Loi californienne sur la protection de la vie privée des consommateurs et règlement général sur la protection des données : guide à l'intention des entreprises californiennes

Depuis l'adoption de la loi californienne sur la protection de la vie privée en ligne (CalOPPA) en 2004, la Californie est à l'avant-garde des États-Unis en matière d'adoption de lois visant à protéger la vie privée de ses résidents. La Californie a poursuivi cette tendance en promulguant la loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPA), devenant ainsi le premier État américain à se doter d'une loi complète sur la protection de la vie privée des consommateurs. En vertu de la CCPA, qui entrera en vigueur le 1er janvier 2020, les entités exerçant leurs activités en Californie et leurs prestataires de services auront de nouvelles obligations en matière de protection des données et les consommateurs californiens bénéficieront de nouveaux droits concernant leurs informations personnelles (y compris le droit d'intenter une action privée).

Parmi ces nouvelles obligations figurent notamment l'obligation pour les entreprises de mettre à jour ou de créer des avis de confidentialité, d'offrir aux consommateurs la possibilité d'autoriser ou non la vente de leurs informations personnelles, ainsi que d'autres droits d'accès ou de suppression de leurs informations personnelles, et de créer de nouvelles restrictions sur les modèles commerciaux qui reposent sur la monétisation des données personnelles. La première partie du document « California Consumer Privacy Act and General Data Protection Regulation: A Guide to California Businesses » (Loi californienne sur la protection de la vie privée des consommateurs et règlement général sur la protection des données : guide à l'intention des entreprises californiennes) de Foleyest conçue pour aider les entreprises à comprendre la portée de la CCPA, à identifier les droits des consommateurs et à mettre en évidence les obligations des entreprises en vertu de la CCPA.

Il convient de noter que, malgré la portée considérable de la CCPA, certaines organisations soumises à des lois fédérales sur la protection de la vie privée, telles que la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et la loi Gramm-Leach-Bliley (GLBA), sont exclues des dispositions de la CCPA relatives aux activités liées aux informations personnelles dans le cadre de leurs activités principales, même si elles peuvent toujours être soumises à certaines des exigences de la CCPA concernant les informations personnelles de leurs employés.

La portée considérable du CCPA s'inspire d'une autre loi internationale importante en matière de protection de la vie privée. Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018, abrogeant la précédente directive sur la protection des données de 1995. Pour les entreprises soumises au RGPD, qui comprend à la fois les entreprises ayant des établissements dans l'Union européenne (UE) et les entreprises situées en dehors de l'UE qui proposent leurs biens et services à des personnes physiques dans l'UE, le RGPD a créé d'importantes obligations supplémentaires en matière de confidentialité ainsi que de nouveaux droits pour les personnes concernées.

Les obligations du RGPD comprennent l'obligation de nommer un délégué à la protection des données (DPO) et un représentant dans l'UE pour les entreprises qui ne sont pas établies dans l'UE, ainsi que l'obligation de réaliser des analyses d'impact sur la vie privée et d'adopter le principe de protection de la vie privée dès la conception. Les personnes concernées ont le droit d'obtenir des informations sur la collecte et l'utilisation de leurs données à caractère personnel, ainsi qu'une copie de ces données, de les faire rectifier ou supprimer, et de s'opposer au traitement de leurs données à caractère personnel ou de le limiter. La deuxième partie de ce guideest destinée à aider les entreprises soumises au RGPD à comprendre leurs obligations et les droits des consommateurs en vertu du RGPD.

Les entités qui exercent leurs activités en Californie peuvent être soumises à la fois au RGPD et au CCPA. Bien que le RGPD et le CCPA présentent de nombreuses similitudes, la conformité au RGPD ne suffit pas pour se conformer au CCPA. Chacune de ces lois a ses propres exigences. Néanmoins, les entreprises qui ont déjà adopté des politiques et des procédures pour se conformer au RGPD ont une longueur d'avance significative pour se conformer au CCPA. La troisième partie de ce guidea pour but d'aider les entreprises à comprendre les différences entre le RGPD et le CCPA, ainsi que les mesures à prendre pour se conformer au CCPA si elles sont déjà conformes au RGPD.

Pour en savoir plus sur les obligations de votre entreprise en vertu de la CCPA et sur la manière dont Foley peut vous aider dans vos efforts de mise en conformité, veuillez contacter l'un des avocats auteurs mentionnés ci-dessous.