Le CCPA, pendant américain du RGPD ? Par Jean-Noël Barneron, Connecthings

 

Depuis plusieurs années, la protection des données est devenu un sujet aussi complexe que nécessaire. Avec le RGPD, l’Europe a ouvert la voie et l’avènement de son règlement en mai 2018 en permettant aux entreprises d’établir un mantra : la confiance du client devient un élément indispensable à un modèle économique pérenne dès lors que son activité repose sur la protection des données des consommateurs.

Cette réglementation a permis l’émergence de nouvelles opportunités. C’est donc dans cette même logique que le 1er janvier 2020 entrera en vigueur le California Consumer Privacy Act (CCPA) ayant pour but de permettre aux résidents californiens de disposer d’un meilleur contrôle de leurs données personnelles. L’objectif : mieux protéger les droits des consommateurs de cet Etat, et promouvoir un meilleur respect de la vie privée tout en améliorant la transparence de l’utilisation des données.

Une loi au service des consommateurs californiens

Signé le 28 juin 2018 par le gouverneur de Californie Jerry Brown, le CCPA inscrit dans la loi certaines des mesures de protection les plus strictes des USA concernant la confidentialité des données des consommateurs. Au travers de ce texte, les États-Unis se préparent doucement à renforcer les droits de ses citoyens. Toutefois, ce n’est qu’en janvier 2020 que le CCPA entrera en application.

Quel que soit l’endroit où l’entreprise exerce son activité, toute société est susceptible d’être concernée par le CCPA dès lors que ce texte protège les données du consommateur californien.

Le CCPA va cependant se concentrer sur un certains type d’entreprises : 1) les sociétés générant plus de 25 millions de dollars, 2) celles qui achètent, reçoivent, vendent ou partagent les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils par an à des fins commerciales, 3) celles qui ont 50% ou plus de leurs revenus annuels provenant de la vente d’informations personnelles des consommateurs résidant en Californie.

Une définition californienne propre à l’Etat

La définition de données personnelles au sein du CCPA est assez large puisqu’elle englobe toutes les informations qui identifient, concernent, décrivent ou peuvent être associées – directement ou indirectement – à un consommateur ou à un ménage particulier.

Cette définition comprend donc ce qui est généralement considéré comme des « données à caractère personnel » (DCP), telles que le nom, l’adresse, le numéro de sécurité sociale, numéro de téléphone… Mais comprend également toutes les informations pouvant être rattachées à un consommateur californien : adresse IP de son terminal, localisation, actions effectuées au sein d’une application, historique des achats ou encore identifiants de l’utilisateur ou de son terminal.

Comment les consommateurs seront-ils protégés ?

L’objectif est donc que les consommateurs californiens puissent exercer un meilleur contrôle sur leurs informations personnelles et leur sécurité en devenant propriétaires.

D’une part, ce texte protège explicitement les informations personnelles des consommateurs californiens âgés de 13 à 16 ans. Il y est écrit de manière claire et précise qu’il est interdit aux entreprises de vendre leurs informations personnelles sans leur accord. Le CCPA interdit également aux entreprises de récupérer les informations personnelles des mineurs californiens de moins de 13 ans sans le consentement explicite de leurs parents ou d’un tuteur.

D’autre part, le CCPA vise à contraindre les entreprises californiennes de toute taille à rendre public le type de données personnelles qu’elles collectent et d’obtenir le consentement des consommateurs pour la vente de leurs données. Une action qui pourrait prendre la forme d’un portail spécifique offrant aux consommateurs un droit d’opposition à la vente de leurs données.

Cette nouvelle loi confère de nouveaux droits aux citoyens californiens. Désormais, chaque citoyen peut savoir quelles informations personnelles sont collectées à son sujet, demander à y avoir accès et exiger leur suppression. Il dispose du droit d’interdire la vente de ses données personnelles et peut légitimement demander à savoir avec qui elles sont partagées ou à qui elles sont vendues. Enfin, l’application du CCPA ne doit pas provoquer de discrimination ; ainsi un utilisateur exerçant son droit à la confidentialité de ses données doit continuer à bénéficier d’un service de même qualité et à un prix identique.

A noter enfin que la cybersécurité fait aussi partie des préoccupations de la loi californienne. Les entreprises doivent donc veiller à sécuriser l’accès aux données personnelles qu’elles stockent. Si une entreprise, suite à un piratage informatique, était victime d’un vol engendrant une perte des données personnelles qu’elle détient, alors sa responsabilité sera mise en jeu.

Rendre à César ce qui est à César

Même si le CCPA n’autorise les sanctions que si une violation a effectivement été constatée, chaque citoyen californien est autorisé à poursuivre au civil toute entreprise en infraction avec la loi ouvrant ainsi la porte aux actions collectives. Si les pratiques d’une entreprise sont identifiées comme non-conformes aux nouvelles dispositions californiennes l’Etat peut enclencher directement des poursuites à son encontre et la condamner à une amende de 7 500 $ par donnée dévoilée si elle ne remédie pas à la situation relevée sous 30 jours. Toutefois, s’il est avéré que la violation est non-intentionnelle, alors cette amende est réduite à 2 500 $.

Enfin, en ce qui concerne d’éventuelles fuites de données, la loi prévoit une indemnisation civile allant de 100 à 175$ par résident californien dont la donnée a été obtenue même en l’absence de préjudice matériel.

Le CCPA n’est assurément que le début d’une prise de conscience plus globale aux Etats-Unis sur la nécessité d’assurer la protection des données des citoyens face aux abus de l’utilisation des données personnelles de certaines entreprises ou organismes. Une première étape qui pourrait amener d’autres états à  instaurer une réglementation plus ou moins similaire.

De plus, une loi à l’échelle fédérale pourrait faire son apparition à moyen terme. Le 10 septembre 2019, un groupe composé de 51 CEO d’entreprises américaines a adressé une lettre ouverte au Congrès. Ces derniers demandent la mise en place d’une loi régulant la collecte, le traitement et l’usage des données personnelles au niveau national.

Ces entreprises, dont certaines sont des géants de la tech comme Amazon, AT&T, IBM, Motorola ou encore Qualcomm, trouvent que les lois sur la confidentialité varient trop largement d’un État à l’autre provoquant à la fois une certaine confusion chez les consommateurs et  une menace sur la compétitivité des Etats-Unis.

A travers cette démarche, leur volonté est de favoriser et disposer à l’échelle fédérale d’un environnement stable et légal permettant de créer des produits/solutions où acteurs économiques et utilisateurs peuvent trouver un consensus quant à l’utilisation des données personnelles.

Par Jean-Noël Barneron, Chief Innovation Officer chez Connecthings

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?