Californie : la nouvelle loi protégeant les données personnelles des consommateurs entre en vigueur le 1er janvier 2020
, Laureline Marcoult
, Robert Giovannelli
En juin 2018, la Californie a adopté une loi inédite aux Etats-Unis, visant à protéger les données personnelles des consommateurs. Cette loi va impacter les sociétés américaines collectant les données personnelles des consommateurs basés en Californie.
Quelles sont les entreprises concernées par le California Consumer Privacy Act ?
Le 28 juin 2018 a été adopté en Californie le " California Consumer Privacy Act " ("CCPA") dont le but est de renforcer la protection des données personnelles des consommateurs résidant en Californie. Cette loi entre en vigueur le 1er janvier 2020.
Les impacts de cette nouvelle réglementation sont importants pour les sociétés américaines collectant des données personnelles de consommateurs résidant en Californie, ainsi que pour celles qui fournissent de l'assistance dans le traitement de ces données.
Sont concernées les entreprises à but lucratif qui collectent les informations personnelles des consommateurs, exercent des activités dans l'État de Californie et:
- ont des revenus bruts annuels supérieurs à 25 millions de dollars; ou
- achètent, reçoivent, partagent ou vendent chaque année les informations personnelles de 50 000 consommateurs, ménages… ou plus; ou
- tirent 50% ou plus de leurs revenus annuels de la vente des informations personnelles des consommateurs.
Une protection accrue des consommateurs
Les entreprises concernées doivent se mettre en conformité et modifier leur politique de confidentialité en ligne afin d'y inclure les informations requises par le CCPA (description des droits des consommateurs) et les options offertes aux consommateurs.
La loi confère aux "consommateurs", définis comme des personnes physiques domiciliées en Californie, des droits sur leurs informations personnelles, notamment:
- le droit de savoir et de recevoir une notification, avant ou au moment de la collecte, des informations personnelles qu'une entreprise a collectées à leur sujet, ainsi que de recevoir des informations supplémentaires sur demande;
- le droit au " opt out ", c'est-à-dire de ne pas autoriser une entreprise à vendre ses informations personnelles à des tiers ;
- le droit de demander à une entreprise de supprimer ses informations personnelles, sous réserve de certaines exceptions; et
- le droit de recevoir le même service et les mêmes prix de la part d'une entreprise, même s'ils exercent leur droit à la vie privée en vertu de la Loi.
Sanctions
En cas de non-respect des prescriptions du CCPA, l'entreprise encourt une amende de 7 500 USD pour chaque violation intentionnelle.
Les articles des experts SVP sur le même thème :
200 experts pour répondre à vos besoins
- Découvrez notre livre blanc du détachement transnational pour comprendre les réglementations appliquées au salarié à l'étranger.
- Découvrez notre livre blanc RGPD à l'international pour répondre aux interrogations liées à l?application des règles du RGPD dans un contexte international et comprendre son champ d?application et ses limites à travers 3 exemples.
- Une question ? Les experts SVP vous répondent