La California Consumer Privacy Act (CCPA) est une loi de l'État visant à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie, États-Unis. Elle accorde aux consommateurs un meilleur contrôle sur les informations personnelles que les entreprises collectent à leur sujet.
La CCPA a été signée en loi le 28 juin 2018 et est entrée en vigueur le 1er janvier 2020. Elle est considérée comme l'une des lois sur la confidentialité les plus étendues aux États-Unis et présente des similitudes avec le Règlement général sur la protection des données (RGPD) de l'Union européenne.
Droit du Consommateur de Savoir : La CCPA accorde aux consommateurs le droit de savoir quelles informations personnelles les entreprises collectent à leur sujet et comment ces informations sont utilisées. Les entreprises sont tenues de divulguer les catégories d'informations personnelles qu'elles collectent, les sources à partir desquelles les informations sont collectées, les objectifs pour lesquels les informations sont utilisées et les catégories de tiers avec lesquels les informations sont partagées.
Droit du Consommateur de Supprimer : Les consommateurs ont le droit de demander aux entreprises de supprimer leurs informations personnelles, sous réserve de certaines exceptions. En recevant une demande vérifiée, les entreprises doivent supprimer les informations personnelles du consommateur de leurs dossiers et demander à leurs prestataires de services de faire de même, sauf en cas d'application d'une exception.
Droit du Consommateur de Refuser : Les entreprises qui vendent des informations personnelles sont tenues de fournir un lien "Ne Vendez Pas Mes Informations Personnelles" sur leurs sites web, permettant aux consommateurs de refuser la vente de leurs informations personnelles. Les consommateurs peuvent exercer ce droit à tout moment et les entreprises ne peuvent discriminer les consommateurs qui exercent ce droit.
Droit du Consommateur à la Non-Discrimination : La CCPA interdit aux entreprises de discriminer les consommateurs qui exercent leurs droits en vertu de la CCPA. Les entreprises ne peuvent pas refuser des biens ou des services, facturer des prix différents, ou fournir un niveau ou une qualité de services différents aux consommateurs qui exercent leurs droits à la vie privée.
Confidentialité des Enfants : La CCPA inclut des protections spécifiques pour les enfants de moins de 16 ans. Les entreprises doivent obtenir le consentement des parents ou tuteurs avant de vendre les informations personnelles des enfants de moins de 13 ans. Pour les enfants entre 13 et 16 ans, le consentement affirmatif doit être donné par l'enfant lui-même.
Obligations des Entreprises : En plus des droits des consommateurs, la CCPA impose certaines obligations aux entreprises. Les entreprises doivent mettre en œuvre des mesures de sécurité raisonnables pour protéger les informations personnelles qu'elles collectent contre tout accès, destruction, utilisation, modification ou divulgation non autorisés. Elles doivent également fournir aux consommateurs au moins deux méthodes pour soumettre des demandes afin d'exercer leurs droits à la vie privée, y compris un numéro de téléphone gratuit et une adresse de site web.
Les entreprises doivent s'assurer qu'elles sont conformes à la CCPA en comprenant ses exigences et en mettant en œuvre les changements nécessaires à leurs politiques de confidentialité et pratiques de gestion des données. Voici quelques conseils pour les entreprises afin d'éviter toute violation :
Comprendre la Portée de la Loi : Les entreprises doivent évaluer si la CCPA s'applique à elles en fonction de leurs revenus annuels bruts, de la quantité de données de consommateurs californiens qu'elles traitent, et de savoir si elles répondent à d'autres seuils définis dans la loi.
Mettre à Jour les Politiques de Confidentialité : Les entreprises doivent revoir et mettre à jour leurs politiques de confidentialité pour inclure les divulgations requises sur les catégories d'informations personnelles collectées, les objectifs pour lesquels les informations sont utilisées et les droits disponibles pour les consommateurs.
Implémenter des Mesures de Protection des Données : Les entreprises doivent mettre en œuvre des mesures de sécurité raisonnables pour protéger les informations personnelles qu'elles collectent. Cela peut inclure le chiffrement, les contrôles d'accès, les sauvegardes régulières de données et la formation des employés sur les meilleures pratiques en matière de sécurité des données.
Fournir des Mécanismes de Droits pour les Consommateurs : Les entreprises devraient établir des processus pour gérer les demandes de consommateurs concernant la connaissance, la suppression et le refus. Cela peut impliquer la création d'adresses email dédiées ou de numéros gratuits pour recevoir et traiter les demandes des consommateurs.
Former les Employés : Les entreprises devraient éduquer et former leurs employés sur les exigences de la CCPA, y compris la manière de gérer les demandes des consommateurs, de protéger les informations personnelles et de se conformer aux dispositions de la loi.
La CCPA partage des similitudes avec le Règlement général sur la protection des données (RGPD) de l'Union européenne, qui a été mis en œuvre en mai 2018. Les deux réglementations visent à renforcer les droits à la vie privée des individus et à imposer des obligations aux entreprises qui collectent et traitent des informations personnelles. Cependant, il existe des différences clés entre les deux :
Portée Territoriale : Le RGPD s'applique aux entreprises qui traitent les données personnelles des individus dans l'Union européenne, indépendamment de l'emplacement de l'entreprise. En revanche, la CCPA s'applique aux entreprises qui collectent les informations personnelles des résidents californiens, indépendamment de l'emplacement de l'entreprise.
Exigences de Consentement : Le RGPD met l'accent sur l'obtention d'un consentement explicite des individus pour le traitement de leurs données personnelles, tandis que la CCPA se concentre sur le fait de donner aux consommateurs le droit de refuser la vente de leurs informations personnelles.
Pénalités et Application : Le RGPD permet des amendes considérables en cas de non-conformité, avec des pénalités allant jusqu'à 4% du chiffre d'affaires annuel mondial d'une entreprise. La CCPA prévoit des sanctions civiles allant jusqu'à 2 500 $, ou jusqu'à 7 500 $ pour les violations intentionnelles.
Malgré les différences, il est important pour les entreprises de comprendre et de se conformer aux deux réglementations si elles traitent des informations personnelles d'individus à la fois en Californie et dans l'Union européenne.
Termes Connexes