Accueil ' Ressources ' Articles 'Le droit d'action privé de l'ACCP...

Le droit d'action privé de l'ACCP simplifié pour les entreprises

Par : Ali Talip Pınarbaşı, CIPP/E, & LLM Ali Talip Pınarbaşı, CIPP/E, & LLM | Mise à jour le : 22 juillet 2022

Générer une politique de confidentialité conforme à la CCPA
CCPA-Private-Right-of-Action-Simplified-For-Businesses-01 (en anglais)

Le California Consumer Privacy Act (CCPA) est une loi sur la confidentialité des données promulguée en juin 2018 par la législature de l'État de Californie qui donne aux Californiens le droit de connaître, de restreindre et de supprimer les données que les entreprises collectent auprès d'eux.

Elle autorise également un droit d'action privé qui donne aux résidents de Californie le droit d'intenter des poursuites privées contre les entreprises négligentes.

Pour en savoir plus sur la manière dont la CCPA permet aux consommateurs californiens de bénéficier d'un droit d'action privé, lisez la suite.

Table des matières
  1. Qu'est-ce que le droit d'action privé ?
  2. Qui est couvert par le droit d'action privé de la CCPA ?
  3. Violations susceptibles de déclencher un droit d'action privé
  4. Dommages-intérêts prévus par la CCPA
  5. Comment éviter les plaintes privées dans le cadre de la CCPA ?
  6. Résumé

Qu'est-ce que le droit d'action privé ?

Un droit d'action privé est défini comme le droit pour une personne privée d'intenter une action pour protéger ses droits en vertu de la loi.

Ce droit comporte deux volets : le volet privé et le volet action:

  • Privé: Le terme "privé", dans le contexte d'un droit d'action privé, désigne un droit appartenant à une personne privée. Il ne s'agit pas d'un gouvernement, qu'il soit étatique, local ou fédéral.
  • Action: Dans le contexte d'un droit d'action privé, le terme "action" désigne l'action de faire valoir ses droits légaux. En d'autres termes, il s'agit de l'introduction d'une action en justice pour protéger ses droits.

Comment la CCPA intègre-t-elle le droit d'action privé ?

Les Californiens ont les droits suivants en vertu de la loi sur la protection des consommateurs:

  • Droit de divulgation: Un consommateur a le droit de demander à une entreprise de divulguer les informations personnelles qu'elle a collectées auprès de lui.
  • Droit de suppression: Un consommateur a le droit de demander à l'entreprise de supprimer toute information personnelle qu'elle a recueillie.
  • Droit de retrait : Un consommateur a le droit de demander à une entreprise de ne pas vendre les informations personnelles qu'elle a recueillies à son sujet.
  • Droit à la non-discrimination: Un consommateur a le droit de ne pas faire l'objet de discrimination de la part des entreprises pour avoir exercé ses droits en vertu de la CCPA.
  • Droit d'action privé : La CCPA prévoit en outre que si un consommateur estime qu'une entreprise a violé ses droits, il "peut intenter une action civile".

Qui est couvert par le droit d'action privé de la CCPA ?

Le droit d'action privé de la CCPA permet aux consommateurs d'intenter une action en justice contre une entreprise qui a violé la CCPA devant les tribunaux de l'État de Californie.

Consommateurs

Les consommateurs californiens peuvent désormais engager une action civile contre les entreprises qui violent leurs droits en vertu de la CCPA. La définition d'un consommateur dans ce contexte particulier est "une personne physique qui réside en Californie".

Une personne physique signifie que la définition du "consommateur" n'inclut pas les entreprises. Par conséquent, seules les personnes physiques résidant en Californie peuvent intenter une action civile au titre de la CCPA.

L'ACCP a adopté la définition du terme "résident" figurant dans le code de réglementation californien. Il stipule que les résidents de Californie comprennent les personnes qui résident en Californie dans un but autre que temporaire ou transitoire et les personnes qui sont domiciliées en Californie mais qui vivent dans un autre État à des fins temporaires ou transitoires.

Enfin, en vertu du droit d'action privé prévu par la CCPA, les consommateurs ne sont pas autorisés à poursuivre d'autres consommateurs, mais uniquement les entreprises.

d'entreprises

Si une entreprise remplit les conditions suivantes, elle doit se conformer à la CCPA :

  • Il s'agit d'une entreprise à but lucratif.
  • Elle est basée en Californie.
  • Elle recueille (ou a recueilli) les informations personnelles de ses consommateurs.
  • Il est chargé de déterminer la finalité et les moyens du traitement des informations personnelles collectées.
  • Il répond à l'un des critères suivants
    • Ses recettes brutes annuelles s'élèvent à plus de 25 millions de dollars.
    • Il achète, reçoit à des fins commerciales, vend ou partage les informations personnelles d'au moins 50 000 consommateurs, ménages ou appareils chaque année.
    • Plus de la moitié de son chiffre d'affaires annuel provient de la vente des informations personnelles de ses consommateurs.

Violations susceptibles de déclencher un droit d'action privé

Le droit d'action privé de la CCPA ne s'applique qu'aux violations de données.

Un consommateur peut intenter une action civile contre une entreprise si toutes les conditions suivantes sont remplies :

  1. Le nom non crypté ou non expurgé de la personne ou d'autres éléments de données énumérés ont fait l'objet d'un accès non autorisé, d'une exfiltration, d'un vol ou d'une divulgation.
  2. Cet accès non autorisé, cette exfiltration, ce vol ou cette divulgation ont eu lieu parce que l'entreprise n'a pas respecté son obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables et adaptées à la nature des informations afin de protéger les données à caractère personnel.
  3. Avant d'intenter une action en justice, le particulier doit donner à l'entreprise un préavis écrit de 30 jours pour remédier à la violation présumée.

Les sections suivantes définissent plus précisément ces éléments.

1. Les informations personnelles doivent être affectées

Les consommateurs concernés peuvent intenter une action privée contre vous si votre entreprise est impliquée dans une violation de leurs données personnelles et que vous n'avez pas respecté les procédures de sécurité appropriées,

Toutefois, la loi sur la protection des données à caractère personnel définit les "informations personnelles" de manière plus restrictive en ce qui concerne le droit d'action privé.

En termes simples, la CCPA utilise la définition des informations personnelles de la section 1798.81.5(d)(1)(A) de la loi californienne sur les dossiers des clients (California's Customer Records Act) aux fins d'un droit d'action privé. En vertu de cette loi, les informations personnelles peuvent être réparties en deux catégories distinctes.

Catégorie 1
  • Le prénom ou l'initiale du prénom et le nom de famille de l'individu et sa combinaison avec l'un des éléments d'information suivants :
    • Numéro de sécurité sociale
    • Documents gouvernementaux comportant un numéro d'identification unique, tels que
      • Numéro de permis de conduire
      • Numéro de la carte d'identité de l'État de Californie
      •   Numéro d'identification fiscale
      • Numéro de passeport
      • Numéro d'identification militaire
    • Numéro de compte ou numéro de carte de crédit ou de débit ainsi que leur code de sécurité ou d'accès ou mot de passe qui donnerait accès aux comptes bancaires ou autres comptes financiers d'une personne.
    • Informations médicales
    • Informations sur l'assurance maladie
    • Données biométriques
    • Données génétiques
Catégorie 2
  • Un nom d'utilisateur ou une adresse électronique en combinaison avec un mot de passe ou une question de sécurité et une réponse qui permettraient d'accéder à un compte en ligne.

En outre, si le nom d'une personne ou l'un des éléments de données énumérés n'est pas crypté ou expurgé, ces données seront considérées comme des "informations personnelles" dans le cadre du droit d'action privé prévu par la loi sur la protection des données.

Cette définition des informations à caractère personnel comporte également quelques mises en garde et explications que vous devez connaître :

  • Les données biométriques comprennent les empreintes digitales, le balayage de la rétine ou l'image de l'iris utilisés pour identifier une personne. Elles ne comprennent pas la photo d'une personne, sauf si cette photo est utilisée pour la reconnaissance faciale.
  • Les informations médicales désignent toutes les informations identifiables concernant les antécédents médicaux, le traitement ou le diagnostic d'une personne, qu'elles soient sous forme papier ou numérique.
  • Les informations relatives à l'assurance maladie comprennent le numéro de la police d'assurance ou le numéro d'identification du souscripteur, un identifiant unique utilisé par la compagnie d'assurance pour identifier l'individu ou toute information figurant dans la demande d'assurance de l'individu, et l'historique des demandes de remboursement.
  • Les données génétiques comprennent toutes les données relatives aux résultats d'une analyse de l'échantillon biologique d'un individu et concernent le matériel génétique. Les exemples de matériel génétique comprennent l'ADN, l'ARN, les gènes, les chromosomes et les modifications de l'ADN ou de l'ARN.

2. Les informations personnelles doivent être protégées contre l'accès non autorisé et l'exfiltration, le vol ou la divulgation.

Une violation de données a deux composantes :

  1. Accès non autorisé
  2. Exfiltration, vol ou divulgation

Accès non autorisé

L'accès non autorisé désigne toute personne qui accède aux informations d'un consommateur sans autorisation. Par exemple, si vos contrôles de sécurité sont insuffisants ou inexistants, un pirate informatique (qui, par définition, n'a pas d'accès autorisé) peut accéder aux informations personnelles du consommateur et les voler.

De même, un employé de votre entreprise peut également accéder aux informations personnelles de vos consommateurs sans autorisation (accès non autorisé) et les divulguer à vos concurrents ou ailleurs.

Vous devez vous préoccuper des acteurs externes et internes susceptibles d'impliquer votre entreprise dans un procès intenté en vertu de la loi sur la protection des consommateurs.

Exfiltration, vol ou divulgation

L'exfiltration, le vol ou la divulgation font référence au retrait, au vol ou au partage des données d'accès (sans le consentement de l'utilisateur).

3. Une violation de données doit résulter du fait qu'une entreprise n'a pas mis en œuvre et maintenu des procédures et pratiques de sécurité raisonnables.

N'oubliez pas qu'un consommateur ne peut engager une action privée pour violation de données que si vous n'avez pas mis en œuvre et maintenu des procédures et des pratiques de sécurité raisonnables.

La CCPA ne définit pas les "procédures et pratiques de sécurité raisonnables". Vous devez donc évaluer les activités de votre entreprise et calculer les mesures de sécurité appropriées pour protéger les informations personnelles des consommateurs.

Il peut être utile de faire appel à une société de conseil ou de sécurité informatique pour vous aider à mettre en place des contrôles et des procédures de sécurité pour votre entreprise.

4. Le particulier doit donner à l'entreprise un délai de 30 jours pour remédier à la violation présumée.

La CCPA permet à une entreprise de "notifier et de remédier" à toute infraction et d'éviter les sanctions.

Avant qu'un consommateur n'entame une action en justice contre l'entreprise, il lui indique la disposition de la CCPA qu'il l'accuse d'avoir violée. L'entreprise dispose alors de 30 jours pour rectifier la situation.

Si l'entreprise peut remédier à la situation, aucune action ne sera engagée contre elle. Il est important de noter que cette notification n'est pas requise si le consommateur a subi un préjudice financier.

Pendant cette période, l'entreprise doit fournir au consommateur une déclaration écrite expresse expliquant que la violation a été corrigée et qu'il n'y aura pas d'autres violations.

Si aucune mesure n'est prise dans le délai de 30 jours ou si l'entreprise ne respecte pas la déclaration écrite, l'entreprise est en infraction avec la loi sur la protection des consommateurs.

Dommages-intérêts prévus par la CCPA

Lorsqu'une entreprise viole les droits d'un consommateur en matière de confidentialité des données en vertu de la CCPA, elle est tenue de verser des dommages-intérêts.

Un consommateur peut intenter une action en justice pour récupérer les dommages réels ou légaux.

  • Les dommages réels font référence aux pertes effectives subies par les consommateurs à la suite d'une violation de données par une entreprise.
  • Les dommages-intérêts légaux varient entre 100 et 750 dollars par consommateur et par incident.

L'entreprise sera tenue de verser des dommages-intérêts réels ou légaux, le montant le plus élevé étant retenu.

Le tribunal détermine les dommages-intérêts légaux de l'ACCP en tenant compte des éléments suivants :

  • Nature et gravité de la violation
  • Nombre d'infractions
  • Persistance des infractions
  • Durée de l'infraction
  • Caractère délibéré de la faute commise par l'entreprise
  • Actifs, passifs et valeur nette de l'entreprise

En vertu de la CCPA, une entreprise peut se voir imposer une injonction ou une mesure déclaratoire, ainsi que "toute autre mesure que le tribunal juge appropriée".

Une entreprise peut également faire l'objet d'une injonction et d'une action civile intentée par le procureur général de Californie pour violation de la CCPA. En outre, l'entreprise sera tenue de verser une somme maximale de 2 500 dollars par infraction non intentionnelle ou de 7 500 dollars par infraction intentionnelle.

En outre, la CCPA fixe une limite supérieure aux dommages et intérêts qu'une entreprise peut être amenée à payer : La responsabilité de l'entreprise ne pourra excéder 2 500 dollars par violation non intentionnelle ou 7 500 dollars par violation intentionnelle.

Comment éviter les plaintes privées dans le cadre de la CCPA ?

La procédure juridique et les coûts de défense d'un procès intenté en vertu de la loi sur la protection des données peuvent s'accumuler rapidement, en particulier s'il s'agit d'une violation massive de données. En outre, l'image publique de votre entreprise souffrira de l'annonce d'une violation de données et du procès qui s'ensuivra, surtout si la couverture médiatique est importante.

Éviter ces réclamations devrait être une priorité dans vos opérations commerciales, car il sera très coûteux de redorer l'image de votre entreprise et de reconstruire ses contrôles de sécurité.

La mise en œuvre de contrôles de protection des données et de la sécurité est le moyen le plus simple d'éviter une violation.

Il convient de noter que la CCPA n'énumère pas de mesures de sécurité appropriées spécifiques que les entreprises devraient appliquer. Toutefois, les entreprises ne sont pas privées de conseils concernant les "pratiques de sécurité raisonnables" qu'elles devraient envisager de mettre en œuvre.

Par exemple, le rapport 2016 du procureur général de Californie sur les violations de données fait référence à 20 contrôles de sécurité critiques recommandés par le Center for Internet Security. Dans ce rapport, le procureur général souligne que le fait de ne pas mettre en œuvre ces mesures de sécurité équivaudra probablement à ne pas appliquer des mesures de sécurité raisonnables.

Ces contrôles comprennent la "configuration sécurisée des actifs et des logiciels de l'entreprise" et la "gestion du contrôle d'accès".

En plus de ces contrôles, votre entreprise devrait envisager les mesures et pratiques suivantes pour éviter les réclamations liées à la CCPA :

  • Gérer et contrôler l'accès aux comptes
  • Protéger les données
  • Mettre en œuvre des systèmes de sécurité et de défense des réseaux
  • Prendre des mesures pour sauvegarder et récupérer les données
  • Mettre en place une protection contre les logiciels malveillants

L'application du cryptage et de l'expurgation des données à toutes les informations personnelles permet de soustraire ces informations à l'application du droit d'action privé prévu par la loi sur la protection des données. Cela peut garantir que vous ne ferez pas l'objet de poursuites judiciaires en raison de violations de données en vertu de la CCPA.

Le droit d'action privé de la CCPA ne s'applique qu'aux informations personnelles non cryptées ou non expurgées. Si toutes les informations sont cryptées, elles ne relèvent pas de la définition des informations personnelles.

Résumé

La CCPA donne aux résidents californiens un droit d'action privé leur permettant de poursuivre les entreprises qui ne respectent pas leurs droits.

Les entreprises qui fournissent des services aux résidents californiens doivent assurer une sécurité et une protection suffisantes des données des consommateurs qu'elles collectent afin d'éviter les violations. En cas de violation, les entreprises peuvent faire l'objet de poursuites de la part des consommateurs et d'une action civile de la part du procureur général de l'État de Californie.

Le maintien de l'intégrité et de la protection des données est votre principale préoccupation en tant qu'entreprise afin d'éviter toute responsabilité au titre de la loi sur la protection des données.

Ali Talip Pınarbaşı, CIPP/E, & LLM
En savoir plus sur l'auteur

Écrit par Ali Talip Pınarbaşı, CIPP/E, & LLM

Ali est un avocat londonien spécialisé dans le droit de la protection des données personnelles. Il est titulaire d'un Master of Laws en droit européen de la protection des données personnelles obtenu au King's College de Londres. Il a six ans d'expérience dans le conseil aux entreprises sur la manière de se conformer aux lois sur la protection des données. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Termly Vous aide à vous conformer à la loi sur la protection des consommateurs

Vous pouvez utiliser notre solution pour générer une politique de confidentialité conforme à la CCPA en quelques MINUTES !
Construire la politique de confidentialité de l'ACCP

Articles connexes

  1. Termly
    Termly vs Osano : Comparaison des caractéristiques et des services
    Comparaisons

    20 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. GDPR
    Exemples de bannières d'avis de cookie GDPR
    Articles

    20 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. GDPR
    Cookies GDPR : Exigences en matière de consentement et de politique
    Articles

    20 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. Qu'est-ce que les cookies ? Un guide pratique pour les cookies sur Internet et sur les ordinateurs-01
    Que sont les cookies ? Un guide utile sur les cookies Internet et informatiques
    Articles

    20 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. EPrivacy-Directive-EU-Cookie-Law-01 (en anglais)
    Explication de la directive "vie privée et communications électroniques" (loi européenne sur les cookies)
    Articles

    13 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Guide sur le droit des cookies pour les entreprises-UE-USA-et-le-Royaume-Uni-01
    Guide de la législation sur les cookies à l'intention des entreprises : UE, États-Unis et Royaume-Uni
    Articles

    13 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Quelle est la différence entre une clause de non-responsabilité de la politique de confidentialité et des conditions générales ?
    Quelle est la différence entre une politique de confidentialité, une clause de non-responsabilité et des conditions générales ?
    Articles

    12 juin 2025
    Etienne Cussol CIPP/E, CIPM
  8. Comment créer un client de confiance - Notice-01
    Comment créer un avis de consentement aux cookies
    Guides

    12 juin 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Qu'est-ce que la loi sur la protection des données des consommateurs du Montana-01 ?
    Loi du Montana sur la protection des données des consommateurs : Premier aperçu et résumé
    Articles

    11 juin 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US

Explorer d'autres ressources