Retour aux articles
L’avancée majeure de ce texte a trait au droit d'accès, pour les résidents californiens, à l'ensemble des informations détenues par les entreprises en question et permettant de les identifier (contact, historiques d'achats, de navigation) :
Sur demande les consommateurs sont en droit de savoir comment ces données sont utilisées :
Ils peuvent en demander leur suppression (dans les douze mois qui suit la collecte des données) ou encore s'opposer à ce que les informations soient revendues.
Les entreprises contrevenantes s'exposent à des amendes civiles de 2 500 à 7 500 dollars par consommateur :
Toutefois le texte, bien qu’inspiré par le RGPD, se limite :
À souligner que le RGPD a un spectre beaucoup plus large car il vise quant à lui tout organisme quels que soient sa taille, son pays d’implantation et son activité.
Le RGPD s’applique ainsi à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
Autre différence sur le champ d’application, le Consumer Privacy Act ne vise que les « consumers » et non pas de manière globale toutes les personnes présentes sur le territoire.
Le procureur général de l’État de Californie a fait part de sa ferme intention de contrôler l’application de ce nouveau texte et a enjoint ses services à lancer au plus tôt des actions, qui pourraient être « agressives, précoces et décisives » (https://www.sfchronicle.com/politics/article/California-promises-aggressive-enforcement-of-new-14911017.php).
Mais certaines entreprises ont déjà déclaré qu'elles ne prévoyaient pas de suivre les règles proposées, comme celle qui les obligerait à ajouter des liens « Do Not Sell My Info » à leurs pages d'accueil et applications mobiles :
Parmi eux, Facebook, qui fait valoir qu'il partage des données sur ses utilisateurs avec des tiers mais ne vend pas leurs informations personnelles telles que définies par la loi sur la confidentialité des consommateurs (https://www.cpomagazine.com/data-protection/facebook-refuses-to-change-web-tracking-practices-believes-that-ccpa-does-not-apply-to-them/).
Dans tous les cas ce nouveau texte de loi nouvellement entré en vigueur confirme la tendance de fond qui se dégage ces dernières années à savoir une meilleure protection des données personnelles.
Attendons de savoir si les sanctions seront aussi importantes que celles prononcées dans l’Union européenne et, tout particulièrement en France, qui affiche à son compteur notamment ses 50 millions d'euros infligés à Google (https://www.usine-digitale.fr/article/au-titre-du-rgpd-la-france-est-le-pays-qui-inflige-les-amendes-les-plus-lourdes.N921194). Précisons qu’entre mai 2018 et janvier 2019, les régulateurs européens ont, en cumulé, condamné les entreprises à payer plus de 114 millions d'euros d'amendes pour violation du RGPD et ont reçu 160 000 notifications.
Le California Consumer Privacy Act aussi efficace pour protéger les données personnelles que le RGPD ?
Tech&droit - Données
04/02/2020
État le plus riche des États-Unis, berceau des sociétés innovantes, la Californie souhaite se positionner comme un État particulièrement protecteur des consommateurs. Qu’en est-il vraiment ? Quels sont les droits nouvellement offerts aux consommateurs ? Est-ce un « duplicata » du RGPD ? Rapide tour d’horizon.
L’avancée majeure de ce texte a trait au droit d'accès, pour les résidents californiens, à l'ensemble des informations détenues par les entreprises en question et permettant de les identifier (contact, historiques d'achats, de navigation) :
(a) A consumer shall have the right to request that a business that collects a consumer’s personal information disclose to that consumer the categories and specific pieces of personal information the business has collected (https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
Sur demande les consommateurs sont en droit de savoir comment ces données sont utilisées :
(b) A business that collects a consumer’s personal information shall, at or before the point of collection, inform consumers as to the categories of personal information to be collected and the purposes for which the categories of personal information shall be used. A business shall not collect additional categories of personal information or use personal information collected for additional purposes without providing the consumer with notice consistent with this section.
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
Ils peuvent en demander leur suppression (dans les douze mois qui suit la collecte des données) ou encore s'opposer à ce que les informations soient revendues.
Les entreprises contrevenantes s'exposent à des amendes civiles de 2 500 à 7 500 dollars par consommateur :
Any business or third party may seek the opinion of the Attorney General for guidance on how to comply with the provisions of this title.
(a) A business shall be in violation of this title if it fails to cure any alleged violation within 30 days after being notified of alleged noncompliance. Any business, service provider, or other person that violates this title shall be liable for a civil penalty as provided in Section 17206 of the Business and Professions Code in a civil action brought in the name of the people of the State of California by the Attorney General. The civil penalties provided for in this section shall be exclusively assessed and recovered in a civil action brought in the name of the people of the State of California by the Attorney General.
(b) Notwithstanding Section 17206 of the Business and Professions Code, any person, business, or service provider that intentionally violates this title may be liable for a civil penalty of up to seven thousand five hundred dollars ($7,500) for each violation.
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
(b) Notwithstanding Section 17206 of the Business and Professions Code, any person, business, or service provider that intentionally violates this title may be liable for a civil penalty of up to seven thousand five hundred dollars ($7,500) for each violation.
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
Toutefois le texte, bien qu’inspiré par le RGPD, se limite :
- aux seules entreprises exerçant leurs activités en Californie ;
- à but lucratif, dont le revenu dépasse les 25 millions de dollars annuels ;
- ou qui détiennent des informations sur au moins 50 000 consommateurs ;
- ou encore qui génèrent plus de 50 % de leur chiffre d'affaires via la vente de données (Wall Street Journal).
À souligner que le RGPD a un spectre beaucoup plus large car il vise quant à lui tout organisme quels que soient sa taille, son pays d’implantation et son activité.
Le RGPD s’applique ainsi à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Autre différence sur le champ d’application, le Consumer Privacy Act ne vise que les « consumers » et non pas de manière globale toutes les personnes présentes sur le territoire.
Le procureur général de l’État de Californie a fait part de sa ferme intention de contrôler l’application de ce nouveau texte et a enjoint ses services à lancer au plus tôt des actions, qui pourraient être « agressives, précoces et décisives » (https://www.sfchronicle.com/politics/article/California-promises-aggressive-enforcement-of-new-14911017.php).
Sa priorité : une disposition de la loi qui oblige les entreprises à obtenir le consentement des parents pour vendre les informations personnelles des clients de moins de 13 ans et le consentement explicite des clients entre 13 et 16 ans :
(d) Notwithstanding subdivision (a), a business shall not sell the personal information of consumers if the business has actual knowledge that the consumer is less than 16 years of age, unless the consumer, in the case of consumers between 13 and 16 years of age, or the consumer’s parent or guardian, in the case of consumers who are less than 13 years of age, has affirmatively authorized the sale of the consumer’s personal information. A business that willfully disregards the consumer’s age shall be deemed to have had actual knowledge of the consumer’s age. This right may be referred to as the “right to opt in.”
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
Mais certaines entreprises ont déjà déclaré qu'elles ne prévoyaient pas de suivre les règles proposées, comme celle qui les obligerait à ajouter des liens « Do Not Sell My Info » à leurs pages d'accueil et applications mobiles :
(a) A business that is required to comply with Section 1798.120 shall, in a form that is reasonably accessible to consumers:
(1) Provide a clear and conspicuous link on the business’ Internet homepage, titled “Do Not Sell My Personal Information,” to an Internet Web page that enables a consumer, or a person authorized by the consumer, to opt out of the sale of the consumer’s personal information. A business shall not require a consumer to create an account in order to direct the business not to sell the consumer’s personal information.
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
(1) Provide a clear and conspicuous link on the business’ Internet homepage, titled “Do Not Sell My Personal Information,” to an Internet Web page that enables a consumer, or a person authorized by the consumer, to opt out of the sale of the consumer’s personal information. A business shall not require a consumer to create an account in order to direct the business not to sell the consumer’s personal information.
(https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375)
Parmi eux, Facebook, qui fait valoir qu'il partage des données sur ses utilisateurs avec des tiers mais ne vend pas leurs informations personnelles telles que définies par la loi sur la confidentialité des consommateurs (https://www.cpomagazine.com/data-protection/facebook-refuses-to-change-web-tracking-practices-believes-that-ccpa-does-not-apply-to-them/).
Dans tous les cas ce nouveau texte de loi nouvellement entré en vigueur confirme la tendance de fond qui se dégage ces dernières années à savoir une meilleure protection des données personnelles.
Attendons de savoir si les sanctions seront aussi importantes que celles prononcées dans l’Union européenne et, tout particulièrement en France, qui affiche à son compteur notamment ses 50 millions d'euros infligés à Google (https://www.usine-digitale.fr/article/au-titre-du-rgpd-la-france-est-le-pays-qui-inflige-les-amendes-les-plus-lourdes.N921194). Précisons qu’entre mai 2018 et janvier 2019, les régulateurs européens ont, en cumulé, condamné les entreprises à payer plus de 114 millions d'euros d'amendes pour violation du RGPD et ont reçu 160 000 notifications.
Source : Actualités du droit
