CCPA : connaissez-vous le RGPD californien ?

16/8/2021

Le 25 mai 2018, avec le RGPD (Règlement Général sur la Protection des Données), l’UE (Union Européenne) a été la première entité économique à agir concrètement pour protéger la vie privée de ses ressortissants. Ainsi, elle a responsabilisé toutes les organisations, publiques et privées, à propos du traitement des données personnelles.

Parfois jugée, en dehors de l’UE, inadaptée et contraignante dans une économie globalisée, cette régulation européenne incite tout de même d’autres pays à mener une réflexion autour de “la data”, rouage essentiel des échanges commerciaux nationaux et internationaux.

Une nouvelle prise de conscience voit le jour.

Pour protéger et accélérer l’économie numérique, les consommateurs doivent reprendre le contrôle de leurs données personnelles et avoir toute confiance dans les entreprises qui les possèdent. 

Sans confiance, pas de business. Les données personnelles ne peuvent plus être ces “cartes Panini” que l’on s’échange, sans contrôle, dans une cour d’école.

Forte de ce constat, consciente de l’absolue nécessité de replacer le consommateur au cœur de l’activité économique, la Californie, sixième puissance mondiale (devant la France en 2015), a donc décidé de suivre l’exemple européen avec le CCPA (California Consumer Privacy Act).

Entrée en vigueur le 1er janvier 2020, cette réglementation, presque aussi stricte que le RGPD, apparaît comme un véritable ovni aux États-Unis, pays de l’ultralibéralisme.

Fini la collecte, le traitement et la revente sans contrepartie et en toute discrétion. La fin du “Far West” sur les données personnelles... 

Avec le CCPA, les consommateurs reprennent le contrôle de leurs informations, acquièrent de nouveaux droits pour préserver leur vie privée. Les entreprises, quant à elles, sont responsabilisées et doivent agir en toute transparence.

Vous avez une activité commerciale sur ce territoire ? Vous traitez des données de citoyens californiens ? La mise en conformité au RGPD a mobilisé de nombreuses ressources financières et humaines ? 

Eh bien … Désolé, “être en conformité avec le RGPD” ne signifie pas “être en conformité avec le CCPA ”. De nouveau, vous êtes contraint d’adapter votre organisation pour assurer le développement de votre business...

Le CCPA : les nouveaux droits des consommateurs californiens

Nom, prénom, e-mail, numéro de téléphone, adresse IP, historique, cookies… Comme pour le RGPD, la Californie a délibérément opté pour une définition très large de la donnée personnelle, seule alternative pour permettre à ses ressortissants d’exercer pleinement leurs nouveaux droits.

Un droit d’accès

Désormais, les citoyens californiens peuvent connaître l’identité des entreprises qui possèdent des informations les concernant. Interrogées, ces sociétés doivent faire preuve de la plus grande transparence et apporter des réponses précises :

  • Comment se sont-elles procurées ces données ?
  • Quelle est la finalité de la collecte ?
  • Des partenaires utilisent-ils ces données ?
  • ...

Un droit de contrôle

Les consommateurs californiens peuvent exiger la non-revente et le non-partage de leurs informations. Ils exercent alors un contrôle sur la circulation de la donnée personnelle au sein de l’entreprise.

Un droit à l’oubli

Les Californiens peuvent ordonner aux entreprises la suppression de leurs données personnelles, y compris si celles-ci sont détenues par un partenaire.

RGPD et CCPA : des différences notables

Une définition de la donnée personnelle proche, certes… 

Une similarité dans l’obligation d’information et de transparence pour les entreprises, aussi… 

Enfin, une application extraterritoriale globale : toutes les entreprises mondiales qui ont une activité commerciale en Europe et en Californie sont concernées par ces règlements… 

Mais ce sont les seuls points communs entre le RGPD et le CCPA.

Résultats de cultures bien différentes, CCPA et RGPD se distinguent sur nombre de points.

L’identité des bénéficiaires : citoyens vs consommateurs

Contrairement au RGPD qui s’applique à tous les citoyens européens, indépendamment de leur statut social (employés, salariés, membres d’une association, clients…), le CCPA ne protège que les droits des consommateurs californiens. 

Certes, il y aussi une notion de ménage, de protection des données du foyer, ce qui élargit le champ d’application sur ce point. Mais il est énormément réduit par le fait qu’il ne protège les données que pour toute autre utilisation que les utilisations commerciales. Elle ne fait pas cas des patients, employés et autres listing administratif.

La nature des données protégées : un règlement européen plus protecteur

Le RGPD attache une attention toute particulière aux données dites “sensibles” (origine raciale, orientation sexuelle, santé…). Ces informations profitent de règles spécifiques, d’une protection renforcée. Des données qui ne font l’objet d’aucune surveillance particulière en Californie.

Les organisations ciblées : un champ d’application plus restreint pour le CCPA

Associations, organisations publiques (hôpitaux…), artisans, microentreprises, entreprises du CAC 40… Toute entité qui manipule des données personnelles doit respecter le RGPD.

Le CCPA, c’est une réglementation destinée aux consommateurs. De fait, seules les entreprises privées sont concernées dès lors qu’elles se trouvent dans l’une des situations suivantes :

  • Un chiffre d’affaires annuel brut supérieur à 25 millions de dollars en Californie ;
  • 50 % du chiffre d’affaires est réalisé grâce à la revente de données personnelles ;
  • Le traitement de données personnelles de plus de 50 000 résidents californiens.

Autant dire que cela ne vous concerne pas si vous avez une petite entreprise, même si vous avez des bureaux à LA… Contrairement au RGPD auquel nulle entité n’échappe.

Le transfert de données : une absence du contrôle des échanges avec le CCPA

Côté RGPD : avant la collecte, les entreprises européennes doivent informer leurs clients d’un éventuel transfert de leurs données personnelles en dehors de l’UE. Une éventualité non évoquée dans le CCPA.

L’autorisation de rémunération : aux États-Unis, “tout se vend.”

En Europe, la donnée personnelle est un droit. Ce qui exclut toute transaction commerciale. La Californie considère la donnée personnelle comme un bien. Les consommateurs peuvent donc vendre leurs informations à des entreprises privées.

CCPA : qu’en est-il du consentement ?

Une différence majeure : pour les Européens, un consentement utilisateur est un préalable indispensable à tout traitement. Les consommateurs californiens ne disposent de droits que lorsque la collecte de leurs données personnelles est effectuée. Dès qu’ils utilisent un service, leurs données peuvent être traitées à “leur insu”.

Le droit d'accès

Le RGPD autorise les citoyens européens à exercer un droit d’accès sur toutes les données personnelles détenues par une entreprise, et ce, depuis le début de la relation commerciale. L’entreprise est alors tenue d’indiquer les données en leur possession dans un délai d’un mois (refus possible en cas de demandes abusives et répétées).

Les entreprises californiennes offrent un accès sur les données personnelles recueillies sur les 12 derniers mois (refus possible à partir de la 3e demande d’accès sur une période de 12 mois) avec un délai de 45 jours à respecter.

Le droit d'opposition

En Europe, le droit d’opposition concerne toute opération liée aux données personnelles (collecte, transfert…).

Les Californiens ne peuvent s’opposer (sans avoir à se justifier) qu’à la revente de leurs informations à des tiers. Ainsi, les entreprises doivent faciliter l’accès à une page dédiée sur leur site Internet. Sur celle-ci, les citoyens californiens demandent explicitement, via un formulaire, la non-vente de leurs informations.

On note toutefois une différence d’approche entre les deux continents. En Europe, l’absence d’un consentement rend impossible tout traitement. En Californie, les données personnelles peuvent être revendues “par défaut”.

La sécurisation des données personnelles : l’État californien s’en charge.

Le RGPD responsabilise les entreprises qui exploitent des données personnelles. Elles sont garantes de la sécurisation des données et de leurs infrastructures pour assurer la protection de la vie privée des citoyens européens. Elles doivent même anticiper les problèmes de sécurité dès la conception du produit comme le suggère le concept de “Privacy by design”. Enfin, elles doivent prévenir les personnes concernées en cas de fuites.

Cette obligation de sécurisation n’apparaît pas dans le CCPA. Elle est cependant définie dans d’autres textes législatifs californiens.

Le délégué à la protection des données : une personne dédiée en Europe

Organismes publics, entités qui exercent un suivi régulier d’individus à grande échelle ou traitent de données “sensibles”… En Europe, ces organisations doivent nommer un DPO chargé de surveiller la conformité au RGPD.

Aucune personne dédiée en Californie.

La base légale : le CCPA préserve la liberté d’entreprendre

Les entreprises qui ont une activité sur le sol européen doivent justifier et motiver toute collecte et tout traitement de données avec une base légale.

Tant que les consommateurs californiens n’exercent pas leurs droits, les entreprises privées utilisent leurs données personnelles comme bon leur semble. Aucune base légale imposée.

Quelques réglages à effectuer pour les entreprises françaises

Vous en savez désormais un peu plus sur le California Consumer Privacy Act. Si vous exercez une activité commerciale avec la Californie et que vous dépassez l’un des seuils d’application définis, des ajustements s’imposent.

Comment ?

Tout d’abord, et comme pour le RGPD, dédiez une rubrique au CCPA sur votre site Internet. Objectifs, nature des opérations de traitement, utilisation des informations collectées... Soyez transparent et informez les consommateurs californiens. 

Ensuite, veillez à la sécurisation de vos installations et de vos process pour éviter toute fuite de données personnelles (mots de passe robustes, limitation des autorisations d’accès, sensibilisation des salariés…).

Enfin, permettez aux consommateurs californiens d’exercer leurs droits facilement avec des liens et des procédures accessibles (page de non-revente de données personnelles, formulaire pour demander la suppression, possibilité de vous contacter …).

Vous avez tout intérêt à entretenir une relation commerciale saine avec vos clients d’Outre-Atlantique … En cas de violation, les sanctions peuvent être très lourdes, notamment avec les procédures de “Class Action” (action en justice collective) :

  • jusqu’à 7 500 $ par infraction ;
  • jusqu’à 750 $ par personne impactée par votre négligence.

Enfin, gardez à l’esprit que le CCPA n’est que le commencement. La Californie prévoit déjà la suite ave le CPRA, le California Privacy Rights Act. N’hésitez pas à vous abonner à notre newsletter pour rester informé !

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?