Devant l’émergence des nombreuses lois sur la vie privée et la confidentialité des données à travers le Monde, certains Etats Américains ont bien compris qu’il était aussi de leur intérêt de légiférer sur cette question. C’est ainsi qu’une vieille promesse du Gouverneur Schwarzenegger a été votée et entre en vigueur au 1er janvier 2020.

Il est important de souligner que cette loi est avant tout une loi de protection des consommateurs Californiens et non pas une loi transversale et à portée universelle comme a été pensé le GDPR.

Toute entreprise qui fait du « business » en Californie et qui, soit fait plus de 25M$ de chiffre d’affaires, et/ou vend ou achète des données personnelles de plus de 50.000 personnes et/ou fait plus de 50% de son chiffre d’affaires sur la vente de données personnelles est soumise au CCPA. En pratique, cela fait beaucoup de monde.

Toute entreprise soumise au CCPA doit informer les consommateurs Californiens :

  • Que leurs données personnelles sont collectées ;
  • Si leurs données personnelles sont vendues ou transférées à un tiers ;
  • Qu’ils ont la possibilité de refuser la vente de leurs données personnelles ;
  • Qu’ils ont le droit d’accéder à leurs données personnelles ;
  • Qu’ils ont le droit de demander la suppression de leurs données personnelles ;
  • Qu’ils ne peuvent pas être discriminés par l’entreprise en cas d’exercice de leurs droits.

De plus, toute société soumise au CCPA doit implémenter et maintenir des pratiques et procédures de sécurité logiques permettant de garantir la sécurité des données.

Ces obligations s’ajoutent à des obligations existant depuis plus longtemps dans le Code civil de Californie :

  • Obtenir le consentement parental pour les mineurs de moins de 13 ans ;
  • Obligation de mettre un lien sur la home page permettant aux consommateurs de refuser toute vente de leurs données personnelles ;
  • Interdiction de redemander l’autorisation de vendre les données 12 mois après que la personne ait refusé ;
  • Obligation de mettre un numéro vert pour toute demande d’accès aux données.

Il est donc intéressant de noter que si la démarche est louable et doit être saluée, les principes et obligations sont finalement moindres que ceux du GDPR qui :

  • vise toutes les personnes physiques (consommateurs, salariés, fournisseurs, etc…) et non pas uniquement les consommateurs ;
  • couvre toutes les données collectées ou traitées au sein de l’Union sans aucun seuil ;
  • oblige la fourniture de nombreuses informations, en toutes hypothèses, et garantit pénalement leur fourniture et exercice ;
  • impose la rédaction et le maintien de plusieurs procédures et non pas uniquement d’une procédure sur la sécurité ;
  • l’amende est de 7.500$ alors qu’elle peut monter à 20M€ en Europe.

Le Cabinet Lawint a déjà mis en conformité des entreprises au regard du CCPA et du GDPR, permettant une conformité sur les deux continents.