LeLoi californienne sur la protection des consommateurs (CCPA)est une loi sur la confidentialité des données promulguée dans l'État de Californie, aux États-Unis, conçue pour protéger le droit à la vie privée des résidents californiens en leur donnant plus de contrôle sur leurs informations personnelles. Il est entré en vigueur le 1er janvier 2020. Vous trouverez ci-dessous un aperçu des principaux éléments et dispositions de l'ACCP :
1.Objet de l'ACCP
La CCPA vise à offrir aux résidents californiens une transparence sur la façon dont leurs renseignements personnels sont recueillis, utilisés et partagés par les entreprises. Il donne aux individus la possibilité d'accéder, de supprimer, et de contrôler leurs données personnelles.
2.À qui postule l'ACCP postule-t-elle?
L'ACCP s'applique aux entreprises à but lucratif qui répondent à un ou plusieurs des critères suivants :
- Revenus annuels brutsde plus de 25 millions de dollars.
- Achete, vend, ou partage des renseignements personnelsde 100 000 consommateurs ou ménages californiens ou plus.
- Dérive 50 % ou plus des revenus annuelsde la vente des informations personnelles des consommateurs californiens.
Même les entreprises en dehors de la Californie doivent se conformer si elles atteignent ces seuils et traitent les données personnelles des résidents de Californie.
3.Qu'est-ce que les renseignements personnels en vertu de l'ACCP?
L'ACCP définit les renseignements personnels de façon générale pour inclure tout renseignement pouvant être lié à une personne ou à un ménage en particulier. Cela inclut, mais sans s'y limiter:
- Nom, adresse, numéro de téléphone, email.
- Numéro de sécurité sociale, numéro de permis de conduire.
- Activité Internet, adresse IP, et données de géolocalisation.
- Historique des achats, historique de navigation.
- Informations sur l'emploi et l'éducation.
- Données biométriques.
Il comprend également toute déduction tirée des données qui pourrait créer un profil sur les préférences, les caractéristiques, les tendances psychologiques et les comportements d'un individu.
4.Droits des consommateurs en vertu de l'ACCP
La CCPA accorde les droits suivants aux résidents de Californie :
a.Droit de savoir
Les consommateurs ont le droit de demander :
- Les catégories et les éléments spécifiques de renseignements personnels recueillis à leur sujet.
- Les catégories de sources auprès desquelles leurs renseignements ont été recueillis.
- L'objectif commercial ou commercial de la collecte ou de la vente de leurs renseignements personnels.
- Les catégories de tiers avec lesquels leurs informations sont partagées.
b.Droit de supprimer
Les consommateurs peuvent demander qu'une entreprise supprime ses renseignements personnels qui ont été recueillis, sous réserve de certaines exceptions (p. ex., si les données sont nécessaires pour effectuer une transaction, se conformer à une obligation légale ou à des fins de sécurité).
c.Droit à l'opt-out de la vente de renseignements personnels
Les consommateurs ont le droit de refuser la vente de leurs renseignements personnels à des tiers. Les entreprises doivent fournir un lien clair et bien en vue " Ne pas vendre mes renseignements personnels " clair et bien en vue sur leur site Web afin de faciliter ce processus de désactivation.
d.Droit à la non-discrimination
Les consommateurs ne peuvent faire l'objet de discrimination pour avoir exercé leurs droits de l'ACCP. Cela signifie que les entreprises ne peuvent pas:
- Refuser des biens ou des services.
- Facturez différents prix ou tarifs.
- Fournir un niveau ou une qualité de service différent, à moins que les différences ne soient raisonnablement liées à la valeur des données du consommateur.
5.Obligations pour les entreprises en vertu de l'ACCP
Les entreprises qui relèvent de l'ACCP doivent respecter plusieurs exigences :
a.Fournir des avis de protection de la vie privée
Les entreprises doivent informer les consommateurs, au point de collecte de données ou avant, sur les types de renseignements personnels recueillis et les fins auxquelles ils seront utilisés. Ces informations sont généralement présentées dans une politique de confidentialité.
b.Répondre aux demandes des consommateurs
- Les entreprises sont tenues de vérifier et d'y répondre aux demandes des consommateurs d'accès, de suppression ou de désactivation dans les 45 jours.
- Ils doivent fournir une méthode permettant aux consommateurs de soumettre ces demandes, comme un numéro sans frais ou un formulaire Web.
c.Formation et Record-Keeping
- Les employés qui traitent les demandes de renseignements des consommateurs sur la protection de la vie privée doivent recevoir une formation sur la façon de se conformer à l'ACCP.
- Les entreprises doivent tenir des registres des demandes des consommateurs et de la façon dont elles ont été traitées pendant au moins 24 mois.
d.Sécurité des données
- L'ACCP impose aux entreprises le devoir de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables pour protéger les renseignements personnels des consommateurs.
6.Amendes et pénalités
L'ACCP permet l'exécution par leProcureur général de Californie, ainsi que les poursuites privées dans des circonstances spécifiques:
- Violations intentionnellespeut entraîner des amendes allant jusqu'à 7 500 $ par violation.
- Violations involontairespeut entraîner des amendes de 2 500 $ par violation si elles ne sont pas corrigées dans les 30 jours suivant leur avis du problème.
- Les consommateurs peuvent également intenter des poursuites privées si leurs renseignements personnels sont exposés en raison du défaut d'une entreprise de mettre en œuvre des mesures de sécurité raisonnables, avec des dommages légaux allant de 100 $ à 750 $ par incident ou des dommages réels, selon le montant le plus élevé.
7.Loi californienne sur les droits à la vie privée (CPRA)
En 2020, les électeurs californiens ont approuvé laLoi californienne sur les droits à la vie privée (CPRA), qui s'étend sur la CCPA. L'ARPC a pris effet le 1er janvier 2023, et introduit plusieurs droits et obligations supplémentaires, notamment :
- Droit de corriger: Les consommateurs peuvent demander que les renseignements personnels inexacts soient corrigés.
- Droit élargi à l'opt-out: Les consommateurs peuvent refuser non seulement la vente d'informations personnelles mais aussi le partage de renseignements personnels pour des publicités ciblées.
- Informations personnelles sensibles: L'ARC introduit de nouvelles règles autour de l'utilisation et de la divulgation de renseignements personnels de nature délicate (p. ex., données financières, race, données de santé).
- Création de la California Privacy Agency (CPPA): L'ARC établit cet organisme chargé d'appliquer les lois sur la protection de la vie privée et fournir des directives aux entreprises et aux consommateurs.
8.Comparaisons au RGPD
Bien que l'ACCP soit une loi majeure sur la protection de la vie privée aux États-Unis, elle diffère de laRèglement général sur la protection des données (RGPD)de plusieurs façons:
- Applicabilité: GDPR s'applique à l'échelle mondiale à toute organisation traitant les données personnelles des résidents de l'UE, tandis que CCPA s'applique uniquement aux résidents californiens.
- Consentement: RGPD exige un consentement affirmatif pour la collecte de données, tandis que le CCPA permet aux entreprises de recueillir et d'utiliser des renseignements personnels, sauf si le consommateur s'en retire.
- Droits des consommateurs: GDPR accorde des droits plus larges, tels que le droit à la portabilité des données et des protections plus étendues autour de la prise de décision automatisée.
L'ACCP est l'une des lois les plus complètes sur la confidentialité des données aux États-Unis et représente un virage vers une plus grande transparence des données et un contrôle des consommateurs sur les renseignements personnels. La loi établit les bases de la future législation sur la protection de la vie privée aux États-Unis et est souvent comparée aux lois internationales sur la protection des données comme le RGPD.