La CCPA se situe à mi-chemin entre le droit de la consommation et le droit de la protection de la vie privée. Cela crée une certaine confusion quant à la question de savoir à quelles informations personnelles la loi s'applique. S'applique-t-elle à toutes les entreprises ? S'applique-t-elle aux données des employés et aux transactions entre entreprises ? Et qu'en est-il des organisations à but non lucratif ?
- La CCPA s'applique-t-elle à toutes les entreprises ?
- La CCPA s'applique-t-elle uniquement aux entreprises californiennes ?
- Le CCPA s'applique-t-il aux non-résidents ?
- La CCPA s'applique-t-elle aux employés et aux transactions entre entreprises ?
- Le CCPA s'applique-t-il aux organisations à but non lucratif ?
- Conclusions
Découvrons-le !
La CCPA s'applique-t-elle à toutes les entreprises ?
Non. Le CCPA ne s'applique qu'aux grandes entreprises ou à celles qui utilisent beaucoup de données.
Plus précisément, le CCPA s'applique aux entreprises qui exercent leurs activités en Californie et qui
- ont un revenu annuel brut supérieur à 25 millions de dollars
- achètent, vendent ou partagent les informations personnelles d'au moins 100 000 résidents, ménages ou appareils californiens
- elles tirent la moitié ou plus de leur chiffre d'affaires de la vente d'informations personnelles de résidents californiens.
Cette règle est quelque peu complexe, aussi allons-nous la décomposer.
Il est obligatoire de faire des affaires en Californie. Si vous ne faites pas d'affaires en Californie, la CCPA ne s'applique pas à vous.
En revanche, les critères 1, 2 et 3 sont alternatifs. Par exemple : si une entreprise exerce ses activités en Californie et que la moitié de son chiffre d'affaires provient de la vente d'informations personnelles de résidents californiens, la CCPA s'applique, quels que soient la taille et le chiffre d'affaires annuel de l'entreprise.
La CCPA s'applique-t-elle uniquement aux entreprises californiennes ?
Non. La CCPA s'applique aux entreprises qui exercent leurs activités en Californie, pour autant que l'un des autres critères soit rempli. Ainsi, une multinationale dont le chiffre d'affaires se chiffre en milliards doit se conformer à la CCPA si elle exerce des activités en Californie, qu'elle soit établie en Californie, au Delaware ou en France.
C'est ce que les juristes appellent la portée extraterritoriale du droit relatif à la protection de la vie privée. La portée extraterritoriale est très courante dans le droit relatif à la protection de la vie privée, et ce pour de bonnes raisons. L'internet n'ayant pas de frontières physiques, les données personnelles circulent souvent d'une juridiction à l'autre. Si la portée des lois sur la protection de la vie privée était limitée, la plupart de ses protections deviendraient inefficaces.
Il suffit de penser au nombre de Big Tech américaines auxquelles vous communiquez quotidiennement vos données personnelles. Si Google et Apple pouvaient ignorer totalement le GDPR, quel serait l'intérêt d'imposer toutes sortes de règles et d'exigences aux organisations européennes ?
Le CCPA s'applique-t-il aux non-résidents ?
Non, la CCPA ne s'applique pas aux informations personnelles des non-résidents. Seuls les résidents californiens ont des droits en vertu de la CCPA. C'est regrettable, car les géants de la Silicon Valley traitent d'énormes quantités d'informations personnelles provenant de non-résidents du monde entier.
Cette situation contraste fortement avec le GDPR, qui confère des droits aux personnes, quel que soit leur lieu de résidence. Si une entreprise italienne traite des données à caractère personnel de résidents californiens, ces derniers ont exactement les mêmes droits en vertu du GDPR que les citoyens italiens ou néerlandais.
La CCPA s'applique-t-elle aux employés et aux transactions entre entreprises ?
Oui, la CCPA s'applique à la fois aux informations relatives aux employés et aux informations personnelles reflétant les transactions interentreprises (B2B).
À l'origine, ces catégories de données à caractère personnel ne relevaient pas de la loi sur la protection des données car celle-ci prévoyait des exemptions temporaires. Ces exemptions ont expiré en 2022 et n'ont pas été renouvelées. Par conséquent, ces informations personnelles tombent sous le coup de la LCAP depuis 2023.
Le CCPA s'applique-t-il aux organisations à but non lucratif ?
En règle générale, le CCPA ne s'applique pas aux organisations à but non lucratif.
Toutefois, il peut y avoir des exceptions pour les organisations à but non lucratif qui sont strictement liées à une entreprise. L'ACCP prévoit des conditions précises à cet égard, à savoir
- une entreprise détient au moins 50 % des titres avec droit de vote d'une entité, ou contrôle au moins 50 % des droits de vote ;
- l'entité et l'entreprise ont une marque commune ;
- l'entreprise partage les informations personnelles du consommateur avec l'autre entité.
Ces critères font en fait partie de la définition d'une entreprise au sens de la loi sur la protection des consommateurs. Ainsi, lorsqu'une entité répond à ces critères, elle est considérée comme une entreprise au sens de la loi sur la protection des consommateurs et est soumise aux mêmes obligations qu'une entreprise au sens de la loi, qu'elle soit ou non à but lucratif.
Ces critères sont assez stricts dans l'ensemble. En pratique, la plupart des organisations à but non lucratif peuvent être assurées que la loi sur la protection des données ne s'applique pas à elles, mais ce n'est pas une excuse pour être paresseux et ne pas respecter la vie privée !
Conclusions
Nous espérons que cet article vous a aidé à mieux comprendre la loi sur la protection de la vie privée. Nous aimons expliquer les lois sur la protection de la vie privée parce que nous nous soucions de la protection de la vie privée. C'est pourquoi nous avons créé Simple Analytics pour fournir aux organisations toutes les informations dont elles ont besoin, sans collecter de données personnelles ni tracer les visiteurs ! Si cela vous convient, n'hésitez pas à nous essayer !