CCPA vs RGPD : quelle est la meilleure législation ?

Une loi relative à la protection des données est récemment entrée en vigueur en Californie. Cette loi est-elle meilleure que le RGPD ? C’est ce que nous allons voir !

0

Vous vous souvenez du RGPD ? Le règlement avec lequel je n’arrête pas de vous bassiner et de faire des blagues vaseuses comme « Quoi ? Vous n’avez jamais entendu parler du RGPD ? » et bla-bla-bla…

Mais n’ayez crainte, je ne vous ferai pas une énième morale sur le RGPD, donc vous pouvez vous détendre et souffler.

C’est bon, vous vous sentez mieux maintenant ? Vous commencez à vous décontracter sur votre siège bien confortable ? Tant mieux.

Bon… avez-vous entendu parler du CCPA ? Non ? Dommage pour vous.

Il est probable que vous deviez apprendre le massage cardiaque pour venir à bout de cet article.

À vrai dire, je vous taquine. Ce n’est pas grave si vous n’avez jamais entendu parler du CCPA, il est fraîchement entré en vigueur le 1er janvier 2020. La plupart d’entre vous doivent se demander : « c’est quoi, le CCPA »?

Initialement, je voulais vous faire une blague en vous donnant la réponse à la fin de l’article, mais je me suis rendu compte que ça ne faisait rire que moi. Alors, voici la réponse : CCPA est l’acronyme de « California Consumer Privacy Act » (« Loi sur la protection de la vie privée des consommateurs de Californie » en français).

J’ai remarqué qu’il existe principalement deux genres d’articles sur le CCPA sur internet :

  • des articles expliquant pourquoi cette loi est complètement « swag » (ne me jugez pas, j’essaie de paraître cool) ;
  • des articles comparant le CCPA avec le RGPD.

De ce fait, avec cet article, je vais essayer de mêler ces deux aspects ci-dessus… sauf que j’expliquerai pourquoi le CCPA est loin d’être « swag », et pourquoi il ne tient pas la comparaison avec le RGPD.

Bref, puisque je connais presque le RGPD par cœur, j’ai dû juste me familiariser avec CCPA pour rédiger cet article. J’ai donc imprimé la loi, pris un surligneur, pris une grande inspiration et commencé à lire attentivement les 25 pages. Pour information, le CCPA est 3,5 fois plus court que le RGPD, donc de toute évidence, il manque certains éléments.

Je vous préviens d’avance : mon intention n’était pas d’écrire un article négatif sur le CCPA. À vrai dire, quand j’en ai entendu parler la première fois, j’étais ravi que la Californie ait adopté une telle loi. Cependant, dû au fait de l’intense lobbying qui l’entoure, je pense que son impact risque d’être amoindri.

Grâce à ma grande générosité (j’aime me lancer des fleurs), vous aurez droit à un résumé de tout ce qu’il faut retenir du CCPA en le comparant avec le RGPD et en abordant ses défauts.

Homme d'affaires lisant un message et fronçant les sourcils
« J’aime me lancer des fleu… » – Sûrement votre réaction quand vous avez lu ce passage.

Qu’est-ce que le CCPA ? En moins de cinq mots.

Les retombées de Cambridge Analytica. Voilà vos cinq mots.

Officiellement, l’affaire Cambridge Analytica a été l’élément déclencheur de cette loi : « En mars 2018, il a été révélé que des dizaines de millions de personnes ont vu leurs données personnelles détournées de leurs usage par un cabinet de data mining appelé Cambridge Analytica. (…) Par conséquent, notre désir pour le contrôle de la vie privée et la transparence en matière d’usage des données s’est accru ».

De ce fait, merci Facebook pour avoir partagé nos données personnelles et donné lieu à cette loi ! Ça vous en bouche un coin, n’est-ce pas ?

Bref, quand j’ai commencé à lire cette loi, j’ai été étonné : le législateur s’est grandement inspiré du RGPD, mais il a changé toute la terminologie existante pour que les gens ne s’en rendent pas compte. Résultat : la plupart des termes propres au RGPD ont été repris et formulés autrement. On dirait un peu de la paraphrase.

Si vous voulez un exemple, le RGPD utilise sans cesse les mots « données personnelles » pour toute donnée qui appartient à une personne physique. Le CCPA a reformulé cette expression à sa sauce en utilisant l’expression « informations personnelles ». Ça signifie la même chose, mais au moins, le législateur californien ne peut pas dire qu’il a fait un copier/coller du règlement européen.

Des exemples comme celui-ci, j’en ai trouvé à la pelle. Mais cet article ne consiste pas à trouver les 7 différences entre le CCPA et le RGPD. À vrai dire, il consiste à aborder le CCPA et dire s’il est mieux que le RGPD. Pour être honnête, je ne savais pas vraiment comment écrire cet article sans que vous vous endormiez d’ennui sur votre bureau, alors j’ai décidé de faire un jeu avec un score. À la fin, vous saurez quelle loi est plus protectrice de la vie privée des personnes.

Je vous donne un indice… le CCPA ne s’en sort pas très bien. Mais puisque je suis fair-play, je vais donner 3 points d’avance au CCPA. Alors maintenant, qui sera le grand vainqueur ?

1. Qui est visé ?

Le RGPD vise toute personne physique, sans exception. Cela signifie que chaque individu au sein de l’Union européenne a le contrôle sur ses données, qu’il soit un client, un usager de service public, un étudiant, etc… À partir du moment où quelqu’un collecte des données personnelles qui vous rendent identifiables, le RGPD s’applique.

À l’inverse, le CCPA vise uniquement les consommateurs… et c’est là que le bât blesse. Étrangement, la loi ne donne jamais la définition d’un « consommateur », on sait seulement qu’il s’agit d’un résident californien. En gros, la loi dit: « si vous voulez savoir si vous êtes un résident californien, débrouillez-vous en allant chercher dans le Code des Règlements de Californie ». C’est donc ce que j’ai fait, et la réponse m’a laissé sur ma faim… et maintenant, je suis plus encore plus perdu à cause des nombreux trous dans l’équation. J’ai donc (encore) pris une grande inspiration et essayé de donné un sens à ce désordre.

Alors, que sait-on d’un « consommateur » ? Pas grand-chose, mais on peut jouer aux devinettes. Instinctivement, je dirais qu’un consommateur est un individu qui agit pour des finalités extérieures à son activité professionnelle ou commerciale. Plus simplement, un consommateur correspond à un particulier qui est client d’une entreprise. Je suis un juriste français, donc mes suppositions sont seulement basées sur une directive européenne (qui ne s’applique pas du tout en Californie). De ce fait, peut-être que je suis passé à côté de quelque chose.

Si mes suppositions sont exactes, cela signifie que le CCPA ne s’applique qu’aux personnes qui sont clientes d’un commerce. Ainsi, si vous êtes un salarié, un usager de service public ou un bénévole pour une association, vous n’avez pas votre mot à dire et vous ne pouvez pas empêcher l’organisme d’utiliser vos informations personnelles. Cette théorie réduit drastiquement le champ d’application du CCPA.

Au final, le RGPD est bien plus efficace que le CCPA puisqu’il s’applique à toute personne dans tout genre de situation, et pas seulement lorsqu’un individu effectue une transaction avec une entreprise. Pour cette raison, le RGPD obtient un point.

CCPA : 3 – RGPD : 1
Vous vous souvenez que j’ai donné 3 points d’avance au CCPA par bonté de cœur ?

2. Pour quelles entreprises ?

Le RGPD s’applique à toutes les entreprises, sans exception. Encore mieux, le règlement n’est pas seulement destiné aux entreprises, mais à toute structure publique ou privée qui traite des données personnelles, peu importe la taille de l’organisme.

Cependant, le CCPA est plus piégeux et restreint. Il s’applique uniquement à un « commerce », ce qui exclut de fait les organismes publics ou les associations. Et même si vous possédez un commerce, vous n’êtes pas forcément soumis au CCPA. En effet, la définition donnée par le CCPA est plutôt intéressante, puisque trois conditions sont requises pour être soumis au CCPA :

  • Le commerce doit avoir un chiffre d’affaires annuel brut supérieur à 25 millions de dollars ;
  • Le commerce doit acheter, recevoir, vendre ou partager les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils par an ;
  • Au moins 50 % du chiffre d’affaires annuel doit provenir de la vente d’informations personnelles de consommateurs.

Pour résumer, si vous ne remplissez pas l’une des conditions ci-dessus, le CCPA ne s’applique pas pour vous. En somme, beaucoup de commerces sont « épargnés » par cette loi. C’est presque comme si elle avait créée spécialement pour Facebook, vous ne trouvez pas ? Étant donné que le législateur californien ne peut pas créer une loi punissant directement Facebook, il a choisi des critères qui correspondent en tout point au réseau social. C’était également le moyen parfait de faire une pierre deux coups en pénalisant les autres GAFA.

Berger Allemand sur le point de mordre quelqu'un.
Ce qui se rapproche le plus de la réaction des GAFA quand ils ont entendu parler du CCPA.

D’une certaine façon, c’est un positif pour les résidents californiens qui verront leurs informations personnelles protégées par les grandes entreprises. Cependant, si vous avez affaire à un commerce local qui vend vos informations sans votre consentement, vous ne pouvez pas faire grand-chose pour l’en empêcher. Pour cette raison, le point est attribué au RGPD qui applique à tous les organismes.

CCPA : 3 – GDPR: 2

3. Comment refuser ?

Pour peu que les organismes soient totalement conformes au RGPD, vous pouvez refuser la vente de vos données personnelles. Si une structure souhaite collecter vos données, elle doit vous indiquer la finalité et vous devez donner un consentement éclairé. Si ce n’est pas le cas, le traitement est illicite et l’organisme ne peut pas collecter ou vendre vos données personnelles à qui que ce soit.

Avec le CCPA… c’est plus compliqué. Par défaut, un commerce peut collecter vos informations personnelles jusqu’à ce que vous refusiez (principe de l’opt-out). Mais si vous ne faites pas suffisamment attention ou que vous ne savez pas qu’un commerce collecte vos informations personnelles, elles peuvent être légalement vendues à quiconque.

Pour faire simple : avec le RGPD, interdiction de vendre vos données tant que vous n’y avez pas consenti. Avec le CCPA, vos données peuvent être vendues tant que vous ne refusez pas. Autant dire que le RGPD est plus protecteur de la vie privée des personnes.

RGPD : 3 – CCPA : 3
(Égalité ! Je sais, le suspense est insoutenable…)

4. Quels sont vos droits ?

Le RGPD vous confère de nombreux droits pour vous assurer un contrôle sur les données que vous avez transmises à un tiers. Grosso modo, voici les droits qui vous sont conférés :

  • un droit à une information et une communication transparente ;
  • un droit d’accès ;
  • un droit de rectification ;
  • un droit d’effacement (A.K.A. le « droit à l’oubli » depuis l’affaire Google Spain) ;
  • un droit à la limitation du traitement ;
  • un droit à la portabilité des données ;
  • un droit d’opposition ;
  • un droit d’opposition à une décision prise par un algorithme.

N’importe quel citoyen européen peut exercer les droits ci-dessus pour avoir le contrôle sur les données transmises à un tiers.

Sous l’empire du CCPA, vous pouvez exercer les droits suivants :

  • le droit de connaître les informations personnelles sont collectées sur vous ;
  • le droit de savoir si vos informations personnelles sont vendues ou divulguées à un autre commerce ;
  • le droit de refuser la vente de vos informations personnelles (principe de l’opt-out) ;
  • le droit d’accéder à vos informations personnelles ;
  • le droit à un service et à un prix égal, même si vous exercez vos droits.

Au premier abord, le RGPD et le CCPA semblent offrir les mêmes droits… mais évidemment, le CCPA a de sérieuses limites.

Par exemple, vous être un résident californien et vous voulez accéder aux informations que Facebook a collectées sur vous ? À vrai dire, n’espérez pas obtenir l’intégralité données collectées depuis votre inscription sur le réseau social, parce que le CCPA impose seulement aux commerces de donner accès aux données collectées au cours des 12 derniers mois. Si vous avez une bonne étoile, peut-être que le commerce vous donnera accès à la totalité de vos données, mais ce scénario semble improbable.

Homme déguisé en Père Noël et tenant une lumière.
On sort tout juste de la période de Noël, donc j’ai pensé que cette image serait appropriée.

Oh, j’ai oublié un détail. Sous l’empire du CCPA, vous ne pouvez pas exercer vos droits plus de deux fois par an et par commerce. Aucune explication n’est donnée concernant cette restriction, mais je n’arrête pas d’imaginer le législateur californien qui se réveille un jour en se disant : « ce serait bien de protéger la vie privée des gens… mais seulement deux fois pas an ». J’espère que ce n’est pas ce qu’il s’est passé, mais cette limitation est très curieuse. Ça revient à accorder des droits aux personnes, mais pas trop de droits non plus pour protéger Facebook.

Sans trop se mouiller, on peut dire que le RGPD est bien plus efficace pour protéger les droits des personnes. Il n’englobe pas seulement la vente de données personnelles : il prévoit également beaucoup d’obligations concernant la façon dont les données sont protégées ou traitées.

C’est pour cette raison que le point est attribué… au RGPD ! (grande surprise dans le public…)

RGPD : 4 – CCPA : 3

5. Quelles sanctions ?

Voilà la partie intéressante de l’article. Comme vous le savez peut-être, le RGPD prévoit deux types de sanctions :

  • une amende de 10 millions d’euros ou de 2 % du chiffre d’affaires annuel mondial ;
  • une amende de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial.

Selon la gravité de la violation, l’autorité de contrôle peut infliger l’une des amendes ci-dessus. Depuis que le RGPD est entré en vigueur, de nombreuses condamnations ont eu lieu, dont la plus frappante est celle de British Airways (avec une amende de 200 millions d’euros).

D’un autre côté, le CCPA prévoit des amendes incroyablement et intensément colossales :

  • 2 500 dollars pour chaque violation ;
  • 7 500 dollars pour chaque violation intentionnelle.

Ainsi, pour dépasser les 20 millions d’euros d’amende prévus par le RGPD, un commerce doit commettre au moins 8 000 infractions (ou 2 666 infractions intentionnelles). De plus, je vous rappelle que le CCPA ne s’applique qu’aux commerces qui réalisent un chiffre d’affaires supérieur à 25 millions de dollars par an. Ainsi, je suis sûr que les GAFA ont bien ri quand ils ont vu le montant des amendes (rien de mieux qu’un peu de lobbying…).

Une grenouille regardant dans les sous-vêtements d'une autre grenouille.
J’avais une bonne légende pour cette image, mais j’aurais été censuré…

RGPD : 5 – CCPA : 3
Je sais, l’acharnement envers le CCPA devient lassant…

6. L’autorité de contrôle ?

Concernant le RGPD, il n’existe qu’une seule autorité de contrôle pour chaque État membre de l’Union européenne. Chacune d’entre elles peut infliger des amendes ou aider les personnes concernées à exercer leurs droits. Tout ceci doit être effectué à titre gratuit. Pour assurer une application harmonieuse du RGPD dans chaque État membre, toutes les autorités de contrôle font partie du Comité Européen de la Protection des Données.

Avec le CCPA, il n’existe aucune autorité de contrôle comme dans l’Union européenne. À la place, l’autorité chargée de s’assurer de la bonne application du CCPA est le procureur général. Ce dernier a le pouvoir de diligenter des enquêtes en cas de violation de la loi et de soumettre cette enquête à un juge.

Cependant, le problème est que le procureur général contrôle l’application du CCPA en plus de toutes ses autres affaires juridiques en cours. Cela signifie qu’il n’est pas forcément spécialisé dans la protection des données personnelles, donc certaines violations risquent de passer entre les mailles du filet.

Tout l’argent collecté grâce aux actions civiles afférentes au CCPA ira directement dans le « Consumer Privacy Fund » (« Fonds relatif à la vie privée du consommateur » en français). Ce fonds sera seulement destiné pour intenter des actions en justice contre des commerces qui ne sont pas conformes au CCPA. Au premier abord, on dirait que le législateur a bien rôdé ce système, mais quelque chose me chiffonne : que se passe-t-il si le fonds est vide ? Cela signifierait-il que le procureur général ne pourrait plus saisir les tribunaux ou monter un dossier contre les commerces s’il ne reste plus d’argent ? Le CCPA vient tout juste d’entrer en vigueur, donc ce ne sont que des spéculations. On verra bien dans quelques mois comme ça se passe.

En attendant, un autre point pour le RGPD qui prévoit des autorités de contrôle dédiées à la protection des données. Elles assurent la bonne application du RGPD dans toute l’Europe, et les États membres doivent leur offrir toutes les ressources nécessaires pour exécuter leurs missions.

RGPD : 6 – CCPA : 3

7. Quelle protection pour les enfants ?

Sous l’empire du RGPD, l’enfant de moins de 16 doit obtenir le consentement de ses parents ou de son tuteur légal pour partager ses données personnelles. Les enfants bénéficient pratiquement des mêmes droits que les adultes, sauf qu’ils n’ont pas la capacité à consentir au partage de leurs données.

De prime abord, le CCPA a beaucoup de points communs avec le RGPD en ce qui concerne la protection des enfants. En effet, les enfants de moins de 13 ans doivent obtenir le consentement de leurs parents ou tuteur légal pour vendre leurs informations personnelles. Il n’y a aucune différence avec le RGPD sur ce point.

Entre 13 et 16 ans, les commerce n’ont plus besoin du consentement des parents pour vendre les informations de leurs enfants. Le CCPA laisse implicitement le choix aux enfants d’accepter la vente de leurs informations personnelles, sans qu’aucun adulte n’intervienne dans la décision.

Pour les enfants de plus de 16 ans, finis les traitements de faveur. Les commerces peuvent vendre leurs informations personnelles tant qu’ils n’ont pas refusé.

Sur le papier, les dispositions du CCPA semblent plutôt bonnes et justes. Cependant, puisque le pinaillage est l’une de mes activités préférées, j’aimerais émettre quelques réticences. En effet, en y réfléchissant bien, quasiment tous les commerces soumis au CCPA imposent d’être âgé d’au moins 13 ans pour utiliser leur service. Cela signifie que vous ne pouvez pas créer un compte Facebook, Twitter, Instagram, Snapchat, Apple ou Google si vous avez moins de 13 ans. Pour faire simple : impossible de s’inscrire parmi les services les plus populaires chez les jeunes.

Des enfants jouant à Pokémon Go.
Oui, j’utilise une photo stéréotypée d’enfants qui jouent à Pokémon Go pour étayer mes propos.

Bon, que cela implique-t-il pour le CCPA ? Cela signifie que les parents ne seront quasiment jamais en mesure de donner leur consentement concernant la vente des informations personnelles de leurs enfants. Une fois que leurs enfants seront légalement en capacité de s’inscrire sur des réseaux sociaux (qui sont les plus gros aspirateurs de données du monde), le consentement de leurs parents ne sera plus requis. Il appartiendra aux enfants de décider s’ils veulent autoriser un commerce à vendre leurs informations personnelles. Vous pensez sincèrement que des gamins de 13 ans lisent les conditions générales d’Instagram avant de créer un compte ? Et même si c’était le cas, sont-ils suffisamment matures pour comprendre le concept de vie privée et décider de ce qu’ils veulent faire de leurs informations personnelles ? La plupart des adultes ne sont mêmes pas sensibilisés à ces concepts, donc ce sera encore moins clair pour un enfant.

Si vous voulez mon avis, le législateur savait pertinemment que la plupart des services en ligne imposent d’avoir au moins 13 ans, donc c’est pour cette raison que le CCPA requiert le consentement des parents pour les enfants de moins de 13 ans. En d’autres termes, cette disposition est juste écrite pour faire joli alors qu’en réalité, elle est juste inutile.

De ce fait, puisque le RGPD offre une meilleure protection aux enfants, c’est à ce règlement qu’est attribué le point.

RGPD : 7 – CCPA : 3

8. Et pour les recours civils ?

Lorsqu’un citoyen européen subi un dommage du fait de la violation du RGPD, il peut intenter une action en justice pour demander réparation de son préjudice et le versement de dommages-intérêts. C’est suffisant pour aller devant juge. Bien évidemment, vous pouvez demander réparation du préjudice individuellement ou collectivement, c’est comme vous voulez.

Vous l’avez compris maintenant, les choses sont plus compliquées avec le CCPA. Certaines conditions doivent être respectées si vous voulez entamer une action en justice pour violation du CCPA.

En effet, avant d’intenter une quelconque action à l’encontre d’un commerce et obtenir des dommages-intérêts, le consommateur doit notifier le commerce de la supposée violation. À ce moment-là, le commerce dispose de 30 jours pour réparer le préjudice et remédier à la violation. Si le commerce s’est exécuté, le consommateur ne pourra pas intenter un procès. C’est donc bien de savoir qu’un commerce peut faire n’importe quoi avec vos informations personnelles jusqu’à ce que vous leur demandiez d’arrêter.

Oh, un détail qui a toute son importance : vous pouvez intenter une action SEULEMENT lorsqu’un commerce ne respecte pas les obligations de sécurité qui lui incombent. Cela signifie que vous pouvez seulement faire un procès au commerce pour des violations résultant du non-chiffrement ou de la non-expurgation de vos informations personnelles.

Heureusement pour vous, grâce à l’immense générosité du législateur, les consommateurs sont exemptés de la notification préalable mentionnée ci-dessous si vous intentez une action seulement pour des dommages-intérêts pécuniaires. Mais si vous choisissez cette voie, sachez que vous pouvez seulement obtenir des dommages-intérêts compris entre 100$ et 750$ par préjudice. Ni plus, ni moins. C’est peu cher payé quand vous apprenez qu’un commerce s’est fait davantage d’argent sur votre dos grâce à cette violation. En résumé, cette disposition a pour but de dissuader les gens d’agir en justice.

Alors, devinez à qui est attribué le point ?

RGPD : 8 – CCPA : 3

9. Comment exercer vos droits ?

Le RGPD vous permet d’exercer vos droits à tout moment en soumettant une demande orale, écrite ou électronique auprès du responsable de traitement. La demande doit être faite à titre gratuit et le responsable de traitement doit faire droit à la demande dans un délai d’un mois. Cependant, ce délai peut être étendu à deux mois si la demande prend beaucoup de temps à traiter ou que le responsable de traitement fait face à une surcharge de demandes.

L’avantage du CCPA est que les consommateurs peuvent exercer leurs droits de façon quasi-similaire au RGPD. Les consommateurs peuvent faire une demande gratuite, et les commerces devront y répondre dans un délai de 45 jours. Ce délai peut être étendu à 45 jours supplémentaires.

En additionnant le temps initial et le temps supplémentaire requis pour répondre à la personne concernée ou au consommateur, il n’y a aucune différence entre le RGPD et le CCPA.

De ce fait, je suis fier d’annoncer que le point est attribué… au RGPD ! Croyez-moi, j’aurais volontiers donné le point au CCPA, mais il y a une incohérence dans la loi. Peut-être que quelque chose m’a échappé dans le texte, mais je suis quasiment sûr qu’il contient une erreur. Dans les premières pages, la loi indique que le délai de réponse d’un commerce peut être étendu à 45 jours supplémentaires, mais quelques pages plus tard, je découvre que « la requête peut être étendue jusqu’à 90 jours supplémentaires ». Alors, 45 ou 90 jours supplémentaires pour répondre aux demandes des consommateurs ? J’imagine qu’on sera fixé si un commerce se fait condamner pour avoir répondu au-delà des 45 jours supplémentaires.

Le législateur californien : un héros qui ne sait pas vraiment ce qu’il fait.

RGPD : 9 – CCPR : 3

10. Quelles sont les obligations des responsables de traitement/commerces ?

Un responsable de traitement soumis au RGPD doit se conformer à de nombreuses obligations, tel que :

  • Documenter un registre des activités de traitement ;
  • Réaliser des analyses d’impact pour les situations susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ;
  • Désigner un DPO, ce qui est obligatoire dans certaines situations et fortement recommandé pour d’autres ;
  • Notifier l’autorité de contrôle de toute fuite de données ;
  • Contrôler tout transfert de données en dehors de l’Union européenne ;
  • Assurer la haute sécurité des données traitées ;
  • Prendre des mesures techniques et organisationnelles pour se conformer au règlement…

Bref, ça prendrait trop de temps de lister toutes les obligations imposées par le RGPD. L’idée est que les responsables de traitement sont soumis à beaucoup d’obligations, et c’est pour cette raison que le RGPD a été promulgué en avril 2016 et qu’il est entré en vigueur en mai 2018. Les obligations étaient tellement lourdes pour les entreprises que les institutions européennes ont donné aux responsables de traitement un délai de 2 ans pour se conformer au règlement.

Concernant le CCPA, les commerces ne disposaient de moins de 6 mois pour se conformer à la loi. Cela signifie-t-il que le législateur mourrait d’envie de voir les commerces appliquer la loi ? Non. Cela signifie juste que les obligations sont moins nombreuses que celles du RGPD, donc la mise en conformité prendra beaucoup moins de temps.

En effet, les commerces doivent surtout protéger les informations personnelles des consommateurs (ce qui devrait déjà être fait grâce au RGPD), mettre en place des mesures pour appliquer le principe de l’opt-out, et instaurer des procédures pour que les consommateurs puissent exercer leurs droits. Donc contrairement au RGPD, pas besoin de créer un registre des activités de traitement, mener des analyses d’impact, etc.

À ce moment-ci, vous savez à qui est attribué le point…

RGPD : 10 – CCPA : 3

Alors, quelle est la morale de l’histoire ?

Tout d’abord, félicitations pour avoir lu cet article jusqu’au bout. Je sais que ce sujet était très long pour certains d’entre vous, donc chapeau bas !

Ce que vous devez retenir : le CCPA est une blague « dans la bonne direction ». Cette loi est positive pour les californiens, mais c’est insuffisant pour égaler le RGPD. Bien évidemment, le RGPD est loin d’être exempt de défauts, mais ce règlement a été une vraie révolution pour les citoyens européens qui ont repris le contrôle sur leurs données personnelles.

Je pense que le CCPA était destiné à une plus grande cause, mais les amendements et le lobbying ont eu raison de lui. Au final, on dirait que la loi a été écrite à la va-vite ou qu’il s’agit d’un brouillon, au grand bonheur des commerces.

De ce fait, si vous êtes déjà conforme au RGPD, le plus difficile est derrière vous et vous devez juste peaufiner quelques détails afin de vous conformer au CCPA.

Si vous ne savez pas si vous êtes conforme au RGPD, vous pouvez remplir le questionnaire gratuit de Ziwit qui vous dira tout !

More

Comment

Your email address will not be published.