California Consumer Privacy Act : présentation

Le CCPA est un ensemble de lois promulgué par l’État de Californie en juin 2018 et applicable à partir du 1er janvier 2020. Il s’inscrit dans un contexte où plusieurs scandales d’ampleur mondiale liés au vol de données ont éclaté, en particulier celui lié à la revente de données bancaires par des salariés d’Amazon. Le CCPA est une première aux États-Unis et il n’est pas anodin qu’il concerne la Californie, qui abrite dans la Silicon Valley les sièges de nombreuses entreprises puissantes.

Le California Consumer Privacy Act s’adresse aux consommateurs californiens et concerne l’exploitation de leurs données par les entreprises qui les utilisent à leurs propres fins. Cette loi a pour objectif d’assurer plus de transparence et de garantir plus de droits aux consommateurs, qui deviennent propriétaires de leurs données.

Le CCPA permet aux consommateurs résidant en Californie de disposer des droits suivants :

• Être informés des informations personnelles collectées à leur sujet.
• Pouvoir y accéder et exiger qu’elles soient supprimées.
• Être informés du partage de ces informations et de l’identité des personnes ou entreprises à qui elles sont communiquées.
• S’opposer à la vente ou la transmission de leurs informations personnelles : dans ce cas, chacun dispose d’un droit d’opposition appelé « opt-out », et qui prend la forme d’une mention spécifique accessible sur la page d’accueil du site Internet de l’entreprise en question.

La portée du California Consumer Privacy Act est toutefois réduite puisque ses dispositions ne s’adressent qu’aux entreprises qui remplissent au moins une des conditions suivantes :

• Générer un chiffre d’affaire annuel supérieur ou égal à 25 millions de dollars généré sur le territoire californien.
• Acheter, vendre ou partager à des fins commerciales les données d’au moins 50 000 consommateurs.
• Qu’au moins la moitié des revenus de l’entreprises provienne de la vente de données personnelles de consommateurs.

Par ailleurs, le CCPA interdit aux entreprises de vendre les données personnelles des consommateurs âgés de 13 à 16 ans sans leur consentement. Le partage des données de mineurs de moins de 13 ans nécessite l’accord des parents ou d’un tuteur légal.

Si le CCPA s’inscrit dans la lignée du RGPD, il en constitue une version relativement allégée et beaucoup plus libérale, d’abord parce qu’il s’adresse uniquement aux consommateurs et aux entreprises, alors que le RGPD prévoit une protection des utilisateurs quel que soit le contexte dans lequel leurs données sont utilisées.

L’autre différence majeure concerne l’argent. D’une part, les sanctions prévues par le CCPA sont bien plus faibles que celles décrites par le RGPD (jusqu’à 7500 $ contre 20 millions d’euros). D’autre part, le texte prévoit de rémunérer les consommateurs en échange de leurs données personnelles. Ceci n’est pas prévu par le RGPD car les données ne sont pas considérées comme une propriété. Cette monétisation des données personnelles pose un problème éthique en ce qui concerne la classification des consommateurs et les services dont ils bénéficient en fonction de leurs décisions relatives au traitement de leurs données. En effet, même si le California Consumer Privacy Act précise que les consommateurs exerçant leur droit de retrait ne devraient pas être discriminés, ce principe présente d’importantes limites en raison même des mesures incitatrices, financières mais aussi en termes de services, que les entreprises ont le droit de mettre en place pour convaincre les consommateurs d’utiliser leurs données.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.