Loi californienne sur la protection de la vie privée des consommateurs
Le California Consumer Privacy Act (CCPA) (en français : la loi californienne sur la protection de la vie privée des consommateurs) est une loi d'État visant à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de l'État de la Californie, aux États-Unis. Le projet de loi a été adopté par la législature d'État de la Californie et promulgué par Jerry Brown, gouverneur de Californie, le 28 juin 2018, pour modifier la partie 4 de la division 3 du code civil de Californie[1]. Officiellement appelée AB-375, la loi a été introduite par Ed Chau, membre de l'Assemblée de l'État de Californie, et le sénateur de l'État, Robert Hertzberg[2],[3].
Les amendements du CCPA, sous la forme du projet de loi du Sénat 1121, ont été adoptés le 13 septembre 2018[4],[5]. Des modifications de fond supplémentaires ont été promulguées le 11 octobre 2019[6]. Le CCPA est entré en vigueur le 1er janvier 2020[7]. En novembre 2020, les électeurs californiens ont adopté la Proposition 24, également connue sous le nom de California Privacy Rights Act, qui modifie et étend le CCPA[8].
Intentions de la loi
[modifier | modifier le code]Les intentions de la loi sont de donner aux résidents de Californie le droit de :
- Être en mesure de savoir quelles données personnelles sont collectées à leur sujet.
- Savoir si leurs données personnelles sont vendues ou divulguées et à qui.
- Refuser expressément la vente de leurs données personnelles.
- Accéder à leurs données personnelles.
- Demander à une entreprise de supprimer toute information personnelle sur un consommateur recueillie auprès de celui-ci[9].
- Ne pas faire l'objet de discrimination pour avoir exercé leurs droits à la vie privée.
Conformité
[modifier | modifier le code]La CCPA s'applique à toute entreprise, y compris toute entité à but lucratif qui collecte les données personnelles des consommateurs, fait des affaires en Californie et satisfait à au moins un des critères suivants :
- Avoir des revenus bruts annuels supérieurs à 25 millions de dollars ;
- Acheter, recevoir ou vendre les informations personnelles de 50 000 consommateurs ou ménages ou plus ; ou
- Tirer plus de la moitié de son chiffre d'affaires annuel de la vente des informations personnelles des consommateurs[10],[11].
Les organisations sont tenues de « mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables » pour protéger les données des consommateurs[12].
Responsabilité et imputabilité
[modifier | modifier le code]- Mettre en œuvre des processus pour obtenir le consentement des parents ou du tuteur pour les mineurs de moins de 13 ans et le consentement affirmatif des mineurs entre 13 et 16 ans au partage de données à des fins (Cal. Civ. Code § 1798.120(c)).
- Accès à un lien « Ne pas vendre mes informations personnelles » sur la page d'accueil du site Web de l'entreprise, qui redirigera les utilisateurs vers une page Web leur permettant, ou à une personne qu'ils autorisent, de refuser la vente des informations personnelles du résident (Cal. Civ. Code § 1798.135(a)(1))[13].
- Désigner des méthodes pour soumettre des demandes d'accès aux données, y compris, au minimum, un numéro de téléphone sans frais (Cal. Civ. Code § 1798.130(a))[14].
- Mettre à jour les politiques de confidentialité avec les informations nouvellement requises, y compris une description des droits des résidents de Californie (Cal. Civ. Code § 1798.135(a)(2))[15].
Sanctions et voies de recours
[modifier | modifier le code]Les sanctions et recours suivants peuvent être imposés :
- Les entreprises, les militants, les associations et autres peuvent être autorisés à exercer des droits de retrait au nom des résidents de Californie (Cal. Civ. Code § 1798.135(c)[4].
- Les entreprises victimes de vol de données ou d'autres atteintes à la sécurité des données peuvent être condamnées, dans le cadre de recours collectifs civils, à payer des dommages-intérêts compris entre 100 $ et 750 $ par résident californien et par incident, ou des dommages réels, selon le montant le plus élevé, et toute autre réparation qu'un tribunal juge appropriée, sous réserve d'une option du bureau du procureur général de Californie de poursuivre l'entreprise au lieu d'autoriser des poursuites civiles contre elle (Cal. Civ. Code § 1798.150)[4].
- Une amende pouvant aller jusqu'à 7 500 $ pour chaque violation intentionnelle et 2 500 $ pour chaque violation non intentionnelle (Cal. Civ. Code § 1798.155)[4].
- Les avis de confidentialité doivent être accessibles et indiquer clairement l'accès aux formats alternatifs[16].
- La responsabilité peut également s'appliquer aux entreprises des pays étrangers qui expédient des articles en Californie[17].
Définition des données personnelles
[modifier | modifier le code]La CCPA définit les informations personnelles comme des informations qui identifient, se rapportent à, décrivent, sont raisonnablement susceptibles d'être associées à, ou pourraient raisonnablement être liées (directement ou indirectement) à un consommateur ou à un ménage particulier, telles qu'un nom réel, un pseudonyme, une adresse postale, un identifiant personnel, identifiant en ligne, adresse de protocole Internet, adresse e-mail, nom de compte, numéro de sécurité sociale, numéro de permis de conduire, numéro de plaque d'immatriculation, numéro de passeport ou autres identifiants similaires[1].
Une mise en garde supplémentaire identifie, se rapporte à, décrit ou est susceptible d'être associée à une personne en particulier, y compris, mais sans s'y limiter, son nom, sa signature, son numéro de sécurité sociale, ses caractéristiques physiques ou sa description, son adresse, son numéro de téléphone, son numéro de passeport, numéro de permis de conduire ou de carte d'identité nationale, numéro de police d'assurance, formation, emploi, antécédents professionnels, numéro de compte bancaire, numéro de carte de crédit, numéro de carte de débit ou toute autre information financière, médicale ou d'assurance maladie[18].
La CCPA ne considère pas les informations accessibles au public comme personnelles[18].
Les principales différences entre la CCPA et le Règlement général sur la protection des données (RGPD) de l'Union européenne sont le champ d'application et la portée territoriale, les définitions relatives aux informations protégées, les niveaux de spécificité et un droit de retrait pour la vente d'informations personnelles[19]. La CCPA diffère dans sa propre définition des informations personnelles du RGPD car, dans certains cas, la CCPA ne prend en compte que les données fournies par un consommateur. Le RGPD ne fait pas cette distinction et couvre toutes les données personnelles quelle que soit leur source. En cas d'informations personnelles sensibles, cela ne s'applique pas si les informations ont été manifestement rendues publiques par la personne concernée elle-même, conformément à l'exception prévue à l'article 9, paragraphe 2, e). En tant que telle, la définition du RGPD est beaucoup plus large que celle définie dans le CCPA[20],[21].
Les données personnelles peuvent également inclure des informations de profil en ligne ou sur les réseaux sociaux. Les données personnelles ne se limitent pas à un numéro ou à un document physique, mais peuvent également être des identités en ligne, des comptes et d'autres informations personnelles.
Historique
[modifier | modifier le code]La California Consumer Privacy Act de 2018 a été initialement proposée comme proposition de vote par un groupe de protection de la vie privée connu sous le nom de Californians for Consumer Privacy[22]. Le DOJ de Californie a approuvé la langue officielle de l'initiative le 18 décembre 2017, permettant au groupe de commencer à recueillir des signatures. En juin 2018, les promoteurs ont recueilli suffisamment de signatures pour retenir l'initiative CCPA pour les élections de novembre 2018[23]. En Californie, la législature de l'État ne peut pas abroger ou modifier une proposition de vote une fois qu'elle est adoptée par les électeurs[24]. En réponse à la proposition de vote du CCPA, les législateurs des États ont négocié avec les Californiens pour la confidentialité des consommateurs afin d'adopter une version moins restrictive du CCPA en échange du retrait de la proposition de vote[25].
Exemptions sur le champ d'application de la CCPA
[modifier | modifier le code]- Renseignements personnels sur la santé [2].
- L'information financière
Un grand domaine de l'exemption de la CCPA est l'information personnelle sur la santé (PHI) qui est recueillie[26]. Plutôt que de traiter les données en tenant compte des directives du CCPA, les données relatives à la santé adhère à la loi sur la portabilité et la responsabilité en matière d'assurance maladie, également connue sous le nom de HIPAA[26]. Si l'entreprise qui collecte les données est liée à des essais cliniques, elle doit alors adhérer à la « règle commune »[27].
En ce qui concerne les informations recueillies par les institutions financières, les institutions suivent la loi californienne sur la confidentialité des informations financières ou la loi Gramm-Leach-Bliley selon la situation[26],[28].
Voir aussi
[modifier | modifier le code]- La protection des consommateurs
- Règlement général sur la protection des données
- Confidentialité des informations
- Commentaire de la conférence de Sedona sur un test de sécurité raisonnable
Liens externes
[modifier | modifier le code]- Le Code civil de l'État de Californie
- Bureau du procureur général de Californie - lois sur la confidentialité
- Comment lire une politique de confidentialité
Références
[modifier | modifier le code]- The California Consumer Privacy Act of 2018.
- Lapowsky, « California Unanimously Passes Historic Privacy Bill », Wired.com, (consulté le )
- « Bill Text - AB-375 Privacy: personal information: businesses. », Leginfo.legislature.ca.gov (consulté le )
- « Bill Text - SB-1121 California Consumer Privacy Act of 2018. », leginfo.legislature.ca.gov (consulté le )
- (en) « How the new California data privacy act could impact all organizations », Information Management (consulté le )
- (en) « Governor Newsom Issues Legislative Update 10.11.19 » (consulté le )
- (en) « 2019 is the Year of . . . CCPA? [Infographic] », The National Law Review, (consulté le )
- (en) « Move Over, CCPA: The California Privacy Rights Act Gets the Spotlight Now », news.bloomberglaw.com (consulté le )
- Senate Bill No. 1120, Chapter 735, Sec.2, 1798.105
- (en) « California Consumer Privacy Act (CCPA) Fact Sheet », State of California - Department of Justice - Office of the Attorney General (consulté le )
- (en) « CCPA Guide: Are You Covered by the CCPA », JD Supra (consulté le )
- « TITLE 1.81.5. California Consumer Privacy Act of 2018 - CA Legislative Information »
- « Control Your Personal Information | CA Consumer Privacy Act », caprivacy.org (consulté le )
- (en) Valetk et Hengesbaugh, « A Practical Guide to CCPA Readiness: Implementing Calif.’s New Privacy Law (Part 2) », Corporate Counsel, (consulté le )
- « Today's Law As Amended », leginfo.legislature.ca.gov (consulté le )
- « Federal accessibility laws don’t matter — California’s accessibility laws do », Medium.com (consulté le )
- « How does the California Consumer Privacy Act apply to Australian businesses? », www.gladwinlegal.com.au (consulté le )
- . « »
- « How to Prepare for the CCPA – Here Are the Resources You Need », CGOC The Council, (consulté le )
- Fielding, « Four differences between the GDPR and the CCPA », HelpNet Security,
- « How to Prepare for the CCPA – Here Are the Resources You Need », CGOC, (consulté le )
- « Silicon Valley Faces Regulatory Fight on Its Home Turf », The New York Times, (lire en ligne)
- (en) « The California Privacy Rights Act Has Passed: What’s in It? », JD Supra (consulté le )
- (en) « Laws governing the initiative process in California », Ballotpedia (consulté le )
- (en-US) « California lawmakers agree to new consumer privacy rules that would avert showdown on the November ballot », Los Angeles Times, (consulté le )
- (en) « California Consumer Privacy Act FAQs for Covered Businesses », Jackson Lewis, (consulté le )
- « The California Consumer Privacy Act »
- « Codes Display Text », leginfo.legislature.ca.gov (consulté le )