Site icon Petit Web

Après le RGPD, et toujours en 4 lettres, le CCPA

Qui ?

Jean-Noël Barneron, Chief Innovation Officer chez Connecthings (plateforme d’engagement contextuel qui permet aux applis de mieux comprendre le comportement de leurs utilisateurs).

Quoi ?

Une tribune sur la loi californienne de protection des données, qui entre en vigueur en janvier prochain. Et ses effets en chaine.

Comment ?

Avec le RGPD, entré en vigueur en mai 2018, la confiance du client devient un élément indispensable à un modèle économique pérenne quand l'activité repose sur la protection des données des consommateurs.

Le 1er janvier 2020 entrera en vigueur le California Consumer Privacy Act (CCPA) qui donne aux Californiens un meilleur contrôle de leurs données personnelles. L’objectif : protéger les droits des consommateurs de cet Etat, et promouvoir un meilleur respect de la vie privée, tout en améliorant la transparence de l’utilisation des données.

Une loi au service des consommateurs californiens

Signé le 28 juin 2018 par le gouverneur de Californie Jerry Brown, le CCPA inscrit dans la loi certaines des mesures de protection les plus strictes des USA sur  la confidentialité des données des consommateurs. Quel que soit l’endroit où l’entreprise exerce son activité, toute société est susceptible d’être concernée par le CCPA, le texte protège les données du consommateur californien.

Le CCPA se concentre sur les sociétés qui : 1) génèrent  plus de 25 M$ 2) achètent, reçoivent, vendent ou partagent les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils par an à des fins commerciales, 3) ont 50 % ou plus de leurs revenus annuels provenant de la vente d’informations personnelles des consommateurs résidant en Californie.

La définition de données personnelles au sein du CCPA englobe toutes les informations qui identifient, concernent, décrivent ou peuvent être associées - directement ou indirectement - à un consommateur ou à un ménage particulier.

Cette définition comprend les « données à caractère personnel » (DCP), le nom, l'adresse, le numéro de sécurité sociale, de téléphone… Mais aussi toutes les informations rattachées à un consommateur californien : adresse IP de son terminal, localisation, actions effectuées au sein d’une application, historique des achats ou encore identifiants de l’utilisateur ou de son terminal.

L’objectif ? Un meilleur contrôle des consommateurs californiens sur leurs informations personnelles et leur sécurité. Ils deviennent  propriétaires de leurs données.

Un portail spécifique d'opposition à la vente des données ?

Ce texte protège les informations personnelles des consommateurs californiens âgés de 13 à 16 ans. Les entreprises n'ont pas le droit de vendre leurs informations personnelles sans leur accord. Le CCPA interdit également aux entreprises de récupérer les informations personnelles des mineurs californiens de moins de 13 ans sans le consentement explicite de leurs parents ou d’un tuteur.

Le CCPA contraint les entreprises californiennes de toute taille à rendre public le type de données personnelles qu’elles collectent et à obtenir le consentement des consommateurs pour la vente de ces données. Une action qui pourrait prendre la forme d’un portail spécifique offrant aux consommateurs un droit d’opposition à la vente de leurs données.

Désormais, chaque citoyen peut savoir quelles informations personnelles sont collectées à son sujet, demander à y avoir accès et exiger leur suppression. Il dispose du droit d’interdire la vente de ses données personnelles et peut légitimement savoir avec qui elles sont partagées ou à qui elles sont vendues. Enfin, l’application du CCPA ne doit pas provoquer de discrimination. Un utilisateur exerçant son droit à la confidentialité de ses données continue à bénéficier d’un service de même qualité et à un prix identique.

Last but not least : les entreprises doivent veiller à sécuriser l’accès aux données personnelles qu’elles stockent. Si une entreprise, suite à un piratage informatique, est victime d’un vol engendrant une perte des données personnelles qu’elle détient, sa responsabilité est mise en jeu.

51 CEO réclament une loi nationale 

Le CCPA n’autorise les sanctions que si une violation a effectivement été constatée. Mais chaque citoyen californien est autorisé à poursuivre au civil toute entreprise en infraction avec la loi, ouvrant ainsi la porte aux actions collectives. Si les pratiques d’une entreprise sont identifiées comme non-conformes, l’Etat peut enclencher directement des poursuites et la condamner à une amende de 7 500 $ par donnée dévoilée, si elle ne remédie pas à la situation sous 30 jours. Toutefois, s’il est avéré que la violation est non-intentionnelle, cette amende est réduite à 2 500 $.

Concernant les fuites de données, la loi prévoit une indemnisation civile allant de 100 à 175 $ par résident californien, même en l’absence de préjudice matériel.

Le CCPA est une première étape qui pourrait amener d’autres états à instaurer une réglementation plus ou moins similaire. Le 10 septembre 2019, 51 CEO d’entreprises américaines ont adressé une lettre ouverte au Congrès, réclamant la mise en place d’une loi régulant la collecte, le traitement et l’usage des données personnelles au niveau national. Pour ces entreprises, dont certaines sont des géants de la tech comme Amazon, AT&T, IBM, Motorola ou encore Qualcomm, les lois sur la confidentialité varient trop largement d’un État à l’autre, provoquant à la fois une certaine confusion chez les consommateurs et une menace sur la compétitivité des Etats-Unis.
Comment les GAFA ont-ils anticipé la loi californienne ? En juillet, Google a sorti Android 10 et en septembre, Apple, IOS 13. Ces deux nouvelles versions ont renforcé l'information sur les données partagées avec chaque application. Les usages géolocalisés peuvent être autorisés une fois, toujours, ou jamais. En revanche, Facebook continue à inquiéter... Ce qui pourrait menacer son modèle, car le public n'est pas opposé a partage des données... S'ils ont confiance.

 

Quitter la version mobile