Au 1er janvier 2023, la loi Californienne sur les droits à la vie privée (CPRA, California Privacy Rights Acts) entre en vigueur. Ces nouvelles dispositions viennent compléter celles du CCPA (California Consumer Privacy Act).
Le CPRA actualise certains droits figurants dans le CCPA, accorde de nouveaux droits pour les consommateurs Californiens et instaure de nouvelles obligations pour les entreprises qui collectent leurs données.
Que devient le CCPA ? Quelles sont les entreprises concernées ? Quels sont les droits modifiés ? Quels sont les nouveaux droits ? Quelles conséquences pour les entreprises ? Le CPRA est-il inspiré du RGPD, le règlement Européen sur la protection des données personnelles ?
Faisons le point.
Les origines du CCPA et du CPRA
A la différence de l’Europe qui a adopté un socle de règles communes avec le RGPD, aux Etats-Unis, il n’existe aucune loi fédérale protégeant les données personnelles. Il incombe donc à chaque Etat de mettre en œuvre un arsenal juridique dédié.
En Californie, il s’agit du CCPA (California Consumer Privacy Act) adopté en septembre 2018 et entré en application au 1er Janvier 2020.
Inspiré du RGPD (Règlement Général sur la Protection des Données) européen, le CCPA a pour ambition de protéger la vie privée des consommateurs résidants en Californie. De nouveaux droits (d’accès, à l’oubli…) ont été instaurés pour un meilleur contrôle sur ces informations personnelles. Il s’agit du texte de référence en matière de collecte de données et de gestion des cookies. Les éditeurs de sites Web, davantage responsabilisés, doivent agir avec plus de transparence.
Pour aller plus loin, et renforcer encore la sécurité des données personnelles, le California Privacy Rights Act est adopté en novembre 2020. Le CPRA se présente comme une version “2.0” du CPPA.
Au 1er janvier 2023, les ressortissants californiens bénéficient de nouveaux droits dans l’optique de contrôler davantage encore leurs données personnelles et de leur octroyer ainsi une protection renforcée de leur vie privée.
Quelles sont les différences entre le CCPA et le CPRA ? Qu’apporte le CPRA comme droits pour les citoyens et obligations supplémentaires pour les entreprises ?
CCPA et CPRA : quelles différences ?
🚨 Un point important : le CPRA ne remplace pas le CCPA. Il en modifie les contours pour préserver davantage la vie privée.
Les entreprises concernées
Quelles sont les organisations concernées par le CCPA ?
Le CCPA est une réglementation destinée à protéger les “consommateurs” et les “ménages” résidant en Californie. De ce fait, les obligations incombent aux entreprises privées qui doivent veiller à sa mise en application. La définition d’entreprise est donnée par le texte.
En effet, sont concernées toutes les entreprises collectant des informations de consommateurs Californiens, quel que soit leur lieu d’activité dans le monde, dès lors qu’elles atteignent l’un des 3 seuils d’éligibilité suivants :
- Réaliser un chiffre d’affaires annuel brut supérieur à 25 millions de dollars en Californie ;
- Ou : Réaliser 50% de son chiffre d’affaires grâce à la revente de données personnelles de clients Californiens ;
- Ou traiter des données personnelles de plus de 50 000 résidents californiens.
Quelles sont les organisations concernées par le CPRA ?
Le CPRA modifie l’un des trois seuils d'éligibilité, ce qui a pour effet de réduire le champ des entreprises visées par rapport au CCPA. En revanche, si le CCPA ne porte que sur la vente d’informations personnelles, le CPRA inclut le partage des données.
Les entreprises concernées par le California Privacy Rights Act sont celles qui atteignent les seuils de chiffre d’affaires fixés par le CCPA. En revanche, le nombre minimum de résidents ou de ménages Californiens dont l’entreprise détient les données personnelles est revu. Ainsi, vous devez appliquer le CCRA si vous atteignez l’un des 3 seuils suivants : :
- Réaliser un chiffre d’affaires annuel brut supérieur à 25 millions de dollars en Californie;
- Réaliser 50% de son chiffre d’affaires grâce à la revente et au partage d’informations personnelles de clients Californiens ;
- Ou détenir les données personnelles de plus de 100 000 résidents californiens (contre 50 000 pour le CCPA).
Tableau récapitulatif : entreprises concernées par le CRPA et le CPPA
Les critères d’éligibilité au CPRA (California Privacy Righs Act) sont légèrement différents. Il se peut donc que votre entreprise soit soumise au CCPA mais pas au CPRA.
Les données protégées par le CCPA et le CPRA
Les deux textes, CCPA et CPRA ont tout deux pour objectif d’instaurer une réglementation concernant les droits des résidents californiens sur leurs informations personnelles :
- détenues (CCPA),
- détenues et partagées (CPRA)
Les informations personnelles sont définies par le CCPA comme « des informations qui identifient, se rapportent, décrivent, peuvent être raisonnablement associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur ou un ménage". Cependant, certaines données dites “sensibles” comme l'origine raciale, l’orientation sexuelle, ou encore les données de santé n'entrent pas dans le champ d’application du CCPA, contrairement aux données sensibles dans le RGPD. Le CCPA, dite loi "consommation" pour protéger les ménages, n'attache aucune attention particulière aux données sensibles.
Il aura fallu attendre le CPRA pour que l’attention soit donnée à ces données. En effet, les données dites “sensibles” apparaissent dans le texte de loi. Pour protéger ces informations confidentielles et personnelles, les consommateurs et ménages californiens profitent de nouveaux droits. Parallèlement, leur traitement est particulièrement encadré. Ainsi, elles nécessitent l’obtention d’un consentement, et seules certaines finalités sont admises.
Quels droits pour les résidents Californiens avec le CPRA ?
Pour renforcer la protection des données des ménages Californien, le CPRA actualise certains droits octroyés par le CCPA et en introduit 4 nouveaux.
CRPA : 5 droits du CCPA actualisés
1 - La vente et le partage soumis au consentement des consommateurs
Cookies publicitaires, cookies d'analyses... Contrairement au RGPD, le CCPA autorise leur utilisation sans le consentement des internautes. Les éditeurs de sites web peuvent donc récolter les données personnelles de leur audience et les vendre en toute liberté à une seule condition : permettre aux internautes de s’y opposer via un formulaire dédié.
Avec le CPRA, les autorités californiennes offrent un meilleur contrôle sur les données personnelles à leurs administrés. Divulgation, transfert... Quelles que soient les modalités de partage, les consommateurs californiens doivent pouvoir s’opposer à la diffusion de leurs informations.
Le formulaire de non-consentement, imposé par le CCPA, change donc d'intitulé avec une nouvelle option proposée. On passe de « Don’t sell my data » à « Don’t sell and share my data ».
2 - Un droit d'accès "étendu"
Le CCPA autorise un consommateur à demander un “état des lieux” des informations personnelles recueillies par une entreprise au cours des 12 derniers mois (par voie postale ou électronique).
Le CPRA va encore plus loin avec l'instauration d’un droit d’accès étendu. Sous certaines conditions, la durée de 12 mois peut être étendue. De plus, les ménages profitent également d'un nouveau droit à la portabilité des données vers une autre entreprise.
3 - Un droit à la suppression étendu aux tiers
Avec le CCPA, la collecte des données est très encadrée. Elle obéit à une finalité clairement définie. L’objectif atteint, les consommateurs peuvent demander la suppression de toute information les concernant.
Avec le CPRA, l'ordre de suppression ne concerne plus uniquement l'entreprise qui a collecté les informations. Ses entreprises clientes (les tiers), qui ont acheté ces informations, sont tenues de respecter également la volonté du consommateur.
4 -Une réglementation plus stricte pour les mineurs
Le mineur, un consommateur à part, est au centre des préoccupations du législateur californien.
Les règles édictées ne souffrent d’aucune interprétation. Pour revendre des informations personnelles d’un mineur de moins de 16 ans, les entreprises doivent obtenir son consentement.
Le CPRA apporte une protection supplémentaire. Un délai de 12 mois doit être observé pour obtenir un consentement à la vente et au partage à la suite d’un premier refus.
5- Elargissement du champ d’action en justice : la fuite des identifiants de connexion
Avec le CCPA, les consommateurs peuvent organiser une “Class Action” (une action collective en justice) contre une entreprise s’ils sont victimes d’une violation de données personnelles non cryptées ou non expurgées, divulguées en raison de l’incapacité d’une entreprise à mettre en place des mesures et des pratiques de sécurité adéquates au vu de la nature des informations traitées.
Le CPRA ajoute les identifiants de connexion dans la liste des données qui, si elles sont piratées, autorisent les particuliers à intenter une action judiciaire.
Le CPRA : 4 nouveaux droits pour les consommateurs
Le CPRA ne se contente pas de corriger certains “trous dans la raquette” du CCPA. Le digital est un univers constamment en mouvement. La réglementation en matière de protection des données doit accompagner ces changements vers une meilleure protection de la vie digitale des consommateurs.
De nouveaux droits sont ainsi accordés aux consommateurs californiens pour un meilleur niveau de protection de leurs données.
Un droit à la rectification
La modification d’informations personnelles erronées est une nouvelle possibilité offerte aux usagers par ce droit à la rectification.
Un contrôle accru sur les données dites “sensibles”
Nous l'avons évoqué précédemment. Les données dites “sensibles” sont désormais des informations protégées par le CPRA. Ces « SPI » (pour « Sensitive Personal Information » en anglais) correspondent peu ou prou à celles de l’article 9 du RGPD qui exige un niveau plus élevé de protection des données selon leur degré de sensibilité des informations personnelles.
Les consommateurs peuvent limiter l'emploi et la divulgation de ces informations en autorisant leur utilisation uniquement pour la fourniture du bien ou du service proposé par l’entreprise. Aucune autre finalité ne doit être poursuivie.
La mise en œuvre de ce nouveau concept de “SPI” (données sensibles) par le CPRA va demander aux entreprises concernées de redoubler de prudence dans la protection de ces données et de permettre aux consommateurs de retirer facilement leur consentement. Si vous vendez et/ou partagez ce type d’informations personnelles, vous devez disposer d’un lien visible sur votre site pour permettre de limiter le traitement des données sensibles.
Protection contre les processus de décision automatisés
Ce droit se décompose en deux droits distincts :
- Accéder aux informations relatives aux processus de décisions automatisés,
- Droit de retirer son consentement aux technologies de prise de décision
Qu’appelle-t-on les processus de décisions automatisés ? Pendant une navigation sur le web, les données personnelles d’un internaute peuvent être collectées et son comportement analysé. Ce sont des opérations de profilage qui peuvent aboutir à un refus de fourniture de services dans un processus de décisions automatisés, c’est-à-dire des décisions prises par des algorithmes informatiques, sans intervention humaine. Exemple dans le secteur financier : la délivrance d’un crédit.
Les consommateurs californiens peuvent désormais connaître les informations utilisées dans ces processus de décisions automatisés et refuser que leurs informations soient utilisées par ces technologies.
CPRA : quelles conséquences pour les entreprises ?
Vous l'avez compris. Avec le CPRA, les consommateurs profitent d'un contrôle accru sur leurs données personnelles.
Si vous êtes une structure avec une activité modeste, peut-être échappez-vous à cette nouvelle réglementation plus exigeante. En effet, comme nous l’avons vu, l'obligation de conformité au CCPA n'entraîne pas inéluctablement une obligation de conformité au CPRA, tout dépend du nombre de clients dont vous détenez les informations personnelles.
Pour les autres en revanche, cette nouvelle réglementation va demander une nouvelle mobilisation de ressources humaines et financières aux coûts certains :
- Mise à jour de leur site internet,
- Mise en œuvre de nouvelles organisations et procédures de contrôle pour une sécurité renforcée : cryptage de données, authentification multifactorielle ...
- Vérification de l’application des obligations légales par les tiers qui détiennent des informations personnelles pour le compte de l’entreprise etc.
Les entreprises concernées doivent être en mesure de répondre aux nouvelles demandes des consommateurs et aux nouvelles directives des autorités californiennes.
Enfin, une nouvelle autorité de contrôle, la California Privacy Protection Agency (CPPA), dispose des pouvoirs nécessaires pour veiller à l'application de ces règles. Et, si besoin, sanctionner.
CPRA : des principes inspirés du RGPD ?
Clairement, avec le CPRA, la réglementation californienne s'européanise. De nouveaux concepts, sinon issus du RGPD, au moins largement inspirés, sont intégrés au CPRA :
- Minimisation des données collectées,
- Limitation de la durée de détention,
- Restriction des finalités,
- Nouvelle exigence : suite à une décision antérieure de refus (opt in), une demande de consentir est exigée (opt-ou).
De nouveaux principes apparaissent et les entreprises responsabilisées deviennent des acteurs majeurs de la protection de la vie privée sur la côte ouest américaine.
Bref, c'est la fin du “Far West” sur les informations personnelles en Californie. Tout traitement doit être proportionné et effectué en toute transparence.
CPRA : le récapitulatif !
En quelques mots, le CPRA (California Privacy Rights Acts) :
👉 Modifie la définition d’entreprise pour exclure les petites entreprises et inclure les plus grandes entreprises;
👉 Introduit la notion de partage d’informations personnelles en plus de la revente;
👉 Introduit la notion de données sensibles (Sensitive Personal Information) assortie d’une réglementation plus stricte;
👉 Introduit 4 nouveaux droits et en modifie 5 droits autres;
👉 Rend une entreprise responsable de l’utilisation des informations personnelles par les tiers en son nom.
Si vous faites partie des entreprises concernées par le CRPA, il est indispensable de vous mettre rapidement en conformité avec ces nouvelles obligations.
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.