La Californie, qui a longtemps établi un précédent national en matière de protection des consommateurs à l’ère numérique, a adopté la loi de protection de la vie privée la plus complète jamais adoptée aux États-Unis. La loi californienne sur la protection de la vie privée des consommateurs (« CCPA ») accordera aux consommateurs californiens le contrôle de leurs informations personnelles et ouvrira la voie à un réalignement fondamental de la manière dont les entreprises faisant des affaires dans l'État (et par extension, aux États-Unis dans leur ensemble) interagissent avec les données de leurs clients.
L'accent mis sur les droits des données des consommateurs a naturellement suscité des comparaisons entre le CCPA et le Règlement général sur la protection des données de l'UE (« RGPD »). Bien qu'il existe clairement un fort degré de chevauchement – et même dans certains domaines cruciaux, le libellé est presque identique –, le CCPA ne doit pas être interprété comme le RGPD californien, mais plutôt selon ses propres termes : premièrement, comme une indication que vie privée les inquiétudes ont traversé l’océan Atlantique, et deuxièmement, que les législateurs comprennent qu’un bâton est nécessaire pour prendre la protection de la vie privée au sérieux – à la manière typiquement américaine, à la fois par le biais de litiges et d’amendes.
L'interprétation et la mise en œuvre du CCPA d'ici le 1er juillet 2020, date d'entrée en vigueur de la loi, seront probablement aussi complexes que l'adoption du RGPD pour les entreprises soumises à ce règlement. Ce billet de blog et le livre blanc à paraître sur la mise en œuvre du CCPA dans le contexte des politiques et des processus présentent les principaux changements introduits par le CCPA et proposent une série d'étapes pour se préparer à la suite.
RGPD vs CCPA
La comparaison avec le RGPD est certainement instructive en termes de cartographie des domaines dans lesquels les efforts de conformité CCPA existants peuvent être réorientés vers ceux déjà couverts par le règlement de l'UE - mais aussi où un travail supplémentaire, voire primaire, est nécessaire :
Comme le RGPD, le CCPA met droits de la personne concernée au premier plan – exiger des entreprises qu’elles rendent compte de la manière dont elles collectent et vendent les informations sur leurs clients.
• Contrairement au RGPD, le CCPA offre la possibilité de prévoir des règles qui permettent aux entreprises d'offrir des incitations financières en échange de données utilisateur dans certaines situations.
Comme le RGPD, le CCPA élargit la définition du type de données qui doivent être protégées et comptabilisées
• En vertu de la Loi, les renseignements personnels comprennent les renseignements qui « identifient, concernent, décrivent ou sont susceptibles d’être associés à un consommateur ou à un ménage particulier ».
• Le CCPA comprend les adresses IP, les données de géolocalisation, les informations biométriques et les « identifiants uniques » tels que les identifiants d'appareil et de cookie, ainsi que les informations sur l'activité Internet.
Comme le RGPD, le CCPA établit des sanctions importantes en cas de non-conformité et de violation de la vie privée des consommateurs.
• Bien que la disposition ait déjà été critiquée, la loi offre aux consommateurs un nouveau «droit privé d'action » et la capacité d'intenter un recours collectif pour les violations résultant de précautions de sécurité inadéquates ainsi que Violations « délibérées et intentionnelles ». De plus, les autorités de régulation imposeront des amendes allant de $750 à $7 500 par violation, ce qui rendra les violations encore plus coûteuses qu'auparavant.
Conformément au RGPD et aux lois californiennes existantes sur la notification des violations, les entreprises sont soumises à un délai pour informer les clients en cas de violation, mais seront responsables de la violation elle-même, et pas seulement du défaut de signalement.
• Le CCPA comprend une disposition permettant au procureur général de Californie d'intenter une action en justice au nom des consommateurs, jusqu'à $7 500 par violation.
• En étendant ce qui est considéré comme des informations personnelles, la CCPA étend effectivement la portée des sources de données des entreprises et des catégories de données qui sont soumises aux exigences de notification en cas de violation.
Objectifs partagés : connaître vos données
Le CCPA, tout comme le RGPD, accorde aux résidents californiens des droits similaires en matière de protection des données, comme le droit d'accès et de suppression de leurs propres informations. Ces nouveaux droits obligeront les entreprises à localiser facilement les données personnelles concernées dans un environnement de données moderne comprenant bases de données, partages de fichiers, journaux, Big Data, cloud, etc.
Pour les entreprises dont la collecte et le traitement de données sont complexes, il sera important d'avoir une vision claire des données personnelles collectées et de leur utilisation, de manière vérifiable et fondée sur les données. De plus, pour respecter les droits relatifs aux données personnelles, il sera nécessaire d'identifier les données considérées comme personnelles au sens du CCPA et leurs propriétaires, afin de répondre facilement aux demandes d'accès ou de suppression des personnes concernées.
Objectifs partagés : connaître votre utilisation des données
Bien que la CCPA ait une application plus étroite des exigences de consentement par rapport au RGPD, la disposition de la loi visant à opérationnaliser les options de retrait pour la vente d'informations personnelles entraînera toujours des exigences similaires en matière de responsabilité et de transparence du consentement.
Pour prouver la conformité avec le CCPA et renforcer la confiance des consommateurs autour du partage de données non autorisé, les entreprises voudront envisager des enregistrements de traitement de données de type RGPD pour auditer plus facilement le partage de données tout en mettant en œuvre simultanément un cadre de gouvernance du consentement pour enregistrer les préférences de partage et restreindre le partage non autorisé.
Compte à rebours vers la conformité
À l'instar du RGPD, la CCPA introduit un nouvel ensemble de droits en matière de protection des données des consommateurs, ainsi que de lourdes amendes pour les entreprises qui enfreignent ces droits et un droit d'action en justice pour non-conformité. Par conséquent, les organisations concernées doivent s'assurer de savoir où sont stockées toutes les informations personnelles dans leur environnement informatique afin de répondre aux demandes de manière appropriée et rapide. Elles doivent également être en mesure d'identifier ou de déduire facilement les personnes résidant en Californie, ce qui nécessitera des outils d'intelligence des données plus performants.
Bien que le législateur continuera d'apporter des modifications au CCPA avant la date d'entrée en vigueur du 1er janvier 2020, les entreprises concernées devraient commencer à se préparer dès maintenant pour se conformer à un examen des outils permettant d'inventorier, de cartographier, de gouverner et de contrôler leurs données personnelles.
Auteur
