Pour le législateur californien, l’utilisation des données personnelles des consommateurs par Cambridge Analytica et d’autres est allée trop loin. Invoquant le droit constitutionnel à la vie privée en Californie, il a promulgué le California Consumer Privacy Act (CCPA). C’est l’une des lois les plus protectrices des consommateurs et strictes sur la confidentialité dans le monde. La loi, adoptée par la Californie en 2018, renforce les droits des consommateurs californiens et le respect à la vie privée.
Cependant, le California Consumer Privacy Act n’affecte pas uniquement les entreprises californiennes. La loi s’applique à toute entreprise faisant affaire avec des résidents de Californie, qu’il s’agisse d’une entreprise basée en Californie ou non. La loi changera radicalement la façon dont les entreprises Floridennes traitent les données personnelles, selon qu’elles mènent des affaires en Californie ou avec des résidents de Floride. Le CCPA touchera plus de 50 000 entreprises à l’échelle nationale, des plus grandes aux plus petites.
Les sociétés touchées par le CCPA
Le CCPA est entré en vigueur le 1er juillet 2020 après la promulgation de ses dernières dispositions par le bureau du Procureur Général de Californie le 1er juin 2020. La loi s’applique à toutes les sociétés qui :
- Collectent des données à caractère personnel sur leurs clients et décident de leur usage ou traitement, directement ou via un tiers ;
- Opèrent en Californie et soit (1) ont un chiffre d’affaire annuel de 25 millions de dollars ou plus ; ou (2) achètent, réceptionnent, partagent, ou vendent des informations personnelles de plus de 50.000 clients, foyers, ou appareils ; ou (3) réalisent au moins la moitié de leur chiffre d’annuel en vendant des informations personnelles de clients.
Certaines sociétés sont exemptées du CCPA lorsqu’elles :
• Collectent et vendent des informations personnelles entièrement en dehors de la Californie;
• Effectuent une seule transaction et ne conservent pas les informations personnelles collectées;
• Vendent des informations personnelles dans le cadre d’une fusion ou d’une acquisition;
• Collectent ou vendent des informations personnelles comme l’exige la loi, coopèrent avec les forces de l’ordre ou défendent des actions en justice; ou
• Sont dans un secteur où les données des consommateurs et leur vie privée sont déjà protégées.
La loi s’applique à toute entité commerciale à but lucratif, soit les SARL, les entreprises individuelles et les sociétés en partenariat.
Informations personnelles couvertes par le CCPA
Le CCPA couvre un grand nombre d’informations personnelles, traditionnelles et non-traditionnelles. La loi inclut les e-mails, les adresses, les numéros de téléphone, les noms de compte, les numéros de sécurité sociale, les informations de carte de crédit et les historiques de navigation. Les informations non traditionnelles concernées sont les informations:
- commerciales, dont les enregistrements de biens personnels, de produits ou de services achetés, ou d’autres historiques d’achat;
- biométriques comme les empreintes digitales ou les données faciales;
- sensorielles c’est-à-dire olfactives, audios, visuelles, thermiques ou électriques;
- les informations portant sur les préférences des consommateurs;
- sur les profiles psychologiques, caractéristiques, tendances, prédispositions, comportements, attitudes, intelligence, capacités et aptitudes;
- de géolocalisations;
- professionnelless ou liées à l’emploi;
- sur l’éducation des personnes, et;
- portant sur la race, le sexe ou autre informations protégées.
Par ailleurs, le CCPA s’applique aux données collectées en ligne et hors ligne, les données des clients, clients potentiels, contacts commerciaux et employés en Californie.
Les dispositions du CCPA relatives aux mineurs
La nouvelle loi californienne établit également des règles pour la collecte et la conservation des informations personnelles des mineurs. Le CCPA relève l’âge du consentement pour la collecte de données à 16 ans au lieu de 13. Pour les enfants de moins de 16 ans, un parent ou un tuteur légal doit consentir au recueillement de ses informations personnelles. La loi impose la vérification de l’âge d’un consommateur mineur par une «connaissance réelle».
Droits des résidents californiens selon le CCPA
Le CCPA garantit les droits des consommateurs résident en Californie, notamment, celui de:
- connaître les informations que les entreprises collectent à leur sujet et la manière dont elles les partagent;
- supprimer certaines informations personnelles que les entreprises collectent;
- refuser la vente de leurs informations personnelles;
- ne pas être victime de discrimination dans l’exercice de leurs droits au CCPA.
Par exemple, une entreprise ne peut pas facturer à un client des prix plus élevés, fournir des produits de qualité inférieure ou refuser de vendre à un consommateur pour avoir exercé ses droits garantis par le CCPA. Les entreprises doivent également disposer d’au moins deux méthodes permettant aux résidents de Californie de faire des demandes. Il peut s’agir d’un numéro sans frais et une adresse de site Web si l’entreprise gère un site Web en ligne.
Sanctions en cas de violation
Les entreprises qui ne remédient pas aux violations du CCPA dans les 30 jours suivant l’avis de notification encourrent des amendes de 2 500 $ à 7 500 $ par incident. Cela varie selon que la violation était intentionnelle ou par négligence. Le CCPA crée une action civile que les clients peuvent déclencher, pour obtenir des dommages-intérêts entre 100 $ et 750 $ «par consommateur et par incident ou préjudice réel, selon le plus élevé». Cal. Civ. Code § 1798.150 (a) (1) (2018). Les clients peuvent demander des dommages-intérêts légaux en plus des mesures déclaratoires ou injonctives. Voir id.
Quelles conséquences pour mon entreprise en Floride?
Voici les étapes que votre entreprise devra suivre pour garantir la conformité avec le CCPA:
Suivez les données
Auditez vos données pour bien comprendre toutes les informations personnelles que votre entreprise recueille. Suivez ou retracez la manière dont votre entreprise gère les informations qu’elle collecte auprès de clients, employés et contacts professionnels en Californie. Réfléchissez à la manière dont votre entreprise recueille, stocke et conserve les données. Examinez toutes vos relations entre entreprises et assurez-vous que les tiers se conforment également au CCPA.
- Personnalisez votre programme CCPA
Votre entreprise devra mettre en œuvre une politique de confidentialité et une charte d’utilisation des données personnelles collectées par l’entreprise. Les entreprises qui relèvent du CCPA devront informer les clients avant de collecter des données, que ce soit en personne, en ligne ou par téléphone. Votre entreprise devra conserver des enregistrements sur la façon dont les consommateurs répondent et les procédures pour répondre aux demandes d’informations, de suppression et de désinscription. Utiliser une politique copiée/collée sur Internet ou un générateur de politique de confidentialité ne sera pas nécessairement adaptée. Votre entreprise doit collaborer avec les équipes commerciales, marketing, commerciales et juridiques pour garantir que vos politiques et procédures de confidentialité sont conformes au CCPA.
2. Formez vos employés
Après l’élaboration de vos politiques de confidentialité et charte d’utilisation des données, formez vos employés. Votre entreprise devra s’assurer que tous les employés respectent le CCPA.
3. Mettez à jour si nécessaire
Selon le CCPA, les entreprises doivent mettre à jour leurs politiques de confidentialité en ligne au moins tous les 12 mois. La réglementation actuelle exige également que ces politiques soient raisonnablement accessibles aux personnes handicapées. Enfin, elles doivent se conformer aux directives d’accessibilité du contenu Web.
Si vous avez des questions sur le CCPA et ses effets sur votre entreprise en Floride, contactez Boyer Law Firm, P.L. Nous avons des avocats spécialisés en droit des affaires pour vous conseiller.