Alors qu’Internet est aujourd’hui au cœur de notre vie quotidienne, avec son émergence sont apparus des enjeux toujours plus importants auxquels on ne pensait pas à ses débuts et dont nous n’avons pas anticipé leurs effets. L’un de ces enjeux est incontestablement celui des données personnelles des utilisateurs d’Internet qui, en effet, laissent à chaque fois une trace de leur passage sur le web, que ce soit les sites qu’ils visitent, le temps qu’ils y passent, les terminaux qu’ils utilisent pour y accéder, et encore bien d’autres. C’est consciemment ou non que les utilisateurs donnent accès à leur âge, leur localisation, leurs opinions, etc. Certaines entreprises vivent d’ailleurs entièrement ou en partie grâce à l’exploitation de ces données, en les monnayant ensuite pour pratiquer la publicité ciblée, Facebook étant l’exemple le plus connu.
Constatant l’exploitation en masse de ces informations, alors même que l’utilisateur n’est pas toujours bien informé, tant vis-à-vis des données qui sont collectées à son sujet, que par la finalité de leur traitement ou leur possibilité de refuser celui-ci, l’Union Européenne a décidé d’intervenir pour poser une réglementation à ce sujet et mieux protéger les utilisateurs d’Internet. C’est ainsi qu’est entré en vigueur le Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018. Ce dernier trouve à s’appliquer à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens. Les entreprises se voient imposées, aujourd’hui, d’informer les utilisateurs, dans des termes clairs, de l’usage qui sera fait de leurs données, et doivent obtenir leur consentement éclairé avant toute collecte.
Ce texte s’est vite présenté comme étant l’un des plus complet et protecteur au monde en matière de protection des données personnelles, et comme beaucoup de grands textes, et parce qu’il s’agit d’un important sujet de société, le RGPD a commencé à inspirer d’autres pays à se doter d’un texte similaire en la matière. C’est notamment le cas de l’État de Californie, aux États-Unis, premier État à agir dans ce domaine, avant même qu’une loi ait été prise au niveau fédéral.
Le nouveau « California Consumer Privacy Act »
Ce « California Consumer Privacy Act » (CCPA) est un texte sur la confidentialité des données, en vigueur depuis le 1er janvier 2020. Avec ce nouveau texte, les consommateurs californiens vont avoir la possibilité d’exercer un meilleur contrôle sur leurs informations personnelles, en deviendront dans un même temps propriétaires, et pourront demander que celles-ci ne soient plus vendues à des tiers. Cette loi concerne toutes les entreprises exerçant une activité dans l’État de Californie, traitant des données de résidents de la Californie, et répondant à au moins l’un de ces 3 critères :
- Des revenus annuels supérieurs à 25 millions de dollars.
- Achète, reçoit, vend ou partage les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils par an à des fins commerciales.
- 50 % ou plus de ses revenus annuels proviennent de la vente des informations personnelles des consommateurs.
Si une violation de données est constatée par un consommateur, celui-ci se voit offert la possibilité de poursuivre l’entreprise au civil.
Par ailleurs, cette loi ne fait pas de cadeau aux entreprises puisqu’elle ne leur laisse que quelques mois pour se mettre en conformité avec elle, là où le RGPD leur avait laissé 2 ans. Une étude de PwC en 2018 a cependant chiffré à 52 % le nombre d’entre elles qui seraient en conformité au 1er janvier 2020.
En adoptant cette loi, l’État fédéré de Californie met la pression à l’État fédéral pour passer une loi dans la même optique de protection des données personnelles, car si le texte est en effet novateur dans le pays, il ne s’applique toutefois qu’aux entreprises avec une activité en Californie. Il s’agit maintenant de légiférer au niveau de l’ensemble du pays. Le législateur américain étudie d’ailleurs actuellement deux propositions de loi fédérale à ce sujet.
Face à ces nouveaux changements et à ceux qui arrivent, des entreprises ont pris les devants. Mozilla, par exemple, a pris la décision d’appliquer le CCPA au monde entier avec sa nouvelle mise à jour. En effet, jusqu’ici le moteur de recherche ne permettait pas à ses utilisateurs de demander la suppression de leurs données. Aujourd’hui, cela est rendu possible par une nouvelle option installée par l’entreprise dans son objectif de se mettre en conformité, et ce ne sera pas possible seulement pour les Américains, mais pour les utilisateurs du monde entier.
Deux textes beaucoup comparés
Étant deux textes majeurs en matière de données personnelles, le CCPA et le RGPD sont beaucoup comparés, le premier étant présenté comme un RGPD californien. Mais si en effet ils ont le même objectif de protection des données des utilisateurs, nous allons voir qu’ils présentent tout de même un certain nombre de différences, certaines plus importantes que d’autres.
Dans un premier temps il convient de se pencher sur la définition que chacun donne aux données personnelles. Dans les deux cas, la définition donnée est assez large. Le RGPD, à son article 4, qualifie de donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable », là où le CCPA fait référence à « des informations qui identifient, se rapportent à, décrivent, sont susceptibles d’être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. » Globalement, les deux textes sont en accord sur la définition de ces données, seulement, le CCPA ne fait pas de distinction entre les données personnelles « classiques » et les données dites « sensibles » comme le fait le RGPD qui, lui, en interdit le traitement, sauf sous certaines conditions. Par ailleurs, le texte californien exclut de la protection les données contenues dans un fichier tenu par un organisme public fédéral, étatique ou local et qui serait rendues publiques.
Pour continuer, la différence la plus remarquable entre le texte européen et le texte américain, est celle de la licéité. En effet, l’article 6 du RGPD dispose que pour qu’un traitement de données soit licite, il faut que ce dernier réponde à au moins l’une des conditions énumérées à cet article. Mais le CCPA ne pose pas de base légale pour le traitement de ces données, il donne seulement la possibilité, pour la personne concernée, de demander la suppression de ses données.
D’ailleurs, on remarque aussi que le CCPA ne s’applique qu’aux entreprises qui exercent une activité à but lucratif en Californie, et répondant à l’un des critères présentés dans la partie précédente de l’article. En cas de non-conformité au texte, l’entreprise serait condamnée à payer une amende allant jusqu’à :
- 2 500 $ par infraction,
- 7 500 $ pour les infractions intentionnelles.
On voit là une grande différence avec le RGPD puisque celui-ci s’applique, en effet, sans distinction, à tout organisme public ou privé traitant des données personnelles, et a un caractère extraterritorial puisqu’il concerne les organismes ayant une activité sur le territoire de l’Union Européenne et ceux qui traitent des données de personnes de ce même territoire. Les sanctions en cas de non-conformité sont par ailleurs bien plus importantes, et donc probablement plus dissuasives, en fonction de la nature des infractions relevées, la sanction peut aller jusqu’à :
- 10 millions d’euros, ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent le montant le plus élevé étant retenu,
- 20 000 000 EUR ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Enfin, pour en terminer avec ces différences, on notera que le texte de l’État de Californie ne pose pas véritablement de règles contraignantes pour obliger les entreprises à l’appliquer. On le voit notamment avec le faible montant des amendes, surtout pour des entreprises aussi importantes que celles visées par le texte, d’autant plus que la Californie est le berceau mondial de la technologie, et par le fait qu’il n’est pas prévu, par exemple, un équivalent du délégué à la protection des données pour veiller à la conformité des organismes.
Au milieu de ces différences, les deux textes se rejoignent cependant sur les droits accordés aux consommateurs. Ainsi, européens et californiens ont, avec ces textes, un droit à l’effacement, un droit à l’information, un droit d’accès, et un droit à la portabilité. Le texte californien va même plus loin en accordant à ses citoyens le droit de ne pas faire l’objet d’une discrimination sur les prix des produits ou services.
On peut conclure de cette comparaison des deux textes que, même s’ils se rejoignent dans leur objectif, il n’en reste pas moins qu’ils sont encore bien différents dans leurs dispositions. Mais pour un État qui accueille certaines des plus grandes entreprises du monde, et qui se nourrissent en masse de nos données personnelles, le changement est tout sauf anecdotique. Il faut continuer dans cette lancée et inciter d’autres pays a aussi légiférer en la matière pour que la prise de conscience et les réactions qui en découlent se fassent au niveau du monde entier.
Sources :
DAVIDSON A., « Bringing California’s privacy law to all Firefox users in 2020 », Mozilla, 31 décembre 2019.
GALLEY C., « Le “California Consumer Privacy Act (CCPA)” est-il vraiment un texte inspiré du RGPD ? », DPO Consulting, 10 janvier 2020.
GARBEY G., « California Consumer Privacy Act (CCPA) vs RGPD », Globb Security, 8 janvier 2019.
MEDIAVILLA L., « Loi sur les données personnelles : la Californie ouvre le bal aux Etats-Unis », Les Echos, 2 janvier 2020.
« Many US businesses doubt they will meet California privacy law deadline », PWC, 9 octobre 2018.