CPRA : California Privacy Rights Act (loi californienne sur le droit à la vie privée)

En novembre 2020, les habitants de la Californie ont voté la loi sur les droits à la protection de la vie privée en Californie (CPRA ), qui modifie et élargit la loi sur la protection de la vie privée des consommateurs en Californie(CCPA) de 2018.

L'ACPR est entrée en vigueur le 1er janvier 2023 et est désormais pleinement applicable.

Les organisations doivent modifier dès que possible leurs pratiques en matière de protection de la vie privée et leurs pratiques commerciales. Dans le cas contraire, elles s'exposent au risque d'être à la traîne, voire d'avoir des ennuis pour n'avoir pas mis en œuvre les changements de politique appropriés.

Poursuivez votre lecture pour en savoir plus sur l'ACPR, sur l'incidence qu'elle peut avoir sur votre organisation et sur la façon dont vous pouvez vous y conformer. Vous pouvez également lire notre comparaison complète entre la LCAP et l'ACPR.

Qu'est-ce que l'ACPR ?

La CPRA ( California Privacy Rights Act) a modifié la CCPA et introduit plusieurs changements dans les règles relatives à la protection de la vie privée.

Par rapport à son prédécesseur, cette loi est plus favorable aux petites entreprises. Cependant, il :

• Accorder plus de droits aux consommateurs
• Création d'une agence chargée de la mise en œuvre et de l'application de l'ACPR
• Nouvelles exigences pour les organisations

Elle est actuellement entièrement en vigueur avec un recul jusqu'au 1er juillet 2023, mais ce n'était pas le projet initial.

À l'origine, les modifications devaient entrer en vigueur le 1er janvier 2023, avec un retour en arrière jusqu'en janvier 2022. Toutefois, l'Agence californienne de protection de la vie privée (CCPA) a tardé à finaliser les règles d'application officielles.

En conséquence, les tribunaux californiens ont repoussé la date d'application au 29 mars 2024, et seules les exigences légales ont été considérées comme applicables.

L'ACPP a ensuite fait appel de cette décision et, le 9 février 2024, la Cour d'appel du troisième district de Californie a donné raison à l'ACPP en ramenant la date d'entrée en vigueur au 1er juillet 2023.

À quelles organisations l'ACPR s'applique-t-elle ?

La CPRA s'applique aux organisations à but lucratif qui exercent leurs activités dans l'État de Californie et qui répondent à un ou plusieurs des critères suivants :

• avoir un revenu brut annuel de 25 millions de dollars au 1er janvier de l'année civile précédente
• vendre, acheter ou partager les informations personnelles de 100 000 ménages ou consommateurs californiens
• tirer 50 % ou plus de ses revenus du partage (terme nouvellement défini) ou de la vente d'informations à caractère personnel

Ces nouveaux seuils exemptent certaines petites entreprises de la réglementation de l'ACPR. Toutefois, ils élargissent également le champ d'application, puisque les entreprises qui tirent 50 % ou plus de leur chiffre d'affaires du partage d'informations à caractère personnel sont également soumises à la loi.

Les types d'entités suivants seront également soumis à l'ACPR :

Exemptions de l'ACPR

Les données personnelles des personnes suivantes sont désormais exemptées des dispositions de l'ACPR:

• Personnes participant à des essais cliniques ou à des recherches biomédicales
• les prestataires de soins de santé, y compris les données médicales protégées par la loi sur la confidentialité des informations médicales

L'ACPR a également prolongé les exemptions accordées aux données interentreprises (B2B) et aux données sur l'emploi jusqu'au 1er janvier 2023.

Mise en œuvre de l'ACPR

L'un des changements les plus importants introduits par la CPRA est la création de l'Agence californienne de protection de la vie privée (CPPA).

L'agence engage des actions par l'intermédiaire de la Cour de droit administratif afin d'appliquer, de réglementer et de mettre en œuvre la loi sur la protection des consommateurs. Contrairement au système judiciaire de l'État - qui assurait auparavant l'application de la loi sur la protection des consommateurs - la Cour de droit administratif propose des audiences indépendantes et neutres, moins formelles et plus transparentes.

Cette modification transfère la responsabilité de l'application de l'ACPR de l'Office of the Attorney General à l'ACPR. Cette dernière sera également chargée de sensibiliser le public aux droits des consommateurs et à la protection de la vie privée.

L'ACPP a été créée en mars 2021 et se compose d'un conseil d'administration de cinq membres experts en matière de droits des consommateurs, de technologie et de protection de la vie privée.

Définitions nouvelles et élargies de l'ACPR

La CPRA ajoute des définitions et des concepts nouveaux et élargis aux lois californiennes sur la protection de la vie privée.

Partage

L'ACPR définit le partage comme la divulgation d'informations personnelles à des tiers à des fins de publicité comportementale inter-contexte. Il s'agit d'un partage gratuit, d'un gain monétaire ou de toute autre considération de valeur.

Les entreprises qui partagent des informations personnelles doivent fournir aux consommateurs un lien évident "Ne pas partager mes informations personnelles" et une option pour refuser le partage. Un lien "Ne pas partager" peut être associé à un lien "Ne pas vendre".

Informations personnelles sensibles (SPI)

L'ACPR a conservé la définition des informations personnelles de son prédécesseur, mais a également ajouté une nouvelle catégorie appelée "informations personnelles sensibles" (IPS), qui renforce les exigences en matière de conformité :

• Numéros de permis de conduire
• Numéros de sécurité sociale (SSN)
• Numéros d'identification de l'État
• Adhésion à un syndicat
• Numéro de passeport
• les informations d'identification de l'utilisateur, telles que les noms d'utilisateur et les mots de passe
• Données biométriques et génétique
• Origines ethniques ou raciales
• Géolocalisation précise
• Croyances religieuses ou philosophiques
• Informations sur l'orientation sexuelle, la vie sexuelle ou la santé d'un consommateur
• Contenu des textes, courriers et courriels d'un consommateur

Si votre entreprise traite des IPS de quelque nature que ce soit, faites attention à l'endroit où vous stockez ces informations et à ce que vous en faites. En vertu des modifications apportées par l'ACPR, les consommateurs ont le droit de limiter l'utilisation et la divulgation des IPS - ils peuvent vous demander de ne les utiliser qu'en cas de nécessité.

Entrepreneurs

L'ACPR définit un contractant comme une personne à laquelle une organisation a mis à disposition les informations personnelles d'un consommateur dans un but commercial établi par un contrat écrit.

Les entrepreneurs doivent certifier qu'ils comprennent les exigences de l'ACPR et qu'ils s'y conformeront. Ils doivent informer l'entreprise s'ils ne sont pas en mesure de s'y conformer.

Profilage

Le profilage est tout traitement automatisé d' informations personnelles qu'une entreprise effectue pour faire des prévisions sur la situation économique, les préférences, la santé, la fiabilité, la localisation, le comportement, les mouvements et les performances au travail d'une personne.

Par exemple, une entreprise fait du profilage si elle utilise un logiciel d'entretien d'IA pour observer les attributs personnels et le comportement d'un candidat et prédire comment il se comportera sur le lieu de travail.

Informations accessibles au public

L'ACPR a élargi la définition des informations "accessibles au public". Elle inclut désormais

• Les informations dont une entreprise estime raisonnablement qu'elles ont été légalement mises à la disposition du grand public par des médias largement diffusés ou par le consommateur.
• Informations données par une personne à qui le consommateur a divulgué les informations - si le consommateur n'a pas limité les informations à un groupe spécifique de personnes

Cette mise à jour facilite la mise en conformité pour les entreprises qui collectent des données à partir de sources où les utilisateurs ne restreignent pas l'accès à leur contenu.

Les plateformes de médias sociaux comme Instagram, Facebook et YouTube en sont des exemples.

Droits des consommateurs élargis

En outre, l'ACPR confère aux consommateurs des droits nouveaux et élargis:

Possibilité de refuser le partage des informations personnelles

Les consommateurs ont désormais le droit de refuser la vente et le partage d'informations personnelles. Ils disposent de ce droit, qu'il y ait ou non échange d'argent - ou d'une autre contrepartie de valeur - à la suite du partage des informations personnelles.

Le droit de corriger et de supprimer des informations personnelles inexactes

L'ACPR donne aux consommateurs le droit de corriger et de supprimer les informations personnelles inexactes. Les entreprises concernées doivent également informer les consommateurs de ce droit et faire des efforts raisonnables pour corriger ou supprimer les erreurs après avoir reçu une demande vérifiée de la part du consommateur.

Le droit d'accès aux données

Contrairement à la législation actuelle, l'ACPR permet aux consommateurs de demander des informations collectées auprès d'eux au-delà d'une période de 12 mois. La seule exception à cette règle est l'impossibilité de le faire ou la nécessité d'un "effort disproportionné". L'ACPR déterminera ce que l'on entend par "effort disproportionné" par le biais de son règlement.

Le droit de refuser la prise de décision automatisée et le profilage

Les consommateurs ont le droit de connaître et de refuser tout type de prise de décision automatisée. Par conséquent, les entreprises doivent fournir au public des informations adéquates sur le fonctionnement de la prise de décision automatisée et sur le résultat probable du processus.

Un droit d'action privé élargi

Les consommateurs disposent désormais d'un droit d'action privé à l'encontre des entreprises lorsque des violations de données se produisent et que les données suivantes sont exposées ou compromises :

• Adresse électronique associée à un mot de passe ou à une question de sécurité et à une réponse permettant d'accéder au compte.
• Informations personnelles non cryptées et non expurgées en raison de la négligence d'une entreprise à mettre en œuvre et à maintenir des procédures de sécurité raisonnables.

Droits élargis pour les consommateurs mineurs

Cette législation renforce également les droits des consommateurs mineurs. Par exemple, les entreprises doivent obtenir un consentement explicite avant de partager ou de vendre les informations personnelles d'un consommateur âgé de moins de 16 ans.

Les entreprises doivent également mettre en place un moyen permettant à un consommateur mineur ou à ses parents de préciser qu'il a entre 13 et 16 ans ou moins de 13 ans.

Des obligations élargies pour les entreprises

Pour protéger les droits des consommateurs, l'ACPR a également élargi les obligations des entreprises:

Exigences relatives à la mise en œuvre de la sécurité

L'ACPR exige des entreprises qu'elles mettent activement en œuvre des "procédures et pratiques de sécurité raisonnables" pour protéger les informations personnelles. Si votre entreprise est susceptible de créer un risque important pour la vie privée des consommateurs, vous devez effectuer des contrôles annuels de cybersécurité et soumettre vos résultats à l'ACPR.

Un projet de ces exigences d'audit de cybersécurité a été publié par l'ACPP en décembre 2023.

Nouvelles obligations contractuelles

Pour mieux protéger les droits des consommateurs, l'ACPR impose des obligations plus larges aux entreprises qui partagent, vendent ou divulguent des informations personnelles à des contractants, des tiers et des prestataires de services.

Si vous travaillez avec l'une de ces parties, vous devez respecter les points suivants dans les contrats écrits que vous concluez avec elles :

• Préciser que les informations divulguées ou vendues par votre entreprise ne le sont qu'à des fins précises et limitées.
• les obliger à se conformer à l'ACPR et à "fournir le même niveau de protection de la vie privée" requis
• les obliger à informer l'entreprise s'ils ne peuvent plus respecter leurs obligations au titre de l'ACPR
• leur dire qu'ils ont le droit de prendre des mesures appropriées et raisonnables pour mettre fin à l'utilisation non autorisée de leurs données à caractère personnel

Des moyens de défense limités après une violation de données

L'ACPR empêche également les entreprises de se prévaloir de certains moyens de défense dans le cadre d'actions privées.

En particulier, le maintien et la mise en œuvre de pratiques et de procédures de sécurité raisonnables après une violation de données ne seront pas considérés comme une défense appropriée ou un "remède" à cette violation de données.

Limitation du stockage et minimisation des données

Enfin, cette loi établit les concepts de limitation du stockage et de minimisation des données.

À l'instar du règlement général sur la protection des données (RGPD) de l'Union européenne, l'ACPR stipule que les entreprises ne peuvent collecter des informations personnelles que lorsque celles-ci sont requises ou "raisonnablement nécessaires" aux fins pour lesquelles elles sont collectées.

En outre, les entreprises ne peuvent pas conserver les informations personnelles plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées.

Pénalités et amendes de l'ACPR

L'ACPR a ajouté une nouvelle sanction: En cas d' infraction intentionnelle ou d'infraction concernant les données personnelles de personnes âgées de moins de 16 ans, vous pouvez désormais être condamné à une amende administrative pouvant aller jusqu'à 7 500 dollars.

L'ACPR supprimera également le délai de 30 jours qui commence automatiquement à courir après l'inculpation d'une infraction présumée. C'est l'ACPP qui décidera du temps dont vous disposerez pour corriger vos erreurs. Elle tiendra compte des facteurs suivants :

• Avez-vous eu l'intention de violer l'ACPR ?
• Si vous avez fait des efforts pour remédier à la violation alléguée

Conseils généraux pour le respect de l'ACPR

Dans l'ensemble, la CPRA a apporté de nombreux changements et ajouts à la loi californienne sur la protection de la vie privée et est désormais pleinement applicable.

Comme l'ACPR s'applique à toutes les informations personnelles collectées à partir du 1er juillet 2023, gardez les conseils suivants à l'esprit pour vous assurer que votre organisation se conforme aux règles :

1. Vérifiez si l'ACPR s'applique à votre entreprise.

Les seuils ayant été modifiés, certaines entreprises ne sont plus couvertes par la loi modifiée.

N'oubliez pas non plus que la conformité à l'ACPR s'étend au-delà de la Californie. Ainsi, tant que les résidents de Californie peuvent accéder à votre site web et que vous répondez aux critères de l'ACPR, vous devez vous conformer à l'ACPR.

2. Mettez à jour votre politique de confidentialité.

Veillez à ce que votre politique de confidentialité soit conforme à l'ACPR. N'oubliez pas d'inclure des sections concernant

• Droits des consommateurs
• Comment les consommateurs peuvent-ils demander l'accès, la suppression ou la modification de leurs données personnelles ?
• Comment les mineurs et leurs parents peuvent-ils consentir au partage ou à la vente des informations personnelles des consommateurs mineurs à l'aide d'un formulaire de consentement ?

Soyez aussi détaillé que possible afin que les consommateurs connaissent leurs droits avant de vous fournir des informations personnelles. S'il y a trop de changements à apporter, envisagez de réécrire votre politique de protection de la vie privée ou de faire appel à une société de conseil en protection de la vie privée. Générateur de politique de confidentialité

3. Mettez à jour vos contrats.

Lisez les dispositions contractuelles de l'ACPR et commencez à modifier les contrats et les modèles de contrats pour les tiers, les entrepreneurs et les prestataires de services. Vérifiez ensuite s'ils peuvent répondre à ces nouvelles exigences. Si ce n'est pas le cas, vous devrez peut-être trouver de nouveaux fournisseurs capables de se conformer à l'ACPR.

4. Mettez votre site web à jour.

Pour vous conformer au droit élargi de l'ACPR de refuser le partage d'informations personnelles avec des tiers à des fins publicitaires, vous devez ajouter un lien "Ne pas vendre mes informations personnelles" sur votre page d'accueil .

Vous devez également ajouter un lien "Limiter l'utilisation de mes informations personnelles sensibles" pour vous conformer à la limitation de l'utilisation des données sensibles des consommateurs prévue par l'ACPR.

Pour les deux liens, vous devez utiliser une police de grande taille, lisible sur les versions mobile et de bureau de votre site web.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur