- Qu'est-ce que la CPRA ?
- Comment l'ACPR est-elle appliquée ?
- Pourquoi tous ces acronymes sont-ils si déroutants ?
- Quand le CPRA est-il entré en vigueur ?
- En quoi l'ACPR a-t-elle modifié l'ACPR ?
- Minimisation des données
- Protection des informations sensibles
- Le droit de retrait : "Ne pas vendre ou partager
- Le droit de faire corriger les informations
- L'ACPR et le contrôle mondial de la protection de la vie privée
- L'ACPR
- Conclusions
Qu'est-ce que la CPRA ?
Le California Privacy Rights Act (CPRA) est une loi californienne et une version modifiée du California Consumer Privacy Act (CCPA). En d'autres termes, il s'agit d'une modification de la loi californienne préexistante sur la protection de la vie privée.
Il convient de noter que le CPRA est le résultat d'une initiative électorale. Cela montre que les habitants de la Californie se préoccupent de leur vie privée et que les réglementations en la matière bénéficient d'un soutien important dans l'État.
Comment l'ACPR est-elle appliquée ?
Le CPRA est appliqué par l'avocat général de Californie. À partir de 2024, elle sera également appliquée par l'Agence californienne de protection de la vie privée (CPPA).
En outre, la CPRA prévoit un droit d'action privé en cas de violation de données, ce qui permet aux clients de poursuivre directement les entreprises (mais pas leurs partenaires et fournisseurs de services).
Pourquoi tous ces acronymes sont-ils si déroutants ?
Nous n'en avons aucune idée et nous détestons cela aussi. Voici une référence pratique :
- le CCPA (California Consumers Privacy Act) est l'ancienne loi californienne sur la protection de la vie privée datant de 2018
- le CPRA (California Privacy Rights Act) est la nouvelle loi qui entrera en vigueur en 2020
- la CPPA (California Privacy Protection Agency) est l'agence chargée de l'application de la loi, créée par la CPRA.
Quand le CPRA est-il entré en vigueur ?
Le CPRA est entré en vigueur le 1er janvier 2023. Cependant, certaines des règles de la CPRA sont vagues et doivent être précisées par la CPPA dans ses règlements. Ces règlements n'entreront en vigueur qu'en mars 2024 en raison d'une récente décision de justice.
En pratique, cela signifie que le règlement dans son ensemble est déjà en vigueur, mais que certaines règles ne deviendront applicables que l'année prochaine.
En quoi l'ACPR a-t-elle modifié l'ACPR ?
L'ACPR a apporté d'importantes modifications à l'ACPR, notamment
- l'introduction du principe de minimisation des données
- l'introduction d'une protection plus forte pour les informations sensibles
- l'élargissement de la portée du droit de refuser la vente ou le partage de renseignements personnels
- l'introduction de l'obligation de respecter les contrôles globaux de la vie privée du consommateur
- l'introduction d'un droit à la rectification des informations personnelles
- création de l'agence californienne de protection de la vie privée
Minimisation des données
En vertu de la CRPA, les informations personnelles des consommateurs ne peuvent être traitées et conservées que lorsque cela est raisonnablement nécessaire et proportionné à la finalité du traitement, ou pour une finalité différente, divulguée et compatible.
En résumé : 1) ne traitez que les données dont vous avez besoin et 2) ne les traitez que pour la finalité initiale pour laquelle elles ont été collectées ou pour une finalité compatible dont le consommateur a connaissance.
(C'est la version courte et simplifiée. Le texte de la règle a beaucoup plus de substance juridique : "La * collecte, l'utilisation, la conservation et le partage par une entreprise des informations personnelles d'un consommateur doivent être raisonnablement nécessaires et proportionnés pour atteindre les objectifs pour lesquels les informations personnelles ont été collectées ou traitées, ou pour un autre objectif divulgué qui est compatible avec le contexte dans lequel les informations personnelles ont été collectées, et ne pas être traitées ultérieurement d'une manière qui est incompatible avec ces objectifs*.)
La minimisation des données tente de réaliser beaucoup de choses avec un seul principe. En fait, la minimisation des données de l'ACPR couvre deux principes distincts du GDPR - la minimisation des données et la limitation des finalités. C'est pourquoi ce principe est si complexe.
En particulier, l'ACPR comprend des règles détaillées sur ce qui constitue une finalité compatible. Du côté européen, le GDPR ne contient pas de telles règles et laisse la notion ouverte à l'interprétation.
Protection des informations sensibles
L'ACPR a introduit une définition juridique des informations sensibles, ainsi que des règles spécifiques pour le traitement de ces informations.
Selon l'ACPR, la notion d'information sensible couvre :
- les données de géolocalisation précises
- les croyances religieuses
- l'origine ethnique
- le contenu d'une communication
- les données génétiques
- les informations biométriques à des fins d'identification
- les informations relatives à la santé
- les informations relatives au sexe ou à l'orientation sexuelle
- d'autres données pouvant être utilisées à des fins de fraude ou d'usurpation d'identité (numéro de sécurité sociale, identifiants d'accès, données relatives aux cartes de crédit/débit, etc.)
Les consommateurs ont le droit de demander aux entreprises de limiter l'utilisation et la divulgation de leurs informations sensibles à ce qui est strictement nécessaire pour fournir le service. En d'autres termes, ils peuvent refuser toute utilisation non essentielle de leurs informations sensibles.
Nous ne sommes pas très favorables aux systèmes d'opt-out, car ils font peser la charge de la protection de la vie privée sur le consommateur, au lieu d'exiger simplement des entreprises qu'elles adoptent de bonnes pratiques en matière de protection de la vie privée. L'ACPR constitue néanmoins un pas dans la bonne direction, car la LCAP ne prévoyait aucune règle pour les données sensibles.
Le droit de retrait : "Ne pas vendre ou partager
En vertu de l'ACPR, les consommateurs ont le droit de refuser la vente et le partage de leurs données personnelles. En vertu de la loi sur la protection des données, les consommateurs ne pouvaient s'opposer qu'à la vente de leurs données personnelles. L'ACPR élargit donc le champ d'application d'un droit de refus préexistant.
Cette modification a été influencée par le débat au sein de la communauté juridique sur la signification de la vente. La vente de renseignements personnels était définie en termes très généraux dans la loi sur la protection des données : la divulgation de renseignements en échange d'une somme d'argent ou d'une autre contrepartie de valeur était considérée comme une vente. La notion de contrepartie de valeur était suffisamment large pour couvrir la publicité comportementale inter-contexte impliquant un tiers (généralement Google ou Meta).
Néanmoins, certaines entreprises ont affirmé que l'utilisation de cookies analytiques ne constituait pas une vente. L'ACPR a donc mis fin au débat une fois pour toutes : elle a étendu le champ d'application du droit de refus à la vente et au partage d'informations et a précisé que l'utilisation de cookies pour la publicité comportementale inter-contextuelle est une forme de partage de données.
Il ne fait donc aucun doute que les consommateurs ont le droit de refuser le suivi à des fins de publicité contextuelle en vertu de l'ACPR !
Encore une fois, nous ne sommes pas favorables à ce système d'opt-out, mais il est bon que les consommateurs aient au moins la possibilité de dire "non merci".
Le droit de faire corriger les informations
Curieusement, la LCAP prévoyait un droit de savoir et un droit à l'effacement, mais pas un droit à la rectification des données personnelles. L'ACPR a comblé cette lacune.
Le droit de rectification fonctionne en grande partie de la même manière que les droits de savoir et d'effacer : les entreprises doivent se conformer dans un délai de 45 jours et peuvent prolonger ce délai de 45 jours supplémentaires, à condition d'en informer le consommateur.
L'ACPR et le contrôle mondial de la protection de la vie privée
Le contrôle mondial de la protection de la vie privée (GPC) est une norme technique intégrée dans les navigateurs et les modules d'extension. Elle informe les sites web des préférences du consommateur en matière de protection de la vie privée, y compris son refus de voir ses informations vendues ou partagées. En vertu de l'ACPR, les entreprises doivent se conformer aux signaux GPC émis par le navigateur du consommateur.
Comme nous l'avons dit, la plupart des droits à la vie privée prévus par la CCPA/CPRA sont des droits de retrait. En simplifiant la procédure fastidieuse de refus, les GPC peuvent alléger la charge qui pèse sur le consommateur et faciliter l'exercice des droits en matière de protection de la vie privée. Il sera intéressant de voir dans quelle mesure l'utilisation des CGP se répandra et dans quelle mesure les sites web s'y conformeront.
Pour en savoir plus sur les CGP, consultez le site https://globalprivacycontrol.org/.
L'ACPR
Comme nous l'avons expliqué, l'ACPR a créé l'Agence californienne de protection de la vie privée (CPPA). Dans une certaine mesure, on peut considérer la CPPA comme l'équivalent californien des autorités de protection des données en Europe : l'agence est responsable de l'application de la CCPA avec l'avocat général et peut adopter des réglementations basées sur la CCPA.
L'Agence est déjà à l'œuvre, mais en raison d'une récente décision de justice, elle ne pourra faire appliquer ses règlements qu'en 2024.
Conclusions
Chez Simple Analytics, nous essayons d'expliquer les lois sur la protection de la vie privée d'une manière simple parce que nous nous soucions de la protection de la vie privée. C'est pourquoi nous avons créé Simple Analytics : un outil d'analyse léger et convivial qui vous fournit toutes les informations dont vous avez besoin tout en préservant la vie privée des utilisateurs. Si cela vous convient, n'hésitez pas à nous essayer !