Le CCPA : une version californienne du RGPD ?
Alors que le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en application depuis le 25 mai 2018, le California Consumer Privacy Act (CCPA) s’apprête à entrer en vigueur dès janvier 2020.
Le RGPD et le CCPA ont, a priori, un objectif comparable : celui de renforcer et d’unifier la protection des données pour les individus au sein de l’UE et de la Californie, respectivement. Le CCPA a, cependant, une portée plus restrictive que le RGPD, dans la mesure où il ne s’appliquera qu’aux entreprises californiennes ayant un chiffre d’affaires de plus de 25 millions de dollars, ainsi qu’aux data brokers (spécialisés dans la revente de données personnelles). Une telle différence n’est pas établie par le RGPD, si bien que toutes les entreprises situées sur le territoire de l’UE, sans distinction, doivent entrer en conformité avec ce dernier.
Seules les plus grandes entreprises californiennes devront donc, pour se conformer avec le CCPA, rendre public les données qu’elles collectent et détailler l’usage qu’elles en font. Par ailleurs, le CCPA permettra également aux consommateurs de s’opposer à la vente de leurs informations personnelles sans leur consentement.
Une autre différence importante entre le RGPD et le CCPA est relative aux sanctions de non-conformité. Alors que le RGPD permet de sanctionner une entreprise du seul fait qu’elle n’est pas entrée en conformité avec le règlement, le CCPA permettra de sanctionner les entreprises uniquement si elles sont victimes d’une fuite de données.
Certes, cette nouvelle loi ne concerne que l’Etat de la Californie, mais elle devrait en réalité avoir une portée indirectement nationale. En effet, le CCPA oblige les entreprises impactées, soit à prévoir deux régimes distincts de protection des données (l’un spécifique à la Californie, l’autre s’appliquant à tous les autre Etats états-uniens), soit à prévoir un seul régime harmonisé pour l’ensemble du territoire états-unien et conforme au CCPA. Or, il semble que pour les grands groupes de la Silicon Valley directement visés (Google, Apple, Facebook, etc.), la première option serait d’application complexe. Il y a donc lieu de croire que beaucoup d’entreprises opteront pour un régime de protection des données national conforme à celui du CCPA.