Vous avez une activité transatlantique qui vous amène à traiter au quotidien de données personnelles en Europe et aux Etats-Unis. A peine avez-vous notifié vos clients et internautes de leurs nouveaux droits d’accès, et mis en place les procédures internes afin d’y répondre dans les délais prescrits par le RGPD, que la Californie publie sa propre législation, le California Consumer Privacy Act (CCPA), que beaucoup aux Etats-Unis ont vite fait de labeliser comme le premier RGPD à l’américaine.
Vu les efforts que vous pourriez déjà avoir produits afin de vous mettre en conformité avec le RGPD, il est naturel de se poser la question de savoir comment mutualiser sa conformité aux 2 législations sans avoir à réinventer la roue et créer des procédures, politiques et systèmes de traitement séparés. Nous vous invitons à prendre connaissance de cet autre article récent sur notre blog au sujet de la mutualisation des efforts afin de se conformer au RGPD et au CCPA.
A la question de savoir si la mise en œuvre des mesures de protection de la vie privée prévues par le RPGD est suffisante pour satisfaire aux obligations du CCPA, la réponse est malheureusement négative. Bien que l’accent mis par le CCPA sur les droits des consommateurs en matière d’informations personnelles est comparable à celui du RGPD, il y a des différences notables tant au niveau de la nature des droits d’accès des utilisateurs que de la mise en œuvre de ces droits. Cet article se donne pour objectif de présenter certaines des principales différences dans ce domaine, le but étant de fournir un premier aperçu des efforts supplémentaires à mettre en œuvre avant l’entrée en vigueur du CCPA le 1er janvier 2020.
- De quels droits bénéficie le consommateur californien en vertu du CCPA ?
Au terme du CCPA, les consommateurs bénéficient des droits suivants :
- Le droit à une information sur leurs droits en général ;
- Le droit à des informations spécifiques concernant les informations les concernant qui sont traitées par la société qui les collecte ;
- Le droit à la portabilité de leurs informations personnelles ;
- Le droit à la suppression de leurs informations personnelles ;
- Le droit de s’opposer à la vente de leurs informations personnelles ;
- Le droit de ne pas subir de discrimination du fait de l’exercice de leurs droits ; et
- Un certain nombre de protections contre la renonciation à l’exercice de ces droits.
L’idée de cet article étant moins de passer en revue chacun des droits et protections sus-visés que de s’attacher aux différences principales qui existent avec les droits octroyés par le RGPD aux résidents européens, nous allons nous concentrer sur certains points en particulier.
- Similitudes et différences avec le RGPD.
S’agissant du droit à la suppression de ses informations personnelles, le noyau de ce droit est tout à fait similaire dans les deux textes de loi, toutefois son champ d’application, son applicabilité, et les exemptions s’y rattachant, varient.
En effet, ce droit à la suppression ne s’applique pour le RGPD que si l’un des motifs suivants s’appliquent, par exemple lorsque le consentement au traitement des données a été retiré et qu’il n’y a pas d’autre base légale applicable à celui-ci, ou lorsque les données personnelles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
Le CCPA ne limite pas la portée de ce droit à des situations ou des finalités spécifiques. Ce droit s’applique généralement aux informations personnelles qu’une société a recueillies de la part du consommateur et le consommateur n’a pas à justifier sa demande.
Concernant son applicabilité, sous le RGPD vous devez répondre aux demandes d’effacement des données sans « retard injustifié et sous un mois à partir de la réception de la demande ». Le délai limite de réponse peut être étendu à 2 mois supplémentaires compte tenu de la complexité et du nombre de demandes. Dans tous les cas, la personne concernée doit être informée de cette prolongation sous un mois à compter de la réception de la demande. Les méthodes pour soumettre une demande sont la voie écrite, orale et tout autre moyen comprenant des voies électroniques le cas échéant.
Le CCPA, quant à lui, dispose que la date limite pour répondre à une demande en vertu de ce droit est de 45 jours à partir de sa réception. Le délai peut être prolongé de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire et si le consommateur en est informé dans les 45 premiers jours. Vous devez fournir au moins deux ou plusieurs méthodes de formulation des demandes, y compris, au minimum, un numéro de téléphone sans frais, et si votre entreprise dispose d’un site Internet, une adresse de site web.
Le RGPD présente une exception propre quant à l’exercice de ce droit. En effet, votre société sera exemptée de devoir répondre aux demandes de suppression pour des raisons d’intérêt public dans le domaine de la santé publique. Le
CCPA énumère quelques exceptions supplémentaires dans les cas où la conservation des informations personnelles est nécessaire :
- à l’exécution d’un contrat entre la société et le consommateur ;
- pour détecter les incidents de sécurité, protéger la société contre les activités malveillantes, trompeuses, frauduleuses ou illégales, ou pour poursuivre les responsables de cette activité ;
- pour identifier des erreurs de fonctionnement existantes nuisant aux fonctionnalités prévues des services fournis par la société ;
- pour permettre des utilisations exclusivement internes et raisonnablement alignées sur les attentes du consommateur du fait de sa relation avec la société ;
- pour utiliser les informations personnelles du consommateur en interne et de manière compatible avec le contexte dans lequel le consommateur a fourni l’information ;
- pour exercer des droits dont bénéficie la société de par la loi ou pour se conformer au California Electronic Communications Privacy Act; ou
- à des fins de recherche scientifique, historique ou statistique effectuées dans l’intérêt général.
Tant le RGPD que le CCPA comprennent des dispositions en ce qui concerne le droit pour la personne concernée de recevoir certaines informations s’agissant des traitements de données personnelles qui sont effectués par la société.
Le RGPD indique notamment que vous devez fournir des informations sur les points suivants :
- l’identité du responsable de traitrement ;
- les coordonnées du délégué à la protection desdonnées, le cas échéant ;
- la ou les finalités des traitements, et leur base légale ;
- les destinataires ou catégories de données personnelles ;
- le transfert de données à des tiers ;
- le transfert des données en dehors de l’Espace Economique Européen ;
- la période de conservation desdonnées ;
- au cas où le responsable de traitement s’appuie sur le consentement comme base légale, le droit pour la personne concernée de retirer son consentement à tout moment ;
- le droit de déposer une plainte auprès de son autorité nationale en matière de protection des données à caractère personnel ;
- lorsque les données sont nécessaires à l’exécution d’un contrat, les conséquences possibles de ne pas consentir au traitement des données ;
- l’existence de la prise de décision automatisée, y compris via le profilage, et la logique et les conséquences de ce traitement.
Contrairement au RGPD, le CCPA n’impose pas de mentionner la base légale applicable au traitement, il n’impose pas de désigner de délégué à la protection des données dans certains cas, et il ne contient également pas de disposition concernant le transfert international de données. Il est en revanche, comme le RGPD, d’application extra-territoriale en ce sens qu’il trouve également à s’appliquer alors même que le responsable de traitement n’a aucune présence en Californie, à partir du moment où la société remplit l’une des 3 conditions d’éligibilité notamment en termes de revenus sur une base mondiale et de nombre de consommateurs californiens dont il collecte les données
S’agissant des mentions d’informations, le CCPA dispose également que des informations doivent être fournies s’agissant :
- des catégories d’informations personnelles collectées/ vendues / divulguées à des fins commerciales au cours des 12 mois qui précèdent la demande ; et
- le cas échéant, si aucune information personnelle n’a été vendue à des tiers (le concept de vente étant lui-même entendu de façon très large), du fait de ne pas s’engager effectivement dans ce type d’activité.
Le RGPD énumère des informations spécifiques devant être fournies à la personne concernée lorsque ses données sont collectées par un tiers, et notamment les sources dont proviennent ces informations. La mention d’information doit être fournie dans un délai raisonnable après l’obtention des données, mais au plus tard sous un mois; ou au moment de la première communication avec la personne concernée; ou au plus tard lorsque les données personnelles sont pour la première fois divulguées à des tiers.
Le CCPA spécifie pour sa part que le consommateur doit recevoir un « avis explicite » lorsqu’un tiers a l’intention de revendre des informations personnelles le concernant qui lui ont été vendues par la société.
Autre spécificité, le CCPA impose que la politique de confidentialité soit mise à jour tous les 12 mois, périodicité qui se trouve absente dans le RGPD.
Le RGPD comme le CCPA garantissent un droit pour les consommateurs de demander de faire cesser le traitement et, s’agissant du CCPA, la vente de leurs informations personnelles.
Néanmoins, seul le CCPA exige de créer un mécanisme via un portail spécifique avec le titre «Ne pas vendre mes informations personnelles» sur son site permettant aux consommateurs d’exercer leur droit d’opposition à la vente de leurs données. En outre, le CCPA prévoit que tout tiers qui a reçu des informations personnelles à travers leur vente ne peut revendre les informations personnelles que si les consommateurs ont fourni un « avis explicite » et la possibilité de s’opposer à cette revente.
Sous le CCPA, les consommateurs ne peuvent opter que s’agissant de la vente d’informations personnelles, et non la collecte ou d’autres utilisations qui ne relèvent pas de la définition de la vente. Par comparaison le RGPD impose de permettre aux personnes concernées de s’opposer à tout type de traitement des informations personnelles les concernant.
Le droit du CCPA de refuser la vente des informations personnelles est absolu, alors que le droit d’opposition au traitement des données sous le RGPD connait une exception qui est celle que vous soyez en mesure de démontrer que vos motifs légitimes pour lesquels vous traitez des données prévalent sur les droits et les intérêts des consommateurs.
Le RGPD et le CCPA établissent un droit d’accès aux informations personnelles, ce qui permet aux individus d’avoir une visibilité complète s’agissant des données que vous détenez à leur sujet.
Cependant, les deux lois présentent quelques différences.
Sous le RGPD, ce droit s’applique à toutes les données personnelles collectées et traitées s’agissant de la personne concernée, mais vous pouvez refuser d’y donner suite lorsque la demande est manifestement infondée, excessive ou qu’elle a un caractère répétitif.
A contrario, le CCPA dispose qu’il n’est applicable qu’aux informations personnelles recueillies dans les 12 mois qui précédent la demande, et vous n’êtes pas tenu(e) de fournir l’accès aux informations personnelles plus de deux fois en 12 mois.
S’agissant de la procédure à suivre pour répondre à une demande, le CCPA indique que si fournissez des informations par voie électronique au consommateur, ces informations doivent être envoyées dans un format portable et facilement utilisable, permettant leur transmission à des tiers, lorsque cela est techniquement possible. Le RGPD a, quant à lui, un droit distinct à la portabilité des données selon des conditions qui lui sont propres.
Les délais de réponse sont les mêmes que ceux mentionnés ci-dessus s’agissant du droit à la suppression des informations personnelles.
Le CCPA introduit le droit des consommateurs de ne pas être victimes de discrimination du fait de l’exercice de leurs droits en vertu du texte. Il faut noter que vous pouvez mettre en place des systèmes fournissant des incitations financières mais les consommateurs doivent pouvoir opter d’en faire partie ou pas. Le RGPD ne comprend pas explicitement ce droit.
Enfin, un droit à la portabilité des données est reconnu tant par le RGPD que par le CCPA. Le CCPA considère la portabilité des données comme une extension du droit d’accès, qui subit donc le même traitement et les mêmes limitations, alors que le RGPD prévoit un droit distinct et distinctif.
Sous le RGPD, le droit à la portabilité des données s’applique seulement aux informations personnelles fournies par la personne concernée elle-même et qui sont traitées sur la base d’un consentement ou d’un contrat et son traitement est effectué par des moyens automatisés.
LeRGPD étend ce droit à la transmission directe d’informations personnelles de votre entreprise à une autre alors que ce droit sous le CCPA se limite à permettre aux consommateurs de recevoir des informations personnelles.
Les conditions de délais pour répondre à une demande en vertu de ce droit sont les mêmes que celles s’agissant du droit d’accès aux informations personnelles.
En conséquence, le nombre important de différences s’agissant des droits énoncés par le RGPD et le CCPA et de leur mise en oeuvre souligne l’importance de vous préparer dès maintenant à votre conformité au CCPA si vous y être soumis. Il s’agira notamment d’adapter vos mentions d’informations sur votre site à destination des consommateurs californiens, mais aussi, si vous avez des employés en Californie, vos mentions d’information à leur intention, d’adapter vos procédures internes afin de pouvoir répondre aux demandes d’accès en conformité avec et dans les délais prescrits par le CCPA, et également de mettre à jours vos systèmes informatiques afin de pouvoir à tout moment identifier les demandes provenant de consommateurs californiens. Cette préparation épargnera à votre sociétés d’importantes sanctions imposées par le CCPA, qui pourraient être encore plus lourdes que celles dont dispose le RGPD. On notera en particulier que le CCPA prévoir un droit d’action direct – et donc d’action de groupe – des personnes concernées en cas de faille sécuritaire.
A cet effet on ne saura bien sûr insister assez sur l’importance de se faire accompagner par un avocat spécialisé dans ces questions tant en droit français et européen qu’en droit américain.
En conséquence, n’hésitez pas à revenir vers nous si vous avez des questions !
—
Cet article a été rédigé avec la collaboration de Cristina De Sousa Dantas