Jeudi 10 octobre 2019 : Le Procureur général de la Californie, Xavier Becerra, rend publique une version préliminaire de la réglementation applicable sous le California Consumer Privacy Act (CCPA).
Le California Consumer Privacy Act
Adopté en juin 2018, le CCPA fait écho au scandale Cambridge Analytica et au Règlement européen 2016/679 ou Règlement général sur la protection des données (RGPD). Dans les deux cas, l’objectif est clair: accroitre le contrôle des citoyennes sur leurs données personnelles. Pour ce faire, le modèle californien prévoit de « nouveaux » droits aux consommatrices de son état, principalement :
- Le droit de savoir quelles données personnelles sont collectées, utilisées, partagées ou vendues et pourquoi (art. 1798.100 (a). Voir aussi art. 1798.110 et 1798.115);
- Le droit de supprimer des données personnelles détenues par une entreprise ou ses fournisseurs : (art. 1798.105 (a));
- Le droit de refuser la vente de données personnelles à des tiers (art. 1798.120 (a)); et
- Le droit de ne pas être discriminée en termes de prix ou de service suite à l’exercice d’un droit prévu à la CCPA (art.1798.125 (a) (1)).
De façon corollaire, cette loi énonce de nouvelles obligations positives aux entreprises visées. Tout d’abord, celles-ci doivent dorénavant notifier les consommatrices californiennes préalablement à toute collecte de données en plus de les informer de leurs droits (Voir notamment art. 1798.100 (b) ou art. 1798.120 (b)). Elles doivent également mettre à leur disposition un lien « Do Not Sell My Personnal Information » sur leur page d’accueil (Voir art. 1798.135 (a) (1)).
De plus, pour s’assurer de l’effectivité des droits énumérés ci-dessus, les entreprises visées doivent mettre en place des procédures qui permettent de donner suite aux demandes des consommatrices relatives à leurs droits de savoir, de supprimer, de refuser ou de ne pas être discriminées (Voir art. 178.130 et 1798.135). Elles doivent ensuite répondre à ces demandes dans les délais impartis par la loi. Ceux-ci sont généralement de 45 jours (Voir art. 178.130 (a) (2)). Toutefois, ils peuvent être prolongés d’une période supplémentaire allant jusqu’à 90 jours, si nécessaire en raison de la complexité et du nombre des demandes (178.145 (g) (1)).
Le CCPA impose également aux entreprises visées de s’assurer de l’identité de la consommatrice qui leur soumet une demande en associant « the information provided by the consumer in the verifiable consumer request to any personal information previously collected by the business about the consumer » (art. 178.130 (a) 3 (A) ou 4 (A). Voir aussi art. 178.140 (g), (o), (p) et (x) et art. 1798.185 (a) (2) et (7)).
Processus de consultation
En vertu de l’article 1798.185 CCPA, c’est le Procureur général qui est chargé d’adopter un règlement visant à promouvoir les objectifs du législateur californien et à préciser le cadre juridique applicable. Pour ce faire, toujours selon le même article, il est tenu de solliciter la participation du public.
C’est dans ce contexte que s’inscrit la présente consultation. Après avoir tenu sept forums publics à la grandeur de l’État californien et examiné plus de 300 mémoires, le Procureur général a produit une première mouture de la réglementation envisagée. Celle-ci est de nouveau soumise à une période de consultation jusqu’au 6 décembre 2019, laquelle prévoit quatre autres audiences publiques.
Toute révision proposée fera l’objet d’une période supplémentaire de consultation de 15 jours. Par la suite, le Procureur général soumettra le texte final du règlement au Office of Administrative Law, lequel dispose de 30 jours ouvrables pour examiner le règlement. S’il est approuvé, le règlement entrera alors en vigueur.
Règlementation envisagée
1. Les avis
Afin de rencontrer l’objectif d’informer les consommatrices adéquatement et en amont, la version préliminaire du règlement insiste sur l’importance d’une communication claire qui évite un langage juridique ou technique au bénéfice d’un langage franc et accessible, et ce, même pour les personnes en situation de handicap :
« The notice shall:
– Use plain, straightforward language and avoid technical or legal jargon.
– Use a format that draws the consumer’s attention to the notice and makes the notice readable, including on smaller screens, if applicable.
– Be available in the languages in which the business in its ordinary course provides contracts, disclaimers, sale announcements, and other information to consumers.
– Be accessible to consumers with disabilities. At a minimum, provide information on how a consumer with a disability may access the notice in an alternative format. »
(art. 999.306 (a) (2). Voir aussi art. 999.305 (a) (2), 999.307 (a) (2), 999.308 (a) (2))
De plus, le règlement incite les entreprises à fournir des avis les plus complets possible. À titre d’exemple, une entreprise a intérêt à être exhaustive lorsqu’elle avise les consommatrices de la nature de l’information collectée et des objectifs de sa collecte, car elle est liée et limitée par le contenu de son avis. Si elle souhaite moindrement y déroger en collectant une catégorie d’information qui n’y est pas énumérée ou en faisant un usage qui n’y est pas prévu, elle devra nécessairement transmettre un nouvel avis (art. 999.305 (a) (3) et (4)).
En bref, la version préliminaire du règlement incite les entreprises visées à faire preuve d’une réelle transparence quant à leurs intentions et quant aux droits des consommatrices de manière à ce que ces dernières puissent effectuer un choix éclairé quant à la gestion de leurs données personnelles. Un autre bon exemple serait celui des incitations financières. Selon le Procureur général, « [a]s proposed by the draft regulations, businesses must disclose financial incentives offered in exchange for the retention or sale of a consumer’s personal information and explain how they calculate the value of the personal information. Businesses must also explain how the incentive is permitted under the CCPA. »
2. La procédure permettant de donner suite aux demandes des consommatrices
Toujours dans la même optique, la version préliminaire du règlement entend faciliter l’exercice des droits des consommatrices californiennes. On oblige ainsi les entreprises visées à mettre en place aux moins deux méthodes afin de recevoir et traiter les demandes des consommatrices (art. 999.312 (a) et (b) et art. 999.315 (a)). On limite également la complexité des procédures, notamment en limitant le nombre d’étapes. À titre d’exemple, « [a] business shall use a two-step process for online requests to delete where the consumer must first, clearly submit the request to delete and then second, separately confirm that they want their personal information deleted » (art. 999.312 (d). Voir aussi 999.316 (a).).
Dans le même sens, le Procureur général de la Californie simplifie les formalités du dépôt d’une requête. Pour ce faire, il prévoit notamment des présomptions qui facilitent les soumissions des demandes aux entreprises et qui tiennent compte des préférences préalablement exprimées par les consommatrices :
« If a business collects personal information from consumers online, the business shall treat user-enabled privacy controls, such as a browser plugin or privacy setting or other mechanism, that communicate or signal the consumer’s choice to opt-out of the sale of their personal information as a valid request submitted pursuant to Civil Code section 1798.120 for that browser or device, or, if known, for the consumer »
(art. 999.315 (c))
Finalement, la réglementation envisagée impose aux personnes chargées de l’application du CCPA de suivre des formations prévues à cet effet (art. 999.317 (a)). On y prévoit également plusieurs exigences en matière de tenue de document. Par exemple, les entreprises visées doivent archiver les demandes qui leur sont soumises au moins 24 mois (art. 999.317 (b)). Précisons que ces obligations de tenue de documents et de formation du personnel sont encore plus exigeantes pour les entreprises qui collectent, vendent ou achètent des informations personnelles qui concernent plus de 4 millions de consommatrices (art. 999.317 (g)).
3. La vérification d’une demande
À ce sujet, le règlement envisagé prévoit une obligation générale de mettre en place une « reasonable method for verifying that the person making a request to know or a request to delete is the consumer about whom the business has collected information » (art. 999.323 (a)). Ce niveau de vérification variera, notamment, selon :
« The type, sensitivity, and value of the personal information » (art. 999.323 (b) (3) a.);
« The risk of harm to the consumer posed by any unauthorized access or deletion » (art. 999.323 (b) (3) b.);
« The likelihood that fraudulent or malicious actors would seek the personal information » art. 999.323 (b) (3) c.);
Toujours dans ce même objectif, la réglementation envisagée prévoit aussi l’implantation de « reasonable security measures to detect fraudulent […] activity » (art. 999.323 (d)).
Finalement, le Procureur général précise que : « if a business is unable to verify a request, it may deny the request, but must comply to the greatest extent it can. For example, it must treat a request to delete as a request to opt-out. » (Voir art. 999.313 (d) (1))
Un cadre distinct du RGPD
Même si le CCPA et le RGPD poursuivent des objectifs similaires, les cadres juridiques qu’ils imposent n’en demeurent pas moins distincts, notamment, par leur portée, par la valeur de leurs pénalités et par le niveau de consentement qu’ils requièrent:
RGPD | CCPA | |
Entreprises visées | Toute entreprise qui collecte ou traite des données qui concerne une citoyenne ou une résidente d’un pays membre de l’Union Européenne | Toute entreprise dont le revenu annuel est supérieur à 25 M$ Toute entreprise qui, annuellement, au total, vend, reçoit ou partage dans un but commercial les données d’au moins 50k consommateurs, ménages ou dispositifs Toute entreprises dont la vente de données personnelles représente 50% ou plus de ses revenus (art. 1798.140 (c)) |
Pénalités pour non-conformité | Les entreprises non-conformes s’exposent à une pénalité allant jusqu’à 4% de ses revenus annuels bruts ou 20 M€ . | Les entreprises non-conformes s’exposent à une pénalité d’au moins 100 $ et d’au plus 750 $ par consommatrice par incident ou dommage réel, selon le montant le plus élevé. (art. 1798.150 (a) (1) (A)). |
Consentement requis | Sauf exceptions ou autres assises légales, les entreprises doivent obtenir le consentement de la personne visée pour collecter ses données personnelles. Un régime particulier est applicable aux « informations sensibles » qui relèvent notamment d’un caractère ethnique, religieux, politique, médical, sexuel, etc. | Le seul consentement préalable est prévu à l’art. 1798.120 (c) de la loi qui énonce que les entreprises visées doivent obtenir le consentement d’une personne âgée de moins de seize ans (ou celui de son parent ou gardienne si elle est âgée de moins de treize ans) pour vendre ses données personnelles. Pour la collecte de données, les entreprises doivent seulement notifier les personnes visées (art. 1798.100 (b)). |
(Termly Legal Team, RGPD et CCPA)
À cet effet, le Procureur général de la Californie cite en exemple plusieurs cas où une entreprise qui est conforme au RGPD est sujette à des obligations additionnelles en vertu du CCPA :
« [U]nder GDPR, companies must undertake a data inventory and mapping of data flows in furtherance of creating records to demonstrate compliance. Additional data mapping may be important to reflect the different requirements under CCPA.
Under GDPR, companies must develop processes and/or systems to respond to individual requests for access to personal information and for erasure of personal information. These processes and/or systems may be applied to handling CCPA consumer requests, although businesses may need to review and reconcile the different definitions of personal information and applicable rules on verification of consumer requests.
Under GDPR, companies must disclose data privacy practices in a privacy policy. CCPA also requires companies to disclose specific business practices in a comprehensive privacy policy. Many California companies that operate commercial websites and online services must post a privacy policy under the California Online Privacy Protection Policy, or CalOPPA, and will need to update this policy for CCPA.
Under GDPR, companies must draft and execute written contracts with its service providers (“processors”). Companies may need to review these contracts to reflect requirements under CCPA. »
Processus de conformité à la nouvelle réglementation envisagée
En d’autres termes, un nouveau processus de conformité doit nécessairement être mis en place par les entreprises visées par le CCPA.
Or, ce processus de conformité ne se fera pas sans couts, au contraire. Toujours selon le Procureur général de la Californie, les estimations actuelles suggèrent un cout total qui varie entre 467 M$ à 16 457 M$. Les entreprises visées ne feront pas faillite pour autant. Selon le Standardized Regulatory Impact Assessment – un rapport produit par les agences de l’État lorsqu’une régulation proposée a un impact économique de plus de 50 M$ – qui concerne le CCPA, « [the] value of personal information used for advertising in California is over $12 billion annually ».
Pour finir, rappelons que le CCPA entre en vigueur le 1er janvier 2020. Toutefois, la loi prévoit un délai de grâce de 6 mois après la publication des règlementations à être adoptées par le Procureur général au plus tard le 1er juillet 2020 (art. 1798.185 (c)).
_____________________
Veuillez prendre note qu’afin d’alléger le texte, le genre féminin est ici utilisé au sens neutre et désigne le masculin autant que le féminin.
Commentaires