Ca­li­for­nia Consumer Privacy Act : pré­sen­ta­tion

Le CCPA est un ensemble de lois promulgué par l’État de Ca­li­for­nie en juin 2018 et ap­pli­cable à partir du 1er janvier 2020. Il s’inscrit dans un contexte où plusieurs scandales d’ampleur mondiale liés au vol de données ont éclaté, en par­ti­cu­lier celui lié à la revente de données bancaires par des salariés d’Amazon. Le CCPA est une première aux États-Unis et il n’est pas anodin qu’il concerne la Ca­li­for­nie, qui abrite dans la Silicon Valley les sièges de nom­breuses en­tre­prises puis­santes.

Le Ca­li­for­nia Consumer Privacy Act s’adresse aux con­som­ma­teurs ca­li­for­niens et concerne l’ex­ploi­ta­tion de leurs données par les en­tre­prises qui les utilisent à leurs propres fins. Cette loi a pour objectif d’assurer plus de trans­pa­rence et de garantir plus de droits aux con­som­ma­teurs, qui de­vien­nent pro­prié­taires de leurs données.

Le CCPA permet aux con­som­ma­teurs résidant en Ca­li­for­nie de disposer des droits suivants :

• Être informés des in­for­ma­tions per­son­nelles col­lec­tées à leur sujet.
• Pouvoir y accéder et exiger qu’elles soient sup­pri­mées.
• Être informés du partage de ces in­for­ma­tions et de l’identité des personnes ou en­tre­prises à qui elles sont com­mu­ni­quées.
• S’opposer à la vente ou la trans­mis­sion de leurs in­for­ma­tions per­son­nelles : dans ce cas, chacun dispose d’un droit d’op­po­si­tion appelé « opt-out », et qui prend la forme d’une mention spé­ci­fique ac­ces­sible sur la page d’accueil du site Internet de l’en­tre­prise en question.

La portée du Ca­li­for­nia Consumer Privacy Act est toutefois réduite puisque ses dis­po­si­tions ne s’adressent qu’aux en­tre­prises qui rem­plis­sent au moins une des con­di­tions suivantes :

• Générer un chiffre d’affaire annuel supérieur ou égal à 25 millions de dollars généré sur le ter­ri­toire ca­li­for­nien.
• Acheter, vendre ou partager à des fins com­mer­ciales les données d’au moins 50 000 con­som­ma­teurs.
• Qu’au moins la moitié des revenus de l’en­tre­prises provienne de la vente de données per­son­nelles de con­som­ma­teurs.

Par ailleurs, le CCPA interdit aux en­tre­prises de vendre les données per­son­nelles des con­som­ma­teurs âgés de 13 à 16 ans sans leur con­sen­te­ment. Le partage des données de mineurs de moins de 13 ans nécessite l’accord des parents ou d’un tuteur légal.

Si le CCPA s’inscrit dans la lignée du RGPD, il en constitue une version re­la­ti­ve­ment allégée et beaucoup plus libérale, d’abord parce qu’il s’adresse uni­que­ment aux con­som­ma­teurs et aux en­tre­prises, alors que le RGPD prévoit une pro­tec­tion des uti­li­sa­teurs quel que soit le contexte dans lequel leurs données sont utilisées.

L’autre dif­fé­rence majeure concerne l’argent. D’une part, les sanctions prévues par le CCPA sont bien plus faibles que celles décrites par le RGPD (jusqu’à 7500 $ contre 20 millions d’euros). D’autre part, le texte prévoit de rémunérer les con­som­ma­teurs en échange de leurs données per­son­nelles. Ceci n’est pas prévu par le RGPD car les données ne sont pas con­si­dé­rées comme une propriété. Cette mo­né­ti­sa­tion des données per­son­nelles pose un problème éthique en ce qui concerne la clas­si­fi­ca­tion des con­som­ma­teurs et les services dont ils bé­né­fi­cient en fonction de leurs décisions relatives au trai­te­ment de leurs données. En effet, même si le Ca­li­for­nia Consumer Privacy Act précise que les con­som­ma­teurs exerçant leur droit de retrait ne devraient pas être dis­cri­mi­nés, ce principe présente d’im­por­tantes limites en raison même des mesures in­ci­ta­trices, fi­nan­cières mais aussi en termes de services, que les en­tre­prises ont le droit de mettre en place pour con­vaincre les con­som­ma­teurs d’utiliser leurs données.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.