En janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) a inauguré une nouvelle ère de conformité. Elle cherche à inciter les entreprises à faire bien plus que mettre à jour leurs politiques de confidentialité. La nouvelle ccpa california a touché des milliers d’entreprises utilisant un large éventail de données personnelles.
La protection offerte par la loi ccpa california
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une législation de l’État de Californie. Elle soutient le droit d’un individu à contrôler ses propres informations d’identification personnelle. Le CCPA offre aux résidents californiens une plus grande visibilité et un meilleur contrôle de leurs informations personnelles et de leur utilisation. La technologie et les données jouant un rôle plus important dans la vie des consommateurs, davantage d’informations personnelles sont partagées entre les consommateurs et les entreprises. Visitez le site dédié pour en savoir plus sur la ccpa california.
Par ailleurs, la législation souligne le manque d’adaptation de la législation californienne à ces évolutions et à leurs conséquences sur la vie privée. La ccpa california vise à protéger les résidents californiens contre les risques de divulgation non autorisée d’informations personnelles, notamment le vol d’identité, la destruction de biens et les atteintes à la réputation.
Les données couvertes par la ccpa california
La ccpa california donne une vaste définition des « informations personnelles ». Il s’agit d’éléments décrivant, se rapportant, identifiant et étant associés directement ou indirectement à un consommateur. Les données considérées comme informations personnelles selon l’AB 375 sont :
- les déductions tirées de toute information identifiée dans une sous-section pour créer un profil sur un consommateur ;
- les informations relatives à l’éducation ;
- les données professionnelles ou liées à l’emploi ;
- les données audio, électroniques, visuelles, thermiques, olfactives ou similaires ;
- les informations de géolocalisation ;
- les données relatives à l’activité sur Internet ou sur d’autres réseaux électroniques ;
- les informations biométriques ;
- les informations commerciales ;
- les caractéristiques des classifications protégées par la loi californienne ou fédérale ;
- les identifiants.
La définition des informations personnelles est large. Pourtant, d’autres catégories sont spécifiquement exclues de cette définition, notamment :
- les informations accessibles au public : les données disponibles dans les dossiers des administrations fédérales, étatiques ou locales ;
- les informations pseudonymisées et dépersonnalisées ou les informations agrégées et dépersonnalisées ne pouvant être raisonnablement reliées à un individu.
Les entreprises et les entités face à la loi ccpa california
L’application de la loi CCPA
Actuellement, la ccpa california s’applique essentiellement à toute entité à but lucratif faisant des affaires en Californie ayant pour activité la collecte, le partage ou la vente de données personnelles de consommateurs californiens. Sous réserve de la date d’entrée en vigueur, celle-ci est probablement soumise à la réglementation CCPA. Cette dernière peut être appliquée en cas de collecte de données personnelles de résidents californiens par votre entreprise et de respect de l’un des critères définis. La CCPA concerne aussi toute entité possédant, détenant ou partageant une marque commune avec une entreprise couverte, étendant ainsi sa portée encore plus loin. L’entreprise visée doit partager des renseignements personnels avec l’entité. Le partage d’une marque commune amènerait le consommateur moyen à comprendre la propriété commune des entités.
Cette loi ajoute également un troisième groupe d’entités applicables : une coentreprise ou un partenariat composé d’entreprises avec au moins 40 % des actions détenues par chaque entreprise.
Impact de la CCPA sur les entreprises
Les entreprises devront engager des frais pour se mettre en conformité avec la CCPA. En effet, les entreprises doivent informer les consommateurs de la nature des renseignements personnels recueillis, de la façon utilisée et de la possibilité de les divulguer ou de les vendre. Les sociétés sont tenues de fournir aux consommateurs un processus simple leur permettant de refuser la vente de leurs informations personnelles à un tiers. Les coûts de mise en œuvre de ces mesures proviendront des modifications apportées aux sites Web, des mises à jour des documents imprimés et de la création de nouveaux documents ou communications. Les organisations devront sensibiliser et former leur personnel à la CCPA. Cela pourrait entraîner des coûts pour les programmes de formation et l’embauche d’employés supplémentaires. Les compagnies peuvent aussi encourir un coût pour l’embauche de consultants ou de conseillers juridiques en ce qui concerne la conformité à la loi, les violations et les mesures correctives.
Les sanctions prévues
Cette loi crée un droit d’action privé pour les consommateurs ayant été victimes d’une violation de leurs données personnelles ou de leurs informations de connexion à un courriel. Une entreprise viole la CCPA en cas d’absence de réponse à une violation présumée dans les 30 jours suivant sa notification. Toute entreprise enfreignant cette loi est passible d’une amende maximale de 2 500 dollars pour chaque violation involontaire et de 7 500 dollars pour chaque infraction intentionnelle.
CCPA : les droits des consommateurs
La loi californienne donne aux consommateurs californiens certains droits concernant l’utilisation, la collecte et le traitement de leurs informations personnelles par les entreprises. Ces droits concernent la confidentialité, l’autonomie des données et indemnisation en cas de violation des informations. La CCPA permet aux Californiens de :
- acheter des biens et des services en ligne sans accepter de se soumettre au marketing en ligne ;
- refuser le marketing sans risque de discrimination ;
- demander aux entreprises de supprimer leurs informations personnelles après leur collecte.
Les droits fondamentaux de la CCPA sont les suivants :
- le droit à l’égalité des services et des prix ;
- le droit à l’effacement ;
- le droit à la divulgation ;
- le droit de notification (également appelé droit d’être informé) ;
- le droit de refuser de participer.
Droit de demander la suppression
Les utilisateurs ont également le droit de demander la suppression d’informations personnelles. Pourtant, cela concerne uniquement les données recueillies auprès des consommateurs.
Droit de retrait
Les consommateurs ont le droit, à tout moment, de demander aux entreprises de mettre fin à la vente d’informations personnelles les concernant à des tiers.
Droit d’accès
Le droit d’accès est un corollaire du droit de notification défini par la CCPA. Les demandes d’accès peuvent être plus faciles pour les entreprises disposant de bases de données. La plupart des entreprises collectent également des données non structurées (telles que des courriels, des images, des fichiers, etc.) relatives aux consommateurs.
Droit de notification
Le droit le plus évident offert aux consommateurs en vertu de la CCPA est probablement le droit de notification. Selon cette loi, les entreprises doivent informer les consommateurs des catégories de renseignements personnels recueillies et des objectifs de la collecte. Cela sera particulièrement difficile pour les informations personnelles recueillies en personne ou auprès de tiers. Le consommateur doit être informé à nouveau en cas de modification de la quantité de données collectées ou des personnes impliquées dans leur partage.
Droit de refuser de participer
En vertu de la CCPA, tout consommateur a le droit de s’opposer à la vente de ses données à un tiers, indépendamment de l’objectif poursuivi. Vous ne pouvez pas lui demander à nouveau son consentement pendant au moins 12 mois à compter du jour de sa déclaration d’opposition.
Droit à l’égalité des services et des prix
Le droit à la non-discrimination est au cœur des droits des consommateurs prévus par la CCPA. En d’autres termes, vous ne pouvez pas discriminer un consommateur en raison de son refus de consentir à des opérations de marketing ou à d’autres collectes de données non essentielles.