La Californie se dote de son RGPD sans attendre les États-Unis

Assimilable à un « RGPD californien », le CCPA entre en application avec, en toile de fond, une réglementation émergente au niveau fédéral.

« La majeure partie du travail de préparation en vue de se conformer au RGPD s’applique à la CCPA. Toutefois, on peut être conforme au RGPD sans pour autant être conforme à la CCPA. »

Ces propos figurent dans l’aide en ligne de Shopify.

La plate-forme de commerce électronique note un certain nombre de différences entre les deux textes, destinés à renforcer le contrôle des individus sur leurs données personnelles.

En vigueur depuis le 25 mai 2018, le RGPD s’applique, de manière générale, à toute entité traitant des données de personnes physiques établies dans l’UE.

Entré en application ce 1^er janvier 2020, le CCPA (California Consumer Privacy Act) a une portée plus restreinte.
D’une part, il ne s’applique pas aux traitements de données liés à des activités commerciales réalisées intégralement hors de Californie.
De l’autre, il ne vise que les entités répondant à au moins un de ces trois critères :

Chiffre d’affaires brut annuel supérieur à 25 millions de dollars
Revenus issus à au moins 50 % de la vente de données personnelles
Achat, vente, réception ou partage de données d’au moins 50 000 « consommateurs », « ménages » ou « appareils » par an, à des fins commerciales

Opt-out sur la vente

Le RGPD n’aborde pas ces notions de « ménages » et d’« appareils ».
Il est aussi moins strict sur la question du droit d’information. Ainsi n’impose-t-il pas, par exemple, la mise à disposition d’une ligne téléphonique gratuite pour recueillir les demandes des individus.

Ces derniers ont, comme avec le RGPD, le droit d’exiger la suppression de données qui les concerne.
Ils peuvent aussi s’opposer à leur vente*, sans que cela entraîne une modification de la qualité et/ou du prix du service qui leur est fourni. Sauf si une différence se justifie par « la valeur que les données procurent au consommateur ».

Le CCPA laisse 45 jours pour apporter réponse à une demande. Un historique d’au moins 12 moins devra pouvoir être fourni.

Le texte ouvre par ailleurs – au contraire du RGPD – aux individus la possibilité d’engager des poursuites au civil.
La non-conformité ne peut en revanche être punie. Seules peuvent l’être les violations de données. Ce au cas par cas, avec des amendes d’un montant maximal de 7 500 $. Soit potentiellement bien moins que les sanctions encourues sous le régime du RGPD.

Le CCPA inclut des exceptions, en particulier pour les données médicales et les enquêtes criminelles. Mais aussi pour la détection d’incidents de sécurité, l’amélioration de produits ou encore le contrôle de certaines transactions.

Face à un patchwork de règles sur la protection des données, les grandes entreprises du numérique en appellent à une loi fédérale.
Le législateur étudie actuellement deux propositions dans ce sens. L’une émane des républicains ; l’autre, des démocrates. Les premiers privilégient un texte référent qui aurait priorité sur les lois des États. Les seconds prônent a contrario le principe de subsidiarité.

* La vente est interdite par défaut pour les mineurs de moins de 16 ans, à moins d’avoir leur consentement (ou celui d’un parent ou d’un tuteur pour les moins de 13 ans).

Lire aussi : RGPD : la CNIL face aux spécificités des IA