En ce moment

La protection des données personnelles est renforcée en Californie

Posté le 9 janvier 2020
par Philippe RICHARD
dans Informatique et Numérique

Depuis le 1er janvier, le California Consumer Privacy Act (CCPA) protège légèrement mieux la vie privée des consommateurs américains. C’est un peu la version américaine du Règlement général sur la protection des données (RGPD) exécutoire en Europe depuis mai 2018. Mais il existe des différences majeures.

La Californie n’en est pas un paradoxe près. L’État de la Silicon Valley, où de nombreuses entreprises s’appuient sur l’analyse des données pour se développer, vient d’instaurer une loi qui règlemente justement l’usage des informations personnelles.

Annoncé depuis plus d’un an, le California Consumer Privacy Act (CCPA) est entré en vigueur en ce début d’année. Les Californiens peuvent désormais demander aux entreprises à recevoir tous les détails personnels qu’elles ont compilés sur eux. Il s’agit entre autres des journaux détaillés de leurs activités en ligne, de la géolocalisation, de leurs itinéraires de transport, des données faciales biométriques et des données de ciblage publicitaire.

Cette loi s’applique aux services de covoiturage, aux détaillants, aux entreprises de télévision par câble, aux fournisseurs de services mobiles et aux autres entreprises qui recueillent des données personnelles à des fins commerciales et plus connues sous le terme de Data brokers.

À la différence du RGPD, tout le monde n’est pas tenu d’être en conformité avec le CCPA. Il ne concerne que les entreprises américaines qui recueillent les renseignements personnels de 50 000 consommateurs ou plus ainsi que des entreprises dont le chiffre d’affaires annuel est supérieur à 25 millions de dollars.

De nombreuses grandes entreprises technologiques, dont Facebook, Microsoft et Twitter, ont mis à disposition des systèmes automatisés permettant aux utilisateurs de télécharger une copie de certaines données personnelles.

Le niveau de détail que les consommateurs pourront voir varie selon les entreprises. Microsoft indique par exemple les segments d’intérêt publicitaire associés à leurs comptes. De son côté, Twitter met à disposition des journaux montrant exactement comment les internautes ont été ciblés par une publicité spécifique.

Comme pour le RGPD, les entreprises américaines doivent (pour la première fois) indiquer à leurs employés les catégories de renseignements personnels qu’elles ont recueillies et leurs finalités. Enfin, les résidents de la Californie ont un nouveau droit. Ils peuvent dorénavant exiger que les entreprises suppriment leurs informations personnelles.

Une amende de… 250 millions de dollars !

Avec l’entrée en vigueur du CCPA, la pression monte sur le Congrès pour qu’il généralise cette loi à tous les États. Certains n’ont pas attendu cette décision. Le Nevada et le Vermont ont leurs propres lois sur la protection de la vie privée. L’État de New York pourrait suivre, mais avec une version encore plus ambitieuse en termes d’obligations des entreprises.

Comme avec le RGPD, les entreprises qui n’auront pas mis en place des procédures pour sécuriser les données personnelles et faciliter leur accès aux consommateurs s’exposeront à des amendes. À compter de juillet prochain, le non-respect de la conformité entraînera des sanctions civiles importantes.

Les amendes seront plafonnées à 7 500 dollars par violation si elle est intentionnelle et à 2 500 dollars si elle est involontaire. Elles pourraient s’appliquer par dossier d’utilisateur. En théorie, une absence de conformité involontaire de 100 000 dossiers d’utilisateurs pourrait entraîner une pénalité de… 250 millions de dollars !

De son côté, le RGPD prévoit une graduation des sanctions en cas de non-conformité et/ou d’atteinte à la protection des données. Elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel global de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).


Pour aller plus loin