Assurer la conformité des données sensibles aux lois CCPA et CPRA

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi californienne sur les droits à la vie privée (CPRA) sont considérées comme les lois les plus complètes des États-Unis en matière de protection de la vie privée des consommateurs et constituent une référence pour les autres États. 

La loi CCPA a été promulguée pour renforcer le droit à la vie privée des résidents de Californie en établissant des directives sur la manière dont les entreprises doivent traiter les informations privées des consommateurs. La loi CPRA, également connue sous le nom de CCPA 2.0, s’appuie sur les fondements de la loi CCPA et renforce la protection de la vie privée des consommateurs, ainsi que les obligations des entreprises et des organisations qui traitent des informations personnelles. 

La loi CCPA est pleinement applicable depuis juillet 2020. Les entreprises ont jusqu’au 1er janvier 2023 pour se conformer à la loi CPRA.

Les modifications apportées par les lois CPRA et CCPA s’appliquent à toute entreprise à but lucratif qui collecte des informations personnelles sur des consommateurs basés en Californie et qui répond à l’un des critères ci-dessous :

1. A eu un revenu annuel brut de 25 millions de dollars au 1er janvier 2022 ou au cours de l’année civile précédente.
2. Achète, reçoit ou vend des informations personnelles concernant au moins 50 000 résidents, ménages ou appareils de la Californie.
3. Tire 50 % ou plus de ses revenus de la vente de renseignements personnels de résidents de la Californie.

Remarque : les entreprises ne doivent pas nécessairement avoir des activités ou des employés en Californie pour être soumises à la loi CPRA. 

La loi CCPA ne s’applique pas aux organisations à but non lucratif ni aux agences gouvernementales. D’autres exemptions incluent :

• les agences de renseignements sur les consommateurs couvertes par le Fair Credit Reporting Act
• les institutions financières couvertes par la loi Gramm-Leach-Bliley
• les entités couvertes par la loi sur la protection des informations et de la vie privée en matière d’assurance.

Aux fins de la loi CCPA, un résident californien est défini comme une personne qui utilise sa résidence californienne à des fins d’impôt sur le revenu. La loi CCPA ne protège pas les consommateurs qui se trouvent temporairement dans l’État de Californie. 

La loi CCPA définit les informations personnelles comme des informations qui identifient, concernent, décrivent ou sont raisonnablement susceptibles d’être associées à un consommateur ou un ménage particulier. Cela comprend : le nom, l’adresse, la date de naissance, les données biométriques, le numéro de sécurité sociale, le numéro de téléphone, l’adresse électronique et toute autre information pouvant être associée à un individu spécifique. 

Les renseignements personnels sensibles sont un sous-ensemble de renseignements personnels nouvellement définis dans la loi CPRA. Les IPS sont des renseignements personnels qui révèlent :

• les numéros d’assurance sociale, de permis de conduire, de carte d’identité nationale ou de passeport
• le numéro d’identification du compte, du compte financier, de la carte de débit ou de la carte de crédit, en combinaison avec tout code de sécurité ou d’accès requis, tout mot de passe ou toute information d’identification permettant d’accéder à un compte
• géolocalisation précise
• origine raciale ou ethnique, croyances religieuses ou philosophiques, ou appartenance à un syndicat
• le contenu du courrier, des e-mails et des messages texte d’un consommateur, à moins que l’entreprise ne soit le destinataire de la communication
• les données génétiques

La loi CCPA offre deux exemptions : 

• Informations personnelles recueillies par une entreprise sur une personne qui était soit un candidat à un emploi, soit un employé passé ou actuel. L’exemption est limitée aux cas où l’entreprise a utilisé les informations fournies uniquement pour des actions liées à l’emploi. 
• L’exemption B2B s’applique aux renseignements personnels des employés ou des contacts commerciaux qu’une entreprise a recueillis pour aider à fournir ou à recevoir un produit ou un service à une autre entreprise ou de celle-ci.

Les lois CCPA et CPRA ne s’étendent pas aux données déjà protégées par d’autres lois, telles que :

• Fournisseurs de services financiers déjà en conformité avec la loi GLBA. 
• Informations médicales protégées en vertu de la loi californienne sur la confidentialité des informations médicales.
• Les informations personnelles recueillies dans le cadre d’un essai clinique ou d’une étude de recherche biomédicale et soumises à la politique fédérale de protection des sujets humains.
• Informations couvertes par le Fair Credit Reporting Act.

La loi CCPA crée six droits spécifiques pour les consommateurs :

1. Le droit de connaître ou de demander la divulgation des informations personnelles recueillies par l’entreprise sur le consommateur. Il s’agit notamment de savoir auprès de qui ils ont été recueillis, pourquoi ils ont été recueillis et, s’ils ont été vendus, à qui.
2. Le droit de supprimer les renseignements personnels recueillis auprès du consommateur.
3. Le droit de refuser la vente des informations personnelles.
4. Le droit d’accepter la vente des informations personnelles des consommateurs âgés de moins de 16 ans.
5. Le droit à un traitement non discriminatoire pour l’exercice de tout droit.
6. Le droit d’engager une action privée en cas de violation des données.

La loi CPRA crée trois droits supplémentaires :

1. Le droit de refuser la technologie de prise de décision automatisée.
2. Le droit de corriger des informations personnelles inexactes.
3. Le droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles.

La loi CPRA crée et transfère tous les pouvoirs d’élaboration de règles et d’application de la loi du procureur général de Californie à la nouvelle agence d’État, la California Privacy Protection Agency. 

La loi CPRA renforce l’application de la loi, en supprimant la période obligatoire de 30 jours dont bénéficient actuellement les entreprises en vertu de la loi CCPA et en triplant les sanctions pour les violations impliquant des mineurs de moins de 16 ans. La loi élargit également les types de violations de données qui sont considérées comme entrant dans le champ d’application du droit d’action privé en cas de violation de données, pour inclure les violations d’un nom d’utilisateur ou d’une adresse électronique, en combinaison avec un mot de passe ou une question et une réponse de sécurité qui permettraient d’accéder à un compte en ligne.

Les sanctions comprennent :

• Pénalités civiles – Dans le cadre d’actions intentées par le procureur général de Californie, les entreprises peuvent se voir infliger des pénalités allant jusqu’à 7 500 dollars par violation intentionnelle ou 2 500 dollars par violation non intentionnelle (mais elles ont la possibilité de remédier à toute violation présumée dans les 30 jours suivant la réception de la notification de la violation présumée).
• Dommages et intérêts – Dans le cadre d’actions intentées par des consommateurs pour violation de la sécurité, ces derniers peuvent obtenir des dommages et intérêts légaux d’un montant minimum de 100 dollars et maximum de 750 dollars par consommateur et par incident, ou des dommages et intérêts réels, le montant le plus élevé étant retenu. Dans le cadre d’une action en dommages-intérêts, les consommateurs doivent d’abord informer les entreprises par écrit et leur donner la possibilité de remédier à la situation. 
• Réparation non pécuniaire – Dans les actions intentées par les consommateurs pour violation de la sécurité, les consommateurs peuvent demander une injonction ou une réparation déclaratoire, ainsi que toute autre réparation que le tribunal juge appropriée.
• Les entreprises peuvent également faire l’objet d’une injonction dans les actions intentées par le procureur général.