La loi CCPA définit les informations personnelles comme des informations qui identifient, concernent, décrivent ou sont raisonnablement susceptibles d’être associées à un consommateur ou un ménage particulier. Cela comprend : le nom, l’adresse, la date de naissance, les données biométriques, le numéro de sécurité sociale, le numéro de téléphone, l’adresse électronique et toute autre information pouvant être associée à un individu spécifique.
Les renseignements personnels sensibles sont un sous-ensemble de renseignements personnels nouvellement définis dans la loi CPRA. Les IPS sont des renseignements personnels qui révèlent:
- les numéros d’assurance sociale, de permis de conduire, de carte d’identité nationale ou de passeport
- le numéro d’identification du compte, du compte financier, de la carte de débit ou de la carte de crédit, en combinaison avec tout code de sécurité ou d’accès requis, tout mot de passe ou toute information d’identification permettant d’accéder à un compte
- géolocalisation précise
- origine raciale ou ethnique, croyances religieuses ou philosophiques, ou appartenance à un syndicat
- le contenu du courrier, des e-mails et des messages texte d’un consommateur, à moins que l’entreprise ne soit le destinataire de la communication
- les données génétiques
La loi CCPA offre deux exemptions :
- Informations personnelles recueillies par une entreprise sur une personne qui était soit un candidat à un emploi, soit un employé passé ou actuel. L’exemption est limitée aux cas où l’entreprise a utilisé les informations fournies uniquement pour des actions liées à l’emploi.
- L’exemption B2B s’applique aux renseignements personnels des employés ou des contacts commerciaux qu’une entreprise a recueillis pour aider à fournir ou à recevoir un produit ou un service à une autre entreprise ou de celle-ci.
Les lois CCPA et CPRA ne s’étendent pas aux données déjà protégées par d’autres lois, telles que:
- Fournisseurs de services financiers déjà en conformité avec la loi GLBA.
- Informations médicales protégées en vertu de la loi californienne sur la confidentialité des informations médicales.
- Les informations personnelles recueillies dans le cadre d’un essai clinique ou d’une étude de recherche biomédicale et soumises à la politique fédérale de protection des sujets humains.
- Informations couvertes par le Fair Credit Reporting Act.