Par Ambre Bernat et Gérard Haas
L’Etat de Californie s’illustre en matière de protection des données puisque depuis le 1er janvier 2020 est entré en vigueur le California Consumer Privacy Act.
Ce texte accorde de nouveaux droits aux résidents californiens en matière de protection des données personnelles bien que son champ d’application soit restreint.
1. De nouveaux droits pour les résidents californiens
Le texte californien prévoit notamment un droit d’accès pour les résidents de l’Etat à l’ensemble des informations personnelles détenues par les entreprises (historiques, cookies, numéros d’identification, contact etc) et à leur utilisation. Ils pourront également demander la suppression de leurs données ou s’opposer à ce qu’elles soient revendues.
En revanche, contrairement au RGPD, le California Consumer Privacy Act ne prévoit pas de droit de portabilité ou de consentement préalable au recueil des données. Il n’intègre pas non plus la notion de privacy by design comme cela est désormais applicable en Europe. Enfin, le droit d’accès concerne seulement les informations collectées ou partagées les 12 derniers mois.
2. Un champ d’application restreint
Seules sont soumises au California Consumer Privacy Act les entreprises qui traitent des données de résidents californiens et qui :
- soit ont un revenu supérieur ou égal à 25M$ au 1er janvier ;
- soit encore détiennent des informations sur au moins 100 000 consommateurs ;
- soit enfin génèrent plus de 50% de leur chiffre d’affaires via la vente de données.
Cela limite la protection du consommateur aux données traitées par les grandes entreprises et/ou celles qui en font une source de revenus importante. Les entités publiques et les organismes à but non lucratif sont ainsi exclues du champ d’application du texte.
3. Sanctions civiles et administratives
Les entreprises en violation des dispositions du texte s’exposent à des amendes civiles et administratives de 2 500$ à 7 500$ par infraction caractérisée, chaque dossier individuel pouvant être considéré comme une infraction.
Même si le California Consumer Privacy Act ne prévoit pas de sanction comparable à celle du RGPD (4% du chiffre d’affaires annuel global ou 20M€), il est à souligner qu’aucun plafond n’est applicable à ce jour aux sanctions énoncées.
Vous souhaitez en savoir plus sur votre conformité avec la réglementation en matière de protection des données personnelles ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner sur les aspects de gestion des données de votre activité. Pour nous contacter, cliquez-ici.