Le California Consumer Privacy Act (CCPA) et le Règlement général sur la protection des données (RGPD) sont deux lois sur la protection de la vie privée récemment adoptées pour mettre à jour les lois obsolètes concernant la manière dont les informations personnelles sont traitées, stockées et traitées à l'ère numérique. Depuis la prolifération des services Internet, des télécommunications mobiles et des médias sociaux, les militants exigent des changements dans la façon dont les entreprises traitent les informations personnelles.
Le CCPA a été adopté en 2018 et est entré en vigueur le 1er janvier 2020. Le RGPD a été promulgué en mai 2018. Les deux législations ont des recommandations et des exigences similaires. Le RGPD se concentre sur les informations personnelles des citoyens européens, et le CCPA concerne les informations personnelles des résidents de Californie.
Il est important de noter que les deux législations ont une synergie partagée qui a un impact sur les entreprises des deux côtés de l'Atlantique. Toute entreprise aux États-Unis qui traite des informations personnelles européennes et toute entreprise en Europe qui traite des informations personnelles américaines doit respecter les directives de chaque législation pour se conformer aux règles de confidentialité.
Qu'est-ce que le CCPA ?
Le CCPA protège les informations privées des résidents californiens aux États-Unis. Cela inclut les données sur l'identité de la personne, toute information de santé sensible, les données biométriques, les données de géolocalisation mobile et toute information financière ou patrimoniale. L'objectif de la loi sur la protection de la vie privée est de limiter les divulgations d'informations sensibles ou les fuites inattendues causées par des violations de données.
Le CCPA a été conçu pour donner aux consommateurs le contrôle de leurs informations personnelles et renforcer les sanctions pour toute violation d'informations, que ce soit par négligence ou à la suite d'un piratage de données.
L'objectif de la législation est de faire respecter les droits des consommateurs et de donner au consommateur de nouveaux droits sur ses données. Cela inclut le droit de savoir exactement quelles informations sont détenues sur une personne par une entreprise. C'est pourquoi vous pouvez désormais accéder à des sites comme Google et Facebook et télécharger des archives détaillées des informations qu'ils détiennent sur vous.
Les résidents de Californie ont également le droit d'accéder et de visualiser les données détenues sur eux, et surtout, le droit de faire supprimer les données. Des droits d'acceptation ou de refus de la collecte de données ont été créés. D'autres éléments clés incluent le droit à un service et à un prix égaux, et le droit de demander des dommages-intérêts en cas de violation des informations personnelles.
Les nouvelles règles imposent un certain nombre de nouvelles exigences aux entreprises qui traitent des données personnelles. Ils doivent être en mesure de donner accès aux informations personnelles, de supprimer les informations personnelles sur demande et de prouver leur destruction. Ils doivent également mettre en place des pratiques de gestion du consentement. Cela se voit couramment sur les sites Web où les entreprises partagent des informations avec des tiers. L'organisation a le devoir de divulguer quelles données sont partagées.
Le CCPA donne à l'individu le contrôle sur les informations qui peuvent ou ne peuvent pas être vendues à son sujet. Les entreprises sont tenues d'effectuer des exercices d'inventaire des données pour connaître les données personnelles concernées et les cas de « vente » de données. Par conséquent, la mise à jour des accords de niveau de service avec des processeurs de données tiers est nécessaire pour être conforme.
La correction des failles de sécurité de l'information et des vulnérabilités du système doit être résolue rapidement en mettant en œuvre des programmes de renforcement de la gouvernance des données et d'identification des données. Si certaines données détenues sont hors de portée, elles doivent être supprimées.
Qu'est-ce que le RGPD ?
Le RGPD a été conçu pour les citoyens européens mais concerne toutes les entités traitant des données de l'UE. Son objectif principal était de normaliser les lois sur la protection des données de tous les États membres de l'UE.
Il existe sept principes clés de la législation GDPR. Celles-ci se concentrent sur la légalité de la conservation des informations personnelles et sur la garantie qu'elles sont stockées de manière équitable et transparente. Les données doivent être conservées pour une raison précise et servir un objectif précis. Les données personnelles ne peuvent pas être conservées indéfiniment et doivent être détruites une fois qu'elles ont atteint leur objectif.
Les organisations doivent également s'engager à minimiser les données, en ne conservant que les informations récentes et pertinentes qui sont exactes. Ils doivent préserver l'intégrité des données et garantir la confidentialité des informations privées.
Les citoyens de l'UE ont de nombreux nouveaux droits depuis l'introduction du RGPD. Ces droits constituent le fondement de ce que les tiers peuvent et ne peuvent pas faire avec les informations personnelles. Les personnes ont le droit d'être informées des données personnelles détenues par l'entreprise, et la personne a le droit de voir et d'accéder à ces informations. Si nécessaire, ils ont le droit de corriger les données.
Les citoyens de l'UE peuvent demander la suppression de leurs informations personnelles et limiter la manière dont les informations personnelles sont traitées. Ils ont le droit de s'opposer ainsi que des droits relatifs à la prise de décision automatisée et au profilage, tels que les critères d'acceptabilité des cartes de crédit.
CCPA contre RGPD
Il est évident de voir les similitudes frappantes entre le CCPA et le GDPR. Le CCPA pourrait être considéré comme le pendant américain du RGPD. Il existe cependant quelques différences importantes. Le RGPD affecte les contrôleurs de données et les sous-traitants de données à l'intérieur et à l'extérieur de l'Union européenne, cependant, le CCPA ne réglemente que les entreprises "faisant des affaires" en Californie.
D'autres règles existent, telles que le CCPA ne s'appliquant qu'aux entreprises dont le chiffre d'affaires brut est supérieur à 25 millions de dollars américains et à celles qui traitent les informations personnelles de plus de 50 000 résidents californiens. Les sanctions infligées en cas d'infraction à l'une ou l'autre législation sont également très différentes. GDPR est jusqu'à 4% du chiffre d'affaires, ou 20 millions d'euros (selon le plus élevé). Le CCPA est spécifiquement de 2 500 $ par enregistrement pour les violations non intentionnelles et de 7 500 $ pour les violations intentionnelles.
Il existe d'autres différences subtiles, mais surtout, les deux législations ont le même objectif, qui est d'améliorer et de protéger les informations personnelles et privées. Les deux lois imposent la notion que les entreprises ne peuvent pas récolter les données de leur choix. Les données ont une valeur considérable et de nombreux géants de la technologie de la Silicon Valley ont réalisé d'énormes profits en vendant des informations personnelles. Le CCPA et le RGPD l'ont identifié et ont agi pour protéger chacun d'entre nous.