Les Californiens ont voté oui à la proposition 24 — également connue sous le nom de Loi californienne sur les droits à la vie privée de 2020 (CPRA).
Alors que la CPRA, un amendement à la Loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPA), a été vivement contesté et a dû faire face à l'opposition des deux côtés entreprises et défenseurs de la vie privée, l’adoption de cette législation constitue un grand pas en avant pour le paysage de la vie privée aux États-Unis.
Quels changements dans le cadre de la CPRA?
CPRA modifie le CCPA Créer des droits supplémentaires en matière de protection de la vie privée des consommateurs, tels que le droit de rectification et le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles. Elle crée également l'Agence californienne de protection de la vie privée (CPPA), transférant ainsi le pouvoir réglementaire et d'application du procureur général de Californie à cette nouvelle agence d'État.
La CPPA sera la première agence américaine dédiée uniquement à la protection de la vie privée, à l'instar des États membres de l'UE qui ont leur propre protection individuelle. autorités de protection des données en vertu du RGPD.
« Ne pas vendre » en vertu de la CPRA
Le CPRA a un impact direct sur la communauté des technologies publicitaires, car il renforce le mandat du CCPA de « ne pas vendre » d'informations personnelles. Alors que certains ont avancé l'argument selon lequel le CCPA n'exige pas de refus de la publicité ciblée, le CPRA annule effectivement le débat, en intégrant la capacité des individus à refuser le partage d'informations — pas seulement sa vente — à des fins de publicité comportementale.
Avec la combinaison du CPRA, des efforts de confidentialité déployés par les principaux navigateurs et des récentes mises à jour d'iOS14 visant à supprimer le suivi par des tiers, l'industrie de la technologie publicitaire devra probablement riposter ou se conformer aux réglementations en matière de confidentialité.
Informations personnelles sensibles (IPS) en vertu de la CPRA
La CPRA introduit une nouvelle définition des « renseignements personnels sensibles » (RPS), avec des exigences plus larges que le RGPD « Catégories particulières de données personnelles ». La définition des IPS selon la CPRA inclut :
- identifiants émis par le gouvernement
- identifiants de connexion au compte
- informations sur les comptes financiers
- géolocalisation précise
- contenu de certains types de messages
- données génétiques
- origine raciale ou ethnique
- croyances religieuses
- biométrie
- données de santé
- données concernant la vie sexuelle ou l'orientation sexuelle
En vertu de la CPRA, les entreprises doivent offrir aux consommateurs la possibilité de limiter l'utilisation et la divulgation de leurs renseignements personnels sensibles. Autrement dit, un consommateur pourrait demander à une entreprise d'utiliser ses renseignements personnels sensibles uniquement aux fins nécessaires à la prestation du service ou à la fourniture des biens demandés. Les entreprises seraient alors tenues de respecter ces demandes, sauf autorisation ultérieure du consommateur pour utiliser les renseignements personnels sensibles à d'autres fins.
En plus de la étendue élargie des informations réglementées, la loi proposée comprend minimisation des données et exigences de conservation des donnéesLes entreprises devraient divulguer la durée pendant laquelle elles conservent les données et s’assurer que cette durée est limitée à la durée « raisonnablement nécessaire ».
Audits annuels et évaluations des risques
Une autre nouvelle disposition de la CPRA — et nouvelle dans la législation américaine sur la protection de la vie privée — comprend l’exigence d’audits annuels et d’évaluations des risques pour toute activité de traitement à haut risque, que le procureur général et, à terme, la nouvelle agence de protection réglementeraient.
Ces réglementations obligeront les entreprises dont le traitement présente des risques importants pour la confidentialité ou la sécurité des consommateurs à effectuer une analyse approfondie et indépendante. audit de cybersécurité chaque année.
Pour déterminer ce qui justifie un tel audit, la réglementation prendrait en compte la taille et la complexité de l'entreprise, ainsi que la nature et la portée du traitement. Les entreprises concernées seraient tenues de soumettre régulièrement à la CPPA des évaluations des risques établissant l'objectif du traitement et mettant en balance les avantages pour toutes les parties prenantes et les risques pour le consommateur.
CPRA et transferts de données transfrontaliers
Pour ajouter à tout cela, il existe une petite mais notable chance que le CPRA puisse aider à résoudre temporairement les problèmes autour de invalidation du bouclier de protection des données UE-États-Unis.
Certaines dispositions du CPRA — telles que le droit de rectification du consommateur, les exigences de conservation, la limitation des finalités et la minimisation des données — pourraient contribuer à faire de l'État de Californie une juridiction « adéquate » au sens du RGPD pour transferts de données transfrontaliersAvec plus de 1400 milliards de dollars de transactions commerciales en jeu entre les États-Unis et l’UE, la Californie pourrait devenir le centre d’hébergement de données central.
Que signifie la CPRA pour le paysage de la protection de la vie privée — et pour une loi fédérale ?
À l’avenir, on ne sait pas encore quel impact la CPRA aura sur le paysage plus large de la protection de la vie privée, en particulier en ce qui concerne législation fédérale.
D'une part, la nouvelle version de la loi californienne sur la confidentialité entrera en vigueur en janvier 2023, avec une surveillance rétroactive des pratiques de données d'une entreprise remontant jusqu'en janvier 2020. Avec deux ans entre l'adoption nationale et la mise en œuvre, la CPRA pourrait donner au Congrès l'impulsion dont il a besoin pour mettre en œuvre la législation fédérale américaine sur la confidentialité.
En outre, nous assisterons probablement à une résurgence des projets de loi sur la protection de la vie privée en 2021, comme le Projet de loi sur la protection de la vie privée dans l'État de Washington, qui a fait surface pour la troisième fois à l'Assemblée législative de l'État et emprunte des éléments à à la fois CCPA et RGPD.
L'industrie surveille également de près la controversée State Uniform Law Commission (ULC) projet de proposition, que les États pourraient potentiellement adopter comme modèle pour leur propre législation sur la protection de la vie privée. Si la CPRA et d'autres propositions relatives à la protection de la vie privée commencent à se concrétiser, l'appel à un mandat fédéral deviendra encore plus fort.
Consultez le guide de BigID sur la conformité à la CPRA pour en savoir plus sur les nouveautés du CPRA et comment .