Qu'est-ce que le CALIFORNIA CONSUMER PRIVACY ACT ?

Le California Consumer Privacy Act (CCPA) est une loi étatique destinée à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis. Officiellement appelée AB-375, la loi a été présentée par Ed Chau, membre de l’Assemblée d’État de Californie, et le sénateur d’État Robert Hertzberg.

Dates clés du CCPA

Justice

Loi définitivement adoptée le 28 juin 2018

Fiche

Amendements définitifs adoptés le 11 octobre 2019

Calendrier

Entrée en vigueur le 1er janvier 2020 mais exigence de « look back » de 12 mois qui permet aux consommateurs de demander les données collectées sur eux remontant à une année entière à partir du moment où la demande a été faite. Cela signifie que les entreprises devront identifier les fichiers de données personnelles recueillies à compter du 1er janvier 2019 (12 mois avant le 1er janvier 2020).

Qui est concerné par cette loi

Elle s'applique à toute entreprise qui :

Searcher

Recueille ou traite directement ou indirectement les données personnelles de consommateurs californiens (c’est-à-dire tout individu personne physique résidant en Californie), et détermine seul ou conjointement avec d’autres les buts et moyens de ce traitement des données personnelles 

Localisation

Fait affaire en Californie (peu importe le lieu d’établissement de l’entreprise, en Californie ou dans un autre Etat ou pays, tant que les conditions sont remplies) 

Attribution

Atteint au moins un des seuils suivants :

– A un revenus annuel brut supérieur à 25 millions de dollars

– Ou annuellement achète, reçoit, vend, ou partage, à des fins commerciales, 50 000 ou plus données personnelles de consommateurs, ménages ou appareils californiens

– Ou tire plus de la moitié de ses revenus annuels de la vente des données personnelles

Le CCPA s’applique également, indirectement, à la société mère et aux filiales d’une entité qui satisfait aux critères a), b) et c) ci-dessus si elles partagent la même marque ou la même dénomination (« common branding »).

NB : La notion de « vente » de données personnelles s’entend notamment :

  • du placement d’un cookie tiers sur un site internet pour permettre la publicité ; ou
  • du droit accordé aux vendeurs d’analyser les données à leurs propres fins.

Quelle définition des
« données personnelles »

Les données personnelles désignent « des renseignements qui identifient, concernent, décrivent, sont susceptibles d’être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier ».

Sont notamment considérées comme des données personnelles tout identifiant cookie, identifiant d’appareil, balise pixel, numéro de client ainsi que les informations liées à un foyer.

Ne sont pas considérées comme des données personnelles, les données anonymisées ainsi que les données agrégées.

Principaux droits des consommateurs

Info

Droit d’information concernant (i) les catégories de données personnelles qui seront recueillies à son sujet avant sa collecte ainsi que de tout changement à cette collecte, (ii) l’objet de la collecte, (iii) les tiers avec lesquelles ses données personnelles sont partagées  (i) avant toute collecte

Opt-out

Droit de consentir ou d’objecter à la vente de ses données personnelles (opt-out)

Privacy-center

Droit d’accès : connaître les données le concernant recueillies par une entreprise et la source de cette collecte

Click no

Droit d’opposition à la vente de ses données personnelles

Suppression

Droit de suppression de ses données personnelles 

Action justice

Droit d’engager une action (à titre personnel, pas d’action collective) à l’encontre des entreprises qui manquent à leurs obligations légales

Principales obligations des entreprises

Marketing

Informer les personnes concernées par :

– Une privacy notice lors de la collecte

– Une politique de confidentialité comportant des informations sur les pratiques de collecte en ligne et hors ligne (mise à jour obligatoire tous les 12 mois)

– Une notification en cas d’enrichissement ou de modification des renseignements recueillis

News

Notifier des conditions des incitations financières existantes lors de la collecte, la vente ou la conservation des données personnelles

Click no

Fournir un moyen d’opt-out pour permettre à la personne concernée de s’opposer à la vente de ses données personnelles

ID alternatif

Obligations spécifiques concernant la collecte de données personnelles de mineurs de moins de 13 ans

Protect data

Former son personnel aux règles de protection des données personnelles

A la différence du RGPD, le CCPA reconnaît le droit à la patrimonialisation des données en permettant aux personnes concernées de vendre leurs données personnelles en contrepartie d’un avantage financier (« financial incentive »).

Sanctions en cas de violation de la loi

Justice

Mise en demeure par le Procureur Général de Californie de se mettre en conformité

Money dollard

Pénalités civiles infligées par le Procureur Général de Californie pouvant aller de 2 500 $ à 7 500 $ pour chaque violation à laquelle il n’est pas remédié à la suite d’une mise en demeure

Action justice

Action civile de la personne concernée à l’encontre de l’entreprise défaillante

Exemptions et exceptions

Le CCPA prévoit diverses exceptions et exemptions aux traitements de données personnelles. A titre d’exemple, une exemption générale s’applique jusqu’au 1er janvier 2021 :

Justice

Aux renseignements qu’une entreprise recueille auprès de ses candidats, employés, entrepreneurs et autres personnes semblables

Money dollard

Aux informations sur le personnel des entreprises clientes d’une entité, dans les scénarios B2B