Qu'est-ce que la California Consumer Privacy Act (CCPA)?
La CCPA (California Consumer Privacy Act) est une loi sur la protection des données promulguée en 2018 pour protéger les informations personnelles identifiables (IPI) des résidents de Californie. La loi est entrée en vigueur en janvier 2020. L’objectif législatif de la CCPA était de lutter contre la hausse des incidents de violations de données dans les industries de la technologie, des médias, du divertissement et des télécommunications.
La CCPA garantit que les résidents de Californie ont le contrôle sur la manière dont les entreprises gèrent leurs informations personnelles identifiables (IPI). Elle garantit également que les entreprises respectent les demandes des résidents de Californie en matière d’accès et de suppression de leurs IPI, ainsi que leur capacité à refuser le partage et la vente de leurs informations personnelles.
Qu’est-ce que la Conformité CCPA?
Modélisée d’après le Règlement général sur la protection des données de l’Union européenne (RGPD), la CCPA stipule que les entreprises collectant des IPI auprès des résidents de Californie doivent fournir des informations sur la manière dont les données sont collectées. Elle présente également des similitudes avec la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (PIPEDA). Pour qu’une entreprise s’assure qu’elle est en conformité, elle peut avoir besoin d’ajuster sa politique de confidentialité pour inclure:
- Les informations collectées et traitées par l’entreprise
- La raison pour laquelle les informations sont collectées et traitées
- Les méthodes utilisées pour collecter et traiter les informations personnelles
- Les actions que les résidents doivent entreprendre pour demander l’accès, le changement, le transfert ou la suppression de leurs données personnelles
- La méthode à utiliser pour vérifier l’identité de la personne qui soumet une telle demande
- La vente des IPI des utilisateurs et comment ils peuvent refuser la vente de leurs données
Quelle est la portée géographique de la CCPA ?
La CCPA est une loi sur la confidentialité des données applicable à l’échelle de l’État, mais elle s’applique aux entreprises du monde entier, à condition qu’elles traitent des IPI appartenant à des résidents de Californie. La loi est considérée comme l’une des lois sur la confidentialité les plus strictes aux États-Unis.
Organisations tenues de se conformer à la CCPA
La CCPA s’applique à toutes les entreprises à but lucratif qui collectent et contrôlent des IPI appartenant à des résidents de Californie. Elle s’applique également aux entreprises à but lucratif en Californie qui répondent à l’un des critères suivants :
- Chiffre d’affaires annuel brut de plus de 25 millions de dollars
- 50 % ou plus du chiffre d’affaires annuel provient de la vente d’IPI appartenant à des résidents de Californie
- Achète, reçoit ou vend les IPI de 50 000 résidents, ménages ou appareils de Californie ou plus chaque année
Organisations non soumises à la CCPA
La CCPA ne s’applique pas aux organisations à but non lucratif, aux petites entreprises qui ne remplissent pas les seuils de revenus, et à celles qui ne traitent pas de grandes quantités d’IPI appartenant à des résidents de Californie.
D’autres situations où la CCPA ne s’applique pas comprennent:
Lorsqu’aucun IPI n’est impliqué
La CCPA se concentre principalement sur les IPI. Les informations disponibles publiquement, à savoir les informations légalement accessibles dans les registres du gouvernement fédéral, de l’État et local, ne sont pas soumises à la CCPA.
Lorsque d’autres lois et réglementations s’appliquent
Certaines industries sont déjà régies par d’autres réglementations en matière de protection des données. Ces lois comprennent la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la Loi Gramm-Leach-Bliley (GLBA), et la Loi sur la rédaction équitable des rapports de crédit (FCRA). La CCPA exempte les données qui sont déjà couvertes par ces lois.
Dispositions clés de la CCPA
Bien que la CCPA soit comparée au RGPD, elle a une définition beaucoup plus large de la conformité réglementaire. La CCPA définit les données protégées par les IPI comme celles qui identifient, sont liées à, décrivent, peuvent être associées à, ou pourraient raisonnablement être liées à une personne particulière.
La CCPA donne aux résidents de Californie le droit de demander à une entreprise de divulguer l’un des éléments suivants:
- Toutes les données collectées sur le consommateur
- Les catégories de sources à partir desquelles les informations sont collectées
- La raison commerciale de la collecte de ces informations
- Tout tiers avec lequel les informations sont partagées
Pour les entreprises, la CCPA définit la raison commerciale comme l’utilisation d’informations personnelles dans le cadre des opérations commerciales, à condition que leur utilisation soit raisonnablement nécessaire et proportionnée pour atteindre l’objectif pour lequel les informations ont été collectées ou traitées. Selon la CCPA, la raison commerciale comprend:
- Audit relatif à une interaction en cours avec un consommateur et aux transactions ultérieures avec le consommateur
- Surveillance et détection d’incidents de sécurité, protection contre les activités illégales et poursuite des responsables de ces activités
- Utilisation à court terme d’informations personnelles, à condition que les informations ne soient pas divulguées à un tiers et qu’elles ne soient pas utilisées pour créer un profil d’un consommateur ou altérer de quelque manière que ce soit l’expérience individuelle d’un consommateur en dehors de l’interaction en cours
- Réalisation de recherches internes sur une entreprise pour le développement technologique
- Fourniture de services pour le compte de l’entreprise, tels que la gestion des comptes, le service client, le traitement des commandes et des transactions, la vérification des données des clients, le traitement des paiements, la fourniture de publicité ou de marketing et de services analytiques
- Fourniture de services pour vérifier ou maintenir la qualité ou la sécurité d’un service ou d’un appareil pour l’entreprise
Informations Personnelles Conformément au CCPA
Le CCPA garantit les droits à la vie privée et la protection des consommateurs résidant en Californie en ce qui concerne leurs informations personnelles identifiables (PII):
- Le vrai nom d’une personne, alias, adresse postale, identifiant personnel unique, identifiant en ligne, adresse IP, adresse e-mail, nom de compte, numéro de sécurité sociale, numéro de permis de conduire ou numéro de passeport
- Des informations commerciales telles que des enregistrements de biens personnels, des achats, des historiques d’achat ou de consommation ou des tendances
- Des données biométriques
- Des informations sur l’activité sur Internet telles que l’historique de navigation, l’historique de recherche et des informations concernant l’interaction d’un consommateur avec un site Web, une application ou une publicité
- Des données de géolocalisation
- Des informations audio, électroniques, visuelles, thermiques, olfactives ou similaires
- Des informations professionnelles ou liées à l’emploi
- Des informations sur l’éducation à condition que les informations ne soient pas publiques
- Des déductions faites pour créer un profil sur un consommateur reflétant l’identité, les préférences, les caractéristiques, les tendances, le comportement, les attitudes et les capacités du consommateur
Sanctions et Amendes pour Non-Conformité au CCPA
La non-conformité au CCPA entraîne des sanctions financières et des amendes. Selon le CCPA, le procureur général de la Californie peut infliger une amende maximale de 7 500 $ par violation pour avoir délibérément ignoré les dispositions du CCPA, ce qui est considéré comme une non-conformité intentionnelle. Ne pas crypter les données utilisateur auxquelles on a eu accès lors d’une violation, ce qui pourrait être considéré comme une non-conformité involontaire, entraîne une amende de 2 500 $ par violation.
Le CCPA accorde également aux consommateurs un droit d’action privée en cas de violation des données due à une non-conformité. Les consommateurs peuvent intenter une action en justice contre une entreprise pour obtenir des dommages et intérêts statutaires en cas de violation. Avant de procéder, un consommateur doit informer une entreprise d’une violation et lui accorder 30 jours pour remédier à la violation. Si l’entreprise ne remédie pas à la violation dans le délai imparti, elle devient passible de dommages et intérêts statutaires pouvant aller jusqu’à 750 $ par consommateur affecté.
Étapes pour Devenir Conforme au CCPA
Il existe plusieurs étapes que les organisations doivent suivre pour devenir et rester conformes au CCPA :
1. Établir l’Obligation Commerciale envers le CCPA
Le CCPA protège toute personne physique résidant en Californie. Le CCPA impose aux résidents de la Californie le droit de savoir quelles informations personnelles les entreprises collectent à leur sujet et comment elles utilisent ces données. Une entreprise doit permettre au client de refuser l’utilisation de ces informations et s’assurer qu’il peut obtenir une copie des informations détenues par l’entreprise sur demande.
2. Cartographier Toutes les Données des Consommateurs Détenues et Collectées
Une fois qu’une entreprise détermine qu’elle est tenue de se conformer au CCPA, la prochaine étape consiste à cartographier toutes les informations personnelles identifiables sous le contrôle de l’entreprise.
3. Évaluer Tous les Tiers avec lesquels les Données des Consommateurs Sont Envoyées et/ou Reçues
La prochaine étape consiste à faire la même chose avec tous les tiers avec lesquels une entreprise partage des informations personnelles identifiables. Dans le cadre de la gestion des risques liés aux tiers d’une organisation (TPRM), ils doivent vérifier que chacun de ces tiers est conforme au CCPA. Cela comprend la révision et la mise à jour de la politique de confidentialité.
4. Faciliter l’Exercice des Droits des Consommateurs Conformément au CCPA
La prochaine étape consiste à créer des processus et des procédures que les consommateurs peuvent utiliser pour exercer leurs droits tels que prévus dans le CCPA.
5. Identifier et Mettre en Œuvre les Changements Opérationnels Nécessaires
Il peut être nécessaire d’apporter certaines modifications opérationnelles pour se conformer au CCPA. Ces changements incluent la manière dont les informations des consommateurs sont collectées et traitées, la manière dont les demandes des consommateurs seront traitées et comment assurer une conformité continue.
6. Former les Employés
La dernière étape consiste à former les employés sur la manière dont la conformité affecte votre entreprise et comment cela impacte le traitement des données des consommateurs. Les équipes doivent être formées sur la façon dont le CCPA définit un consommateur, ce qu’il définit comme des informations personnelles et comment répondre aux demandes des consommateurs.
Comparaison du CCPA avec le RGPD
Le CCPA et le RGPD sont des lois qui réglementent la manière dont les organisations, dans leurs juridictions respectives, traitent les informations personnelles identifiables. Les deux lois donnent aux individus un plus grand pouvoir sur la manière dont les entreprises gèrent leurs informations personnelles.
Le CCPA s’applique aux entreprises qui mènent des activités à but lucratif et qui traitent, collectent ou traitent des informations personnelles de résidents de Californie. Le RGPD, en revanche, donne aux résidents de l’Union européenne (UE) le contrôle sur la manière dont les entreprises collectent et utilisent leurs informations personnelles. Le RGPD est uniformément contraignant dans les 27 États membres de l’UE. Voici un bref aperçu de la comparaison entre le CCPA et le RGPD (adapté d’un document de Baker Law):
Région | CCPA | RGPD | Comparaison |
Qui est protégé | Les consommateurs résidant en Californie qui sont : | Différents mais avec des effets similaires | |
Quelles informations sont protégées | Les données personnelles qui sont destinées à être vendues contre une valeur monétaire | Toutes les données personnelles | Similaire |
Données anonymes, désidentifiées, pseudonymes ou agrégées | La désidentification peut être utilisée pour la conformité. Les données agrégées ne peuvent également pas être “raisonnablement” liées à un individu ou à un petit groupe. |
Le concept d’anonymisation du RGPD exige que les informations identifiables d’une personne soient empêchées de manière irréversible d’être utilisées. Le RGPD exige la pseudonymisation. |
Essentiellement similaire, mais le RGPD exige la pseudonymisation. |
Notification de confidentialité/Droit à l’information | Le CCPA donne aux consommateurs le droit de savoir quelles informations sont détenues et d’obtenir une copie de ces informations | Le RGPD permet aux individus de savoir combien de temps leurs informations seront conservées | Similaire |
Sécurité | Le CCPA n’impose pas directement de exigences en matière de sécurité des données | Prévoit l’exigence de mesures techniques et organisationnelles appropriées pour sécuriser les informations personnelles et réduire les risques de sécurité | Le RGPD prévoit la sécurité des informations personnelles, tandis que le CCPA ne le fait pas |
Droit d’opposition à la vente d’informations personnelles | Le CCPA prévoit le droit de s’opposer à la vente d’informations personnelles | Le RGPD permet aux personnes concernées de retirer leur consentement pour les activités de traitement et de ne pas autoriser le traitement de leurs données à des fins de marketing | Le CCPA prévoit le droit de s’opposer à la vente d’informations personnelles, tandis que le RGPD ne l’autorise pas explicitement |
Enfants | Le CCPA traite de la vente d’informations sur les enfants, pas de tout le traitement, et exige que les entreprises obtiennent d’abord un consentement préalable. Les parents doivent donner leur consentement pour les enfants de moins de 13 ans ; les adolescents de 13 à 15 ans peuvent donner leur propre consentement. | Le RGPD exige que les parents donnent leur consentement pour le traitement des informations personnelles de leurs enfants dans un environnement en ligne | Essentiellement similaire |
Droit de divulgation ou d’accès | Permet aux consommateurs de savoir quelles informations sont collectées et d’obtenir une copie de ces informations | Permet aux individus de savoir combien de temps leurs informations seront conservées | Similaire |
Droit à la portabilité des données | Les consommateurs peuvent exercer leur droit à la portabilité des données | Les individus peuvent exercer leur droit à la portabilité des données | Similaire |
Droit à la suppression | Le CCPA prévoit le droit à la suppression | Le RGPD prévoit le droit à l’oubli | Similaire avec certaines différences, telles que le délai de réponse. En vertu du CCPA, le délai de réponse est de 45 jours, tandis que le RGPD prévoit un délai de réponse de 30 jours. |
Droit de rectification | Ne prévoit pas le droit de rectification des informations personnelles | Prévoit le droit de rectification | Le RGPD permet le droit de rectification, tandis que le CCPA ne le fait pas |
Droit de limiter le traitement | Le CCPA n’a que le droit de s’opposer à la vente d’informations personnelles | Prévoit le droit de limiter le traitement | Différent |
Droit d’opposition au traitement automatisé | Non trouvé dans le CCPA | Permet le droit de s’opposer au traitement automatisé | Différent |
Non-discrimination | Interdit la discrimination à l’égard des personnes qui exercent leurs droits en matière de confidentialité | Interdit la discrimination à l’égard des personnes qui exercent leurs droits en matière de confidentialité | Similaire |
Réponse aux demandes de droits | Prévoit un délai de réponse de 45 jours aux demandes de droits | Prévoit un délai de réponse de 30 jours aux demandes de droits | Similaire mais avec des délais de réponse différents |
Sanctions (actions en justice des particuliers) | Le CCPA prévoit un droit d’action privée pour les consommateurs | Le RGPD ne mentionne pas le droit d’action privée d’un individu. | Différent |
Sanctions (amendes civiles) | Amendes appliquées par violation (2 500 $ à 7 500 $). Le consommateur peut poursuivre l’entreprise pour violation (100 $ à 750 $). |
Amende basée sur le chiffre d’affaires mondial annuel (4 % ou 20 millions d’euros) | Différent |
Figure 1. Comparaison entre le CCPA et le RGPD.
Qu’est-ce que le CPRA ?
En 2020, le California Consumer Privacy Act a été promulgué. Le California Privacy Rights Act (CPRA) est un amendement au CCPA qui entre en vigueur en janvier 2023, avec une application effective en juillet 2023. Le CPRA modifie le CCPA pour inclure davantage de droits à la vie privée pour les résidents de la Californie. Bien que la loi offre principalement les mêmes protections que le CCPA, elle met à jour certaines de ses dispositions et en introduit plusieurs autres.
Le CPRA crée l’Agence de protection de la vie privée de la Californie, chargée de mettre en œuvre et d’appliquer cette loi. Il maintient également le procureur général en tant qu’autorité de mise en application civile.
Communications de contenu sensible et le CCPA
Les entreprises du secteur privé doivent suivre, contrôler et sécuriser les communications numériques des informations personnellement identifiables (PII) appartenant aux résidents de la Californie pour se conformer au CCPA. Historiquement, les entreprises se reposent sur de nombreux outils pour les communications de contenu sensible, adoptant des approches cloisonnées pour les différents canaux de communication (e-mail, partage de fichiers, transfert de fichiers, transfert de fichiers géré, formulaires web et interfaces de programmation d’applications [API]). Cela crée une bifurcation des métadonnées qui rend difficile pour les organisations la mise en place d’une gouvernance centralisée et automatisée des PII et le maintien d’une approche de gestion des risques intégrée.
La plateforme Kiteworks consolide les communications numériques de données confidentielles telles que les PII dans un réseau de contenu privé. Kiteworks unifie, suit, contrôle et sécurise les PII partagées et envoyées au sein et en dehors d’une organisation, ce qui contribue à assurer la conformité réglementaire au CCPA.
Pour plus d’informations sur la manière dont Kiteworks peut créer un réseau de contenu privé pour votre organisation, programmez une démonstration sur mesure dès aujourd’hui.