Le « California Consumer Privacy Act (CCPA) » est-il vraiment un texte inspiré du RGPD ?

Le California Consumer Privacy Act (CCPA) a été adopté en 2018 et est entré en vigueur le 1^er janvier 2020. Souvent comparé au Règlement Général sur la Protection des données, nous nous sommes intéressés au détail de ses dispositions pour savoir si ce lien de parenté présumé était justifié.

Les deux réglementations partagent le même objectif de garantie d’un niveau élevé de protection des individus concernant leurs données à caractère personnel.

Pour rappel, le RGPD, entré en application le 25 mai 2018, est à ce jour l’une des réglementations les plus complètes et protectrices au monde. Aux États-Unis, en l’absence d’un texte fédéral sur le sujet, le CCPA est considéré comme l’une des plus importantes lois sur la protection des données à caractère personnel dans le pays qui n’est donc pas sans impact sur le reste du monde en raison du statut de cinquième économie mondiale de la Californie.

Ces deux réglementations présentent des points communs dans leur philosophie mais diffèrent profondément dès lors que le détail des dispositions du CCPA est étudié.

1.  Revenons aux notions de base : le concept même de donnée à caractère personnel

Dans les deux textes, la notion est large. Pour rappel, le RGPD la définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » à son article 4. Le CCPA fait mention « des informations qui identifient, se rapportent à, décrivent, sont susceptibles d’être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. »[1] suivi d’une liste d’exemples de données susceptibles d’être des données à caractère personnel.

La différence notable avec la conformité RGPD est que le CCPA exclut explicitement de son champ d’application les données contenues dans un fichier tenu par un organisme public fédéral, étatique ou local et qui serait rendues publiques[2]. Par ailleurs, aucune distinction n’est faite entre les données d’identification classiques et ce que nous qualifions dans le RGPD de catégories particulières de données décrites aux articles 9 et 10 du Règlement (données relatives à la santé, la religion, opinions politiques…).

Une autre différence notable est le fait que le CCPA exclut également de son champ les données médicales qui sont régies par une réglementation spécifique en la matière.

Enfin, les données des salariés ne sont pas non plus considérées comme des données à caractère personnel.

2.  Quel sont les organismes tenus de se mettre en conformité avec le CCPA ?

Les différences avec le RGPD sont conséquentes : à la différence de notre réglementation s’appliquant sans distinction, à tout organisme public ou privé traitant des données à caractère personnel, le texte va ici s’appliquer uniquement aux entreprises à but lucratifs, exerçant leur activité en Californie, traitant des données de résidents de la Californie[3] et répondant à certains critères non cumulatifs :

• Avoir un chiffre d’affaire annuel brut supérieur à 25 millions de dollars ;
• Acheter, recevoir ou vendre les informations personnelles de 50 000 consommateurs, ménages ou appareils au moins ;
• Tirer plus 50% ou plus de son chiffre d’affaire annuel de la vente d’informations personnelles des consommateurs.

Au niveau territorial, le RGPD présente la particularité d’avoir un caractère extraterritorial dans la mesure où il s’applique aux organismes situés sur le territoire de l’Union Européenne ou non et qui traitent des données de personnes concernées qui se trouvent sur ce même territoire[4]. Le CCPA précise que le texte s’applique aux entreprises exerçant leur activité en Californie. A priori, rien n’empêche une entreprise située hors de la Californie de se voir appliquer le CCPA.

Au niveau matériel, la CCPA fait référence au fait de collecter, vendre, ou partager des données à caractère personnel. Le texte précise que les informations agrégées de consommateurs et les données « désidentifiées » ne permettant pas de l’identification d’un individu sortent du périmètre.

En pratique, les conditions dans lesquelles s’exercent les traitements de données à caractère personnel, les conditions de licéité diffèrent fortement. Dans le RGPD, le premier principe de traitement de données à caractère personnel est sa licéité. Pour cela, le traitement de données doit remplir au moins l’une des conditions énumérées à l’article 6 du texte[5] (consentement, contrat, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne concernée, exécution d’une mission d’intérêt public, intérêts légitimes).

Il s’agit ici de la différence majeure entre le RGPD et le CCPA. En effet, il n’existe pas de liste de bases légales admises pour traiter des données à caractère personnel. En revanche, en contrepartie, les personnes peuvent demander, a posteriori, l’effacement de leurs données (droit à l oubli).

Le cœur du changement apporté par le CCPA aux consommateurs de Californie réside dans la mise en place d’une série de droits, proches de ceux appliqués en France par le biais de la loi relative à l’informatique, aux fichiers et aux libertés et du RGPD.

Dans le même thème : Privacy Shield – Un coup de pied historique dans la fourmilière du transfert de données aux US

Les consommateurs disposent maintenant de plusieurs droits sur leurs données :

• Le droit à l’effacement[6]: tout comme le RGPD, le texte prévoit la possibilité pour les consommateurs de demander la suppression des données collectées auprès d’eux, à moins qu’une exception s’applique (liberté d’expression, traitement à des fins de recherche, respect d’obligations légales, données nécessaires à la protection contre des activités illégales) ;
• Le droit à l’information [7] avant la collecte des données est également consacré par le texte de Californie en fournissant aux consommateurs des détails sur les types de données collectées, les finalités poursuivies, l’éventuelle vente des données à des tiers assorti d’une possibilité d’opt-out, les droits dont ils disposent et comment les exercer ;
• Le droit d’accès[8] découle logiquement du droit à l’information : le CCPA prévoit que les consommateurs peuvent accéder à l’ensemble des données détenues par un organisme, tout comme le RGPD et la loi relative à l’informatique, aux fichiers et aux libertés avant 2018. Une visibilité sur les données est accordée sur une période des 12 mois précédant la demande.
• Le droit à la portabilité découle du droit d’accès dans le CCPA dans la mesure où les informations transmises dans le cadre d’un droit d’accès doivent l’être dans « un format portable et, dans la mesure où cela est techniquement possible, dans un format facilement utilisable qui permet au consommateur de transmettre ces informations à une autre entité sans entrave. »[9]
• Le droit d’opposition[10] permet aux consommateurs de Californie de demander, à tout moment à un organisme de ne pas vendre ses données personnelles à des tiers. Il doit alors être offert un moyen de s’opposer via un lien dédié. Ce droit est ici beaucoup plus restrictif que le RGPD qui s’applique sans restriction concernant la prospection commerciale et dans le cadre de traitements fondés sur l’intérêt légitime ou relevant d’une mission de service public sauf s’il existe des motifs légitimes et impérieux à la poursuite du traitement.
• Le droit de pas faire l’objet d’une discrimination sur les prix des produits ou services [11]proposés en raison de l’exercice du droit d’opposition est indiqué sans équivoque dans le texte. Le RGPD ne pose pas ce principe de manière explicite, il est éventuellement évoqué à certains articles.

3. Application – Sanctions

Le rôle de conseil et d’accompagnement à la conformité des structures a été confié au Procureur Général (General Attorney). Ses pouvoirs d’investigation et de sanction sont toutefois différents de ceux des autorités publiques indépendantes en place dans chaque pays européen.

Le Procureur Général dispose du pouvoir d’évaluer une violation du texte, d’ouvrir des enquêtes et des actions contre les organismes présumés non-conformes. Il peut également porter l’affaire devant les tribunaux en vue d’obtenir des sanctions sur le plan civil.

Des sanctions financières peuvent être prononcées contre les organismes non-conformes au texte. Ainsi, des sanctions civiles pourront être adoptées par un tribunal, dont le montant est variable et est susceptible d’aller jusqu’à :

• 2 500 $ pour chaque infraction ;
• 7 500 $ pour chaque infraction intentionnelle.

Le mode de calcul diffère clairement de l’approche européenne par laquelle les autorités nationales sanctionnent le défaut de conformité, en fonction de la nature des infractions relevées, pouvant s’élever jusqu’à, :

• 10 000 000 EUR ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu,
• 20 000 000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Par ailleurs, les sanctions pécuniaires perçues dans le cadre d’actions civiles sous le CCPA vont alimenter le « Consumer Privacy Fund », qui vient financer les activités du Procureur Général dans ce domaine.

En conclusion, ce tour d’horizon succinct de la réglementation de Californie permet de rapidement comprendre que le texte est, pour l’heure, fortement éloigné du niveau d’exigence du RGPD.

En effet, il n’est pas fait mention de règles vivement contraignantes et engageantes pour les organismes soumis à ce texte telles que nous les connaissons en Europe concernant la formalisation de la conformité. Il n’est fait aucune mention d’un équivalent du DPO, de la nécessité de mise en place d’un registre des traitements, de concept de Privacy by Design, d’encadrement de la sous-traitance…

Le RGPD a certainement donné l’impulsion à la Californie pour enclencher une démarche réglementaire relative à la protection des données à caractère personnel sur son territoire. La notion même de protection de la liberté fondamentale qu’est la vie privée reste néanmoins un concept relativement différent de la vision européenne.

 

Récapitulatif

 

Dispositions proches / équivalentes au RGPD	Dispositions différentes du RGPD
Objectif du texte	Notion de données à caractère personnel
Champ d’application territorial	Organisme soumis à l’obligation de mise en conformité
Champ d’application matériel	Bases légales des traitements
Droit à l’effacement	Droit d’opposition
Droit à l’information	Droit à la non-discrimination sur les prix suite à l’exercice du droit d’opposition
Droit d’accès	Sanctions
Droit à la portabilité	Absence de reprise des principes du RGPD[12]
	Absence de reprise des obligations du RGPD décrites aux articles 24 à 39 du RGPD

 

Suivez-nous sur Linkedin, Twitter et Facebook

Sources

[1] CCPA, 1798.140 – Definitions, (o).

[2] CCPA, 1798.140 – Definitions, (o), (2)

[3] Au sens de la réglementation locale : « (1) chaque individu qui est dans l’État pour une autre raison qu’un séjour temporaire ou transitoire et (2) toute personne domiciliée dans le pays et qui est en dehors de l’État pour une période temporaire ou transitoire. Toutes les autres personnes sont des non-résidents. « 

[4] RGPD, Article 3 – Champ d’application territorial https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article3

[5] RGPD, Article 6 – Licéité du traitement https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6

[6] CCPA – 1798.105 – Consumers right to deletion

[7] CCPA – 1798.100 (a)– Consumers right to receive information on privacy practices and access information

[8] CCPA – 1798.100 (c) (d)– Consumers right to receive information on privacy practices and access information

[9] CCPA – 1798.100 (d) – Consumers right to receive information on privacy practices and access information

[10] CCPA – 1798.120 – Consumer right to prohibit the sale of their information

[11] CCPA – 1798.125 – Price discrimination based upon the exercise of the opt-out right

[12] RGPD – Article 5 – https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

 

– Céline Gallay