New call-to-action

Loi sur la confidentialité des données : La loi californienne sur la protection de la vie privée des consommateurs, CCPA de 2020, de A à Z

04-12-2024 | 10 | Conformité au RGPD, Conformité entre les entreprises et les gouvernements

L’auteur : Priyasha Purkayastha, Responsable du contenu mondial, TJC Group

Les quantités de données en constante évolution dans le monde d’aujourd’hui soulèvent indéniablement des préoccupations quant à leur confidentialité et à leur protection. Des cookies des sites web aux algorithmes des médias sociaux et autres, les données des consommateurs sont partout. Heureusement, les gouvernements du monde entier mettent tout en œuvre pour que ces données soient protégées. sont La protection des données est une priorité pour les entreprises, qui mettent en œuvre des lois strictes en matière de confidentialité des données. Chez TJC Group, la protection des données est de la plus haute importance et nous poursuivons nos efforts pour informer nos lecteurs sur ces lois. Ce mois-ci, nous vous présentons la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act – CCPA) de 2020.

Table des matières

Introduction

Les données permettent aux organisations d’obtenir des informations sur les clients qui alimentent de nouvelles opportunités de création de valeur et plus encore. De ce fait, les publics reçoivent aujourd’hui des résultats plus personnalisés lors de leurs recherches. En outre, les résultats finaux sont plus satisfaisants, tant pour les entreprises que pour les utilisateurs. Mais, parmi tous les sujets abordés, celui de la confidentialité des données retient souvent l’attention. En effet, la protection des données est d’une importance capitale dans le paysage numérique dans lequel nous nous trouvons aujourd’hui. En fait, la protection des données est nécessaire à la fois pour les consommateurs et pour les organisations – en tant qu’individus, en tant que clients et en tant qu’employés. En outre, la fréquence des cybermenaces et des cyberattaques renforce l’importance fondamentale de la confidentialité des données.

Pleins feux sur la loi californienne sur la protection de la vie privée des consommateurs, 2020

L’esprit de protection des données des consommateurs est toujours aussi fort dans le monde entier. Qu’il s’agisse du site RGPD dans l’UE, de la loi 25 au Québec, de la PDPA en Argentine, du DPDP en Inde ou de bien d’autres, les gouvernements font tout leur possible pour garantir la confidentialité des données. Nous avons déjà abordé ces lois précédemment, mais ce mois-ci, nous nous concentrons sur le California Consumer Privacy Act (CCPA) de 2020.

Qu’est-ce que la loi californienne de 2020 sur la protection de la vie privée des consommateurs ?

Le California Consumer Privacy Act (CCPA) est une loi sur la protection des données dans l’État de Californie, aux États-Unis, qui accorde aux résidents de nouveaux droits concernant leurs informations personnelles. La loi impose également plusieurs réglementations en matière de protection des données aux organisations qui exercent des activités en Californie. Cette loi sur la protection des données a été promulguée en 2018, mais elle est entrée en vigueur le 1er janvier 2020.

En fait, la Californie est le premier État des États-Unis d’Amérique à disposer d’une loi complète sur la protection de la vie privée qui implique la protection et la sécurité des données des consommateurs. La CCPA comporte diverses dispositions pour les entreprises, qui sont similaires à celles du règlement général sur la protection des données (RGPD) de l’Union européenne. Néanmoins, une entreprise qui se conforme à une autre loi sur la protection des données peut avoir des obligations supplémentaires en vertu de la loi sur la protection des données. Compte tenu de la portée étendue et de la nature complexe du California Consumer Privacy Act 2020, il est impératif de comprendre chaque nuance critique de la loi, non seulement pour les organisations en Californie, mais aussi dans le monde entier.

Qu’est-ce qui relève de la loi californienne sur la protection de la vie privée des consommateurs ?

Pour comprendre la loi, vous devez d’abord vous familiariser avec ce qui relève exactement de la protection de la CCPA. La loi offre une protection et des droits en matière d’informations personnelles aux consommateurs, définis comme les résidents de Californie. Outre les clients qui achètent des biens et des services ménagers, la CCPA définit également les consommateurs qui sont…

  • Contacts avec des clients ou des vendeurs.

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) définit les informations personnelles de manière assez large ; il peut s’agir de toute information qui, directement ou indirectement –

  • Concerne, décrit ou identifie un consommateur ou un ménage particulier.
  • Associés ou raisonnablement susceptibles d’être associés ou liés à un consommateur ou à un ménage particulier.

En outre, la loi CCPA protège les données même si elles ne se rapportent pas à une seule personne. En effet, la loi couvre les ménages et les appareils, sécurisant ainsi les données liées à tout identifiant unique au lieu du nom d’une personne.

Qui doit se conformer à la réglementation de la CCPA ?

Maintenant que vous avez une idée de ce que couvre la CCPA, voyons qui doit se conformer aux dispositions de cette loi sur la protection de la vie privée.

Les dispositions de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) s’appliquent aux entreprises définies comme des entités « à but lucratif ». Cela inclut les entreprises individuelles, les sociétés, les associations, les sociétés à responsabilité limitée ou d’autres établissements juridiques qui –

  • Collecte des informations personnelles des consommateurs, directement ou en leur nom
  • Détermine les moyens et les finalités du traitement des données, seul ou en collaboration avec d’autres personnes
  • possède une entreprise en Californie

En outre, les entreprises californiennes qui atteignent l’un des seuils suivants sont soumises aux exigences réglementaires de la loi sur la protection des consommateurs.

  • toute entreprise dont le revenu brut annuel est supérieur à 25 millions de dollars (ajusté en fonction de l’inflation) ;
  • reçoit, achète, partage ou vend chaque année les informations personnelles de plus de 50 000 consommateurs,
  • et des appareils ou des ménages à des fins commerciales (seuls ou combinés) ; ou
  • tire 50 % ou plus de son chiffre d’affaires annuel de la vente d’informations personnelles de consommateurs
RGPD | Comment les utilisateurs de systèmes SAP peuvent-ils minimiser les risques de non-conformité ?

Quelles sont les exceptions au CCPA ?

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) prévoit plusieurs exceptions à son application, qui sont fondées sur les points suivants

  • Préoccupations juridictionnelles, quand :
  • l’ensemble des activités commerciales se déroulent entièrement en dehors de la Californie,
  • une transaction unique et ponctuelle qui ne conserve aucune des données à caractère personnel collectées ; ou
  • la loi sur la protection de la vie privée ou des données, spécifique à un secteur, couvre le comportement commercial, comme
  • le Health Insurance Portability and Accountability Act de 1996 (HIPAA), le Fair Credit Reporting Act (FCRA) ou le Gramm-Leach-Bliley Act (GLBA).
  • les exigences relatives aux opérations commerciales courantes, comme l’autorisation de vendre des données à caractère personnel dans le cadre d’une acquisition ou d’une fusion plus importante.
  • Questions relatives à la législation ou aux conflits de lois, telles que le respect d’autres lois, la défense de réclamations juridiques ou la coopération avec les autorités chargées de l’application de la loi.

Quels sont les droits des consommateurs en vertu de la CCPA ?

Les lois sur la protection de la vie privée – qu’il s’agisse de la CCPA ou de toute autre loi – ont été créées en pensant aux consommateurs et à la protection de leurs données. Il n’est donc que juste de leur accorder des droits qui rendent la loi favorable. En vertu de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), les consommateurs se voient accorder les droits suivants

1. Les consommateurs ont le droit de savoir comment leurs données sont collectées, utilisées et partagées par les entreprises, y compris de recevoir des informations sur demande :

  • Toute communication personnalisée de l’avis de confidentialité
  • Toutes les données spécifiques des informations personnelles détenues par les entreprises

2. Les consommateurs ont le droit de supprimer leurs données personnelles détenues par les entreprises, mais ils sont soumis à des exceptions spécifiques.

3. Le droit d’empêcher la vente d’informations personnelles, conformément à –

  • Les personnes âgées de 16 ans ou plus ont le droit de refuser la vente d’informations personnelles.
  • Les personnes âgées de 15 ans ou moins ont le droit de refuser la vente d’informations personnelles, avec le consentement d’un parent ou d’un tuteur.

4. Les consommateurs ont le droit de ne pas être discriminés lorsqu’ils exercent leurs droits en vertu de la loi sur la protection des données de la CCPA.

5. Les consommateurs qui exercent leurs droits en vertu de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act 2020) ne seront pas pénalisés.

Lisez notre dernier blog sur la dérogation aux correctifs NIS2 pour les systèmes legacy SAP.

Quelles sont les obligations des entreprises en vertu de la loi sur la protection des données de la CCPA ?

Avec cette réglementation californienne sur la confidentialité des données, les entreprises sont obligées de prendre des mesures pour assurer la conformité avec les dispositions de la loi. Les entreprises doivent non seulement examiner leur inventaire de données, mais aussi leurs pratiques de collecte et de partage ; cela permet de déterminer les sections de la CCPA qui s’appliquent aux entreprises, principalement si les informations personnelles des consommateurs sont vendues.

Les entreprises doivent respecter les points suivants pour satisfaire aux obligations de la loi californienne sur la confidentialité des données –

  • Mettre en œuvre des pratiques de sécurité strictes et raisonnables pour protéger les informations personnelles de tous les consommateurs.
  • Mettre en œuvre des procédures solides et appropriées pour protéger les données des consommateurs contre tout risque pertinent.
  • Il est impératif que les organisations communiquent toutes les informations requises par la CCPA, y compris :
  • Avis de divulgation lors de la collecte des données
  • Une politique de protection de la vie privée conforme à la CCPA
  • Avis aux consommateurs les informant de leur droit de refuser la vente de leurs données personnelles
  • Avis relatifs aux incitations financières, le cas échéant.
  • Les entreprises doivent respecter les droits des consommateurs au titre de la CCPA tout en établissant des procédures internes pour recevoir, vérifier et répondre aux demandes de droits.
  • Plus important encore, les entreprises doivent examiner les prix, les services et les différences de qualité en ce qui concerne la collecte, la conservation et la vente des données à caractère personnel des consommateurs. Cela permet de garantir la non-discrimination.
  • Les entreprises doivent également revoir leurs contrats de partage de données de fournisseurs de services et d’informations personnelles de tiers. Cela permet de s’aligner sur les exigences de la loi californienne de 2020 sur la protection de la vie privée des consommateurs.
  • Enfin, les organisations doivent se conformer aux exigences en matière de formation des employés et d’archivage.

Existe-t-il des exigences en matière d’application de la CCPA ?

En vertu de la loi californienne de 2020 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), les pouvoirs de réglementation et d’exécution sont conférés à l’Attorney General (AG) de Californie. Avant d’entamer toute action relative à une violation de la CCPA, l’AG de Californie doit notifier l’infraction présumée aux entreprises et leur accorder un délai d’au moins 30 jours pour y remédier. Toutefois, si l’entreprise n’est pas en mesure de remédier à la violation dans le délai imparti, le procureur général de Californie peut imposer des sanctions pouvant aller jusqu’à – 1,5 million d’euros par an, ou jusqu’à – 2,5 millions d’euros par an.

  • 2 500 $ par infraction
  • 7 500 $ par infraction intentionnelle

Ces sanctions civiles sont susceptibles de s’étendre à chaque individu concerné, ce qui se traduira par des amendes globales élevées ; toutefois, les autorités n’ont pas encore donné de précisions à ce sujet.

Étude de cas : Étude de cas Carlsberg SAP Data Archiving et RGPD Compliance

Droit d’action privé en vertu de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act)

Il est intéressant de noter que la CCPA va encore plus loin dans le renforcement des lois sur la protection de la vie privée en créant une disposition relative au droit d’action privé. Cette disposition permet d’agir contre l’accès non autorisé, le vol ou la divulgation de données personnelles non cryptées et non expurgées.

En outre, le sous-ensemble étroit de données à caractère personnel couvert par le droit d’action privé peut conduire à des circonstances dans lesquelles une personne doit notifier une violation de données. En vertu du droit d’action privé prévu par la loi sur la protection des données, un consommateur peut demander des dommages-intérêts :

  • Dommages-intérêts statutaires compris entre 100 et 750 dollars par résident californien et par incident, ou dommages réels, la sanction la plus élevée étant retenue.
  • Recours déclaratif ou injonctif
  • Toute autre mesure jugée appropriée par le tribunal.

N’oubliez pas que les dommages-intérêts légaux ne sont disponibles qu’avant l’introduction d’une action en justice pour violation de données:

  • Le consommateur envoie à l’entreprise une notification écrite indiquant les violations spécifiques de la CCPA et un délai de 30 jours pour y remédier (si possible).
  • L’entreprise n’est pas en mesure de remédier aux violations alléguées et ne fournit pas au consommateur une déclaration écrite dans le délai de 30 jours exprimant ce fait.
  • Elle a remédié à la violation, et
  • aucune autre infraction ne sera commise
  • Si l’entreprise poursuit les violations présumées, le consommateur a le droit d’intenter une action en justice. Il peut demander des dommages-intérêts légaux pour les infractions initiales ainsi que pour toute nouvelle infraction à la loi sur la protection des consommateurs qui surviendrait après la notification. En fait, si l’entreprise ne respecte pas sa déclaration écrite, le consommateur a le droit d’intenter une action en justice pour une nouvelle violation de la loi sur la protection des consommateurs.

Principaux enseignements

  • En vertu de la loi californienne de 2020 sur la protection de la vie privée des consommateurs, les consommateurs doivent être informés à l’avance de la collecte de leurs données personnelles.
  • La loi sur la protection de la vie privée impose de répondre aux demandes des consommateurs dans un délai précis.
  • La CCPA précise également qu’il convient de conserver un registre de toutes les demandes des consommateurs et de la manière dont elles ont été traitées.
  • Les entreprises doivent veiller à ce que les consommateurs soient informés et transparents quant aux politiques et pratiques en matière de protection de la vie privée.
  • La loi californienne sur la protection de la vie privée des consommateurs prévoit que toute incitation financière offerte en échange de la conservation ou de la vente de données à caractère personnel doit être communiquée aux consommateurs.

Dans l’ensemble, le règlement sur la protection des données du CCPA est assorti de règles strictes qui non seulement protègent les consommateurs, mais leur offrent également des avantages et des droits leur permettant de signaler toute violation relative à leurs données. Compte tenu de l’importance que revêt la confidentialité des données, en particulier dans le monde d’aujourd’hui, le groupe TJC poursuivra ses efforts en vue d’informer le public sur les différentes lois en vigueur dans le monde.

Restez à l’écoute pour d’autres articles sur les lois relatives à la protection de la vie privée.

Série sur la protection des données : En un coup d’œil pour vous

  • Tout sur la loi du New Jersey sur la protection des données (NJDPA) (bientôt disponible)
  • Tout sur la loi sud-coréenne relative à la protection des données (PIPA) : Tout ce que vous devez savoir (à venir)
  • Lois sur la protection des données au Moyen-Orient (à venir)
Retour à tous les blogs
Archivage des données SAP Carrières Conformité au RGPD Conformité entre les entreprises et les gouvernements Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité Enterprise Legacy System Application (ELSA) Événement Facturation et déclaration électroniques au niveau mondial Fichier des Écritures Comptables (FEC) Gestion des données pour la migration S/4HANA Gestion des données SAP Points forts de SAP Préparation fiscale et d'audit SAP BTP SAP Information Lifecycle Management Tendances informatiques TJC Group Corporate
December 2024November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

New Zealand - Data Privacy - Header
Loi sur la confidentialité des données : Qu’est-ce qui se cache derrière la loi néo-zélandaise sur la protection de la vie privée de 2020 ?

04/11/2024 |  

7

NIS2 patching derogation
Faut-il appliquer la dérogation NIS2 aux systèmes legacy SAP ?

29/10/2024 |  

5

Plus comme ça

New Zealand - Data Privacy - Header

Loi sur la confidentialité des données : Qu’est-ce qui se cache derrière la loi néo-zélandaise sur la protection de la vie privée de 2020 ?

04/11/2024 |  

7

E-invoicing and e-reporting Header (1)

Facturation et déclaration électroniques : Facteurs, déploiement, formats à connaître

29/10/2024 |  

7

Data Privacy Law Argentina

Loi sur la protection des données : Tout savoir sur la loi argentine sur la protection des données personnelles

15/10/2024 |  

6