Il est notoire que les États-Unis ne disposent pas d'une législation fédérale complète en matière de protection de la vie privée. Dans ce contexte, la CCPA constitue un pas en avant et fait de la Californie un précurseur en matière de protection de la vie privée dans le paysage américain. Il n'est pas surprenant que d'autres États se soient inspirés de la CCPA pour élaborer leur propre législation.
Mais quels sont les droits des consommateurs en matière de protection de la vie privée en vertu de la CCPA et comment les individus peuvent-ils les exercer ? Découvrons-le !
- Quels sont vos droits en vertu de la CCPA ?
- Le droit de savoir
- Le droit d'effacer ou de corriger
- Le droit de retrait
- Le droit de limiter l'utilisation et la divulgation d'informations sensibles
- Comment ces droits se comparent-ils au GDPR ?
- Conclusions
Quels sont vos droits en vertu de la CCPA ?
La loi sur la protection des données énumère plusieurs droits des consommateurs, dont les suivants
- le droit de savoir quelles informations personnelles une entreprise utilise et comment elle les utilise
- le droit de faire effacer des informations personnelles
- le droit de refuser la vente et le partage des informations personnelles
- le droit à la non-discrimination dans l'exercice des droits conférés par la CCPA
- le droit de corriger des informations inexactes
- le droit de limiter l'utilisation et la divulgation d'informations sensibles.
Les quatre premiers droits ont toujours fait partie de la loi sur la protection des données. Les droits de corriger les informations et de limiter l'utilisation et la divulgation d'informations sensibles ont été ajoutés en 2020 lorsque la LSCP a été modifiée par l'ACPR.
Le droit de savoir
En vertu de la loi sur la protection des données, vous avez le droit de demander des informations sur l'utilisation de vos données. Vous pouvez demander à une entreprise
- quelles catégories d'informations personnelles ont été collectées et utilisées, et dans quel but
- à partir de quelles sources les informations ont été collectées
- quelles informations ont été partagées et avec qui
Vous pouvez également demander des informations spécifiques qui ont été collectées. Les entreprises doivent répondre aux demandes dans un délai de 90 jours (avec un délai "de base" de 45 jours, qui peut être prolongé de 45 jours supplémentaires sur notification).
Il ne faut pas confondre le droit du consommateur de savoir et l'obligation des entreprises de fournir un avis au moment de la collecte. Bien que les deux visent en fin de compte à renforcer la transparence et le contrôle de l'utilisateur, les notifications au moment de la collecte doivent être fournies indépendamment de toute demande en ce sens.
Si une entreprise vend ou partage des informations personnelles, son avis au moment de la collecte doit inclure un lien "Ne pas vendre ou partager" (voir ci-dessous).
Le droit d'effacer ou de corriger
Les consommateurs ont le droit de demander l'effacement ou la correction de leurs données personnelles. Il existe quelques exceptions à la règle, comme les informations accessibles au public, les informations relatives aux rapports de solvabilité et les informations nécessaires à l'exercice d'une action en justice.
Les entreprises doivent s'y conformer dans un délai de 90 jours (il s'agit là encore d'un délai de 45 jours, auquel s'ajoute une prolongation de 45 jours après notification).
Le droit de retrait
En vertu de la loi sur la protection des consommateurs, les consommateurs ont le droit de refuser la vente et le partage de leurs données personnelles.
Les sites web qui vendent ou partagent des informations personnelles doivent offrir la possibilité de se désinscrire au moyen d'un lien visible sur leur site web. Les sites web doivent également proposer une autre méthode de refus, notamment en respectant le contrôle global de la confidentialité proposé par certains navigateurs.
La signification du terme "vente" dans la loi sur la protection de la vie privée était auparavant incertaine. La loi a ensuite été modifiée pour faire référence à la vente et au partage d'informations personnelles, afin de couvrir le partage de données avec des tiers tels que Google et Meta à des fins de marketing web et de reciblage. Il ne fait donc aucun doute que ces activités tombent sous le coup des règles d'exclusion !
Le droit de limiter l'utilisation et la divulgation d'informations sensibles
La loi sur la protection des consommateurs énumère certaines catégories de données comme étant des informations sensibles, notamment les identifiants tels que les numéros de sécurité sociale, les données de géolocalisation précises, les courriers électroniques et les messages textuels, les données relatives à la santé, les données génétiques, les données relatives à la vie sexuelle et à l'orientation sexuelle, etc. Les consommateurs ont le droit de limiter l'utilisation et la divulgation de ces informations.
En pratique, ce droit est similaire au droit de refuser le partage d'informations personnelles. Les sites web et les services qui collectent des informations sensibles doivent rendre l'option visible et disponible sur leur site web. Après avoir reçu une demande de limitation, les entreprises ne peuvent traiter les données sensibles que dans la mesure où cela est strictement nécessaire pour fournir les biens et services demandés.
Comment ces droits se comparent-ils au GDPR ?
Certains droits prévus par la CCPA ont un parallèle évident avec le GDPR : le droit de savoir, le droit à l'effacement et le droit de faire rectifier des informations fonctionnent tous de manière similaire.
En revanche, il n'y a pas d'équivalent dans le GDPR au droit de refuser la vente et le partage d'informations personnelles, ni au droit de limiter l'utilisation de données sensibles. Cela ne signifie pas que le GDPR est plus permissif à cet égard, bien au contraire.
Le GDPR opte pour une approche plus stricte et prescriptive en établissant des exigences rigoureuses pour le traitement des données personnelles. Les droits d'opposition jouent un rôle relativement mineur dans le règlement, car le traitement des données à caractère personnel est soumis à des exigences strictes. Par exemple, le principe de légalité (que nous avons abordé dans ce blog) joue un rôle crucial dans le GDPR et ne trouve pas d'équivalent dans le CCPA.
D'autre part, le CCPA cherche à responsabiliser les consommateurs en leur donnant le droit de décider de l'utilisation de leurs informations personnelles. Les entreprises jouissent donc d'une certaine liberté en vertu de la LPC tant que le consommateur ne s'y oppose pas.
Chaque approche présente des avantages et des inconvénients. La conformité à la CCPA est certainement moins contraignante que la conformité au GDPR. En même temps, il peut être risqué de faire peser la charge de la protection de la vie privée sur le consommateur. Imaginez que vous visitiez 50 sites web par jour et que vous deviez refuser individuellement la vente de vos données pour chacun d'entre eux ! Le contrôle mondial de la protection de la vie privée est censé y contribuer, mais le système n'a pas encore été mis en œuvre à grande échelle. Il n'existe pas non plus d'équivalent au GPC pour limiter l'utilisation de données sensibles.
Le GDPR adopte l'approche inverse et transfère la charge de la protection de la vie privée du public vers les organisations. L'idée qui sous-tend le GDPR est que les gens ne devraient pas avoir à refuser manuellement les pratiques des innombrables services qu'ils utilisent et qui portent atteinte à leur vie privée. C'est pourquoi le règlement contient un grand nombre de règles strictes et détaillées sur ce que les entreprises peuvent et ne peuvent pas faire avec les données personnelles.
Dans un monde où tout le monde utilise une centaine de services différents gourmands en données, et où personne ne lit vraiment les avis de confidentialité ou n'affine les paramètres de confidentialité, le contrôle individuel sur les données n'est souvent qu'une farce. Par conséquent, il est probablement plus efficace de faire peser la charge de la protection de la vie privée sur les organisations et de les obliger à respecter des normes élevées que de la laisser à la charge de l'individu. D'un autre côté, cette approche normative se traduit par des règles très techniques et complexes qui sont parfois difficiles à comprendre et à respecter pour les entreprises (en particulier les plus petites).
Il est également intéressant de comparer la notion de données sensibles entre les deux législations. Les informations sensibles au sens de la CCPA comprennent des données telles que les identifiants gouvernementaux, qui pourraient être utilisés à des fins d'usurpation d'identité. La CCPA considère également les données de géolocalisation précises comme des données sensibles, ce qui est une bonne idée dont la législation européenne pourrait s'inspirer.
Dans le même temps, le GDPR est beaucoup plus restrictif en ce qui concerne l'utilisation des données sensibles. Là encore, la CCPA adopte une approche axée sur le consommateur et l'opt-out, tandis que le GDPR adopte une approche prescriptive.
Nous sommes peut-être partiaux, mais nous pensons que le GDPR est le grand gagnant en ce qui concerne les données sensibles : un droit de retrait n'est tout simplement pas suffisant dans ce cas.
Conclusions
En fin de compte, la protection de la vie privée est importante, quel que soit l'endroit où l'on se trouve. Nous pensons que les entreprises doivent préserver la vie privée de leurs clients et de leurs visiteurs, que la loi les y oblige ou non.
Nous avons créé Simple Analytics pour aider nos clients du monde entier à développer leur audience d'une manière éthique et respectueuse de la vie privée. Simple Analytics vous donne toutes les informations dont vous avez besoin sans utiliser de cookies, de traceurs ou d'empreintes digitales des utilisateurs. Nous ne suivons pas vos visiteurs et ne collectons pas la moindre donnée personnelle ! Si cela vous convient, n'hésitez pas à nous essayer !