Le California Privacy Rights Act (CPRA) a officiellement modifié certaines parties du California Consumer Privacy Act (CCPA) et est entré en vigueur le 1er janvier 2023.
Ci-dessous, je dissipe toute confusion sur la façon dont la CCPA et la CPRA interagissent et affectent les obligations des entreprises et les droits des consommateurs, et j'explique ce qui a changé.
Principaux changements apportés par l'ACPR à l'ACCP :
- Les modifications de l'ACPR ont introduit un nouveau seuil légal.
- Il a introduit le concept de partage des informations personnelles et la catégorie des informations personnelles sensibles.
- Il décrit les nouveaux droits des consommateurs et modifie les exigences des entreprises.
- Résumé rapide de l'ACCP par rapport à l'ACPR
- Explication de la CCPA et de la CPRA
- L'ACPR a-t-elle remplacé l'ACCP ?
- Quels sont les changements apportés par l'ACPR ?
- Différences entre l'ACPR et l'ACCP
- Qui doit se conformer à l'ACPR et à la LPCC ?
- Comment s'assurer que votre entreprise respecte correctement les deux législations
- Comment Termly peut aider
- FAQ sur l'ACPR et l'ACCP
- Résumé
Résumé rapide de l'ACCP par rapport à l'ACPR
Voici un bref résumé de la manière dont les amendements de l'ACPR ont modifié et affecté la version originale de l'ACCP :
- L'ACPR augmente le seuil légal applicable aux entreprises qui achètent, vendent ou partagent des informations personnelles à 100 000 consommateurs ou ménages (contre 50 000 en vertu de la loi initiale sur la protection des données).
- Une nouvelle catégorie d'informations personnelles, les informations personnelles sensibles, est introduite par l'ACPR, qui est soumise à des lignes directrices plus strictes
- Les consommateurs bénéficient de droits nouveaux et élargis en vertu de l'ACPR, tels que des droits de retrait, un accès plus solide aux données personnelles et le droit de limiter le partage d'informations personnelles sensibles.
- L'ACPR introduit de nouvelles obligations légales concernant le partage d' informations personnelles, c'est-à-dire l'échange de données à des fins autres que le gain monétaire.
Je vous invite à lire mon analyse plus détaillée de la manière dont l'ACPR modifie la CCPA.
Explication de la CCPA et de la CPRA
L'ACPR est entrée en vigueur le 1er janvier 2023, modifiant certaines parties de l'ACCP, qui est en vigueur depuis le 1er janvier 2020, et toutes les parties de l'ACCP non affectées par les révisions de l'ACPR s'appliquent toujours.
Techniquement, il ne s'agit pas de deux lois différentes, mais d'une seule loi, la CCPA, qui a fait l'objet d'une série de révisions introduites par la CPRA. C'est la raison pour laquelle de nombreuses entités gouvernementales et agences indépendantes californiennes se réfèrent aux deux lois comme étant la CCPA ou la CCPA telle qu'amendée.
Dans les sections suivantes, j'aborde les lignes directrices en matière de protection de la vie privée définies par la loi initiale sur la protection des données, puis j'explique comment l'ACPR a modifié ces exigences lorsqu'elle est entrée en vigueur.
CCPA
Le 1er janvier 2020, la loi californienne sur la protection des consommateurs(CCPA) est devenue l'une des premières lois sur la confidentialité des données aux États-Unis. Elle a introduit certaines des exigences les plus strictes en matière de confidentialité des données et de protection des consommateurs aux États-Unis.
Cette loi définit des normes pour la collecte des données, des conséquences pour les entreprises qui ne protègent pas correctement les données de leurs utilisateurs, et de nouveaux droits que les Californiens peuvent exercer sur leurs informations personnelles.
Seuil légal de l'ACCP
Bien que la CPRA ait modifié les seuils légaux de la CCPA, elle s'appliquait initialement à toute entreprise à but lucratif qui collectait des données auprès de résidents californiens et qui remplissait l'une des conditions suivantes :
- 25 millions de dollars de recettes annuelles brutes
- acheter, recevoir, vendre ou partager annuellement les données à caractère personnel de 50 000 consommateurs ou ménages ou plus
- tire 50 % ou plus de son revenu annuel brut de la vente d'informations personnelles sur les consommateurs
Droits des consommateurs en vertu de la CCPA
La CCPA a également accordé aux consommateurs californiens les droits suivants :
- Savoir quelles informations sont collectées à leur sujet
- Savoir si leurs données personnelles sont vendues ou partagées et avec quels tiers
- Pour refuser la vente d'informations personnelles
- Pour accepter la vente d'informations personnelles si l'on est âgé de 13 à 16 ans
- Accéder à leurs données personnelles et les supprimer
- à l'égalité de service et de prix, même s'ils choisissent d'exercer leurs droits en matière de protection de la vie privée
Pour honorer ces droits, les entreprises soumises à la CCPA doivent fournir à tout consommateur qui fait une "demande vérifiable" d'accès à ses données un journal des informations collectées.
Une "demande vérifiable" signifie qu'elle a été faite par :
- Un consommateur
- Un consommateur au nom d'un mineur
- Une personne légalement autorisée à agir au nom d'un consommateur adressant des données collectées de manière vérifiable auprès de l'individu ou à son sujet.
Les entreprises doivent fournir aux consommateurs des détails sur les 12 derniers mois de collecte de données, y compris le partage, l'utilisation et la vente d'informations personnelles, dans les 45 jours suivant la demande.
Exigences de l'ACCP pour les entreprises
L'ACCP a défini les exigences suivantes pour les entreprises, dont beaucoup sont encore en place ou ont été élargies par les amendements de l'ACPR :
- Informer les consommateurs que des données personnelles sont collectées
- Fournir aux consommateurs un moyen de refuser la collecte de données en utilisant des paramètres de confidentialité visibles.
- Répondre aux demandes des consommateurs dans les meilleurs délais
- Double vérification de l'identité des consommateurs qui souhaitent vérifier ou supprimer leurs informations personnelles
- Informer les consommateurs sur le montant et la valeur de l'argent que vous gagnez grâce aux données
- Conserver les registres pendant au moins deux ans
Pour satisfaire à ces exigences, vous devez publier une politique de confidentialité conforme à la Californie et expliquer les données personnelles que vous collectez. politique de cookies expliquant les données à caractère personnel que vous collectez, ce qui est toujours applicable en vertu de l'ACPR.
Vous pouvez donner suite aux demandes d'accès et de suppression des informations des consommateurs en utilisant un formulaire de demande d'accès de la personne concernée (DSAR), auquel vous pouvez accéder par un lien sur votre site web.
Conformément à la section 1798.120(a) de la loi, vous devez également placer sur la page d'accueil de votre site un lien visible "Ne pas vendre mes informations personnelles" qui permet aux utilisateurs de s'opposer à la vente de leurs données.
Toutefois, l'ACPR a modifié ces lignes directrices en introduisant le concept de partage des données à caractère personnel, que j'aborde plus en détail dans la suite de l'article.
Sanctions au titre de la CCPA
Si vous n'êtes pas en conformité avec les dispositions de la loi sur la protection des consommateurs, vous vous exposez à des sanctions :
- 2 500 $ par infraction
- 7 500 $ par infraction intentionnelle
À l'origine, les entreprises disposaient d'un délai de 30 jours pour remédier à la situation, ce qui signifie qu'elles avaient 30 jours pour répondre par écrit qu'elles avaient remédié à toutes les infractions et pour déclarer que les infractions ne se produiraient plus. Toutefois, ce délai de grâce ne s'applique pas dans le cadre de l'ACPR.
Le bureau du procureur général de Californie appliquait ces sanctions, mais en vertu de la CPRA, le pouvoir d'application est transféré à un nouveau groupe appelé California Privacy Protection Agency ou CPPA (Agence californienne de protection de la vie privée).
Les consommateurs ont également le droit de poursuivre les entreprises pour la perte de leur vie privée à la suite d'une violation de données, de sorte qu'il est possible d'encourir des pénalités supplémentaires à la suite de poursuites privées.
Avec l'ajout des amendements de l'ACPR, les raisons d'intenter une action en justice privée contre une entreprise se sont encore élargies, plaçant encore plus de responsabilités sur les entreprises pour protéger les données des utilisateurs.
CPRA
Le 1er janvier 2023, les dispositions du California Privacy Rights Act(CPRA) sont entrées en vigueur et ont modifié certaines parties de la CCPA.
Toutefois, la date à laquelle les règles d'application sont devenues applicables a changé à plusieurs reprises :
- Initialement, les règles devaient entrer en vigueur le 1er janvier 2023, avec un retour en arrière au 1er janvier 2022.
- Mais la CPPA a tardé à établir des règles d'application, de sorte que les tribunaux californiens ont repoussé la date d'application au 29 mars 2024.
- L'ACPP a fait appel de cette décision et, le 9 février 2024, il a été annoncé que la Cour d'appel du troisième district de Californie s'était rangée du côté de l'ACPP.
- Aujourd'hui, tous les amendements de l'ACPR sont officiellement en vigueur avec un recul jusqu'au 1er juillet 2023.
Cette loi introduit de nouvelles catégories de données, actualise les seuils légaux, confère davantage de droits aux consommateurs et étend les obligations des entreprises définies précédemment par la CCPA.
Seuil légal de l'ACPR
La CPRA a introduit un nouveau seuil juridique qui s'applique désormais à la CCPA, de sorte que votre entreprise relève de la compétence des deux lois si vous exercez votre activité en Californie et que vous remplissez l'une des conditions suivantes :
- Avoir réalisé un chiffre d'affaires annuel brut de 25 millions de dollars au 1er janvier de l'année civile précédente.
- achète, vend ou partage annuellement les informations personnelles de 100 000 consommateurs ou ménages californiens ou plus
- 50 % ou plus de votre revenu annuel brut provient de la vente ou de l'échange d' informations personnelles
Le concept de partage des données est nouvellement introduit par l'ACPR et se réfère à tous les éléments suivants :
- Location de données à caractère personnel
- Divulgation de données à caractère personnel
- Diffusion des données sur les personas
- Mise à disposition des données à caractère personnel
- Transfert de données à caractère personnel
- Communiquer oralement ou par écrit des informations sur les données à caractère personnel
- Communiquer des informations sur les données à caractère personnel par voie électronique ou par d'autres moyens
Comme je l'ai mentionné précédemment, en raison de la portée extraterritoriale de ces lois, votre entreprise n'a pas besoin d'être située en Californie pour tomber sous leur juridiction.
Droits des consommateurs en vertu de l'ACPR
L'ACPR a également élargi certains droits des consommateurs établis par la CCPA et en a introduit quelques nouveaux.
En vertu de cette loi, les consommateurs ont désormais le droit de.. :
- refuser la vente ou le partage de leurs informations personnelles en utilisant un lien "Ne pas vendre ou partager mes informations personnelles" ou en respectant les préférences du navigateur en matière de consentement à l'exclusion.
- Limiter l'utilisation et la divulgation de leurs informations personnelles sensibles
- Corriger et supprimer les informations personnelles inexactes après avoir reçu une demande vérifiée de la part du consommateur.
- Demande d'accès aux données collectées à leur sujet au-delà de la période de 12 mois - à moins que cela ne soit impossible ou ne nécessite un effort disproportionné.
- Refus de la prise de décision automatisée et du profilage
Les informations personnelles sensibles constituent une nouvelle catégorie de données personnelles définie par l'ACPR et comprennent tous les détails suivants :
- Numéros de permis de conduire
- Numéros de sécurité sociale (SSN)
- Numéros d'identification de l'État
- Adhésion à un syndicat
- Numéro de passeport
- les informations d'identification de l'utilisateur, telles que les noms d'utilisateur et les mots de passe
- Données biométriques et génétique
- Origines ethniques ou raciales
- Géolocalisation précise
- Croyances religieuses ou philosophiques
- Informations sur l'orientation sexuelle, la vie sexuelle ou la santé d'un consommateur
- Contenu des textes, courriers et courriels d'un consommateur
Les entreprises doivent désormais placer sur leur site web un lien "Limiter l'utilisation de mes données personnelles sensibles" facile à trouver pour les utilisateurs, afin qu'ils puissent exercer ce nouveau droit à la vie privée. Toutefois, la loi vous donne la possibilité de respecter les paramètres de préférence de refus du navigateur définis par le consommateur à la place du lien.
L'ACPR a également modifié le droit à l'action privée, en élargissant les lignes directrices établies initialement par l'ACCP. Les consommateurs peuvent désormais poursuivre les entreprises dans les cas suivants :
- Les adresses électroniques combinées à un mot de passe ou à d'autres questions de sécurité sont violées, ce qui permet d'accéder à un compte.
- Des informations personnelles non cryptées et non expurgées sont compromises parce qu'une entreprise n'a pas mis en œuvre et maintenu des mesures de sécurité raisonnables.
Ces révisions ont également élargi les droits des consommateurs mineurs, et les entreprises doivent désormais.. :
- Obtenir un consentement explicite avant de partager ou de vendre les informations personnelles d'un consommateur âgé de moins de 16 ans.
- Établir un moyen pour un mineur ou son parent/tuteur de spécifier que le consommateur a entre 13 et 16 ans ou qu'il a moins de 13 ans.
Exigences de l'ACPR pour les entreprises
L'ACPR prévoit également des obligations nouvelles et élargies pour les entreprises, notamment des exigences en matière de sécurité et des obligations contractuelles.
Les entreprises doivent activement mettre en œuvre des "procédures et pratiques de sécurité raisonnables" pour protéger les données à caractère personnel.
Si une entreprise est susceptible de créer un risque important pour la vie privée, vous devez effectuer des contrôles annuels de cybersécurité et soumettre vos résultats à l'Agence californienne de protection de la vie privée (CPPA), une nouvelle agence créée pour mettre en œuvre les deux lois sur la protection de la vie privée.
En ce qui concerne les nouvelles obligations contractuelles, si vous partagez, vendez ou divulguez des informations personnelles à des contractants, des tiers ou des prestataires de services, vous devez établir un contrat décrivant tous les éléments suivants :
- Préciser les raisons pour lesquelles ces informations sont divulguées, vendues et partagées avec l'autre entité
- obliger l'autre partie à se conformer également à l'ACPR et à fournir le même niveau de protection de la vie privée que celui exigé par la loi
- L'autre partie doit être tenue de vous informer si elle n'est plus en mesure de respecter ses obligations au titre de l'ACPR.
- Vous devez informer l'autre partie que vous avez le droit de prendre des mesures appropriées et raisonnables pour mettre fin à toute utilisation non autorisée des données à caractère personnel.
L'ACPR fixe également de nouvelles limites de stockage et des lignes directrices en matière de minimisation des données, souvent comparées aux lignes directrices de la loi de l'Union européenne (UE) sur la protection des données, le règlement général sur la protection des données (RGPD).
Il stipule que vous ne pouvez que :
- Collecter des informations personnelles lorsque cela est requis ou raisonnablement nécessaire
- stocker et conserver les informations personnelles aussi longtemps que nécessaire aux fins pour lesquelles elles ont été collectées
L'ACPR empêche également les entreprises d'utiliser certains moyens de défense en cas de violation de données et d'action privée à leur encontre. Elle précise notamment que la mise en œuvre de mesures de sécurité raisonnables après une violation n'est plus considérée comme un moyen de défense adéquat.
Sanctions prévues par l'ACPR
Les sanctions ont été mises à jour dans le cadre de l'ACPR et comprennent :
- 2 500 $ par infraction non intentionnelle
- 7 500 $ par violation intentionnelle ou pour les infractions impliquant des informations personnelles de mineurs de moins de 16 ans
Mais le délai de grâce de 30 jours pour corriger les infractions ne s'applique plus. C'est l'ACPP qui décide du délai dont dispose chaque entreprise pour corriger ses erreurs, en tenant compte des facteurs suivants :
- L'entreprise avait-elle l'intention d'enfreindre l'ACPR ?
- L'entreprise s'est-elle efforcée de remédier à la violation alléguée ?
En outre, comme je l'ai mentionné précédemment, les consommateurs peuvent désormais intenter une action privée contre une entreprise pour les deux raisons suivantes :
- Des informations personnelles non cryptées et non expurgées sont compromises.
- Les adresses électroniques combinées à un mot de passe ou à d'autres détails permettant d'accéder à un compte sont violées.
L'ACPR a-t-elle remplacé l'ACCP ?
Non, l'ACPR n'a pas remplacé la CCPA, mais elle en modifie certaines parties, et toute partie laissée inchangée reste applicable aux entreprises et aux consommateurs.
C'est pourquoi des organismes tels que l'ACPP, l'agence responsable de l'application de l'ACPP, se réfèrent à la législation sous le nom de CCPA, CCPA tel qu'amendé, ou règlement CCPA.
Quels sont les changements apportés par l'ACPR ?
L'ACPR a apporté plusieurs modifications à la LCAP, notamment en élargissant les droits des utilisateurs, en introduisant de nouveaux concepts et en prévoyant des obligations supplémentaires pour les entreprises.
Voici quelques-uns des principaux changements introduits par l'ACPR :
- Nouveaux seuils légaux - Certaines entreprises qui répondaient aux critères de la CCPA concernant l'achat, la vente ou le partage des données de 50 000 consommateurs peuvent ne plus tomber sous le coup de ces lois si elles ne répondent pas à la nouvelle exigence de 100 000 consommateurs.
- Nouvelle catégorie de données - La nouvelle loi reconnaît la catégorie des informations personnelles sensibles qui doivent être hautement protégées, et les consommateurs peuvent demander à limiter ou à refuser la vente, le partage ou le traitement de ces informations vulnérables.
- Des droits nouveaux et élargis pour les consommateurs - L'ACPR élargit certains droits des consommateurs définis par la CCPA et leur accorde le nouveau droit de corriger leurs informations, de limiter l'utilisation de données sensibles, d'accéder à des informations sur la prise de décision automatisée et de refuser la technologie de prise de décision automatisée.
- Nouveaux concepts - Cette loi a introduit le concept de partage d' informations personnelles, qui se réfère à l'échange de données entre des entreprises et des tiers, mais pas nécessairement à des fins monétaires.
- Nouvelle incorporation des principes RGPD RGPD - Comme le RGPD, l'ACPR adopte des principes similaires pour la minimisation des données, la limitation des finalités et la limitation du stockage.
- Nouveaux droits privés d'intenter une action en justice - Les consommateurs peuvent désormais intenter une action en justice privée contre les entreprises qui divulguent leurs identifiants de connexion dans le cadre d'une violation de données.
- Nouvelle création d'une agence chargée de faire respecter la vie privée - L'agence californienne de protection de la vie privée (CPPA) a été créée pour faire respecter les nouvelles lois sur la protection de la vie privée, une responsabilité qui incombait auparavant au bureau du procureur général de Californie.
Différences entre l'ACPR et l'ACCP
Il existe des différences nuancées entre la version originale de la loi sur la protection des consommateurs et la réglementation actuelle, maintenant que l'ACPR est officiellement entrée en vigueur. J'ai donc créé pour vous des tableaux comparatifs entre la loi sur la protection des consommateurs et l'ACPR.
L'ACPR et l'ACCP : Définitions
L'une des conséquences importantes de l'ACPR sur la LCAP est la modification, la mise à jour et l'introduction de nouveaux termes et définitions juridiques, qui figurent à l'article 1798.40 de la loi.
Le tableau ci-dessous permet de comparer certaines définitions juridiques nouvelles et élargies introduites par l'ACPR avec les définitions initiales de l'ACCP.
| Durée | CPRA | CCPA |
| Informations personnelles sensibles | Les informations personnelles très vulnérables qui sont soumises à des exigences accrues en matière de conformité et qui comprennent
|
La version originale de la CCPA ne comportait pas de catégorie d'informations personnelles sensibles. |
| Partage | la divulgation d'informations personnelles à des tiers dans le cadre de la publicité comportementale, y compris le partage gratuit, le gain monétaire ou toute autre valeur | La version originale de la CCPA ne faisait pas référence à l'échange d'informations personnelles. |
| Entrepreneur | Une personne à qui une organisation a communiqué les informations personnelles d'un consommateur à des fins commerciales établies par un contrat écrit. | La version originale de l'ACCP ne définissait pas l'entrepreneur |
| Informations accessibles au public | Toute information légalement mise à disposition par les autorités fédérales, étatiques ou locales.
Toute information dont une entreprise estime raisonnablement qu'elle a été légalement mise à la disposition du grand public par des médias largement diffusés ou par le consommateur. Et toute information donnée par une personne avec laquelle le consommateur a divulgué l'information, pour autant que le consommateur n'ait pas limité l'information à un groupe ou à des personnes spécifiques. |
La version originale de la CCPA définissait les informations accessibles au public comme étant tout ce qui est légalement mis à disposition à partir des archives du gouvernement fédéral, de l'État ou des collectivités locales |
| Lien vers le texte juridique original | 1798,40 avec les modifications de l'ACPR | 1798.40 du texte original de l'ACCP |
* Tous les autres termes juridiques non affectés par les modifications de l'ACPR sont interprétés de la même manière que lorsque l'ACPR les a définis initialement.
CPRA vs. CCPA : Seuils juridiques
En raison des révisions introduites par l'ACPR, les seuils juridiques ont changé par rapport à ce qu'ils étaient à l'origine dans le cadre de la LPCC, ce qui a un impact sur les entreprises qui relèvent de la compétence de ces lois.
Le tableau ci-dessous permet de comparer les nouvelles exigences fixées par l'ACPR et les seuils légaux définis à l'origine par l'ACCP, à l'article 1798.140 de la loi.
| CPRA | CCPA |
Toute entité à but lucratif qui exerce ses activités en Californie et qui répond à l'une des dispositions suivantes :
|
Toute entité à but lucratif qui exerce ses activités en Californie, collecte des données auprès de résidents californiens et remplit l'une des conditions suivantes :
|
| 1798.140 avec les modifications de l'ACPR | 1798.140 du texte original de l'ACCP |
N'oubliez pas qu'à l'heure actuelle, les seuils légaux définis par l'ACPR sont les seules exigences en vigueur. Si vous remplissez ces conditions, votre entreprise doit se conformer à la fois aux lignes directrices de la CCPA et de l'ACPR en matière de protection des données.
CPRA vs. CCPA : Droits des consommateurs
Certains des droits relatifs à la protection de la vie privée initialement accordés aux consommateurs par la loi sur la protection des données ont été étendus par les amendements de l'ACPR, et quelques nouvelles libertés ont été introduites.
Le tableau ci-dessous met en évidence les différences entre les droits nouveaux et étendus découlant de l'ACPR et les droits initiaux des consommateurs découlant de l'ACCP, qui se trouvent dans les sections 1798.100 à 1798.125 des lois.
| CPRA | CCPA |
| Les consommateurs ont le droit de savoir quelles informations personnelles sont collectées à leur sujet, comment elles sont utilisées et si elles sont vendues ou partagées avec des tiers. | Dans la version initiale de la CCPA, les consommateurs avaient le même droit de savoir quelles informations personnelles sont collectées à leur sujet, comment elles sont utilisées et si elles sont vendues à des tiers ou partagées avec eux. |
| Les consommateurs ont le droit de demander l'accès aux données collectées à leur sujet au-delà de la période de 12 mois, et les entreprises ne peuvent refuser la demande que si cela est impossible ou nécessite un effort disproportionné. | Dans la version initiale de la CCPA, les consommateurs n'avaient le droit de demander l'accès à leurs données personnelles que pour les 12 derniers mois. |
| Les consommateurs ont le droit de refuser la vente ou le partage de leurs données personnelles. | Dans la version originale de la CCPA, les consommateurs n'avaient que le droit de refuser la vente de leurs données personnelles. |
| Les consommateurs ont droit à la non-discrimination dans les services et peuvent refuser laprise de décision automatisée et le profilage dans le contexte de l'emploi. | Dans la version originale de la CCPA, les consommateurs n'avaient droit qu'à la non-discrimination en matière de services et de prix. |
| Les consommateurs ont un droit de rectification et peuvent demander à accéder à leurs données personnelles, à les modifier, à les corriger ou à les supprimer. | Les consommateurs n'avaient que le droit de demander l'accès à leurs informations ou leur suppression, ce qui n'était pas obligatoire, mais les entreprises devaient répondre en temps utile dans le cadre de la version initiale de la loi sur la protection des consommateurs. |
| Les consommateurs ont le droit de limiter l'utilisation et la divulgation de leurs informations personnelles sensibles | Auparavant, les consommateurs ne disposaient pas de ce droit et la version initiale de la CCPA ne prévoyait pas de catégorie d'informations personnelles sensibles. |
| 1798.100 avec les modifications de l'ACPR | 1798.100 du texte original de l'ACCP |
* Tous les autres droits des consommateurs mentionnés dans la CCPA qui ne sont pas affectés par les modifications prévues par l'ACPR restent en place et s'appliquent toujours.
CPRA vs. CCPA : Obligations des entreprises
En raison des modifications apportées à l'ACPR, les entreprises relevant de ces lois doivent respecter de nouvelles exigences pour collecter, stocker, traiter et utiliser légalement les informations à caractère personnel.
Comme il ne s'agit pas techniquement de deux lois distinctes avec des lignes directrices complètement différentes, le tableau ci-dessous est différent des autres. Il présente les principales obligations des entreprises officiellement en vigueur depuis l'entrée en vigueur de l'ACPR et fournit des suggestions sur la manière de se conformer à ces exigences.
| Obligations des entreprises en vertu de l'ACPR et de l'ACCP | Comment se conformer |
| Informer les consommateurs que des informations personnelles sont collectées, comment et pourquoi, et avec qui elles sont partagées ou vendues. |
|
| Respecter les droits des consommateurs et faciliter leurs demandes en leur offrant la possibilité de refuser la collecte de données à l'aide de paramètres de confidentialité visibles, y compris le droit de limiter l'utilisation de leurs informations personnelles sensibles. |
|
| Créez un contrat en suivant des lignes directrices spécifiques si vous partagez, vendez ou divulguez des informations personnelles à des contractants, des tiers ou des prestataires de services. | Les contrats doivent contenir tous les éléments suivants :
|
| Mettre en œuvre des procédures et des pratiques de sécurité raisonnables pour protéger les données à caractère personnel |
|
| Remplir les nouvelles obligations de divulgation et de conservation |
|
| Fournir un avis sur les droits des consommateurs |
|
Nous l'avons dit à plusieurs reprises, mais pour rappel, toutes les autres lignes directrices, exigences ou stipulations de l'ACCP qui ne sont pas affectées par les modifications de l'ACPR restent en vigueur.
Par conséquent, si vous tombez sous le coup de ces lois, vous devez également respecter toutes les normes juridiques.
CPRA vs. CCPA : Sanctions en cas de non-conformité
Le non-respect des lignes directrices relatives à la protection des données personnelles établies par l'ACPR et la CCPA a des conséquences, et les modifications apportées à l'ACPR ont changé ce dont les entreprises peuvent être tenues responsables devant un tribunal.
Le tableau ci-dessous compare les nouvelles sanctions prévues par l'ACPR en cas de non-respect de la législation avec les sanctions initiales prévues par l'ACCP, qui figurent à l'article 1798.150 de la législation.
| CPRA | CCPA |
|
|
Les consommateurs peuvent poursuivre une entreprise dans le cadre d'un procès relatif à la protection de la vie privée si
Les consommateurs peuvent obtenir des dommages-intérêts allant de 100 à 750 dollars par incident, ou des dommages réels, le montant le plus élevé étant retenu. |
Les consommateurs peuvent poursuivre une entreprise dans le cadre d'un procès privé si
|
| 1798.150 avec les modifications de l'ACPR | 1798.150 du texte original de l'ACCP |
En fin de compte, les amendements de l'ACPR renforcent la responsabilité des entreprises en matière de protection des informations personnelles des utilisateurs - et de leurs identifiants de connexion - contre l'exposition, les fuites et les atteintes à la protection des données.
Qui doit se conformer à l'ACPR et à la LPCC ?
À partir du 1er janvier 2023, votre entreprise devra se conformer à la fois à la CCPA et à la CPRA si vous exercez votre activité en Californie et si vous remplissez l'une des conditions suivantes :
- Avoir réalisé un chiffre d'affaires annuel brut de 25 millions de dollars au 1er janvier de l'année civile précédente.
- achète, vend ou partage annuellement les informations personnelles de 100 000 consommateurs ou ménages californiens ou plus
- 50 % ou plus de votre revenu annuel brut provient de la vente ou de l'échange d'informations personnelles
Toutes les règles d'application de l'ACPP sont désormais officiellement applicables avec un recul jusqu'en juillet 2023.
Comment s'assurer que votre entreprise respecte correctement les deux législations
Pour que votre entreprise se conforme à la fois à l'ACPR et à l'ACCP, vous devez mettre en œuvre tous les éléments suivants :
- Publier sur votre site web une politique de confidentialité conforme à la CCPA
- Publiez également sur votre site web une note bien rédigée sur la façon dont ces traqueurs collectent, stockent et utilisent les informations personnelles. politique de cookies sur votre site web décrivant comment ces trackers collectent, stockent et utilisent les informations personnelles.
- Placez un lien "Ne pas vendre ou partager mes informations personnelles" dans le pied de page de votre site web.
- Ajoutez également un lien "Limiter l'utilisation de mes données personnelles" dans le pied de page de votre site web.
- Ou, au lieu d'utiliser des liens, respecter les paramètres de préférence d'exclusion que les consommateurs placent sur leurs navigateurs.
- Mettre en œuvre des mesures de sécurité raisonnables pour protéger les données personnelles des consommateurs contre les violations ou les piratages.
- Faciliter les demandes des utilisateurs en publiant sur votre site web un formulaire de demande d'accès aux données par la personne concernée (DSAR).
- Fournir un avis sur les droits des consommateurs en ajoutant une clause à votre politique de protection de la vie privée conforme.
- Ne conserver les données personnelles des consommateurs que pendant la durée raisonnablement nécessaire
- Ne divulguer les données personnelles des consommateurs à des tiers qu'en cas de nécessité et créer des contrats conformes à chaque fois.
La liste de contrôle peut sembler longue, mais la conformité ne doit pas être compliquée, surtout si l'on dispose de l'aide nécessaire. Découvrez comment simplifier votre conformité en matière de confidentialité des données dans la section suivante.
Comment Termly peut aider
Se conformer à la LCAP et aux amendements de l'ACPR peut sembler intimidant à première vue, mais Termly peut vous aider à vous décharger de ce fardeau.
Nous proposons des générateurs de politiques et une solution de consentement qui répond aux normes de la CCPA et aux changements de l'ACPR, y compris :
- Générateur de politique de confidentialité
- Générateur de politique de cookies
- consentement aux cookies Gestionnaire
- Formulaires DSAR
Nos générateurs vous guident tout au long du processus d'élaboration d'une police en vous demandant de répondre à des questions simples sur votre activité, comme le montre la capture d'écran ci-dessous.
Vous trouverez même des conseils utiles et des réponses aux questions les plus courantes directement sur chaque page, comme le montre la capture d'écran ci-dessous. De plus, vous avez accès à notre équipe d'assistance si vous êtes bloqué ou si vous avez besoin d'aide.
Chez Termly, nous sommes fiers d'être toujours à jour, c'est pourquoi notre équipe juridique et nos experts en confidentialité des données ont travaillé avec nos ingénieurs produits pour mettre à jour nos outils afin de suivre toutes les directives et exigences établies par les deux lois californiennes et plus de 20 autres lois provenant d'autres parties du monde.
Considérez-nous comme votre partenaire en matière de respect de la vie privée, toujours prêt à vous aider à répondre à vos besoins en matière de confidentialité des données.
FAQ sur l'ACPR et l'ACCP
Les lois californiennes sur la protection de la vie privée vous laissent encore perplexe ? Consultez les questions les plus fréquemment posées au sujet de la CPRA et de la CCPA pour obtenir davantage d'éclaircissements.
Quand l'ACPR est-elle entrée en vigueur ?
Les exigences statutaires de l'ACPR sont entrées en vigueur le 1er janvier 2023. Les règles d'application de l'ACPP sont entrées en vigueur le 1er juillet 2023.
L'ACPR remplace-t-elle l'ACCP ?
L'ACPR ne remplace pas le CCPA, mais en modifie certaines parties. Tous les aspects de la loi qui ne sont pas affectés par les modifications apportées par l'ACPR restent inchangés et s'appliquent toujours aux entreprises.
C'est pourquoi certaines agences gouvernementales et d'autres entités, y compris l'ACPP, font référence à ces deux lois sous le nom de CCPA, CCPA tel qu'amendé, ou règlements CCPA.
Dois-je me conformer à la fois à la CCPA et à l'ACPR ?
Oui, vous devez vous conformer à la fois à la CCPA et à la CPRA si vous dirigez une entreprise à but lucratif qui exerce ses activités en Californie et qui répond à un ou plusieurs des critères suivants :
- Avoir réalisé un chiffre d'affaires brut annuel de 25 millions de dollars au 1er janvier de l'année civile précédente.
- vend, achète ou partage les informations personnelles de 100 000 consommateurs ou ménages californiens
- Tire 50 % ou plus de ses revenus annuels de la vente ou de l'échange d'informations à caractère personnel
Qui veille à l'application de la CCPA et de l'ACPR ?
Un nouvel organisme, la California Privacy Protection Agency (CPPA), a été créé pour veiller à l'application de la loi sur la protection de la vie privée et des amendements à la loi sur la protection de la vie privée. Auparavant, le bureau du procureur général de Californie était responsable de l'application de la loi.
Résumé
L'ACPR a élargi la LPCC lors de son entrée en vigueur, en accordant plus de droits aux consommateurs et en renforçant les exigences auxquelles les entreprises doivent se conformer pour collecter, traiter et utiliser légalement les informations à caractère personnel.
Pour vous conformer aux amendements de l'ACPR à la CCPA, mettez à jour votre politique de confidentialité, fournissez des liens pertinents aux utilisateurs pour qu'ils puissent exercer leurs droits en matière de confidentialité et mettez en œuvre des protocoles de sécurité appropriés pour assurer la sécurité des informations personnelles des consommateurs.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
