Le «California Consumer Privacy Act» est-il le RGPD américain ?
28.01.2020
Gestion d'entreprise
Réponse d’Oriane Zubcevic, avocat senior en protection des données chez Bird & Bird, dans une chronique.
Le California Consumer Privacy Act (CCPA), relatif à la protection des informations des consommateurs californiens - adopté par l’État de Californie ou Golden State, à la suite d’autres États américains - est entré en application au 1er janvier 2020. A l’été 2020, il sera en vigueur à la suite d’une décision du procureur général.
Si l’acronyme est toujours de quatre lettres, des différences importantes sont à relever.
Les personnes visées ne sont pas les mêmes
Le CCPA ne vise, pour sa part, que les consommateurs et les ménages californiens. Toute autre personne, employés, administrés, patients, etc., ne sont pas protégés par ce texte, même s’ils sont californiens. Le RGPD, quant à lui, a un champ d’application très large et vise toute personne physique, et ce quel que soit son statut.
Le champ d’application du CCPA est plus restreint
La définition donnée dans le CCPA de l’information personnelle est proche de celle de la donnée à caractère personnel précisée dans le RGPD, même si le périmètre du CCPA est plus large car il intègre également les ménages (household) et ne concerne pas seulement les individus. En revanche, le CCPA exclut explicitement les données de santé de son champ d’application, ces dernières étant régies par une réglementation spécifique. De plus, les relations avec les administrations publiques (organisme public fédéral, étatique ou local), sont également exclues.
Territorialement, le CCPA ne vise que les entreprises opérant en Californie, ce qui est quand même susceptible de concerner de nombreux acteurs dans le monde. Le RGPD a, quant à lui, une application extraterritoriale importante car il s’applique non seulement aux responsables de traitement ou sous-traitants établis dans l’Union européenne mais aussi à tous ceux, même établis hors de l’Union, dont les activités concernent des personnes dans l’Union ou qui suivent le comportement d’Européens.
Le CCPA ne protège pas spécifiquement les données sensibles
Contrairement au RGPD, le CCPA n’apporte aucune protection particulière aux données sensibles, telles que celles révélant l’origine raciale ou ethnique, les opinions, la vie sexuelle, etc.
Les droits des personnes sont proches mais la philosophie différente
Le CCPA met en place pour les personnes des droits qui sont proches de ceux du RGPD, comme le droit à recevoir une information, et des droits d’accès, de suppression, d’opposition ou de portabilité de leurs données. Ils ont pour objectif de permettre aux personnes de savoir si des informations personnelles sont collectées et surtout vendues à leur sujet. De plus, le CCPA introduit le droit de ne pas faire l’objet d’une discrimination sur les prix des produits ou des services proposés au cas où la personne exerce l’un de ses droits, et notamment celui de s’opposer à la vente de ses données.
Le CCPA prévoit surtout un droit des consommateurs à s’opposer à ce que leurs données soient vendues : toute entreprise concernée par le CCPA doit mettre en place une page « Ne vendez pas mes données » sur son site internet afin de permettre au consommateur californien de s’informer et de s’opposer à ce que ses données soient revendues en remplissant, par exemple, un formulaire dédié. Par défaut, ses informations personnelles peuvent être vendues.
La philosophie du RGPD est différente et ne dépend pas de la question de savoir si les données sont vendues ou non : son objectif est de permettre à un individu de garder le contrôle sur ses données en étant informé des finalités de leurs usages et, le cas échéant, pouvoir s’y opposer, ou donner son consentement, tout en pouvant le retirer à tout moment.
En outre, le RGPD prescrit l’obligation pour les entreprises ou les administrations de disposer d’une base légale pour que le traitement soit licite et d’en informer la personne. Cette obligation n’est pas requise par le CCPA, qui ne requiert aucune base légale spécifique.
Le CCPA prévoit moins d’obligations que le RGPD
Le CCPA ne reprend pas le principe d’accountability, de privacy by design, et ne prévoit pas d’obligation de désigner un DPO ou de tenir un registre de traitements, comme le RGPD. Par ailleurs, ce texte ne fait pas référence, contrairement au RGPD, à des obligations particulières de sécurité. Enfin, le CCPA ne fait pas mention de l’obligation de notifier des failles de sécurité mais cette obligation est prévue par ailleurs dans l’État de Californie.
Le régime des sanctions est différent
Le CCPA prévoit, d’une part, que les entreprises peuvent être sanctionnées par l’État qui peut, via le procureur général, engager des actions civiles contre les organismes en cas de violation. Les montants sont variables, en fonction du nombre d’infractions et vont jusqu’à 2 500 $ par infraction et 7 500 $ par infraction intentionnelle, ce qui peut conduire au total à des montants conséquents ! Les sanctions civiles sont versées au « Consumer Privacy Fund » qui a pour but de financer les actions du procureur général dans ce domaine.
D’autre part, tout consommateur californien peut engager une action civile.
En revanche, aucune autorité de contrôle sur le modèle des autorités européennes - de type CNIL - n’a été prévue par le CCPA.
Oui, car le CCPA s’applique :
- aux entreprises qui font des affaires dans l’État de Californie,
- qui collectent des informations personnelles sur les résidents californiens,
- et qui remplissent l’une de ces exigences de seuil :
- présenter un revenu brut annuel de plus de 25 millions de dollars ;
- ou acheter, vendre, recevoir ou partager annuellement à des fins commerciales des informations personnelles d’au moins 50 000 consommateurs californiens, ménages ou appareils ;
- ou tirer au moins 50 % de ses recettes annuelles de la vente d’informations personnelles de consommateurs californiens.
Par conséquent, une entreprise française ou une entreprise européenne peut être concernée par l’application du CCPA si elle fait du business dans l’État de Californie, qu’elle collecte des informations personnelles de consommateurs californiens et qu’elle répond à l’un de ces seuils.
Sur l’application effective du CCPA et les sanctions à venir concernant les entreprises de la Silicon Valley et toutes celles, dans le monde, qui peuvent tomber dans son champ d’application. Ainsi que sur la coexistence future du CCPA avec le projet de loi en cours aux États-unis relatif à la protection des données au niveau fédéral. Les autres projets de loi qui suivent le CCPA dans d’autres États américains sont également à surveiller.