Le California Consumer Privacy Act (CCPA) a été adopté en 2018 et est entré en vigueur le 1er janvier 2020. Souvent comparé au Règlement Général sur la Protection des données, nous nous sommes intéressés au détail de ses dispositions pour savoir si ce lien de parenté présumé était justifié.
Les deux réglementations partagent le même objectif de garantie d’un niveau élevé de protection des individus concernant leurs données à caractère personnel.
Pour rappel, le RGPD, entré en application le 25 mai 2018, est à ce jour l’une des réglementations les plus complètes et protectrices au monde. Aux États-Unis, en l’absence d’un texte fédéral sur le sujet, le CCPA est considéré comme l’une des plus importantes lois sur la protection des données à caractère personnel dans le pays qui n’est donc pas sans impact sur le reste du monde en raison du statut de cinquième économie mondiale de la Californie.
Ces deux réglementations présentent des points communs dans leur philosophie mais diffèrent profondément dès lors que le détail des dispositions du CCPA est étudié.
Dans les deux textes, la notion est large. Pour rappel, le RGPD la définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » à son article 4. Le CCPA fait mention « des informations qui identifient, se rapportent à, décrivent, sont susceptibles d’être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. »[1] suivi d’une liste d’exemples de données susceptibles d’être des données à caractère personnel.
La différence notable avec la conformité RGPD est que le CCPA exclut explicitement de son champ d’application les données contenues dans un fichier tenu par un organisme public fédéral, étatique ou local et qui serait rendues publiques[2]. Par ailleurs, aucune distinction n’est faite entre les données d’identification classiques et ce que nous qualifions dans le RGPD de catégories particulières de données décrites aux articles 9 et 10 du Règlement (données relatives à la santé, la religion, opinions politiques…).
Une autre différence notable est le fait que le CCPA exclut également de son champ les données médicales qui sont régies par une réglementation spécifique en la matière.
Enfin, les données des salariés ne sont pas non plus considérées comme des données à caractère personnel.
Les différences avec le RGPD sont conséquentes : à la différence de notre réglementation s’appliquant sans distinction, à tout organisme public ou privé traitant des données à caractère personnel, le texte va ici s’appliquer uniquement aux entreprises à but lucratifs, exerçant leur activité en Californie, traitant des données de résidents de la Californie[3] et répondant à certains critères non cumulatifs :
Au niveau territorial, le RGPD présente la particularité d’avoir un caractère extraterritorial dans la mesure où il s’applique aux organismes situés sur le territoire de l’Union Européenne ou non et qui traitent des données de personnes concernées qui se trouvent sur ce même territoire[4]. Le CCPA précise que le texte s’applique aux entreprises exerçant leur activité en Californie. A priori, rien n’empêche une entreprise située hors de la Californie de se voir appliquer le CCPA.
Au niveau matériel, la CCPA fait référence au fait de collecter, vendre, ou partager des données à caractère personnel. Le texte précise que les informations agrégées de consommateurs et les données « désidentifiées » ne permettant pas de l’identification d’un individu sortent du périmètre.
En pratique, les conditions dans lesquelles s’exercent les traitements de données à caractère personnel, les conditions de licéité diffèrent fortement. Dans le RGPD, le premier principe de traitement de données à caractère personnel est sa licéité. Pour cela, le traitement de données doit remplir au moins l’une des conditions énumérées à l’article 6 du texte[5] (consentement, contrat, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne concernée, exécution d’une mission d’intérêt public, intérêts légitimes).
Il s’agit ici de la différence majeure entre le RGPD et le CCPA. En effet, il n’existe pas de liste de bases légales admises pour traiter des données à caractère personnel. En revanche, en contrepartie, les personnes peuvent demander, a posteriori, l’effacement de leurs données (droit à l oubli).
Le cœur du changement apporté par le CCPA aux consommateurs de Californie réside dans la mise en place d’une série de droits, proches de ceux appliqués en France par le biais de la loi relative à l’informatique, aux fichiers et aux libertés et du RGPD.
Dans le même thème : Privacy Shield – Un coup de pied historique dans la fourmilière du transfert de données aux US
Les consommateurs disposent maintenant de plusieurs droits sur leurs données :
Le rôle de conseil et d’accompagnement à la conformité des structures a été confié au Procureur Général (General Attorney). Ses pouvoirs d’investigation et de sanction sont toutefois différents de ceux des autorités publiques indépendantes en place dans chaque pays européen.
Le Procureur Général dispose du pouvoir d’évaluer une violation du texte, d’ouvrir des enquêtes et des actions contre les organismes présumés non-conformes. Il peut également porter l’affaire devant les tribunaux en vue d’obtenir des sanctions sur le plan civil.
Des sanctions financières peuvent être prononcées contre les organismes non-conformes au texte. Ainsi, des sanctions civiles pourront être adoptées par un tribunal, dont le montant est variable et est susceptible d’aller jusqu’à :
Le mode de calcul diffère clairement de l’approche européenne par laquelle les autorités nationales sanctionnent le défaut de conformité, en fonction de la nature des infractions relevées, pouvant s’élever jusqu’à, :
Par ailleurs, les sanctions pécuniaires perçues dans le cadre d’actions civiles sous le CCPA vont alimenter le « Consumer Privacy Fund », qui vient financer les activités du Procureur Général dans ce domaine.
En conclusion, ce tour d’horizon succinct de la réglementation de Californie permet de rapidement comprendre que le texte est, pour l’heure, fortement éloigné du niveau d’exigence du RGPD.
En effet, il n’est pas fait mention de règles vivement contraignantes et engageantes pour les organismes soumis à ce texte telles que nous les connaissons en Europe concernant la formalisation de la conformité. Il n’est fait aucune mention d’un équivalent du DPO, de la nécessité de mise en place d’un registre des traitements, de concept de Privacy by Design, d’encadrement de la sous-traitance…
Le RGPD a certainement donné l’impulsion à la Californie pour enclencher une démarche réglementaire relative à la protection des données à caractère personnel sur son territoire. La notion même de protection de la liberté fondamentale qu’est la vie privée reste néanmoins un concept relativement différent de la vision européenne.
Récapitulatif
Dispositions proches / équivalentes au RGPD | Dispositions différentes du RGPD |
Objectif du texte | Notion de données à caractère personnel |
Champ d’application territorial | Organisme soumis à l’obligation de mise en conformité |
Champ d’application matériel | Bases légales des traitements |
Droit à l’effacement | Droit d’opposition |
Droit à l’information | Droit à la non-discrimination sur les prix suite à l’exercice du droit d’opposition |
Droit d’accès | Sanctions |
Droit à la portabilité | Absence de reprise des principes du RGPD[12] |
Absence de reprise des obligations du RGPD décrites aux articles 24 à 39 du RGPD |
Suivez-nous sur Linkedin, Twitter et Facebook
[1] CCPA, 1798.140 – Definitions, (o).
[2] CCPA, 1798.140 – Definitions, (o), (2)
[3] Au sens de la réglementation locale : « (1) chaque individu qui est dans l’État pour une autre raison qu’un séjour temporaire ou transitoire et (2) toute personne domiciliée dans le pays et qui est en dehors de l’État pour une période temporaire ou transitoire. Toutes les autres personnes sont des non-résidents. «
[4] RGPD, Article 3 – Champ d’application territorial https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article3
[5] RGPD, Article 6 – Licéité du traitement https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
[6] CCPA – 1798.105 – Consumers right to deletion
[7] CCPA – 1798.100 (a)– Consumers right to receive information on privacy practices and access information
[8] CCPA – 1798.100 (c) (d)– Consumers right to receive information on privacy practices and access information
[9] CCPA – 1798.100 (d) – Consumers right to receive information on privacy practices and access information
[10] CCPA – 1798.120 – Consumer right to prohibit the sale of their information
[11] CCPA – 1798.125 – Price discrimination based upon the exercise of the opt-out right
[12] RGPD – Article 5 – https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
– Céline Gallay