Pour gérer vos consentements :

La Californie se dote de son RGPD sans attendre les États-Unis

« La majeure partie du travail de préparation en vue de se conformer au RGPD s’applique à la CCPA. Toutefois, on peut être conforme au RGPD sans pour autant être conforme à la CCPA. »

Ces propos figurent dans l’aide en ligne de Shopify.

La plate-forme de commerce électronique note un certain nombre de différences entre les deux textes, destinés à renforcer le contrôle des individus sur leurs données personnelles.

En vigueur depuis le 25 mai 2018, le RGPD s’applique, de manière générale, à toute entité traitant des données de personnes physiques établies dans l’UE.

Entré en application ce 1er janvier 2020, le CCPA (California Consumer Privacy Act) a une portée plus restreinte.
D’une part, il ne s’applique pas aux traitements de données liés à des activités commerciales réalisées intégralement hors de Californie.
De l’autre, il ne vise que les entités répondant à au moins un de ces trois critères :

  • Chiffre d’affaires brut annuel supérieur à 25 millions de dollars
  • Revenus issus à au moins 50 % de la vente de données personnelles
  • Achat, vente, réception ou partage de données d’au moins 50 000 « consommateurs », « ménages » ou « appareils » par an, à des fins commerciales

Opt-out sur la vente

Le RGPD n’aborde pas ces notions de « ménages » et d’« appareils ».
Il est aussi moins strict sur la question du droit d’information. Ainsi n’impose-t-il pas, par exemple, la mise à disposition d’une ligne téléphonique gratuite pour recueillir les demandes des individus.

Ces derniers ont, comme avec le RGPD, le droit d’exiger la suppression de données qui les concerne.
Ils peuvent aussi s’opposer à leur vente*, sans que cela entraîne une modification de la qualité et/ou du prix du service qui leur est fourni. Sauf si une différence se justifie par « la valeur que les données procurent au consommateur ».

Le CCPA laisse 45 jours pour apporter réponse à une demande. Un historique d’au moins 12 moins devra pouvoir être fourni.

Le texte ouvre par ailleurs – au contraire du RGPD – aux individus la possibilité d’engager des poursuites au civil.
La non-conformité ne peut en revanche être punie. Seules peuvent l’être les violations de données. Ce au cas par cas, avec des amendes d’un montant maximal de 7 500 $. Soit potentiellement bien moins que les sanctions encourues sous le régime du RGPD.

Le CCPA inclut des exceptions, en particulier pour les données médicales et les enquêtes criminelles. Mais aussi pour la détection d’incidents de sécurité, l’amélioration de produits ou encore le contrôle de certaines transactions.

Face à un patchwork de règles sur la protection des données, les grandes entreprises du numérique en appellent à une loi fédérale.
Le législateur étudie actuellement deux propositions dans ce sens. L’une émane des républicains ; l’autre, des démocrates. Les premiers privilégient un texte référent qui aurait priorité sur les lois des États. Les seconds prônent a contrario le principe de subsidiarité.

* La vente est interdite par défaut pour les mineurs de moins de 16 ans, à moins d’avoir leur consentement (ou celui d’un parent ou d’un tuteur pour les moins de 13 ans).

Photo d’illustration © WEBN-TV – licence CC BY-ND 2.0

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

1 heure ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

3 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

20 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

22 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago