Dans moins d’un an, l’État de Californie adoptera la California Consumer Privacy Act (CCPA). Cette loi renforcera les droits des consommateurs. Comme le règlement européen (RGPD), elle donnera aux particuliers un droit de regard sur l’usage qui en est fait de leurs informations professionnelles. Les entreprises pourraient être sanctionnées par des amendes. Mais l’ACCP n’est pas aussi strict que le RGPD.

Les apparences sont parfois trompeuses. À première vue, l’ACCP est la version californienne du Règlement général sur la protection des données (RGPD). Mais il existe des différences entre ces deux textes.

Les entreprises concernées

Toutes les entreprises et administrations traitant des données relatives aux citoyens de l’UE, indépendamment de leur localisation ou de leur taille, doivent être en conformité avec le RGPD. La portée de l’ACCP est plus restreinte : elle ne s’applique qu’aux entreprises californiennes dont le chiffre d’affaires est supérieur à 25 millions de dollars et aux data brokers (spécialisés dans la revente de données personnelles).

Les sanctions financières

Le texte européen prévoit une graduation des sanctions en cas de non-conformité et/ou d’atteinte à la protection des données. Elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel global de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).

Les amendes de l’ACCP sont appliquées par infraction (jusqu’à un maximum de 7 500 $ par infraction). La différence fondamentale concerne la conformité. En Europe, une entreprise peut être condamnée même si elle n’a pas été victime d’une fuite de données. La CNIL vérifie en effet la conformité ou non d’un site ou d’une application par exemple. Puis elle met l’entreprise en demeure de modifier certains points. Ce fut le cas cet hiver pour l’absence de consentement. S’ils ne sont pas réglés dans un délai imparti, l’entreprise pourra être sanctionnée.

L’ACCP sanctionne qu’à partir du moment où une violation a été constatée. Autre différence, les consommateurs peuvent poursuivre l’entreprise pour violation.

Les droits des consommateurs

Ces deux règlements renforcent les droits des personnes physiques. Le RGPD renforce certains principes (consentement, transparence…) et en ajoute d’autres (accès et portabilité, sous-traitants). Mais ce texte européen se concentre sur les données personnelles d’une personne alors que la loi californienne considère à la fois le consommateur et le ménage comme des entités identifiables.

Promulgation et application de la loi

Le RGPD a été validé en avril 2016. Il est exécutoire depuis le 25 mai dernier. Dans sa forme actuelle, le texte américain apparait comme une réponse à des abus constatés en 2018. L’ACCP représente une première étape vers une meilleure protection des citoyens. D’autres États pourraient instaurer une réglementation plus ou moins similaire.

À noter que la Commission européenne vient d’adopter une décision d’adéquation concernant la protection des données personnelles circulant sur internet au Japon. Cette décision garantit aux internautes européens, particuliers et entreprises, de bénéficier des normes de protections élevées lorsque leurs informations sont transférées vers ce pays.

Source : helpnetsecurity