Bienvenue à l'ACCP 2.0 : Voici ce que vous devez savoir sur l'ACPR

Les Californiens ont voté en novembre pour étendre leurs droits en matière de protection des données au-delà des dispositions du CCPA. Le nouveau California Privacy Rights Act of 2020 (CPRA) est une extension du CCPA, conçue pour renforcer et clarifier les exigences en matière de protection de la vie privée – et pour s’aligner plus étroitement sur les normes internationales en matière de protection de la vie privée, à savoir le GDPR. Les dispositions les plus importantes de la CPRA s’articulent autour de trois domaines : le partage et la vente d’informations personnelles, les fournisseurs de services et les sous-traitants, et les droits des consommateurs. En outre, la loi adopte certains principes du GDPR, tels que la minimisation des données, la limitation de la finalité et la limitation du stockage. La CPRA renforce également la CCPA en créant une nouvelle agence gouvernementale – la California Privacy Protection Agency – chargée de veiller à l’application et au respect de la nouvelle réglementation.

Lire : Votre guide de la loi californienne sur la protection de la vie privée des consommateurs

Bien que la majorité des dispositions de la CPRA n’entrent pas en vigueur avant 2023, n’attendez pas pour entamer le processus de mise en conformité. L’ACPR pourrait ouvrir la voie à de futures réglementations américaines en matière de protection de la vie privée à plus grande échelle. Voici un aperçu des nouvelles dispositions de l’ACPR, de leur comparaison avec la LCAP et de ce que vous pouvez faire dès maintenant pour vous préparer.

	CCPA	ACPR
Seuil	Pour les entreprises qui répondent à l’un des critères suivants : 25 millions de dollars de recettes annuelles 50 000+ consommateurs californiens 50 % des revenus annuels provenant de la vente de données personnelles des consommateurs	Pour les entreprises qui répondent à l’un des critères suivants : 25 millions de dollars de recettes annuelles 100 000+ consommateurs californiens 50 % des revenus annuels provenant de la vente ou du partage de données personnelles des consommateurs
Date d’entrée en vigueur	1er janvier 2020	1er janvier 2023. S’applique uniquement aux informations personnelles collectées à partir du 1er janvier 2022, à l’exception des demandes d’accès.
Exemptions pour les salariés et les entreprises	Expiration le 1er janvier 2021	Expiration le 1er janvier 2023
Droits des consommateurs	Droit de savoir/accès Droit de suppression Droit d’opposition à la vente Droit à la non-discrimination	Tous les droits en vertu de la CCPA, plus : Droit de rectification Droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles
Définitions des termes « vendu » et « partagé »	« Vendre » signifie vendre pour une contrepartie monétaire ou une autre contrepartie de valeur.	Le terme « vendre » a été élargi à « vendu ou partagé », c’est-à-dire partagé par une entreprise avec un tiers au profit de l’entreprise, avec ou sans échange d’argent.
Tiers	Un « prestataire de services » est une entité qui traite des informations pour le compte d’une entreprise dans le cadre d’un contrat écrit.	Les exigences relatives au « prestataire de services » ont été élargies et une catégorie parallèle de « contractant » a été ajoutée.
Informations à caractère personnel	Les « informations personnelles » sont des informations qui identifient, concernent, décrivent ou pourraient raisonnablement être liées à un consommateur ou à un ménage particulier.	Cette définition couvre les informations personnelles, ainsi que les « informations personnelles sensibles », qui comprennent le numéro de sécurité sociale, le numéro de permis de conduire, les identifiants de connexion, les informations biométriques, la géolocalisation précise et l’origine raciale/ethnique.
Informations personnelles sur les mineurs	Les amendes sont les mêmes que pour les autres types de données à caractère personnel : 2 500 dollars pour chaque violation intentionnelle et 7 500 dollars pour chaque violation non intentionnelle.	Impose une amende automatique de 7 500 $ pour chaque violation impliquant des informations personnelles d’un mineur.
Conservation des données	La directive n’impose aucune obligation spécifique aux entreprises de divulguer aux consommateurs leurs pratiques en matière de conservation des données.	La collecte, la conservation et l’utilisation des données doivent être limitées à ce qui est raisonnablement nécessaire pour fournir des biens et des services.
Prise de décision automatisée	NA	Les consommateurs peuvent refuser l’utilisation de leurs données personnelles à des fins de prise de décision automatisée, ce qui inclut le « profilage » en rapport avec des évaluations ou des décisions concernant les performances professionnelles, la situation économique, la santé, la fiabilité, etc. d’un consommateur.
Application de la loi	Mise en œuvre par le procureur général. Accorde aux entreprises un délai de 30 jours pour remédier aux violations. Accorde aux consommateurs un droit d’action privé en cas de violation de certaines informations.	Création de l’Agence californienne de protection de la vie privée, chargée de l’application et de l’orientation. Supprime le délai de 30 jours pour remédier à une infraction avant qu’une entreprise ne soit condamnée à une amende. Accorde aux consommateurs un droit d’action privé en cas de violation de certaines informations.

Certaines de ces dispositions pourront être précisées par de futures réglementations publiées par l’Agence californienne de protection de la vie privée, nouvellement créée. En attendant, voici trois mesures à prendre dès maintenant :

Respectez le principe de l’opt-in et de l’opt-out. Veillez à mettre en place une procédure permettant de donner suite rapidement aux demandes de protection de la vie privée.
Se conformer à la CCPA quel que soit le lieu d’implantation de votre entreprise. La conformité à la CCPA s’étend au-delà des frontières de l’État pour inclure tout résident californien, quel que soit l’endroit où il se trouve. Si un résident californien peut accéder à votre site web, vous devez vous conformer à la CCPA.
Comprendre la complexité des informations personnelles et leur définition. Le maintien de la conformité juridique dans le cadre des initiatives de marketing est un processus continu, et non un point de contrôle ponctuel. Revenez régulièrement sur la façon dont les informations personnelles identifiables sont utilisées chaque fois que la réglementation sur la protection de la vie privée (
) est modifiée ou mise à jour.

Avec l’adoption de l’ACPR, la loi sur la protection de la vie privée des consommateurs la plus solide du pays vient d’être considérablement renforcée – et les enjeux sont beaucoup plus importants. Et si les leçons tirées de l’ACPR, de la CCPA et du GDPR sont une indication de l’avenir, attendez-vous à ce que de plus en plus d’États et de pays élaborent leurs propres exigences en matière de protection de la vie privée. En attendant, mettez en place les politiques, les procédures et les technologies adéquates afin de pouvoir adapter vos pratiques en matière de protection de la vie privée en conséquence. Le temps presse.

Pour plus d’informations sur une solution de conformité efficace, téléchargez notre e-book, Transforming Compliance from Check the Box to Champion.

Bienvenue à l’ACCP 2.0 : Voici ce que vous devez savoir sur l’ACPR

Share This, Choose Your Platform!

Related Posts

4 tendances en matière de GRC qui définiront l’année 2026 et leurs implications pour vous

Repenser la conformité SOX : d’une contrainte à un avantage commercial

Gérer les risques psychosociaux : concilier bien-être et sécurité physique