La loi californienne sur la protection de la vie privée des consommateurs (CCPA) permet aux résidents de Californie de contrôler les données personnelles que les entreprises collectent à leur sujet.
Cet article s'articule autour des points suivants :
Contenu associé
RGPD
Pratiques équitables en matière d'information
Directive sur la protection de la vie privée
Confidentialité des données
Cookies
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) est un texte législatif ( ) qui s'applique à la plupart des entreprises qui traitent les données personnelles des résidents californiens. La CCPA donne aux résidents californiens un certain contrôle sur les données personnelles que les entreprises collectent à leur sujet.
La CCPA est entrée en vigueur le 1er janvier 2020. À la fin de l'année 2020, les électeurs californiens ont adopté une proposition, la California Privacy Rights Act (CPRA), qui modifie et élargit la CCPA. L'ACCP continuera d'être révisée au fil du temps.
L'ACCP donne aux consommateurs les droits importants suivants :
Supposons qu'Alice visite un site Web, news.example.com, et que ce site Web utilise les cookies du navigateur et le suivi de la localisation de l'utilisateur. Alice charge ce site Web sur son ordinateur portable dans son appartement de San Jose, en Californie. Comme elle se trouve en Californie, une bannière s'affiche lorsqu'elle charge news.example.com, et cette bannière informe Alice de l'utilisation de cookies et de données de localisation par le site Web. Cela se produit parce qu'Alice a le droit de savoir.
La bannière offre également un choix à Alice : elle peut choisir de ne pas autoriser news.example.com à vendre des informations sur sa localisation à des réseaux publicitaires en cliquant sur un bouton intitulé "Do Not Sell My Personal Info." Ou bien, elle peut cliquer sur "Accept and Continue" pour autoriser la vente de ces données. Elle a ce choix parce qu'elle dispose d'un droit de refus ( ).
Imaginez maintenant qu'Alice clique sur "Ne pas vendre mes informations personnelles" parce qu'elle préfère que sa localisation reste aussi privée que possible. Tout à coup, tout le contenu de news.example.com est verrouillé et Alice ne peut plus regarder de vidéos ni lire d'articles sur le site. Il s'agirait d'une violation de l'ACCP, car Alice a un droit à la non-discrimination - news.example.com doit fournir à Alice les mêmes services au même prix qu'à ses autres utilisateurs qui autorisent la vente de leurs données.
La CCPA s'applique aux données personnelles des résidents de Californie uniquement. Cependant, toute organisation peut être soumise à la CCPA si elle collecte des données sur des résidents californiens, quel que soit le lieu où elle est basée.
La CCPA s'applique aux organisations qui exercent une activité commerciale, quelle qu'elle soit, en Californie et qui répondent à l'une des descriptions suivantes :
Le CCPA ne s'applique pas aux organisations à but non lucratif, aux agences gouvernementales ou à certains types d'institutions financières. Par exemple, un résident de Californie ne peut pas éviter de payer une dette en demandant à l'agence de recouvrement de supprimer ses informations personnelles.
Le CCPA définit ainsi "les informations personnelles":
« "Informations personnelles" : informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. »
Le CCPA énumère également de nombreux types de données qui sont considérées comme des informations personnelles, notamment :
La liste complète se trouve dans le California Consumer Privacy Act, section 1798.140.
Le CCPA précise également que les informations accessibles au public, telles que les informations contenues dans les dossiers gouvernementaux obtenus légalement, ne sont pas considérées comme des informations personnelles.
Notez que cette définition de "renseignements personnels" est unique à l'ACCP. D'autres cadres de protection de la vie privée, comme le Règlement général sur la protection des données (RGPD) de l'Union européenne, utilisent leurs propres définitions.
Outre le fait que ces deux cadres de protection de la vie privée s'appliquent à des régions différentes, l'ACCP et le GDPR ne sont pas les mêmes. Ils définissent les termes différemment, ont des exigences différentes pour les entreprises, et ont des structures d'amendes et de pénalités différentes. La conformité au GDPR ne garantit pas la conformité à l'ACCP, et vice versa.
L'HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui régit la confidentialité et la protection des données relatives aux soins de santé. L'ACCP ne s'applique pas aux informations personnelles sur la santé qui sont déjà réglementées par l'HIPAA.
Un cookie "" est un petit fichier d'informations qu'un site web génère et envoie au navigateur web d'un utilisateur lorsque celui-ci visite le site web. Certains cookies recueillent l'historique de navigation de l'utilisateur, l'historique de recherche de l'utilisateur ou les interactions de l'utilisateur avec un site Web. Tous ces éléments sont considérés comme des informations personnelles "" en vertu de la CCPA. En raison du droit de savoir, les organisations doivent informer les utilisateurs des données qu'elles collectent par le biais des cookies et de la manière dont ces données sont utilisées.
Toutefois, contrairement à d'autres cadres de protection de la vie privée, le CCPA n'oblige pas les organisations à obtenir le consentement de l'utilisateur pour les cookies.
En savoir plus sur cookies ou sur confidentialité des données.