Qu'est-ce que le CCPA (California Consumer Privacy Act) ?

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) permet aux résidents de Californie de contrôler les données personnelles que les entreprises collectent à leur sujet.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Connaître les droits des résidents de Californie en vertu de l'ACCP
  • Expliquer quand le CCPA s'applique à une entreprise
  • Comparez l'ACCP avec d'autres lois sur la protection des données personnelles.

Copier le lien de l'article

Qu'est-ce que la California Consumer Privacy Act (CCPA) ?

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) est un texte législatif ( ) qui s'applique à la plupart des entreprises qui traitent les données personnelles des résidents californiens. La CCPA donne aux résidents californiens un certain contrôle sur les données personnelles que les entreprises collectent à leur sujet.

La CCPA est entrée en vigueur le 1er janvier 2020. À la fin de l'année 2020, les électeurs californiens ont adopté une proposition, la California Privacy Rights Act (CPRA), qui modifie et élargit la CCPA. L'ACCP continuera d'être révisée au fil du temps.

Quels droits l'ACCP donne-t-elle aux consommateurs ?

L'ACCP donne aux consommateurs les droits importants suivants :

  • Le droit de savoir : Les consommateurs doivent être informés des informations personnelles qu'une organisation collecte à leur sujet et de la manière dont ces informations sont utilisées.
  • Le droit d'effacement : Sauf exceptions, les consommateurs peuvent effacer les informations recueillies à leur sujet.
  • Le droit de refus : Les consommateurs peuvent empêcher la vente de leurs informations à des tiers.
  • Le droit à la non-discrimination : Une organisation ne peut pas traiter différemment les utilisateurs qui exercent leurs droits au titre de l'ACCP, par exemple en leur faisant payer davantage pour des services réguliers." Cependant, il arrive que l'exercice des droits de l'ACCP ait une incidence sur les services qu'une organisation peut fournir ; par exemple, si un utilisateur d'un site de commerce électronique exerce le droit de suppression "et supprime son compte, il ne pourra plus enregistrer son adresse de livraison ou les informations relatives à sa carte de crédit sur ce site.

Supposons qu'Alice visite un site Web, news.example.com, et que ce site Web utilise les cookies du navigateur et le suivi de la localisation de l'utilisateur. Alice charge ce site Web sur son ordinateur portable dans son appartement de San Jose, en Californie. Comme elle se trouve en Californie, une bannière s'affiche lorsqu'elle charge news.example.com, et cette bannière informe Alice de l'utilisation de cookies et de données de localisation par le site Web. Cela se produit parce qu'Alice a le droit de savoir.

La bannière offre également un choix à Alice : elle peut choisir de ne pas autoriser news.example.com à vendre des informations sur sa localisation à des réseaux publicitaires en cliquant sur un bouton intitulé "Do Not Sell My Personal Info." Ou bien, elle peut cliquer sur "Accept and Continue" pour autoriser la vente de ces données. Elle a ce choix parce qu'elle dispose d'un droit de refus ( ).

Imaginez maintenant qu'Alice clique sur "Ne pas vendre mes informations personnelles" parce qu'elle préfère que sa localisation reste aussi privée que possible. Tout à coup, tout le contenu de news.example.com est verrouillé et Alice ne peut plus regarder de vidéos ni lire d'articles sur le site. Il s'agirait d'une violation de l'ACCP, car Alice a un droit à la non-discrimination - news.example.com doit fournir à Alice les mêmes services au même prix qu'à ses autres utilisateurs qui autorisent la vente de leurs données.

Où s'applique l'ACCP ?

La CCPA s'applique aux données personnelles des résidents de Californie uniquement. Cependant, toute organisation peut être soumise à la CCPA si elle collecte des données sur des résidents californiens, quel que soit le lieu où elle est basée.

La CCPA s'applique aux organisations qui exercent une activité commerciale, quelle qu'elle soit, en Californie et qui répondent à l'une des descriptions suivantes :

  1. Ils ont un revenu annuel brut de 25 millions de dollars ou plus.
  2. Ils achètent, reçoivent ou vendent les informations personnelles d'au moins 50 000 résidents, ménages ou appareils de Californie.
  3. Ils tirent 50 % ou plus de leurs revenus annuels de la vente d'informations personnelles de résidents californiens.

Le CCPA ne s'applique pas aux organisations à but non lucratif, aux agences gouvernementales ou à certains types d'institutions financières. Par exemple, un résident de Californie ne peut pas éviter de payer une dette en demandant à l'agence de recouvrement de supprimer ses informations personnelles.

Comment l'ACCP définit-elle les « données personnelles » ?

Le CCPA définit ainsi "les informations personnelles":

« "Informations personnelles" : informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. »

Le CCPA énumère également de nombreux types de données qui sont considérées comme des informations personnelles, notamment :

  • Nom
  • adresse IP
  • Adresse postale
  • Informations biométriques
  • Historique de navigation sur Internet ou historique de recherche
  • géolocalisation
  • Toute déduction tirée de l'un des types d'informations personnelles énumérés.

La liste complète se trouve dans le California Consumer Privacy Act, section 1798.140.

Le CCPA précise également que les informations accessibles au public, telles que les informations contenues dans les dossiers gouvernementaux obtenus légalement, ne sont pas considérées comme des informations personnelles.

Notez que cette définition de "renseignements personnels" est unique à l'ACCP. D'autres cadres de protection de la vie privée, comme le Règlement général sur la protection des données (RGPD) de l'Union européenne, utilisent leurs propres définitions.

La conformité à l'ACCP est-elle la même que la conformité au GDPR ?

Outre le fait que ces deux cadres de protection de la vie privée s'appliquent à des régions différentes, l'ACCP et le GDPR ne sont pas les mêmes. Ils définissent les termes différemment, ont des exigences différentes pour les entreprises, et ont des structures d'amendes et de pénalités différentes. La conformité au GDPR ne garantit pas la conformité à l'ACCP, et vice versa.

L'ACCP prévaut-elle sur l'HIPAA ?

L'HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui régit la confidentialité et la protection des données relatives aux soins de santé. L'ACCP ne s'applique pas aux informations personnelles sur la santé qui sont déjà réglementées par l'HIPAA.

Comment le CCPA affecte-t-il l'utilisation des cookies ?

Un cookie "" est un petit fichier d'informations qu'un site web génère et envoie au navigateur web d'un utilisateur lorsque celui-ci visite le site web. Certains cookies recueillent l'historique de navigation de l'utilisateur, l'historique de recherche de l'utilisateur ou les interactions de l'utilisateur avec un site Web. Tous ces éléments sont considérés comme des informations personnelles "" en vertu de la CCPA. En raison du droit de savoir, les organisations doivent informer les utilisateurs des données qu'elles collectent par le biais des cookies et de la manière dont ces données sont utilisées.

Toutefois, contrairement à d'autres cadres de protection de la vie privée, le CCPA n'oblige pas les organisations à obtenir le consentement de l'utilisateur pour les cookies.

En savoir plus sur cookies ou sur confidentialité des données.