronique).

Le CPRA va encore plus loin. Sous certaines conditions, la durée de 12 mois peut être étendue. Les ménages profitent également d'un nouveau droit à la portabilité des données vers une autre entreprise.

Un droit à la suppression étendu au tiers

Avec le CCPA, la collecte des données est très encadrée. Elle obéit à une finalité clairement définie. L’objectif atteint, les consommateurs peuvent demander la suppression de toute information les concernant.

Avec le CPRA, l'ordre de suppression ne concerne plus uniquement l'entreprise qui a collecté les informations. Ses entreprises clientes, qui ont acheté ces informations, sont tenues de respecter également la volonté du consommateur.

Une réglementation plus stricte pour les mineurs

Le mineur, un consommateur à part, est au centre des préoccupations du législateur californien. 

Les règles édictées ne souffrent d’aucune interprétation. Pour revendre des informations personnelles d’un mineur de moins de 16 ans, les entreprises doivent obtenir son consentement.

Le CPRA apporte une protection supplémentaire. Un délai de 12 mois doit être observé pour obtenir un consentement à la vente et au partage à la suite d’un premier refus.

Le CPRA : 4 nouveaux droits pour les consommateurs

Le CPRA ne se contente pas de corriger certains “trous dans la raquette” du CCPA. Le digital est un univers constamment en mouvement. La réglementation en matière de protection des données doit accompagner ces changements pour ne pas devenir “has been” en 2 temps et 3 mouvements. Il suit un sens de l’histoire vers une meilleure protection de la vie digitale des consommateurs.

De nouveaux droits sont ainsi accordés aux consommateurs californiens pour un niveau de protection adéquat et optimal.

Un droit à la rectification

La modification d’informations personnelles erronées est une nouvelle possibilité offerte aux usagers.

Un contrôle accru sur les données dites “sensibles”

Nous l'avons évoqué précédemment. Les données dites “sensibles” sont des informations protégées par le CPRA.

Comment ?

Les consommateurs peuvent limiter l'emploi et la divulgation de ces informations en autorisant leur utilisation uniquement pour la fourniture du bien ou du service proposé par l’entreprise. Aucune autre finalité ne doit être poursuivie.

Une protection contre les processus de décisions automatisés

Qu’appelle-t-on les processus de décisions automatisés ? 

Pendant une navigation sur le web, les données personnelles d’un internaute peuvent être collectées et son comportement analysé. Ce sont des opérations de profilage qui peuvent aboutir à un refus de fourniture de services dans un processus de décisions automatisés, c’est-à-dire des décisions prises par des algorithmes informatiques, sans intervention humaine.

Exemple dans le secteur financier : la délivrance d’un crédit.

Les consommateurs californiens peuvent désormais connaître les informations utilisées dans ces processus de décisions automatisés et demander à ne pas y être soumis pour être éligibles à un produit ou à un service.

Le CPRA : la Californie s’européanise

Vous l'avez compris. Avec le CPRA, les consommateurs profitent d'un contrôle accru sur leurs données personnelles. 

Si vous êtes une structure avec une activité modeste, peut-être échappez-vous à cette nouvelle réglementation plus exigeante. L'obligation de conformité au CCPA n'entraîne pas inéluctablement une obligation de conformité au CPRA : certains seuils doivent être dépassés.

Mise à jour de leur site internet, nouvelles organisations et procédures de contrôle pour une sécurité renforcée : cryptage de données, authentification multifactorielle... Les entreprises concernées doivent être en mesure de répondre aux nouvelles demandes des consommateurs et aux nouvelles directives des autorités californiennes.

Une nouvelle mobilisation de ressources humaines et financières aux coûts certains.

Clairement, avec le CPRA, la réglementation californienne s'européanise.

Minimisation des données collectées, limitation de la durée de détention, restriction des finalités... De nouveaux principes apparaissent et les entreprises responsabilisées deviennent des acteurs majeurs de la protection de la vie privée sur la côte ouest américaine.

Bref, c'est la fin du “Far West” sur les informations personnelles en Californie. 

Tout traitement doit être proportionné et effectué en toute transparence. 

Une nouvelle autorité de contrôle, la California Privacy Protection Agency (CPPA), dispose des pouvoirs nécessaires pour veiller à l'application de ces règles. Et, si besoin, pénaliser.

2023, c'est demain... Il ne reste que quelques mois pour vous organiser... Si vous avez des intérêts dans l’État, passez à l'action dès maintenant.

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.