Tous les articles du blog

California Consumer Privacy Act (CCPA) | Le « RGPD aux Etats-Unis »

Le California Consumer Privacy Act (CCPA) peut affecter la manière dont votre site web est autorisé à traiter les informations personnelles des habitants californiens.

Publié le 22 janvier 2021.

La Californie est à la frontière physique de l’Amérique, où le continent plonge dans le Pacifique.

Avec le California Consumer Privacy Act (CCPA) – en français, la loi californienne sur la protection de la vie privée des consommateurs, cet Etat est désormais aussi à la frontière de la législation sur la protection des données aux États-Unis.

Dans cet article, nous examinons de près le CCPA et la manière dont la plateforme de gestion des consentements Cookiebot CMP peut vous aider à rendre site web conforme.

Conformité au CCPA grâce à Cookiebot CMP

Cookiebot CMP est un outil qui scanne automatiquement votre site web, détecte tous les cookies et autres technologies de suivi analogues, et vous permet ensuite rendre votre site conforme à la fois au CCPA et au RGPD.

Les cookies (en particulier les cookies tiers intégrés par des plugins) peuvent recueillir des informations personnelles telles que des noms, des adresses physiques, des adresses IP, des données de localisation, mais aussi des données personnelles sensibles comme les convictions religieuses, les opinions politiques et/ou l’orientation sexuelle.

Le CCPA exige que les entreprises permettent aux résidents de Californie de refuser que leurs informations personnelles soient vendues à des tiers, et qu’elles divulguent ou suppriment les données déjà collectées si les consommateurs le demandent.

Cookiebot CMP permet de se conformer au CCPA grâce à une configuration spécifique qui détecte si un utilisateur est originaire de Californie, puis affiche le lien obligatoire « Ne vendez pas mes informations personnelles » sur la déclaration cookies du site web en question (voir ci-dessous).

Voici à quoi ressemble la solution CCPA de Cookiebot CMP pour vos utilisateurs finaux :

Logo banner powered by Cookiebot by Usercentrics
La configuration de Cookiebot CMP est conforme aux exigences du CCPA en matière de refus de la vente des données.
Logo banner powered by Cookiebot by Usercentrics
Bandeau cookies Cookiebot conforme au CCPA, déplié avec des détails sur la présence de cookies et de traceurs.

Cookiebot CMP prend également en charge plusieurs solutions de conformité sur le même site web, de sorte que votre site web affichera des bandeaux différents en fonction de la provenance de vos visiteurs.

Ainsi, les visiteurs de l’Union européenne se verront présenter un bandeau cookies conforme au RGPD leur demandant leur consentement préalable, et les visiteurs de Californie se verront présenter la déclaration cookies conforme au CCPA indiquant quelles données sont collectées et donnant la possibilité que leurs informations ne soient pas vendues à des tiers.

POUR PLUS DE DÉTAILS SUR LA CONFORMITÉ AU CCPA, CLIQUEZ ICI (en anglais)

Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.

Le nouveau California Privacy Rights Act (CPRA) a été adopté en Californie.
Le nouveau California Privacy Rights Act (CPRA) entrera en vigueur le 1er janvier 2023.

Le California Privacy Righs Act (CPRA) a été adopté

Lors des élections générales du 3 novembre 2020, la nouvelle loi californienne sur le droit à la vie privée (CPRA) a été adoptée par une majorité de californiens.

Le nouveau California Privacy Rights Act (CPRA) entrera en vigueur le 1er janvier 2023 et sera appliqué à partir du 1er juillet 2023. Les données collectées, traitées et partagées à partir du 1er janvier 2022 sont soumises à la période de 12 mois prévue par le CPRA.

Le California Privacy Rights Act (CPRA) élargit le régime actuel de protection des données du CCPA en créant de nouveaux droits et en les modifiant pour les résidents californiens, en créant une nouvelle agence gouvernementale chargée de faire respecter la loi (CPPA) et en renforçant les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs en Californie.

En savoir plus sur le California Privacy Rights Act (CPRA)

Check-list de conformité au CCPA

L’application du CCPA a commencé ! En savoir plus sur les exigences du CCPA.

Si vous vous demandez ce qu’il faut faire pour vous conformer au CCPA, voici une check-list pour votre entreprise et votre site web.

Cette liste n’est pas exhaustive, mais couvre les points les plus importants du CCPA.

  • Comporter un lien « Ne vendez pas mes informations personnelles » que les utilisateurs peuvent utiliser pour refuser la vente de données à des tiers.
  • Fournir un avertissement aux cookies au point de collecte ou avant celui-ci pour informer le consommateur des catégories d’informations personnelles que l’entreprise recueille et des fins auxquelles elle le fait.
  • Réagir à une demande de retrait dans un délai de 15 jours en cessant toute nouvelle vente et en informant toutes les parties auxquelles elle a vendu les informations personnelles au cours des 90 jours précédents.
  • Obtenir le consentement des mineurs âgés de 13 à 16 ans avant de vendre leurs informations personnelles, et le consentement des parents ou des tuteurs légaux des consommateurs de moins de 13 ans.
  • Fournir gratuitement aux consommateurs des dossiers sur les informations personnelles collectées au cours des 12 derniers mois (y compris les sources, les objectifs commerciaux et les catégories de tiers avec lesquels elles ont été partagées) si un consommateur demande leur divulgation ou leur suppression.
  • Répondre dans les 10 jours suivant la réception des demandes de divulgation ou de suppression en indiquant comment la demande sera traitée. Les réponses substantielles doivent être données au consommateur dans les 45 jours suivant la réception d’une demande vérifiée.
  • Inclure deux étapes pour une demande de suppression, par lesquelles le consommateur peut soumettre la demande et ensuite accepter que les informations personnelles soient supprimées.
  • N’offrir des incitations financières (par exemple, des prix, des taux et une qualité différents) pour les biens et les services que si les différences sont raisonnablement liées à la valeur fournie à l’entreprise par les données du consommateur.
  • S’abstenir de toute discrimination fondée sur le choix du consommateur d’exercer ses droits de refus, de demande de divulgation ou de suppression.

Les entreprises doivent également mettre à jour leur politique de confidentialité pour y inclure :

  • une description des droits (refus/opt-out, divulgation, suppression) et de la manière d’exercer ces droits.
  • une liste des catégories d’informations personnelles que l’entreprise recueille, vend et divulgue, mise à jour tous les 12 mois.
  • un numéro de téléphone gratuit ou, si l’entreprise opère uniquement en ligne, un lien sur le site web par lequel le consommateur peut exercer ses droits.

Essayez gratuitement Cookiebot CMP pendant 14 jours et conformez-vous au California Consumer Privacy Act (CCPA)

CCPA – le droit de refuser la vente de ses données

Le CCPA donne aux consommateurs le droit de demander à une entreprise de ne pas vendre leurs informations personnelles à des tiers (CCPA ; 1798.120.). Si une telle demande est reçue, il est interdit à l’entreprise de vendre les informations personnelles de l’utilisateur.

Pour en savoir plus sur les droits établis par le CCPA, cliquez ici (en anglais).

Le droit de refus du consentement est inscrit dans le CCPA.
Le droit de se retirer des marchés de surveillance des entreprises de technologies publicitaires est un droit du peuple, selon le California Consumer Privacy Act (CCPA).

La définition du CCPA des « informations personnelles »

Les informations personnelles sont définies dans le CCPA comme « des informations qui identifient, se rapportent, décrivent, peuvent être raisonnablement associées avec, ou pourrait être raisonnablement reliées, directement ou indirectement, avec un consommateur ou un ménage » (1798.140.o1) (Ceci n’est pas une traduction officielle du CCPA)Dans le CCPA, les informations personnelles comprennent :

  • Les identificateurs tels que les cookies, les balises, les pixels invisibles, les numéros de téléphone, les adresses IP, les noms de compte…
  • Les données biométriques telles que le visage, la rétine, les empreintes digitales, l’ADN, les enregistrements vocaux, les données de santé…
  • Les données de géolocalisation telles que l’historique de la localisation via les appareils,
  • L’activité sur Internet telle que l’historique de navigation,
  • Et les données concernant les caractéristiques personnelles, le comportement, les convictions religieuses ou politiques, les préférences sexuelles, etc.

En savoir plus sur les informations personnelles dans le cadre du CCPA (en anglais).

L’expression « refuser » (en anglais, opt-out) signifie simplement qu’un consommateur peut choisir de demander à une entreprise de cesser la vente de ses informations personnelles à un tiers.

Respect du droit de refus

Une entreprise doit fournir un lien clair sur son site web avec le titre « Ne vendez pas mes informations personnelles » (CCPA ; 1798.135.a.1).

Ce lien ne doit pas obliger le consommateur à créer un compte afin d’indiquer à l’entreprise de ne pas vendre ses données.

Si le consommateur est âgé de moins de 13 ans, les entreprises ne sont pas autorisées à vendre leurs informations personnelles, sauf autorisation préalable des parents ou des tuteurs légaux.

Si le consommateur est âgé de 13 à 15 ans, les entreprises ne sont pas autorisées à vendre ses informations personnelles, sauf si le consommateur a préalablement choisi de le faire.

Le CCPA interdit toute discrimination à l’encontre des consommateurs fondée sur leur choix d’exercer leurs droits.

Cela signifie que si un consommateur choisit de ne pas vendre ses données à des tiers, ou s’il demande que ses données soient supprimées, une entreprise n’est pas autorisée, par exemple, à facturer des prix différents pour les services, à fournir des niveaux ou une qualité de services différents ou à refuser des services aux consommateurs (CCPA ; 1798.125.a).

Toutefois, le CCPA autorise les entreprises à offrir des incitations financières, par exemple des prix et une qualité de service différents, pour la collecte, la vente ou la suppression d’informations personnelles, si les différences sont liées de manière raisonnable à la valeur fournie à l’entreprise par les données du consommateur (CCPA ; 1798.125.a.1.b).

Essayez gratuitement Cookiebot CMP pendant 14 jours pour empêcher la collecte et la vente des données de vos utilisateurs.

CCPA – le droit de demander la divulgation

Le CCPA accorde au consommateur « le droit de demander qu’une entreprise qui recueille des informations personnelles sur un consommateur lui divulgue les catégories et les éléments spécifiques d’informations personnelles que l’entreprise a recueillies » (CCPA ; 1798.100.a) (Ceci n’est pas une traduction officielle du CCPA).

La «  RGPDisation » du monde signifie que les Californiens ont maintenant leur propre loi sur la protection de la vie privée, le CCPA
La « RGPDisation » du monde signifie que les californiens ont maintenant leur propre loi sur la vie privée.

Un consommateur a le droit d’accéder et d’obtenir une copie des informations personnelles qui ont été collectées sur lui par une entreprise au cours des 12 derniers mois.

Le CCPA précise que les consommateurs ont le droit de demander la divulgation de ces informations (CCPA ; 1798.110/115) :

  • les catégories et les éléments spécifiques des informations personnelles recueillies.
  • les catégories de sources à partir desquelles les informations sont collectées.
  • la finalité de la collecte ou de la vente des informations personnelles.
  • les catégories de tiers avec lesquels l’entreprise partage des informations personnelles.

Respect du « droit de demander la divulgation »

La demande de divulgation doit être vérifiable, avant que l’entreprise ne doive fournir les informations (CCPA ; 1798.100.c).

Si la demande est vérifiable, l’entreprise doit prendre rapidement des mesures pour divulguer et fournir gratuitement ses informations personnelles au consommateur (CCPA ; 1798.100.d).

L’entreprise doit mettre à disposition deux méthodes ou plus pour présenter les demandes (CCPA ; 1798.130.a.1), et divulguer, sans frais, les informations requises dans les 45 jours suivant la réception de la demande (CCPA ; 1798.130.a.2).

Pour se conformer au CCPA, une entreprise doit également mettre à jour sa politique de confidentialité :

  • Une description des droits (demande de divulgation, suppression) et de la manière d’exercer ces droits.
  • Une liste des catégories d’informations personnelles que l’entreprise recueille, vend et divulgue. Cette liste doit être mise à jour tous les 12 mois.
  • Maintenir un numéro de téléphone gratuit et/ou une page web pour l’exercice de ce droit.

Essayez gratuitement Cookiebot CMP pendant 14 jours et pour protéger les données de vos utilisateurs contre les ventes à des tiers.

Définition du terme « entreprise » selon le CCPA

Dans le CCPA, le terme « entreprise » est un terme générique qui englobe à la fois les sociétés, les corporations, les associations, les partenariats ou toute autre entité juridique organisée ou exploitée dans un but lucratif ou pour le bénéfice financier de ses actionnaires ou autres propriétaires.

Toutefois, pour être considérée comme une entreprise selon le CCPA, une société doit répondre à au moins un des trois critères suivants (CCPA ; 1798.140.c) :

  • avoir un chiffre d’affaires annuel brut supérieur à 25 millions de dollars,
  • tire 50 % ou plus de ses revenus annuels de la vente d’informations personnelles des consommateurs,
  • acheter, recevoir, vendre ou partager les informations personnelles d’au moins 50 000 résidents, ménages ou appareils de Californie par an.

Cela signifie que si vous avez une petite entreprise qui gagne moins de 25 millions de dollars par an, ou si moins de la moitié de votre revenu commercial dépend de la vente d’informations personnelles à des tiers, ou si votre entreprise ne vend pas plus de cinquante mille informations personnelles de californiens, le CCPA ne s’applique pas à vous.

Toutefois, si votre entreprise partage une marque commune avec une société qui atteint l’un des seuils susmentionnés, votre entreprise est soumise au respect du CCPA.

Une marque commune signifie qu’une entreprise partage un nom, une marque de service ou une marque de commerce avec une autre entreprise.

CCPA – le droit de demander la suppression

Le CCPA accorde au consommateur « le droit de demander qu’une entreprise supprime toute information personnelle le concernant que l’entreprise a recueilli auprès du consommateur » (CCPA ; 1798.105.a) (Ceci n’est pas une traduction officielle du CCPA).

Elle précise que « l’entreprise qui recueille des informations personnelles doit informer le consommateur de son droit de demander la suppression des informations personnelles le concernant » (CCPA ; 1798.105.b) (Ceci n’est pas une traduction officielle du CCPA).

La définition du CCPA de la « collecte », de la « vente » et de la « suppression »

Le CCPA définit la « collecte » comme tout ce qui a trait à l’accès aux informations personnelles, activement ou passivement.

En d’autres termes, la collecte intentionnelle et passive d’informations personnelles, telles que les adresses IP ou autres identifiants en ligne, compte comme une collecte.

La « vente » est définie comme tout partage, divulgation ou vente d’informations personnelles avec un tiers en échange d’argent ou d’une autre valeur.

La « suppression » est assez simple. Elle signifie l’effacement permanent des informations personnelles comme le demande le consommateur.

Une entreprise doit indiquer clairement aux consommateurs qu’ils ont le droit de demander la suppression de leurs données. Elle doit décrire ce droit et la manière de l’exercer.

CCPA – données sur les ménages

L’un des principaux points d’ambiguïté du California Consumer Privacy Act concerne la définition des données, en particulier les deux catégories de « données individuelles » et de « données sur les ménages ».

Les données sur les ménages ne sont pas elles-mêmes définies dans le CCPA.

Mais la réglementation finale du CCPA, approuvée et en vigueur depuis le 14 août 2020, définit le ménage comme une personne ou un groupe de personnes qui :

  1. résident à la même adresse,
  2. partagent un appareil commun ou le même service fourni par une entreprise,
  3. sont identifiés par l’entreprise comme partageant le même compte de groupe ou le même identifiant unique.
Que sont les « données relatives aux ménages » et en quoi diffèrent-elles des « données individuelles » ?
Les données relatives aux ménages sont un type d’informations personnelles qui seront définies par le procureur général.

En savoir plus sur la version finale des exigences du CCPA et leur application (en anglais).

Les exigences du CCPA précisent également que si un ménage ne possède pas de compte protégé par un mot de passe, l’entreprise n’est pas tenue de donner suite à une demande d’accès ou de suppression d’informations personnelles, sauf si les conditions suivantes sont remplies :

1. Tous les consommateurs du ménage demandent conjointement l’accès à des éléments spécifiques d’informations personnelles.

2.  Tous les membres du ménage peuvent faire l’objet d’une vérification individuelle.

3. Toutes les personnes qui font la demande sont toujours membres de ce ménage.

Le « RGPD californien » – Comparaison entre le CCPA et le RGPD

Le CCPA est souvent nommé dans la presse le « RGPD californien ». Comment le California Consumer Privacy Act se compare-t-il à son équivalent européen, le règlement général sur la protection des données qui est entré en vigueur en mai 2018 ?

Cliquez ici pour une comparaison approfondie entre le CCPA et le RGPD (en anglais)

Rappel : qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une loi européenne qui a une compétence mondiale : il protège les informations personnelles et les données de tous les citoyens européens, quel que soit le lieu où se trouve le site web ou l’entreprise qui traite les données d’utilisateur de l’UE.

Vérifiez gratuitement si votre site web est conforme au RGPD.

Le point essentiel du RGPD est que les sites web et les entreprises doivent obtenir le consentement clair et sans ambiguïté de leurs utilisateurs avant tout traitement de données personnelles, après avoir spécifié tous les types de cookies et autres technologies de suivi présents et fonctionnant sur ses pages. Il leur faut également documenter de manière sûre et confidentielle le consentement de chaque utilisateur.

La législation européenne en matière de protection des données diffère sur un point essentiel de son homologue californien.
La législation européenne sur la vie privée diffère sur un point essentiel de son homologue californien.

Le champ d’application du RGPD est vaste et concerne tous les types de données (c’est-à-dire pas seulement les informations personnelles) et la manière dont les entreprises et les organisations doivent assurer la transparence et documenter le consentement de l’utilisateur.

Consentir ou demander : les principales différences entre le CCPA et le RGPD

La distinction la plus claire et la plus conséquente entre les lois européennes et californiennes se situe au niveau du consentement.

Le RGPD accorde à l’utilisateur le droit de consentement, ce qui signifie que ses données ne peuvent pas être utilisées tant qu’il n’a pas donné son consentement.

Ce consentement peut être donné de différentes manières, mais le point essentiel est qu’en vertu du RGPD, le consentement préalable est exigé par la loi.

Logo banner powered by Cookiebot by Usercentrics
Le bandeau conforme au RGPD de Cookiebot CMP pour les visiteurs de l’UE.

Or, rien de tel n’est prévu dans le CCPA.

Une entreprise n’a pas besoin de consentement préalable pour traiter des informations personnelles, de même qu’un site web n’a pas besoin d’obtenir le consentement des utilisateurs pour vendre leurs données à des tiers.

Ce que fait le CCPA, c’est accorder aux consommateurs le droit de demander soit la divulgation, soit la suppression de leurs données, soit d’exiger d’une entreprise que celle-ci cesse de vendre ses informations. Mais cela se fait après la collecte et la vente des données.

Alors le RGPD crée une porte que le consommateur peut verrouiller, le CCPA crée une fenêtre que le consommateur peut ouvrir afin de savoir quelles informations personnelles le concernant peuvent déjà être obtenues par une entreprise.

Le RGPD est un moyen de prévention, tandis que le CCPA est un moyen de transparence puis de suppression (des données collectées au cours des 12 derniers mois).

Application du CCPA en 2020

La réglementation et application du CCPA en vigueur depuis août 2020

Le 14 août 2020, les exigences finales du CCPA ont été approuvées et sont entrées en vigueur immédiatement.

L’application par le procureur général du California Consumer Privacy Act (CCPA) a donc commencé.

En savoir plus sur les exigences du CCPA (en anglais)

Quelle sera la force de l'application du CCPA ?
L’application du CCPA a commencé en août 2020.

Bataille pour une loi fédérale américaine sur la protection des données

Un autre élément d’incertitude dans l’application du CCPA est la possibilité qu’une loi fédérale soit adoptée et appliquée dans tous les États-Unis.

Cela pourrait éventuellement passer outre les réglementations au niveau des États, telles que le CCPA, et créer un tout nouveau paysage d’autorité juridique supérieure.

Dernier projet de loi fédérale américaine sur la protection des données personnelles publié le 19 juin 2020 par le sénateur Brown de l’Ohio

Le CCPA est entré en vigueur le 1er janvier 2020.
Les entreprises technologiques continuent de faire pression pour un assouplissement des lois fédérales sur la protection de la vie privée.

Cela pourrait également conduire à une version nationale plus faible que ces lois au niveau des Etats plus strictes, comme le CCPA.

C’est dans l’intérêt de la Silicon Valley, évidemment, qui a fait activement pression contre le CCPA.

La crainte des défenseurs de la vie privée et des associations de consommateurs, ainsi que des auteurs et des sponsors du CCPA, est qu’une loi fédérale puisse sembler être une victoire, dans la mesure où elle garantit une loi uniforme dans tous les États-Unis, tout en étant en fait une perte pour une partie des consommateurs, parce que ces lois fédérales uniformes pourraient se contenter d’un niveau de protection de la vie privée plus faible que le CCPA.

Les militants de la protection de la vie privée espèrent aussi, paradoxalement, qu’une loi fédérale pourrait faire mieux que celle de la Californie.

Ils espèrent que la Californie sera le socle sur lequel une loi fédérale sur la protection de la vie privée pourrait s’appuyer, plutôt que d’en réduire le niveau.

Comme le dit le vieux dicton américain, là où va la Californie, ainsi va la nation.

Ou, comme l’a dit Alastair Mactaggart, lors d’une visite à Washington pour rencontrer les principaux sénateurs et responsables de l’administration Trump sur la question : « La Californie mène, les autres suivent ».

Protégez gratuitement la vie privée numérique de vos utilisateurs finaux avec Cookiebot CMP dès aujourd’hui.

L’histoire du CCPA

En 1972, les électeurs californiens ont modifié la Constitution californienne pour inclure le droit à la vie privée parmi les droits « inaliénables » de tous les citoyens.

Quatre décennies plus tard, le CCPA (California Consumer Privacy Act, Assembly Bill No. 375) est entré en vigueur le 1er janvier 2020.

Le CCPA est née d’une initiative populaire lancée par d’improbables militants de la protection de la vie privée – sous l’impulsion d’un promoteur immobilier millionnaire, d’un ancien analyste de la CIA, d’un cadre de l’industrie et d’un journaliste lauréat du prix Pulitzer qui a travaillé sur les fuites de Snowden pour le Washington Post.

Le CCPA a débuté comme une initiative de vote citoyen à San Francisco et Oakland.
Le CCPA a débuté comme une initiative de vote des citoyens à San Francisco et Oakland.

Californians for Consumer Privacy est dirigée par le promoteur immobilier Alastair Mactaggart de San Francisco, qui a rédigé une initiative de vote sur la protection de la vie privée des consommateurs pour combler le vide juridique.

« Dites-moi ce que vous savez sur moi. Arrêtez de le vendre. Gardez-le en sécurité », comme l’a résumé Alastair Mactaggart dans sa proposition.

Avec les révélations du scandale Facebook/Cambridge Analytica, l’initiative de vote de la Californie a soudainement reçu un vent fort dans le dos.

Californians for Consumer Privacy a recueilli plus de 600 000 signatures pour le soutien du CCPA.
Californians for Consumer Privacy a recueilli plus de 600 000 signatures pour soutenir ce qui deviendrait à terme le CCPA.

Une initiative de vote (en anglais, ballot initiative) est un moyen pour le public californien de légiférer de bas en haut, en rédigeant une proposition de loi et en obtenant suffisamment de signatures (8% des personnes ayant voté lors des dernières élections du gouverneur) pour que la proposition fasse ensuite partie du bulletin de vote des élections générales de novembre dans cet État spécifique. Les électeurs doivent ensuite choisir entre le oui et le non le jour même où ils votent pour le président ou le congrès.

Dans le cas du CCPA, M. Mactaggart a dépensé 3 millions de dollars de sa poche pour recueillir plus de 600 000 signatures en faveur de la proposition (qui était une version plus forte et plus dure que celle qui allait devenir le CCPA), et s’est ainsi assuré une place sur le bulletin de vote des élections générales qui se tiendront en novembre 2018.

Compromis : comment l’industrie technologique a changé le CCPA

Avec la menace de l’adoption d’une loi forte sur la vie privée avec une majorité de votes des citoyens lors des élections générales de novembre 2018, l’industrie technologique a commencé à faire fortement pression contre le CCPA.

Le lobbying intense de Facebook a affaibli le CCPA.
Facebook a fait beaucoup de lobbying contre le CCPA.

L’un des plus grands combats entre les auteurs de bulletins de vote et l’industrie technologique, en particulier Facebook, a été le soi-disant droit privé à l’action.

Il s’agissait à l’origine d’un droit qui autorisait les consommateurs à poursuivre les entreprises et les sociétés pour toute violation de la loi, et pas seulement pour les violations de données. L’industrie technologique s’y est opposée de manière très prononcée, craignant de vastes risques de responsabilité –

« Nous sommes en principe favorables à une plus grande divulgation, mais les enjeux sont bien plus importants avec le droit privé à l’action », a déclaré Will Castleberry, vice-président de la politique nationale et locale de Facebook.

Google, Facebook, Verizon, Comcast et AT&T ont chacun contribué à hauteur de 200 000 dollars à un comité qui s’est opposé à la mesure proposée par le vote.

Il a également été estimé qu’ils dépenseraient environ 100 millions de dollars pour faire campagne contre la proposition lors des élections générales de novembre 2018.

L’initiative a donc été édulcorée pour n’inclure qu’un droit privé d’action en cas de violation de données (accès non autorisé, vol, etc.).

Le CCPA a ensuite été rédigé par Mactaggart, co-rédigé et parrainé par deux législateurs démocratiques, a été soumis à l’assemblée législative de l’État, adopté à l’unanimité et signé par le gouverneur de Californie le jeudi 28 juin 2018 – le tout en moins d’une semaine.

Son co-auteur, Ed Chau, l’a qualifié de « RGPD light ».

Les données sont le nouveau pétrole… si le pétrole était vivant

L’industrie technologique est souvent comparée à l’industrie pétrolière d’il y a cent ans – non réglementée, monopolistique et trop puissante.

Les données sont le nouveau pétrole, le carburant du 21ème siècle, disent-ils.

Les données sont le nouveau pétrole.
La Californie a toujours été à la frontière des opportunités et des affaires. Autrefois, c’était l’or, puis le pétrole, maintenant ce sont les données.

Cette comparaison est pertinente à bien des égards, puisque la ruée vers l’or et le boom pétrolier des siècles derniers ont tous deux commencé en Californie du Sud. Mais elle omet une distinction très importante qu’il est essentiel de garder à l’esprit :

Alors que le pétrole est une ressource inanimée qui alimente les machines, les données sont la cartographie du comportement humain qui alimente les infrastructures numériques de probabilité afin de prédire et de rendre prévisible la vie d’une personne.

C’est cette collecte et cette monétisation de nos vies intérieures et extérieures qui ont fait de la Silicon Valley une force parallèle aux États-nations en puissance et en richesse.

Alors que l’industrie pétrolière non réglementée rendait quelques hommes très riches et par conséquent très puissants, l’industrie technologique non réglementée rend quelques hommes très riches et très bien informés, et par conséquent immensément plus puissants que les magnats du pétrole de la fin du siècle.

Ces connaissances sont les modèles de comportement collectif des sociétés et la vie privée de milliards de personnes.

La collecte et la monétisation de ces connaissances ont inauguré l’ère du capitalisme de surveillance dans lequel, selon Shoshana Zuboff, professeur à la Harvard Business School, « les impératifs économiques obligent les grandes entreprises technologiques à entrer en collision avec la démocratie ».

Eh bien, la démocratie se défend.

Le CCPA s’applique spécifiquement à la Californie, ce n’est pas une loi fédérale – mais la Californie est également la cinquième économie mondiale et le consensus est que le CCPA va probablement marquer la norme pour le droit à la vie privée dans tout le pays et que les entreprises se conformeront au CCPA dans tous les États-Unis.

Le CCPA est sans aucun doute un jalon historique pour la protection de la vie privée numérique aux États-Unis.

L’utilisation de Google et de Facebook est toujours gratuite. Avec le CCPA, les citoyens californiens ne sont plus libres d’être utilisés par Google.

FAQ

Qu’est-ce que le CCPA ?

Le California Consumer Privacy Act (CCPA) est une loi sur la protection des données à l’échelle de l’État californien qui régit la collecte, le traitement, le partage et la vente d’informations personnelles des résidents de Californie. Le CCPA exige que les entreprises qui utilisent des cookies et des traceurs sur leurs sites web en informent les utilisateurs et leur permettent de refuser que leurs informations personnelles soient divulguées et vendues à des tiers.

En savoir plus sur la conformité au CCPA

Qu’est-ce qu’une information personnelle selon le CCPA ?

Le CCPA définit les informations personnelles comme des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d’être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier. Cela comprend les noms, adresses, numéros de sécurité sociale, permis de conduire, informations de passeport, données biométriques telles que le visage, la rétine, les empreintes digitales, l’ADN, les enregistrements vocaux, et les informations sensibles telles que les croyances religieuses, les convictions politiques et les préférences sexuelles.

En savoir plus sur le CCPA et les informations personnelles (en anglais)

Que dit le CCPA à propos des cookies Internet ?

Le CCPA définit les cookies, les adresses IP, l’historique des navigateurs et des recherches et d’autres identificateurs en ligne (tels que les balises web et les pixels invisibles) comme des informations personnelles. Les cookies fonctionnent souvent en générant des identifiants uniques sur les utilisateurs individuels qui peuvent être utilisés pour les identifier. Les sites web qui utilisent des cookies – en particulier les cookies tiers – doivent être conscients et attentifs à leur conformité avec le CCPA.

En savoir plus sur le CCPA et les cookies (en anglais)

Comment puis-je contrôler les cookies sur mon site web ?

Les cookies sont difficiles à contrôler, car ils chargent souvent d’autres cookies tiers qui peuvent changer lors de visites répétées. L’utilisation d’une plateforme de gestion des consentements peut aider votre site web à détecter tous les cookies et traceurs en fonctionnement et à les contrôler de manière à ce que vous soyez en conformité avec le CCPA et le RGPD.

Essayez gratuitement Cookiebot CMP pendant 14 jours pour contrôler les cookies de votre site web.

Ressources

Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web

Le texte officiel du CCPA

La Tribune – Le « RGPD californien », une loi modèle, exportable au reste des États-Unis

Le Monde – Après l’Europe, la Californie réglemente la gestion des données de ses citoyens

Editions législatives – Le « California Consumer Privacy Act » est-il le RGPD américain ?

Digital Warketing – CCPA (California Consumer Privacy Act) – Tout savoir sur le RGPD californien

Conformité au CCPA grâce à Cookiebot CMP (en anglais)

Le CCPA et les cookies (en anglais)

Le CCPA et les informations personnelles (en anglais)

Le CCPA et les droits des consommateurs (en anglais)

CCPA vs. RGPD (en anglais)

Proposition finale de règlement par le procureur général de Californie

Le texte officiel du RGPD

L’histoire fascinante de la façon dont un groupe de citoyens s’est attaqué à la Silicon Valley de bas en haut et a créé le CCPA (California Consumer Privacy Act) (en anglais)

Lettre de Brave demandant un renforcement de la protection de la vie privée pour le nouveau projet de loi CPERA

La Californie est devenue un champ de bataille pour la protection des lois sur la vie privée des consommateurs

Un regard sur l’industrie technologique et le lobbying des grandes entreprises en Californie (en anglais)

Une loi fédérale sur la protection de la vie privée pourrait faire mieux que la loi californienne (en anglais)

La loi californienne pourrait servir de modèle au Congrès pour la protection des données. Ou elle pourrait être effacée (en anglais)

Après avoir évité le Congrès pendant des années, les entreprises technologiques demandent maintenant de l’aide (en anglais)

Découvrez « The Age of Surveillance Capitalism » par Shoshana Zuboff, professeur à la Harvard Business School

    Suivez l’actualité

    Rejoignez dès maintenant notre communauté grandissante d’amateurs de la confidentialité des données. Abonnez-vous à la newsletter de Cookiebot™ et recevez les dernières actualités directement dans votre boîte mail.

    En cliquant sur "S'abonner", je confirme que je souhaite m'abonner à la newsletter de Cookiebot™. Je peux facilement me désabonner de la newsletter de Cookiebot™ et révoquer le consentement à l'utilisation de mes données en cliquant sur le lien de désabonnement ou je peux écrire à [email protected] pour en faire la demande. Politique de confidentialité.