La CPRA après le CCPA : la Californie se rapproche-t-elle encore plus de notre RGPD ?
Pour tout savoir sur la nouvelle loi californienne en matière de RGPD, et ce qui là distingue de notre règlement européen.
Ça y est, une nouvelle proposition de loi a pris forme en Californie. Comme il est coutume de le faire sur notre blog, il s’agira de parler de la protection des données personnelles puisqu’il s’agit de la California Consumer Privacy Act (CCPA) de 2018, nouvelle génération. En effet, c’est l’entrée en scène de la California Privacy Rights Act (CPRA). Celle-ci se veut plus protectrice et se rapproche un peu plus de notre cher Règlement général de la protection des données (RGPD). Mais elle est encore loin du compte.
Décryptage :
Quand sera-t-elle applicable ?
Sur le calendrier nous avons déjà dépassé la date de son adoption : le 3 novembre, une majorité d’électeurs californiens ont voté.
Il ne s’agit pour l’instant que d’une « proposition ». Un règlement final sera adopté le 1er juillet 2022. C’est encore loin. Plus loin encore, ce sera son entrée en vigueur, prévue pour le 1er janvier 2023. De plus, depuis le 1er janvier, elle bloque toute autre loi sur le même sujet, la faisant pièce maître de la protection de la vie privée des californiens. Enfin… Pas vraiment tous les « californiens », puisque la définition des « personnes » visées reste assez succincte.
Qui est donc concerné ?
Les « consommateurs » et « ménages » californiens. Attention ici, la définition de consommateur est toujours aussi nébuleuse. Eh bien, en fait, les législateurs se gardent toujours de nous la donner. Donc il faut réfléchir à l’envers, enfin pas tout à fait, mais tout ce qu’on nous donne c’est la définition « d’entreprise ». Ainsi, par la même occasion, nous savons à qui s’adresse la loi.
Récapitulons : Toute entreprise ayant des affaires lucratives dans l’État de Californie et dont le chiffre d’affaires annuel brut est supérieur à 25 000 000 dollars au cours de l’année civile précédente. Mais un paramètre a changé : ce n’est plus la vente, le partage ou l’achat de données de 50 000 consommateurs ou ménages mais de 100 000. Ce qui réduit encore plus le champ des entreprises visées par le texte.
En revanche, la définition de ménage se veut plus précise : Désigne un groupe de consommateurs cohabitant à la même adresse résidentielle et partageant l’utilisation d’appareils ou services.
Enfin, ces entreprises doivent tirer 50% de leurs revenus annuels de la vente ou du partage des informations personnelles (oui, les californiens ne veulent pas dire « données personnelles » comme leurs voisins européens. Il faut savoir se distinguer… *tousse*). Oups, gardons nos masques et restons chez nous.
Cela fait donc toujours beaucoup de conditions pour se sentir concerné par la protection. A contrario, le RGPD protège les données personnelles de toute personne physique, traitées par les entités privées ou publiques, d’un consommateur, d’un salarié, d’un client, d’un fournisseur… etc. Et ce, sans aucun seuil. En clair, ce n’est pas comparable.
- Sur quoi porte-t-elle ?
Comme son homologue, la CPPA, la CPRA vise à réglementer les droits que peut avoir un résident californien sur ses informations personnelles détenues par une société. Ainsi que les responsabilités de ces dernières.
En outre, la loi assimile assez maladroitement les « informations personnelles » à une liste d’ingrédients.
En effet, le texte justifie l’apport de la protection accrue des consommateurs en leur offrant plus de contrôle et de visibilité comme ils l’auraient en faisant leurs courses au supermarché. Et non, ce n’est pas exagéré. Les électeurs nous disent « de la même façon que les étiquettes des ingrédients des aliments aident les consommateurs à faire leurs achats plus efficacement, la divulgation des pratiques de gestion des données des entreprises vont aider les consommateurs à devenir des contreparties mieux informées dans l’économie des données ». Tout en gardant à l’esprit que cela « va promouvoir la concurrence ». Youpi, certains résidents californiens vont pouvoir savoir ce qui est fait de leurs données aussi facilement que ce qui compose leurs assiettes !
Malgré tout, dans l’introduction, le Législateur s’est donné la peine de nous faire un petit historique pour démontrer à quel point la vie privée lui tenait à cœur. « En 1972 » : eh oui, avant notre Loi Informatique et Libertés de 1978 vous rendez-vous compte ?! Alors quoi en 1972 ? Eh bien, les électeurs californiens ont modifié la Constitution pour inclure le droit à la vie privée par les Droits « inaliénables » de tous. Ils sont donc les pionniers en matière de sécurité personnelle contre les méchants collecteurs et revendeurs « d’informations personnelles ».
Alors, alors, qu’est-ce que nous réserve d’autre cette proposition de loi ?
Après une attente insoutenable (nooon), à la lecture du CPRA, nous découvrons une notion extraterrestre CCPA de 2018. Euh non, nous ne sommes pas dans une science-fiction américaine. Mais, un point nouveau entre en jeu. Il s’agit des informations personnelles « sensibles ». Aka les « données sensibles » des européens ???
Les informations personnelles sensibles
Pour rappel, les « données sensibles », au sens européen du terme, ce sont les informations qui révèlent :
- La prétendue origine raciale ou ethnique ;
- Les opinions politiques :
- Les convictions religieuses ;
- Les convictions philosophiques ;
- L’appartenance syndicale ;
- Le traitement des données génétiques ;
- Le traitement des données biométriques aux fins d’identifier une personne physique d’une manière unique ;
- Les données de santé ;
- La vie sexuelle ou l’orientation sexuelle
Leur traitement est en principe interdit sauf si :
- La personne a donné son consentement ;
- Les informations sont manifestement rendues publiques par la personne concernée ;
- Elles sont nécessaires à la sauvegarde de la vie humaine ;
- Si leur utilisation est justifiée par l’intérêt public
- Et si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Maintenant prenons nos lunettes de correction californiennes pour voir ce qu’entend la loi par « informations personnelles sensibles » :
- Numéro de sécurité sociale du consommateur :
- Permis de conduire ;
- Carte d’identité ou numéro de passeport ;
- Connexion au compte d’un consommateur, compte financier ;
- Carte de débit ou numéro de carte de crédit en combinaison avec tout code de sécurité ou d’accès requis, mot de passe ou identifiants permettant d’accéder à un compte ;
- Géolocalisation précise d’un consommateur ;
- L’origine raciale ou ethnique d’un consommateur ;
- Les croyances religieuses ou philosophiques
- L’appartenance syndicale ;
- Le contenu du courrier papier et électronique, des SMS, à moins que l’entreprise ne soit la destinataire directe de la communication ;
- Les données génétiques d’un consommateur ;
- Le traitement des informations biométriques dans le but d’identifier de manière unique un consommateur ;
- Les informations concernant la santé du consommateur ;
- Les informations personnelles collectées et analysées concernant la vie sexuelle ou l’orientation sexuelle d’un consommateur ;
Cela exclu les informations personnelles sensibles qui sont rendues publiques par le consommateur.
Attendez ! Mais quelles sont les « informations personnelles » déjà ? Parce-que là, cette recette d’informations personnelles sensibles contient beaucoup d’ingrédients !
En bref, les informations personnelles ce sont :
Celles qui identifient, qui décrivent et qui peuvent être raisonnablement associées directement ou indirectement à un consommateur ou un ménage. Ces renseignements peuvent être :
- Nom, prénom, adresse ;
- Identifiant en ligne, adresse IP, adresse e-mail ;
- Numéro de sécurité sociale ;
- Permis de conduire ;
- Passeport, carte d’identité ;
- Les informations commerciales telles que les enregistrements de biens personnels, produits ou services achetés, obtenus ou envisagés ou tout autre achat ;
- Les habitudes de consommation, l’historique des achats ou les préférences d’achats ;
- Informations biométriques ;
- Tout activité sur Internet ou autre réseau électrique qui peut comprendre l’historique de navigation et de recherche Internet ;
- Données de géolocalisation ;
- Données audio, électroniques, visuelles, thermiques, olfactifs ou informations similaires.
Ouf ! En fait ça fait plus peur qu’une science-fiction hollywoodienne quand on voit toutes les informations personnelles qui sont « exploitées » par les entreprises américaines. Et encore cette loi « protège » seulement les californiens. Cependant, on peut voir des doublons avec la liste de ce qui est considéré comme informations personnelles sensibles.
- Du coup, que faire de cette nouvelle notion ?
Les Californiens pourront choisir de limiter l’utilisation et la divulgation de ces informations. Concrètement, les entreprises devront restreindre l’usage à ce qui est strictement nécessaire pour exécuter les services ou fournir les marchandises raisonnablement attendues par un consommateur moyen. Et si jamais l’entreprise souhaite dépasser cette limitation, elle doit informer le consommateur et obtenir son accord. Autrement dit, l’entreprise devra se la jouer Grand Seigneur auprès des consommateurs et ménages en leur demandant une autorisation expresse pour pouvoir vendre ou partager de telles informations.
En tous cas, cela fait beaucoup d’éléments collectés, utilisés, vendus et partagés. Mais bon, les Américains l’ont bien intégré : il faut faire des données personnelles un vrai business – au même titre que celui de l’industrie alimentaire, CQFD. Rappelez-vous : tout n’est qu’une question d’étiquette.
En parlant d’étiquette, est ce que les obligations de protection et de renseignement des informations personnelles détenues par les entreprises se sont renforcées ? C’est bien beau de dire que la vie privée nous tient à cœur et qu’il faut davantage la préserver, mais qu’est-ce que la législature californienne a vraiment réservé pour ses résidents ?
Les responsabilités incombant aux entreprises
Chez les américains, on est au royaume du « deal » des informations personnelles. Après tout, il y siège toutes les sociétés de la Silicon Valley. Or, le Législateur nous dit qu’il faut placer le consommateur sur un même pied d’égalité que les entreprises lors des négociations. Il nous explique que le consommateur doit arriver à comprendre « en un coup d’œil » si un bien ou un service est cher ou abordable. Malheureusement, il est souvent difficile de comprendre les pratiques d’utilisation d’une entreprise. Pour les Californiens, cela représente une perte de temps et donc d’argent ! Ainsi, le droit de contrôle du consommateur doit être renforcé. L’intention y est : les entreprises doivent pouvoir renseigner sur ce qu’elles détiennent exactement comme informations sur leurs consommateurs et déterminer les finalités du traitement. En substance, c’est ce qui était déjà applicable par la CCPA.
Or, la loi a voulu mettre l’accent sur la relation des entreprises avec les tiers. En effet, Toute entreprise doit pouvoir renseigner sur « le but commercial de la collecte, de la vente ou du partage et les catégories de tiers à qui sont destinées les informations ».
Renforcement des relations avec les tiers.
Un contrat devra être mis en place pour obliger les tiers à assurer un même niveau de protection de la vie privée et ainsi apporter la même garantie concernant la sécurité des données. De plus, l’entreprise recevant une demande de la part d’un consommateur pour supprimer ses données, devra informer les tiers avec qui elle partage ou vend les informations.
En l’espèce, le CCPA n’oblige pas les fournisseurs de service à répondre aux demandes de désinscription du consommateur. La loi exige que ce dernier doive s’adresser directement à l’entreprise et autorise le fournisseur à refuser la demande. De même, si le fournisseur n’est pas en mesure de dire de quelles entreprises il détient l’information, c’est au consommateur de prendre les devants pour remonter lui-même à la source. Mais cela est parfois impossible. Il faudra donc espérer que le renforcement des contrats avec les tiers permette de pallier cette lacune.
Cependant, le texte ne prévoit toujours pas de documenter l’activité de l’entreprise en la matière. Il n’est toujours pas fait mention de « registre » ou terme analogue comme cela est imposé avec le RGPD. Il est donc à prévoir qu’il y règne encore un flou dans l’accès aux informations.
Mais revenons-en aux réelles nouveautés…
La détermination d’une durée de conservation.
Encore un rapprochement timide avec le RGPD qui l’exige déjà depuis 2018. Désormais, les notices devront inclure une période de conservation pour chaque catégorie de renseignements personnel ou déterminer des critères de durée si cette période est impossible à établir. Le CPRA souhaite interdire la conservation au-delà de ce qui est raisonnablement nécessaire.
C’est une bouteille lancée à la mer, comme dans le RGPD, c’est à l’entreprise de mettre en place une politique de cycle de vie de la donnée. En Europe, c’est le responsable de traitement qui doit rechercher dans la règlementation quelles sont les durées légales ou les durées légitimes de conservation. Il n’y a pas de guide, sauf éventuellement un délégué à la protection des données. Mais Outre-Atlantique, les entreprises doivent se débrouiller pour se conformer à cette nouvelle obligation. Nous sommes sur la terre de la liberté donc c’est logique non ? Il y a peut-être des lois prévues mais le CPRA ne dit pas si on doit s’y référer.
Par ailleurs, nous l’avons vu un peu plus haut, les consommateurs peuvent limiter l’utilisation de leurs informations sensibles à ce qui est strictement nécessaire. C’est un bon point qui sera accompagné de deux nouveaux droits :
- Le droit de correction, que nous possédons déjà en Europe. Tout consommateur pourra modifier une information erronée à son sujet.
- Le droit de refuser le partage de renseignements personnels qui permettent d’établir une « publicité comportementale contextuelle ». C’est un droit spécifique aux californiens que nous n’avons pas ici. Nous avons le droit de nous opposer à un traitement mais nous ne connaissons pas ce droit d’interdiction de partage car par principe, le responsable de traitement ne partage pas les données personnelles à des tiers. Ici, cela ressemble au droit de ne pas consentir à ce que des cookies soient utilisés par un site Web.
En conséquence, les paramètres d’affichage d’une page Web d’une entreprise californienne doivent faire apparaître 3 choix au consommateur. Ces trois choix peuvent apparaître sur un seul et même lien :
- Désactiver la vente, le partage des renseignements personnels et la limitation des informations sensibles
- Limiter les informations sensibles
- Ne pas vendre ou partager mes informations pour la publicité comportementale.
Sauf si cela est « techniquement impossible », évidemment, il faut toujours prévoir l’impossible ou alors justifier l’exploitation des données sous couvert de « garantir la sécurité » des consommateurs. Il est rappelé que le choix de refuser la vente ou le partage, ne doit pas dégrader l’expérience du consommateur. C’est le principe du droit à la non-discrimination qui était déjà mentionné par le CCPA en 2018.
Et sinon, est ce que des sanctions sont prévues pour tout manquement à la loi…
Les sanctions
Rien de nouveau sous le soleil. Enfin, juste quelques améliorations :
Les actions civiles
Nous allons quand même le redire, rien n’est prévu pour les consommateurs si les entreprises ne respectent pas les dispositions de la loi à la lettre. Le consommateur peut intenter une action civile seulement si ses données ont été violées alors que l’entreprise n’avait pas sécurisé les données par une mesure de cryptage ou non expurgée.
Ce n’est plus la seule possibilité. En effet, s’il y un accès non autorisé avec vol et exfiltration de données d’une adresse mail protégée par un mot de passe ou une question de sécurité, une action peut être intentée.
Le montant du dédommagement reste le même : Minimum 100 dollars et pas plus de 750 dollars par consommateur, par incident ou par dommage réel (il faut donc choisir le plus élevé des deux).
Avant d’engager ces actions, le consommateur doit le notifier à l’entreprise qui a alors 30 jours pour « guérir » et instaurer des mesures assurant qu’aucune autre violation ne pourra se produire. C’est seulement à l’issue de ce délai de 30 jours que le tribunal pourra allouer des compensations au consommateur. Il ne faudrait surtout pas que ces entreprises gaspillent leur argent à dédommager les consommateurs ! C’est sûrement justifié par les sommes qu’elles devront engager pour mettre les mesures de sécurité adéquates…
Que fait l’administration américaine contre les abus ? Les actions administratives
S’agissant des infractions, le CCPA 2018 prévoit que le Procureur général peut engager la responsabilité des entreprises pour chaque violation. Le montant pouvant aller jusqu’à 2500 dollars et 7500 dollars pour chaque violation intentionnelle.
Dans le CPRA si la violation, même non-intentionnelle, implique un mineur de moins de 16 ans, la sanction sera directement portée à 7500 dollars.
Et, grande nouveauté !
La sanction doit être intentée par un nouvel acteur : l’Agence californienne de protection de la vie privée (the California Privacy Protection Agency).
L’Agence californienne de protection de la vie privée
Parlons de cette nouvelle création. Va-t-elle remplir les mêmes fonctions que notre dévouée Commission Nationale de l’Informatique et des Libertés (CNIL) ? « An independent watchdog » (un chien de garde indépendant), ce sont les mots employés par le Législateur de la Côte Ouest pour décrire l’Agence.
Les missions de l’Agence
- Veiller au respect de la protection de la vie privée par les entreprises
- Mise en œuvre des sanctions administratives
- Fournir des conseils aux entreprises concernant leurs responsabilités et nommer un vérificateur en chef de la protection de la vie privée pour effectuer des audits.
- Promouvoir la sensibilisation et la compréhension des risques, des règles, des responsabilités, des garanties et des droits auprès du public.
- Fournir des conseils au consommateur concernant leurs droits
- Fournir une assistance technique et des conseils au Législateur en ce qui concerne la protection de la vie privée
- Coopérer avec les autres agences compétentes en matière de loi sur protection de la vie privée
Le fait qu’un acteur indépendant surveille l’application des règles, permettra probablement de rendre les mesures plus effectives. C’est une garantie supplémentaire certaine de protection de la vie privée. L’Agence pourra peut-être impulser un élargissement du champ d’application de la loi.
Mais par quoi cela sera financé ?
Le budget
Un budget de 5 millions de dollars sera alloué à l’Agence pour son exercice 2020-2021 par le Fond général de l’État. Et 10 millions de dollars pour chaque année d’exercice, ajustés en fonction du coût de la vie. A titre de comparaison, la CNIL dispose d’un budget de presque 20 millions d’euros pour remplir sa mission de gardienne des droits de l’Homme et de la vie privée contre les dérives de l’informatique.
Par ailleurs, le « Consumer Privacy Fund » (fond de protection de la vie privée des consommateurs), qui compense tous les frais encourus par les tribunaux en rapport avec les actions intentées, sera subventionné par le Trésor public pour promouvoir la protection et éduquer les enfants dans le domaine de la confidentialité en ligne. Il financera aussi des programmes de lutte contre la fraude et autres activités illicites sur les données des consommateurs.
Voici comment le Législateur a pensé le budget pour cette campagne de confidentialité :
91% seront investis dans les actifs financier dans le but de maximiser les rendements sur le long terme. C’est-à-dire que ce sera l’argent investi dans le fond général pour financer les opérations en la matière.
9% seront mis à disposition de l’Agence californienne de protection de la vie privée dont 3% alloués aux catégories suivantes :
- Les organisations à but non lucratif et les agences publiques, y compris les milieux scolaires afin d’éduquer les enfants à la confidentialité en ligne ;
- Les locaux et les organismes répressifs de l’État ;
- Les programmes de coopération avec le droit international ;
- Les organismes d’application de la loi pour lutter contre la fraude et les activités de violation des données des consommateurs.
On voit un petit effort d’investissement de la part de la Californie pour dire qu’elle se sent concernée par la vie privée de ses résidents.
Donnons un bilan de tout cela…
Malgré les tirades du faiseur de lois prônant une protection accrue des consommateurs, les paroles semblent déséquilibrées face à ce qui est effectivement mis en place par le texte.
Les points qui fâchent :
- Un champ d’application qui s’est restreint : la loi vise les entreprises qui vendent, partagent ou achètent non plus les informations de 50 000 consommateurs et ménages, mais 100 000 ;
- Un budget faible pour garantir une vie privée trop longtemps négligée ;
- Toujours le principe de l’opt-out : vous devez dire de ne pas exploiter vos données plutôt que l’autoriser.
Les points d’amélioration :
- L’instauration d’une nouvelle catégorie d’informations : les informations personnelles sensibles ;
- Deux nouveaux droits : droits de correction et droit de limitation de l’utilisation des informations personnelles sensibles ;
- La création d’une Agence de protection de la vie privée des californiens ;
- Un budget engagé pour des programmes de protection de la vie privée, même s’il est timide, on peut noter l’effort.
Mais quelle serait la conséquence si jamais tous les résidents refusaient de vendre leurs données personnelles ?
Facebook tire 22 milliards de profit en 2018 grâce au volume immense de données personnelles qu’il a de ses utilisateurs. Or, le Législateur a souligné que c’est grâce à ces gains que ces services ne facturent pas de frais aux consommateurs. A l’avenir, aurons-nous des frais à débourser pour utiliser la plateforme ? Ce n’est pas qu’un songe éloigné : en France, on commence à voir des sites qui ne laissent plus qu’un choix très restreint à ses utilisateurs : C’est soit vous acceptez les cookies et vos données personnelles sont utilisées, soit vous payez un droit d’entrée. A titre d’exemple, Allo Ciné propose un tarif à 2 euros pour 1 mois. La CNIL n’était pas en faveur des « Cookies Wall » mais ils ne sont pas totalement interdits. Pour information, depuis le 1er avril, la CNIL a commencé ses actions de contrôle sur l’usage des cookies et le recueil du consentement. Nous verrons bien à l’avenir si ces pratiques resteront autorisées.
En attendant, il faudra se retrouver en 2023 pour voir s’il y a des évolutions au niveau du CPRA et pour se rendre compte des conséquences de l’application de la loi. D’ici là, des changements pourront être apportés.
Vous voyez, le rêve américain comporte bien des parts sombres, mais si vous êtes conforme au RGPD, pas de panique, vous avez déjà une longueur d’avance sur eux en matière de protection des données personnelles !