La CCPA, la nouvelle loi de protection des données personnelles en Californie

Tandis que le Règlement Général sur la Protection des Donneés (ou RGPD) touche l'ensemble de l'Union Européenne à l'heure actuelle, l'État de Californie va également s'apprêter à renforcer la protection des données personnelles grâce à une nouvelle loi : la California Consumer Privacy Act (ou CCPA). Introduite le 3 janvier 2018, puis approuvée le 28 juin 2018, cette loi sera mise en vigueur dès le 1er janvier 2020.

Cette loi fut créée afin de doter les habitants de la Californie du droit :

- de savoir quelles données sont collectées par un organisme les concernant

- d'être informé si leurs données sont vendues ou si elles sont divulguées à autrui ainsi que les personnes ayant accès à ces données

- de s'opposer à toute vente de leurs données personnelles

- d'accéder à leurs données personnelles

- de bénéficier d'un service et de prix égaux, même s'ils exercent leurs droits. 

 

Une portée juridique différente

 

Toutefois, contrairement au RGPD, cette loi diffère de cette dernière sur plusieurs points.

En effet, bien que les entreprises peuvent faire l'objet de sanction pécunières comme dans le cadre du RGPD, la CCPA ne concerne que les entreprises exerçant leurs activité en Californie (dont les "data brokers" qui sont des sociétés spécialisées dans la vente de données personnelles) qui remplissent au moins l'une des conditions suivantes : 

- L'entreprise a un chiffre d'affaire brut annuel supérieur à 20 millions de dollars

- L'entreprises possède des données personnelles concernant au moins 50 000 consommateurs, ménages ou appareils

- L'entreprise tire plus de la moitié de ses revenus annuels de la vente de données personnelles

 

On a alors ici affaire à une loi ayant une portée beaucoup plus réduite, là où le RGPD concerne l'ensemble des entreprises sur le territoire de l'Union Européenne. 

Bien que cette loi protège en soi moins les citoyens de leurs données personnelles de par sa portée, cette restriction n'est pas sans avantage puisque cela permet aux entreprises beaucoup plus petites telles que des PME de s'affranchir de ces obligations, là où au sein de l'Union Européenne ces sociétés peinent à respecter le RGPD par manque de moyens, de temps,...

 

Une sanction plus souple

 

Un autre point pouvant être soulevé est que la sanction en cas de non-respect est ici totalement différente du RGPD. Si le règlement européen peut sanctionner une société à l'aide d'une amende pouvant aller jusqu'à 4% du chiffre d'affaires annuel global ou 20 millions d'euros, la CCPA ne peux sanctionner qu'à hauteur d'une amende qualifiée d'infraction. Dès lors, le montant maximum de l'infraction est de 7500 $.

Toutefois, ce n'est pas la seule différence autour de cette sanction puisque la CCPA ne peut également sévir que dans le cas où une violation de données a été découverte. Cela constitue un contraste assez fort au regard du RGPD, car à l'aide de ce dernier, les sociétés peuvent être sanctionnées même lorsqu'une violation de données n'a pas été constatée. S'il apparaît qu'un organisme n'a pas respecté le RGPD à cause d'un site internet non conforme par exemple (comme dans le cas où un identifiant ou un mot de passe d'un utilisateur est affiché dans une URL), alors une autorité de contrôle peut juger et condamner l'organisme concerné.

Dès lors, on constate ici que le RGPD est ici beaucoup plus protecteur des citoyens que la CCPA, là où cette dernière ne possède qu'un moyen de pression et de sanction beaucoup plus faible que le RGPD. À noter cependant que tout citoyen californien concerné par une violation de données peut attaquer directement l'entreprise en question, ce que le citoyen européen ne peut pas effectuer.

 

Une qualification juridique supplémentaire

 

De plus, si l'on considère que le RGPD protège spécifiquement des personnes physiques indépendantes, la CCPA, elle, protège à la fois le consommateur, ainsi que le ménage comme des entités identifiables. La CCPA vient ici offrir la possibilité à un couple d'agir ensemble sur le même fondement; là où le RGPD ne prend en compte qu'une personne physique à la fois.

 

Un texte moins protecteur, mais prometteur

 

Ainsi, bien que le RGPD reste un texte beaucoup plus protecteur des données personnelles pour les citoyens que la CCPA de par sa portée réglementaire et par ses sanctions, ce texte californien est une nouvelle preuve de la prise de conscience mondiale de la nécessité de la protection des citoyens face aux abus potentiels d'organismes traitant des données personnelles. Si la Californie a fait un grand pas avec l'approbation de ce texte, rien n'empêche qu'à l'avenir d'autres États américains suivent le même chemin.

 

Source : https://www.village-justice.com/articles/california-consumer-privacy-act-timide-rgpd-americain,28977.html