Qu’est ce que la CCPA?

California Consumer Privacy Act (CCPA) est la nouvelle loi californienne sur la protection des données personnelles des consommateurs. Elle a été promulguée en 2018 et a pris effet le 1er janvier 2020. Cette loi historique garantit de nouveaux droits à la vie privée aux consommateurs californiens. Sa conformité est proche de celle du RGPD bien qu'elle nécessite des adaptations et des ajustements. Elle prévoit également des sanctions et des réparations contre les organisations en cas de cyber attaque ou de violation sur les données des consommateurs comme le RGPD.


Quelles sont les entreprises ciblées par la CCPA? Elle vise trois catégories d’entreprises :

1ère Catégorie : Toutes les entreprises qui font des affaires avec des Californiens (même un seul) et avec un chiffre d'affaires de 25M$ par an.

2ème Catégorie : Toutes les entreprises qui traitent des données personnelles en Californie et génèrent au moins 50% de leur chiffre d'affaires grâce à la vente de données des consommateurs californiens.

3ème Catégorie : Toutes les entreprises qui collectent au moins 50 000 données de consommateurs californiens par an ( dans cette catégorie concerne les sites internets ).

Focus : Fondamentalement, le RGPD est beaucoup plus strict mais la CCPA est quand même un pas en avant pour la protection des données en Californie voire aux USA.

En tant qu'entreprise, pour être CCPA Compliance. il faudra répondre à toutes les questions des consommateurs californiens sur leurs données personnelles.


Quels sont les droits offerts aux consommateurs californiens ?

Droit de regard : Concrètement, tout Californien a le droit de contrôler les données le concernant et de savoir ce qu’en fait l'entreprise responsable et avec qui elles sont traités. La personne concernée peut interroger l’entreprise à tout moment pour obtenir des informations sur la collecte de ses données.

Droit de contrôle : Tout californien a un droit de contrôle sur les données personnelles les concernant. Il peut, en ce sens, demander à l’entreprise responsable de traitement de le limiter voire lui interdire de traiter les données le concernant.

Droit à l’oubli: Tout Californien a le droit de demander à l’entreprise responsable de traitement de supprimer les données le concernant et également à ses sous-traitants et /ou partenaires de supprimer ses données.

Que faut-il faire pour être sur le chemin qui mène vers la CCPA COMPLIANCE ?


Pour être en conformité avec la CCPA, Il faut :

Changer votre politique de confidentialité afin mettre une lumière sur les informations que vous collectiez en général lorsqu’un utilisateurs californiens a recours à vos services ou votre site Web.
Préciser le but de cette collecte de ses données, pourquoi elles sont collectées et avec qui elles seront partagées et pour quelle(es) finalité (es).
Assurer également la sécurité maximale de votre site Web par la mise en place d'un système de mot de passe « infaillible » pour éviter les fuites de données.
Faciliter l’accès à la confidentialité et à la prise de contact avec le responsable du site web afin que tout consommateur ait la possibilité de demander des informations sur le traitement de ses données (droit de regard).
Avoir connaissance parfaite sur les chiffres générés par le site et une bonne maitrise des données collectées par les Cookies.

Quelles sont les conséquences pour le non-respect de la CCPA?

En cas de non respect de la CCPA, l’entreprise dispose de 30 jours pour que des mesures adéquates soient mises en place. Passer ce délai , elle s’expose à une amende allant de 2 500$ jusqu’a 7 500 $ par infraction caractérisée.

En cas de fuite de données des consommateurs, l’amende se situe entre 100$ et 750$ ou plus par personne impactée et selon la gravité.

Les conséquences pour les entreprises opérant en Californie et dans l’UE?

Le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) sont des cadres juridiques distincts avec des champs d'application, des définitions et des exigences un peu similaire mais en même temps différents. Par exemple, une entreprise qui se conforme au RGPD et collecte en même temps des données de citoyens californiens peut avoir des obligations supplémentaires en vertu de la CCPA.

En vertu du RGPD, les entreprises doivent entreprendre un inventaire des données et une cartographie des flux de données afin de créer des enregistrements pour démontrer leur conformité. Une cartographie des données supplémentaires importante peut être aussi demandé à celles qui opère en Californie afin de refléter les différentes exigences de la CCPA.

Dans le cadre du RGPD, les entreprises doivent développer des processus et des systèmes appropriés pour répondre aux demandes individuelles d'accès et d'effacement des données personnelles. Ces processus et systèmes peuvent être appliqués au traitement des demandes des consommateurs soumis à la CCPA,

En vertu du RGPD, les entreprises doivent divulguer les pratiques de confidentialité des données dans une politique de confidentialité. La CCPA exige également que les entreprises divulguent des pratiques commerciales spécifiques dans une politique de confidentialité complète. De nombreuses entreprises californiennes qui exploitent des sites Web commerciaux et des services en ligne doivent désormais publier une politique de confidentialité en conformité avec politique de protection de la vie privée en ligne de la Californie et devront mettre à jour cette politique au regard de la CCPA.

En fin, en vertu du RGPD, les entreprises doivent rédiger et exécuter des contrats écrits avec leurs prestataires de services au respect des exigences du RGPD mais également aux celles de la CCPA si elles opèrent en Californie.

Sources :

https://oag.ca.gov/privacy/ccpa

http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=