Les Californiens ont voté en novembre pour étendre leurs droits en matière de protection des données au-delà des dispositions du CCPA. Le nouveau California Privacy Rights Act of 2020 (CPRA) est une extension du CCPA, conçue pour renforcer et clarifier les exigences en matière de protection de la vie privée – et pour s’aligner plus étroitement sur les normes internationales en matière de protection de la vie privée, à savoir le GDPR. Les dispositions les plus importantes de la CPRA s’articulent autour de trois domaines : le partage et la vente d’informations personnelles, les fournisseurs de services et les sous-traitants, et les droits des consommateurs. En outre, la loi adopte certains principes du GDPR, tels que la minimisation des données, la limitation de la finalité et la limitation du stockage. La CPRA renforce également la CCPA en créant une nouvelle agence gouvernementale – la California Privacy Protection Agency – chargée de veiller à l’application et au respect de la nouvelle réglementation.

Lire : Votre guide de la loi californienne sur la protection de la vie privée des consommateurs

Bien que la majorité des dispositions de la CPRA n’entrent pas en vigueur avant 2023, n’attendez pas pour entamer le processus de mise en conformité. L’ACPR pourrait ouvrir la voie à de futures réglementations américaines en matière de protection de la vie privée à plus grande échelle. Voici un aperçu des nouvelles dispositions de l’ACPR, de leur comparaison avec la LCAP et de ce que vous pouvez faire dès maintenant pour vous préparer.

CCPA ACPR
Seuil Pour les entreprises qui répondent à l’un des critères suivants :

  • 25 millions de dollars de recettes annuelles
  • 50 000+ consommateurs californiens
  • 50 % des revenus annuels provenant de la vente de données personnelles des consommateurs
 Pour les entreprises qui répondent à l’un des critères suivants :

  • 25 millions de dollars de recettes annuelles
  • 100 000+ consommateurs californiens
  • 50 % des revenus annuels provenant de la vente ou du partage de données personnelles des consommateurs
Date d’entrée en vigueur 1er janvier 2020 1er janvier 2023. S’applique uniquement aux informations personnelles collectées à partir du 1er janvier 2022, à l’exception des demandes d’accès.
Exemptions pour les salariés et les entreprises Expiration le 1er janvier 2021 Expiration le 1er janvier 2023
Droits des consommateurs
  • Droit de savoir/accès
  • Droit de suppression
  • Droit d’opposition à la vente
  • Droit à la non-discrimination
 Tous les droits en vertu de la CCPA, plus :

  • Droit de rectification
  • Droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles
Définitions des termes « vendu » et « partagé » « Vendre » signifie vendre pour une contrepartie monétaire ou une autre contrepartie de valeur. Le terme « vendre » a été élargi à « vendu ou partagé », c’est-à-dire partagé par une entreprise avec un tiers au profit de l’entreprise, avec ou sans échange d’argent.
Tiers Un « prestataire de services » est une entité qui traite des informations pour le compte d’une entreprise dans le cadre d’un contrat écrit. Les exigences relatives au « prestataire de services » ont été élargies et une catégorie parallèle de « contractant » a été ajoutée.
Informations à caractère personnel Les « informations personnelles » sont des informations qui identifient, concernent, décrivent ou pourraient raisonnablement être liées à un consommateur ou à un ménage particulier. Cette définition couvre les informations personnelles, ainsi que les « informations personnelles sensibles », qui comprennent le numéro de sécurité sociale, le numéro de permis de conduire, les identifiants de connexion, les informations biométriques, la géolocalisation précise et l’origine raciale/ethnique.
Informations personnelles sur les mineurs Les amendes sont les mêmes que pour les autres types de données à caractère personnel : 2 500 dollars pour chaque violation intentionnelle et 7 500 dollars pour chaque violation non intentionnelle. Impose une amende automatique de 7 500 $ pour chaque violation impliquant des informations personnelles d’un mineur.
Conservation des données La directive n’impose aucune obligation spécifique aux entreprises de divulguer aux consommateurs leurs pratiques en matière de conservation des données. La collecte, la conservation et l’utilisation des données doivent être limitées à ce qui est
raisonnablement nécessaire pour fournir des biens et des services.
Prise de décision automatisée NA Les consommateurs peuvent refuser l’utilisation de leurs données personnelles à des fins de prise de décision automatisée, ce qui inclut le « profilage » en rapport avec des évaluations ou des décisions concernant les performances professionnelles, la situation économique, la santé, la fiabilité, etc. d’un consommateur.
Application de la loi
  • Mise en œuvre par le procureur général.
  • Accorde aux entreprises un délai de 30 jours pour remédier aux violations.
  • Accorde aux consommateurs un droit d’action privé en cas de violation de certaines informations.
  • Création de l’Agence californienne de protection de la vie privée, chargée de l’application et de l’orientation.
  • Supprime le délai de 30 jours pour remédier à une infraction avant qu’une entreprise ne soit condamnée à une amende.
  • Accorde aux consommateurs un droit d’action privé en cas de violation de certaines informations.

Certaines de ces dispositions pourront être précisées par de futures réglementations publiées par l’Agence californienne de protection de la vie privée, nouvellement créée. En attendant, voici trois mesures à prendre dès maintenant :

  1. Respectez le principe de l’opt-in et de l’opt-out. Veillez à mettre en place une procédure permettant de donner suite rapidement aux demandes de protection de la vie privée.
  2. Se conformer à la CCPA quel que soit le lieu d’implantation de votre entreprise. La conformité à la CCPA s’étend au-delà des frontières de l’État pour inclure tout résident californien, quel que soit l’endroit où il se trouve. Si un résident californien peut accéder à votre site web, vous devez vous conformer à la CCPA.
  3. Comprendre la complexité des informations personnelles et leur définition. Le maintien de la conformité juridique dans le cadre des initiatives de marketing est un processus continu, et non un point de contrôle ponctuel. Revenez régulièrement sur la façon dont les informations personnelles identifiables sont utilisées chaque fois que la réglementation sur la protection de la vie privée (
    ) est modifiée ou mise à jour.

Avec l’adoption de l’ACPR, la loi sur la protection de la vie privée des consommateurs la plus solide du pays vient d’être considérablement renforcée – et les enjeux sont beaucoup plus importants. Et si les leçons tirées de l’ACPR, de la CCPA et du GDPR sont une indication de l’avenir, attendez-vous à ce que de plus en plus d’États et de pays élaborent leurs propres exigences en matière de protection de la vie privée. En attendant, mettez en place les politiques, les procédures et les technologies adéquates afin de pouvoir adapter vos pratiques en matière de protection de la vie privée en conséquence. Le temps presse.

Pour plus d’informations sur une solution de conformité efficace, téléchargez notre e-book, Transforming Compliance from Check the Box to Champion.