Vous avez déjà mis votre entreprise en conformité avec le Règlement Général sur la Protection des Données (RGPD), ou votre société est sur le point de le devenir. Vos activités –que vous ayez ou non choisi d’ouvrir un bureau à Los Angeles, à San Francisco, ou dans la Silicon Valley, vous amènent à traiter des données relatives à des résidents californiens, et vous vous interrogez sur la prochaine entrée en application du California Consumer Protection Act (CCPA), souvent présentée comme la première version américaine du RGPD, et sur les moyens de vous y conformer en utilisant les efforts déployés pour votre conformité au RGPD.
Le CCPA n’entrera en application que le 1er janvier 2020, mais dans la mesure où le texte prévoit notamment une obligation d’information des consommateurs portant sur les données traitées au cours des 12 derniers mois il est dès à présent nécessaire de vous donner les moyens de vous mettre en conformité avec ce texte.
Pour cela, diverses actions doivent être entreprises tant au niveau de la documentation interne relative à la gestion des données personnelles qu’en termes d’information des personnes concernées et de privacy policy.
Concernant la documentation interne RGPD, vous avez surement déjà réalisé un audit de vos traitements et peut être même un registre des activités de traitement si vous êtes astreint à cette obligation. De la même manière, vous avez dû prévoir une procédure de gestion des demandes d’accès des personnes concernées ou encore des documents de formation interne à destination de vos employés.
Cette documentation pourra servir de point d’ancrage au processus de mise en conformité au CCPA. Par exemple, les audits de traitement et le registre des activités de traitement vont vous permettre de connaitre avec précision les catégories de données traitées ainsi que les finalités des traitements mis en œuvre au sein de votre entreprise.
S’agissant des catégories de données traitées, celles-ci devront être analysées sous le prisme du CCPA, qui contient ses propres définitions. Le CCPA crée ainsi une nomenclature de catégories de données personnelles qui lui est propre. L’analyse consiste à revoir les catégories de données personnelles que vous avez créées au regard du RGPD pour les faire correspondre aux catégories « d’informations personnelles » visées par le CCPA. Le résultat de cette analyse vous permettra alors de rédiger des mentions d’information conformes aux dispositions du CCPA.
Concernant les finalités du traitement, le RGPD réunit l’ensemble des opérations de traitement sous le terme de « traitement », contrairement au CCPA qui distingue le traitement en tant que tel, de la vente ou de la collecte des données personnelles. Le CCPA assortit à ces différentes opérations de traitement des obligations spécifiques. Il conviendra donc d’analyser les différentes finalités de traitement que vous avez auditées dans le cadre de votre processus de mise en conformité avec le RGPD pour les qualifier selon les termes du CCPA et ainsi d’en déterminer le régime juridique applicable.
En termes d’information des personnes concernées, les deux textes contiennent des différences notables en pratique. Ces différences sont principalement liées à l’encadrement de la vente de données personnelles par le CCPA. Les personnes concernées doivent recevoir des informations spécifiques à cette vente et ont notamment un droit d’opt-out relatif à celle-ci.
Même si un certain nombre d’éléments se recoupent entre les exigences de contenus d’une charte RGPD de traitement des données à caractère personnel et de celles d’une « privacy policy » au format CCPA, en pratique il faudra bien veiller à ce que les mentions d’information soient spécifiques selon la région envisagée. Comme on l’a vu les catégories de données personnelles ne sont pas les mêmes ou encore les droits des personnes concernées présentent de sensibles différences (droit à l’opt-out pour les résidents californiens, hyperlien vers une page « Do Not Sell My Personnal Information », droit à la portabilité généralisé dans le CCPA). Par ailleurs, le texte californien précise que la privacy policy doit être mise à jour tous les 12 mois.
Enfin, le CCPA contient certaines obligations très précises et notamment le texte prévoit que le consommateur californien doit être doté d’au moins deux méthodes différentes pour exercer ses droits, y compris via la mise à sa disposition d’un numéro d’appel gratuit. Si vous êtes en train de réaliser votre conformité au RGPD, il faudrait dès à présent considérer ces règles particulières afin de mutualiser les efforts réalisés pour vous conformer à ces deux textes d’ambition équivalente mais de construction différente.
En conclusion, les similarités entre les deux textes ne doivent donc pas vous conduire à penser que la conformité à l’un entraine systématique la conformité à l’autre. Cette conformité sera certainement facilitée mais elle requerra un travail et une adaptation fine de l’ensemble de la documentation, des procédures interne de la société, et des mentions d’information des personnes concernées.
A cet effet on ne saura bien sûr insister assez sur l’importance de se faire accompagner par un avocat spécialisé dans ces questions tant en droit français et européen qu’en droit américain.
En conséquence, n’hésitez pas à revenir vers nous si vous avez des questions !
—
Cet article a été rédigé avec la collaboration d’Aurélien Le Bret