Alors que le RGPD est exécutoire depuis le 25 mai 2018 en Europe, les États-Unis se préparent – doucement – à renforcer les droits des citoyens. En janvier 2020, le California Consumer Privacy Act (CCPA) entrera en application en Californie.
C’est une version light de notre règlement européen puisque le CCPA ne s’applique qu’aux entreprises californiennes dont le chiffre d’affaires est supérieur à… 25 millions de dollars et aux data brokers (spécialisés dans la revente de données personnelles). Rappelons que sur le vieux continent, toutes les entreprises européennes doivent se mettre en conformité.
Autre différence, le texte européen prévoit une gradation des sanctions en cas de non-conformité et/ou d’atteinte à la protection des données. Elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel global de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).
Mauvais élèves
En Californie, les amendes seront appliquées par infraction (jusqu’à un maximum de 7 500 $ par infraction). La différence fondamentale concerne la conformité. En Europe, une entreprise peut être condamnée même si elle n’a pas été victime d’une fuite de données. Le CCPA ne sanctionnera qu’à partir du moment où une violation aura été constatée. Autre différence, les consommateurs américains peuvent poursuivre l’entreprise pour violation.
Néanmoins, le CCPA représente une première étape vers une meilleure protection des citoyens. D’autres États pourraient instaurer une réglementation plus ou moins similaire.
Mais comme en Europe, les entreprises californiennes traînent des pieds. Selon une étude de Trustar, une minorité d’entreprises sont d’ores et déjà en conformité.
Cependant, certaines entreprises américaines n’attendent pas d’être victimes d’une fuite de données pour entamer leur mise en conformité. Ces « bons élèves » californiens sont ceux qui sont déjà sensibilisés à ces problématiques.
21 % des entreprises qui ont travaillé sur la conformité avec le RGPD sont conformes avec le CCPA, comparativement à seulement 6 % pour les entreprises qui n’ont pas travaillé sur la conformité avec le texte européen.
Dans la majorité des cas, l’objectif principal des Californiens est de répondre aux exigences des partenaires et/ou des clients. Selon l’enquête de Trustar, un tiers mentionne le risque d’amendes ou les recours collectifs comme principal facteur de risque. Enfin, 18 % estiment qu’elle pourrait avoir un impact négatif sur leur réputation.
Dans l'actualité
- RGPD : une mise en conformité loin d’être généralisée
- Logiciels et applications mobiles : le casse-tête de la conformité avec le RGPD
- Cybersécurité : la multiplication des menaces
- Cybersécurité : trop de victimes par des pièges classiques
- Protection des données personnelles : le retard des entreprises
- Protection des données personnelles : adoption du règlement européen
- Protection des bases de données et responsabilités civiles et délictuelles de l’entreprise
- Salon Big Data : la donnée, une stratégie d’entreprise
- Facebook renforce le contrôle des membres sur leurs données
- Human Bios maîtrise la croissance de ses données et la consolidation de leur stockage
- Un niveau record de protection contre les intrusions
- Continuité assurée au secrétariat d’État au numérique
- Le RGPD : bientôt un « standard » mondial ?
- Le volume de données ne cesse d’augmenter, les fuites aussi !
- Anonymisation des données, une nécessité à l’ère du RGPD
- La protection des données personnelles est renforcée en Californie
- Nos données sont-elles privées en cas d’épidémie ?
- Des données de santé chez Microsoft : un hébergement sous haute tension
- Apple pris en flagrant délit de mensonge sur la protection de la vie privée ?
- Respect de la vie privée : les cadeaux à éviter
Dans les ressources documentaires
- Protection des données personnelles dans le système d’information
- Digital Media Asset Management : gérer et protéger les droits
- Comment protéger ses données et bases de données ?
- Processus de lutte contre la fraude pour la protection des organisations
- Protection des données personnelles dans le système d’information