En Californie, le California Consumer Privacy Act of 2018 (« CCPA ») (en français, la loi californienne sur la protection de la vie privée des consommateurs) donnera place au California Privacy Rights Act of 2020 (« CPRA ») (en français, la loi californienne sur les droits à la vie privée) à partir du 1er janvier 2023.
Le CCPA est une loi californienne destinée à renforcer les droits à la vie privée et la protection des personnes citoyennes ou résidentes de l’Etat. Depuis le 1er janvier 2020, les entreprises qui font des affaires en Californie et qui atteignent au moins l’un des 3 seuils d’éligibilité suivants, à savoir…:
– un revenu brut annuel de plus de 25 millions de dollars ; ou
– elles achètent, vendent, reçoivent ou partagent annuellement à des fins commerciales des données personnelles d’au moins 50 000 résidents ménages ou appareils situés sur le territoire de l’Etat ; ou
– elles tirent au moins 50 % de leurs recettes annuelles de la vente de données personnelles de résidents, ménages ou appareils situés en Californie
…ont l’obligation de se conformer au CCPA.
En novembre 2020, le CPRA, aussi appelé la « Proposition 24 », est venu modifier le CCPA dans le sens d’une protection renforcée pour les données à caractère personnel des Californiens. En d’autres termes, le CPRA change et renforce le CCPA.
Notez que le seuil ci-dessus de 50 000 résidents ou ménages californiens sera porté à 100 000 à compter du 1er janvier 2023.
Afin d’être prêtes le 1er janvier 2023, les entreprises concernées par au moins l’un des seuils précités, devront mettre en place un certain nombre de mesures, que l’on vous présente ci-dessous.
• Concernant les droits des personnes concernées
Le CPRA introduit deux nouveaux droits pour les personnes concernées : le droit de rectification et le droit de consentir au traitement de données sensibles, nouvelle catégorie de donnée personnelle au sens de la loi.
Les entreprises devront donc être en mesure de permettre aux personnes concernées d’exercer, en plus des droits déjà existants dans le CCPA, ces deux droits.
• Concernant les mécanismes de limitation de ventes, partages et utilisation des données personnelles et des données sensibles
La plupart des entreprises qui vendent ou partagent des données personnelles ou qui utilisent ou divulguent des données sensibles devront, à partir de janvier prochain, fournir un lien clair et visible sur leur page web avec comme titre « Do Not Sell or Share My Personal Information » (en français, ne pas vendre ni partager mes données personnelles) afin de permettre aux personnes et ménages concernés de s’opposer à la vente ou au partage de leurs données personnelles. Notez que le CCPA imposait déjà la mise à disposition d’un formulaire de non-consentement intitulé « Do Not Sell My Personal Information ».
En outre, la personne ou le ménage concerné(e) devra pouvoir cliquer sur un lien clair et visible ayant comme titre « Limit the Use of My Sensitive Personal Information » (en français, limiter l’utilisation de mes données sensibles).
• Concernant la durée de conservation des données
Désormais, une entreprise collectant des données personnelles sera interdite de conserver les données des personnes concernées pour une période allant au-delà de la durée nécessaire à la réalisation de l’objectif.
Contrairement au CCPA, le CPRA exige que les entreprises informent la personne ou ménage de la durée de conservation de leurs données pour chaque catégorie de données traitées. S’il n’est pas possible d’établir une durée précise, l’entreprise devra indiquer les critère utilisés permettant d’établir la durée de conservation.
Ainsi, avec le CPRA, les entreprises ne pourront plus conserver des données personnelles de personnes ou ménages résidents de l’Etat pour des durées indéterminées sans justification ou sans en informer la personne ou le ménage concerné(e).
• Concernant la protection des données sensibles
Avec le CPRA, les données dites « sensibles » seront protégées (ce qui n’est pas le cas avec le CCPA). De ce fait, la personne concernée pourra limiter l’utilisation et le partage de ses données sensibles.
Les données sensibles prévues par le CPRA sont les suivantes :
– Pièce d’identité délivrée par une autorité fédérale, provinciale ou territoriale, ou par un gouvernement d’État, le numéro de sécurité sociale ou permis de conduire ;
– Données bancaires (identifiant et mot de passe d’un compte bancaire, carte de débit, ou numéro de carte de crédit combiné à un code d’accès, mot de passe, ou identifiants permettant d’accéder à un compte) ;
– Géolocalisation précise d’une personne ou ménage ;
– Origine raciale ou ethnique, croyance religieuse ou philosophique ou appartenance syndicale ;
– Contenus de communication privée (à moins que l’entreprise ne soit la destinataire directe de la communication) ;
– Données génétiques ;
– Traitement d’informations biométriques dans le but d’identifier de manière unique une personne ;
– Données de santé ; ou
– Orientation sexuelle
• Concernant la mise en œuvre d’une analyse de risque
Le nouveau droit d’opposition aux traitements des données sensibles donne lieu à une nouvelle obligation pour les entreprises : celle de réaliser des analyses de risque, à l’instar de l’analyse d’impact du RGPD. Cette analyse permet de prévoir un traitement conforme au CPRA et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
• Concernant l’utilisation des données personnelles de mineurs
Le CPRA renforce des droits en matière de confidentialité des personnes concernées et notamment s’agissant des mineurs (16 ans ou moins). Même si la protection des mineurs était déjà à l’ordre du jour du CCPA, le CPRA apporte une protection supplémentaire. Ainsi, si le CCPA impose aux entreprises d’obtenir le consentement d’un mineur pour revendre ses données, à partir de janvier prochain, les entreprises devront observer un délai de 12 mois pour obtenir un consentement à la vente et au partage à la suite d’un premier refus.
• Concernant la création d’une autorité de protection des données
La California Privacy Protection Agency (CPPA), création du CPRA, est chargée de veiller au respect du CPRA par les entreprises. Il s’agit là de la première autorité de régulation dédiée à la protection des données personnelles aux Etats-Unis.
Cabinet franco-américain expert dans les réglementations nord-américaines en matière de protection des données à caractère personnel, et bénéficiant d’une présence en Californie, L’Avocat transatlantique vous accompagne dans la mise en conformité transatlantique de vos traitements de données. Si vos activités vous amènent à collecter et traiter les données personnelles de personnes ou ménages résidant en Californie, n’hésitez pas à nous contacter. Notre équipe transatlantique de juristes spécialisés en droit des données à caractère personnel sera ravi de vous accompagner !
