Glossaire relatif à la confidentialité

CCPA

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que la CCPA ?

La Loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une loi sur la confidentialité adoptée en Californie en 2020, amendée et renforcée en 2023 par la California Privacy Rights Act (CPRA). La CCPA/CPRA offre aux résidents de Californie des droits spécifiques concernant la collecte et l’utilisation de leurs données personnelles. Ils peuvent savoir quelles données sont collectées; demander la suppression de leurs données; et choisir d’accepter ou de refuser la vente de leurs données. La CCPA exige que les entreprises respectent ces droits des consommateurs et prévoit des amendes civiles en cas de non-respect.

La CCPA offre également une protection supplémentaire pour les données des mineurs. Bien que la portée de la CCPA ne concerne qu’un seul état, elle établit un précédent aux États-Unis et sert de modèle pour les lois futures au niveau des états et du gouvernement fédéral, visant à rendre le contrôle des données personnelles aux individus.

Pourquoi la CCPA a été adoptée

Après des décennies de collecte de données sans restrictions par l’industrie technologique, l’opinion publique a changé. En réponse, les gouvernements ont commencé à adopter des lois pour encadrer la collecte et le partage des données. Un concept fondamental de ce mouvement est que la confidentialité est un droit humain fondamental. De nouvelles lois transfèrent le contrôle des données, de la confidentialité, et de la sécurité des consommateurs à l’individu. Elles obligent les entreprises à collecter et gérer ces données de manière plus transparente, responsable et accountable. Le RGPD, adopté par l’UE en 2018, a influencé la création de la CCPA.

Données et personnes protégées par la CCPA

Les protections de la CCPA s’appliquent à toute donnée considérée comme « personnelle » et qui est soit directement soit indirectement identifiante. Les informations directement identifiantes incluent des éléments tels que le nom, la date de naissance, le numéro de sécurité sociale ou encore les antécédents professionnels. Les données indirectement identifiantes se réfèrent à des informations moins évidentes qui, combinées, peuvent remonter jusqu’à un individu. Cette dernière catégorie comprend des éléments comme l’emplacement géographique, l’historique du navigateur et les achats et les identifiants en ligne.

La CCPA ne couvre pas les informations généralement considérées comme publiques. Elle n’inclut pas non plus les données couvertes par d’autres lois, telles que les données de santé couvertes par la loi HIPAA (Health Insurance Portability and Accountability Act) et les données financières couvertes par la loi Gramm-Leach-Bliley.

La CCPA est une loi d’état et ne s’applique qu’aux résidents californiens, qu’ils soient actuellement dans l’état ou résidents légaux temporairement en dehors de l’état. La CCPA ne s’applique pas aux non-résidents, même s’ils se trouvent temporairement en Californie. Un résident est une personne qui déclare l’impôt sur le revenu de l’État en Californie; dans le cas des mineurs, ce sont leurs Guardians qui déclarent l’impôt sur le revenu de l’État en leur nom.

Note : en raison de la grande population de la Californie, et pour éviter de maintenir plusieurs politiques clients, certaines entreprises technologiques ont étendu les protections et dispositions de la CCPA à tous les utilisateurs aux États-Unis, voire en dehors des États-Unis.

Droits des consommateurs selon la CCPA

Les consommateurs couverts par la CCPA disposent de plusieurs droits concernant leurs données personnelles, comme :

  • Demander à une entreprise de divulguer quelles données sont collectées, comment elles sont utilisées, et où elles sont vendues ou partagées
  • Demander la suppression de leurs données des registres d’une entreprise qui les a collectées, et de toute tierce partie à qui les données ont été vendues ou partagées
  • Refuser que leurs données soient vendues ou partagées par l’entreprise qui a collecté les données, ou par toute tierce partie qui aurait acheté ou reçu les données
  • Ne pas être discriminés pour avoir exercé ces droits

Il existe également des protections supplémentaires pour les mineurs de moins de 13 ans, ainsi que pour les mineurs de 13 à 16 ans. Une entreprise ne peut pas vendre les données d’un mineur sans avoir obtenu son consentement explicite par « opt-in ». Pour les moins de 13 ans, le consentement « opt-in » doit provenir du parent ou Guardian. Pour les 13 à 16 ans, il peut être fourni par le mineur.

Entreprises réglementées par le CCPA

Pour être réglementée par le CCPA, une entreprise doit être à but lucratif, faire des affaires en Californie, collecter des données personnelles de consommateurs et répondre à au moins un des critères suivants :

  • L’entreprise a un revenu annuel supérieur à 25 millions de dollars
  • L’entreprise gère (achète, vend, collecte ou partage) les données d’au moins 100 000 personnes protégées (i.e. Résidents de Californie)
  • Si l’entreprise externalise la gestion des données à un tiers, les deux parties (« propriétaire » et « gestionnaire ») sont soumises au CCPA
  • Au moins 50 % des revenus de l’entreprise proviennent de la gestion des données personnelles

Ces critères s’étendent à toute la famille de l’entreprise ; si une société mère répond à l’un des critères, alors toutes les filiales sont également soumises au CCPA, et vice versa. Une entreprise peut être soumise au CCPA même si elle n’a pas de présence physique en Californie, tant qu’elle fait des affaires dans l’État.

Une entreprise réglementée doit informer le consommateur de ses droits et des données collectées. Ces divulgations doivent être incluses dans la politique de confidentialité de l’entreprise. L’entreprise doit également fournir des mécanismes permettant à une personne protégée d’accéder à ses données, de les supprimer et de refuser la vente de ses données. Ces mécanismes doivent inclure un numéro de téléphone et au moins une autre méthode, généralement un site web. Une page « Ne pas vendre mes informations personnelles » est explicitement requise sur le site.

Le CCPA exige qu’une entreprise donne suite aux demandes en temps opportun (généralement 45 jours), comme en transmettant la demande aux partenaires (gestionnaires de données, sociétés mères ou filiales, et tiers ayant reçu les données). L’entreprise doit également être en mesure de confirmer que le demandeur est bien le consommateur réel (ou le Guardian) et non un imposteur.

Application du CCPA

Il n’existe aucun système établi pour vérifier qu’une entreprise se conforme au CCPA. La conformité repose sur l’enquête sur les violations possibles. Initialement, le CCPA avait confié la mise en application au Bureau du Procureur Général de Californie. Mais des amendements ultérieurs ont créé une nouvelle agence (Agence de protection de la confidentialité de Californie, ou CPPA) qui peut également mettre en œuvre et appliquer le CCPA.

Lorsque le Procureur Général ou la CPPA déterminent qu’une entreprise a enfreint les règlements, ils peuvent imposer des sanctions civiles ; des amendes sont appliquées pour chaque infraction individuelle. Lorsqu’une entreprise ne répond pas en temps opportun à une demande de consommateur, l’amende peut aller jusqu’à 2 500 $ ou 7 500 $ selon qu’il s’agit d’une violation involontaire ou intentionnelle. Le CCPA prévoit également des amendes payées directement au consommateur affecté en cas de violation de données. Ces amendes commencent dans une fourchette de 100 $ à 750 $ mais peuvent être plus élevées si les dommages réels le justifient.

Lois similaires

Actuellement, il existe une poignée de lois similaires dans le monde, et beaucoup d’autres sont en préparation. Deux lois notables incluent :

Règlement général sur la protection des données (RGPD) de l’UE

Le RGPD a été adopté dans l’Union européenne en 2018. Les spécificités du RGPD et du CCPA varient considérablement, le CCPA offrant des droits de protection des consommateurs plus spécifiques. Mais la portée générale du RGPD est similaire au CCPA car il traite également des droits individuels en matière de données personnelles, des violations de données et de la transparence des pratiques commerciales entourant les données des consommateurs. Le RGPD impose une obligation stricte de signaler une violation de données en 72 heures ; cela n’est pas présent dans le CCPA. Le RGPD vise également à protéger les droits et libertés fondamentaux des individus, tels qu’établis dans la Charte des droits fondamentaux de l’UE.

Le RGPD s’applique à une population beaucoup plus large (toute personne dans l’UE, qu’elle soit résidente ou non) et s’étend au-delà de l’UE en incluant les entreprises non européennes qui font des affaires dans l’UE.

Loi américaine sur la confidentialité et la protection des données (ADPPA)

L’ADPPA est actuellement en cours d’examen par le Congrès des États-Unis. Étant donné qu’il s’agit encore d’un projet en cours, il est difficile de savoir exactement quelles seront ses dispositions finales. Cependant, elle pourrait être plus intéressante que la CCPA en matière de protection des mineurs, d’incitation à moins stocker les données sensibles pour les entreprises, et de la possibilité d’accepter ou de refuser le partage des données.

Si l’ADPPA est promulguée en loi, il pourrait y avoir des conflits avec le CCPA ; il est encore incertain quel texte prévaudra.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.