Podcast : La nouvelle loi californienne sur les données personnelles

Le California Consumer Privacy Act (le « CCPA ») entrera en vigueur le 1er janvier prochain et visera à protéger les données personnelles des clients californiens de sociétés du monde entier. Inspiré du RGPD européen, le CCPA constitue une première sur la protection des données aux Etats-Unis.

A quelles sociétés le CCPA s’applique-t-il exactement ? Est-ce une opportunité pour les entreprises françaises, y compris les start-ups ?

Xavier Rodrigues, Responsable de Plasseraud IP Internet & Data, éclaircit ces points dans un nouveau podcast sur Radio Village Innovation.

Ci-dessous la retranscription du Podcast : La nouvelle loi californienne sur les données personnelles

La Californie se dotera, le 1er janvier 2020, d’une toute première loi sur la confidentialité des données personnelles. Le but ? Réglementer la façon dont les données à caractère personnel des résidents californiens pourront être traitées par les sociétés du monde entier.

En quoi consiste cette nouvelle loi ? 

Le California Consumer Privacy Act, en abrégé le « CCPA », a été adopté le 28 juin 2018 mais il entrera en vigueur de manière effective le 1er janvier prochain. 

Le CCPA vise à protéger les données à caractère personnel des clients californiens des sociétés du monde entier. 

Le CCPA s’applique donc à toutes les sociétés, y compris aux sociétés hors Etats-Unis, aussitôt qu’elles remplissent l’un des critères suivants :
1) acheter, vendre ou partager les informations personnelles de plus de 50 000 utilisateurs californiens par an ; ou
2) avoir un chiffre d’affaires annuel brut supérieur à $25 millions ; ou 
3) générer plus de 50% de leur revenu annuel à partir de la vente d’informations à caractère personnel de résidents californiens. 

Qu’entend-on par « données personnelles » et par « vente » ?

Au sens du CCPA, les données personnelles sont toutes les informations qui identifient, qui se rapportent ou qui peuvent être raisonnablement reliées, directement ou indirectement, à un consommateur ou à un ménage. Il peut donc s’agir d’un nom, d’une adresse postale, de données biométriques, de données de géolocalisation, de données de santé, etc.

Et la notion de vente est définie de manière large par le CCPA. Il s’agit de « vendre, louer, publier, divulguer, diffuser, rendre disponible, transférer, ou sinon communiquer oralement, à l’écrit, par voie électronique ou autre, des informations personnelles d’un consommateur d’une entreprise à une autre entreprise ou un tiers pour une contrepartie monétaire ou un autre bénéfice ».

Est-ce que les Californiens auront des droits sur ces données ?

Les résidents californiens, qui sont qualifiés de « consommateurs » dans le CCPA, bénéficieront d’un certain nombre de droits, comme le droit d’être informés de l’utilisation de leurs données, le droit de s’opposer à la vente de leurs données personnelles à des tiers, le droit de demander la communication des données déjà collectées, ou bien encore le droit de demander la suppression de ces données.

Cette législation n’est pas sans rappeler le RGPD, qui est entré en vigueur en Europe au printemps 2018. Ces deux règlementations sont-elles identiques ?

Le CCPA s’inspire grandement du RGPD. Il a été adopté un mois seulement après l’entrée en application du RGPD en Europe. On y retrouve les grands principes du règlement européen sur la protection des données. 

Mais il y a aussi quelques variantes. Concernant la sanction à laquelle s’exposent les sociétés qui ne respecteraient pas le CCPA, il est par exemple prévu une amende de 7 500 USD par violation et de 750 USD par utilisateur affecté. Le RGPD prévoit quant à lui des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global, la plus élevée de ces deux sommes pouvant être retenue.

Il appartiendra au bureau du Procureur général de Californie de faire respecter le CCPA, qui devrait faire connaître les modalités précises d’exécution de cette loi d’ici juillet 2020.

Autre grande divergence, le CCPA autorise le responsable de traitement à créer des programmes d’incitation, notamment financière, au bénéfice des personnes qui accepteraient la collecte ou la revente de leurs données personnelles, ce qui n’est pas du tout dans l’esprit du RGPD.

Faut-il y voir une aubaine pour les startups françaises ?

Pour les sociétés françaises, il y a un véritable avantage concurrentiel par rapport aux autres sociétés, surtout non européennes. 

Elles sont déjà sensibilisées à la protection des données personnelles. L’entrée en application du RGPD leur a aussi permis de prendre de l’avance en matière de mise en conformité. Elles ont potentiellement un bilan à présenter sur la mise en œuvre des mesures de protection des données, que ce soit sur le plan juridique ou technique. C’est donc en effet un très bon point pour les startups françaises.

Quels conseils donneriez-vous aux sociétés qui traitent des données personnelles de résidents californiens ?

Je recommande de veiller à toujours informer les utilisateurs des traitements de données personnelles qui sont mis en œuvre, des droits dont ils disposent et de la manière de les exercer. 

Cette information peut se faire avant la collecte des données, par le biais d’une charte données personnelles facilement accessible sur le site internet de la société, ou au moment de la collecte, en prévoyant par exemple un lien vers cette charte.

Attention à la collecte des données personnelles de mineurs. Si vous recueillez des données de mineurs californiens de moins de 16 ans, vous devrez obtenir leur consentement positif. Pas de consentement, pas de vente de données personnelles. Si le mineur a moins de 13 ans, c’est un parent ou un tuteur légal qui devra consentir à sa place.

Y a-t-il d’autres états ou pays dont la législation va évoluer en 2020 sur le plan des données personnelles ?

Aux Etats-Unis, le CCPA constitue une première. Aucun autre état ne s’est encore doté d’une telle législation. La Californie fait donc figure d’exemple. Et il n’est pas exclu que d’autres états lui embrayent le pas, même si cela reste hypothétique à ce stade.

Les géants du numérique redoutent cependant que les états américains adoptent chacun des lois locales différentes, ce qui reviendrait à morceler le niveau de protection des données et à complexifier l’application de ces règlementations.

En Amérique du sud, c’est vers le Brésil qu’il sera intéressant de se tourner en 2020. Le plus grand pays d’Amérique latine est sur le point de se doter lui aussi d’un nouvel arsenal législatif en matière de données personnelles, attendu pour l’été prochain.

La Corée du Sud travaille également sur une réglementation uniforme en la matière pour 2020, dans le but de consolider les différentes lois existantes. Le RGPD est là encore source d’inspiration.

L’année 2020 sera donc immanquablement placée sous le signe des données personnelles.