Le California Consumer Privacy Act (CCPA) est entré en vigueur il y a quelques jours. Cette loi ne s’applique qu’aux entreprises californiennes dont le chiffre d’affaires est supérieur à 25 millions de dollars et aux data brokers (spécialisés dans la revente de données personnelles).
Le gouverneur de la Californie, Jerry Brown, avait signé le projet de loi le 28 juin 2018. Un an et demi plus tard, le CCPA est une réalité. Comme le RGPD, elle vise à mieux protéger les données personnelles des consommateurs.
Mais la similarité avec le règlement européen s’arrête là. Le CCPA s'applique à toutes les entreprises de la Californie qui répondent à un ou plusieurs des critères suivants :
1-Des revenus bruts annuels supérieurs à 25 millions de dollars ; 2-Acheter, vendre ou partager des données personnelles de 50 000 consommateurs ou plus ; 3-Tirer 50 % ou plus de son chiffre d’affaires revenu annuel de la vente des adresses IP des consommateurs.
Selon une étude de Berkeley Economic Advising and Research, environ 16 000 entreprises seraient concernées par ce texte :
Les entreprises peuvent être condamnées à une amende de 2 500 dollars par infraction, ou à 7 500 dollars si l'infraction est jugée intentionnelle.
Le CCPA instaure différents droits :
- Droit de savoir sur les pratiques concernant la collecte, l'utilisation, la divulgation et la vente de l'IP… ;
- Droit de suppression : les consommateurs peuvent demander à une entreprise de supprimer toute information confidentielle qu’elle a recueillie auprès du consommateur ;
- Droit de désengagement : il accorde aux consommateurs le droit d’exiger qu’une entreprise ne vende plus son IP. Pour les mineurs âgés de 13 à 16 ans, une entreprise ne peut pas vendre ses renseignements personnels sans autorisation.
- Droit à la non-discrimination : une entreprise ne peut pas faire de discrimination à l'égard d’un consommateur pour l'exercice de l'un des droits ci-dessus.
L’entrée en vigueur du CCPA aura un cout. Une étude de Berkeley Economica Advising and Research estime que les entreprises de moins de 20 employés dépenseront 50 000 dollars, les entreprises de 100 à 500 employés dépenseront 450 000 dollars et les entreprises de plus de 500 employés dépenseront 2 millions de dollars.
D’autres États après la Californie
Comme pour le RGPD, les coûts totaux varieront considérablement selon le type d’entreprise, leur maturité en matière de protection de la vie privée, le nombre de consommateurs californiens auxquels ils fournissent des biens et des services…
Un récent sondage effectué par TrustArc auprès des entreprises s'attendant à devoir prendre des mesures de conformité a constaté qu’un tiers s'attendent à dépenser moins de 100 000 dollars (ou rien…) pour être en conformité, 32 % ont budgétisé entre 100 000 et 500 000 dollars, 20 % s'attendent à dépenser entre 500 000 et un million de dollars. Seuls 4 % prévoient une dépense supérieure à 5 millions de dollars.
Mais il faut relativiser les résultats de cette enquête, car elle ne concerne que les entreprises de plus de 500 employés. Or, la très forte majorité des entreprises californiennes comptent moins de 500 employés.
Les entreprises ont commencé à faire des efforts de conformité l'an dernier, mais cela ne progresse pas encore très vite.
PwC recommande aux organisations concernées de déterminer leurs capacités techniques actuelles, d’élaborer les exigences opérationnelles et de constituer un groupe de travail composé d'experts en technologie, en gouvernance des données, en cybersécurité, en droit…
Après la Californie, d’autres États devraient instaurer une loi similaire. Le Maine et le Nevada ont déjà adopté des lois sur la protection des données et onze autres assemblées législatives d'État ont examiné des projets de loi similaires en 2018. Cinq États ont créé des groupes de travail pour étudier la question.
Source : (http://www.dof.ca.gov/Forecasting/Economics/Major_Regulations/Major_Regulations_Table/documents/CCPA_Regulations-SRIA-DOF.pdf)