Comprendre le CCPA en 5 questions

Si les Etats-Unis abritent sur son sol les géants du web et un marché du big data en pleine expansion, aucun droit général à la protection des données personnelles ne s’est imposé de manière fédérale.

Le Californian Consumer Privacy Act (ci-après nommé le CCPA), texte visant à assurer la protection des données personnelles des consommateurs californiens, a été adopté le 28 juin 2028 et est entré en vigueur le 1er janvier 2020 dernier. Bien que cette loi ne s’impose qu’en Californie, elle va concerner 1 Américain sur 8.

Quel est le champ d’application du texte ?

Il s’agit d’un texte de droit de la consommation s’appliquant aux entreprises dans leur relation BtoC.

Par conséquent, les entreprises françaises qui exercent leur activité en Californie et répondent à ces critères sont concernées par le CCPA.

Quels sont les droits accordés aux consommateurs californiens ?

La plupart des droits consentis aux consommateurs sont similaires à ceux édictés par le RGPD.

Information et accès aux données

Ils disposent d’un droit à l’information et peuvent ainsi savoir si leurs données sont communiquées à d’autres sociétés ou s’ils sont la cible d’un profilage (ex : l’entreprise catégorise-t-elle ses clients selon leur comportement d’achat ou selon leur capacité de financement ?).

Les résidents californiens peuvent désormais avoir accès aux catégories de données personnelles collectées par les entreprises telles que la localisation provenant de leur smartphone ou l’historique de leur consommation. Ils peuvent également exiger l’effacement de ces données. Certaines entreprises ont suivi l’exemple de Facebook ou Microsoft et proposent à leurs utilisateurs le téléchargement d’une copie de toutes leurs données personnelles traitées.

L’interdiction de vente des informations personnelles

Dans une logique différente du RGPD, le Californian Consumer Privacy Act accorde aux consommateurs le droit de demander l’interdiction de la vente des informations personnelles. Le règlement européen ne prévoit aucune interdiction stricte à la vente de données personnelles. Selon le RGPD, la transmission, par vente ou non, de données personnelles est conditionnée au consentement de la personne concernée au moment de la collecte de ses données.

La notion de vente au sens du CCPA est particulièrement large. Elle consiste en la mise à disposition d’information personnelles auprès d’un tiers : vente, location, communication, divulgation, diffusion, transfert transférer des informations d’un consommateur par l’entreprise à une autre entreprise ou à un tiers en échange d’une contrepartie monétaire ou d’une autre forme d’avantage. Concrètement, les entreprises sont incitées à insérer un lien « Ne pas vendre mes données » ou « Ne pas vendre mes informations » sur leur site internet afin que les internautes puissent retirer leurs données des ventes par des tiers.

De plus, le CCPA prévoit des règles relatives aux données personnelles des mineurs. Les entreprises ont l’obligation d’obtenir l’accord des parents ou des représentants légaux avant de communiquer les données personnelles de leurs enfants de moins de 13 ans.

Le principe de non-discrimination

Par ailleurs, la règlementation renforce le principe de non-discrimination entre consommateurs dans la mesure où elle précise que tous doivent bénéficier d’un service de même qualité pour le même prix. Cela se traduit par l’interdiction de discriminer par quelconque moyen (interruption d’un service, prix différencié etc…) un consommateur qui aurait exercé un des droits précédemment cités.

Quelles sont les obligations des entreprises ?

Le responsable de traitement impacté par le Californian Consumer Privacy Act a pour obligation principale de respecter l’ensemble des droits précédemment cités dont celui d’afficher une section permettant au consommateur de refuser la vente de ses données personnelles.

Aucune notion se rapprochant de l’accountability, à savoir la responsabilisation des entreprises prônée par le RGPD, ne se retrouve dans le texte californien. Ainsi, les sociétés n’ont pas d’obligation de documenter ses actions liées à la protection des données personnelles

Quelles sont les pénalités encourues par l’entreprise en cas de manquements à ses obligations ?

Le montant des amendes maximales encourues varie entre 2 500 $ pour chaque violation et 7 500 $ pour chaque violation intentionnelle à la législation. Ces montants peuvent paraitre moins impressionnants que ceux fixés par le RGPD, qui peuvent atteindre jusqu’à 4% du chiffre d’affaire mondial consolidé, mais peuvent être multipliés par le nombre d’infraction retenue et peut donc atteindre des sommes bien supérieures.

Ces sanctions sont prononcées par l’Etat par l’intermédiaire du procureur général et non par une autorité de contrôle, autorité qui n’est pas prévue par l’administration américaine. Les sommes dues sont versées au Consumer Privacy Fund, placé sous la direction du procureur général finançant les avancés en matière de protection des données personnelles.

Le CCPA est-il l’équivalent de son homologue européen ?

Si le CCPA reprend certains concepts du RGPD tel l’apport de nouveaux droits pour les Californiens et le respect de leur libre choix, les enjeux sont bien différents.

Le RGPD a une portée globale, s’applique à un très large nombre d’acteurs et protège les données personnelles des citoyens européens. Tandis que le CCPA vise un groupe d’entreprises en particulier dans l’objectif de protéger les consommateurs californiens et principalement pour leur permettre de refuser la vente de leurs données personnelles.

Dans tous les cas, il s’agit d’un texte prometteur prouvant une prise de conscience des autorités américaines. A tel point qu’un projet de loi fédérale pourrait prochainement voir le jour.