Les électeurs californiens adoptent la loi sur les droits à la vie privée en Californie

Alors que le monde attendait avec impatience les résultats des élections fédérales américaines de novembre 2020, la Californie a discrètement adopté la proposition 24, la California Privacy Rights Act (CPRA). Intitulée simplement « Expand Consumer Privacy » (Renforcer la protection de la vie privée des consommateurs) sur le bulletin de vote, cette initiative populaire a été adoptée à une écrasante majorité, sans que les entreprises n'aient exercé de pression particulière, faisant de la CPRA l'une des lois les plus étendues en matière de protection de la vie privée aux États-Unis et un modèle pour une éventuelle loi fédérale sur la protection de la vie privée et pour d'autres États. La loi contient des révisions de la CCPA qui incluent de nouvelles obligations importantes pour les entreprises, souvent similaires à celles du règlement général sur la protection des données (RGPD) européen. En fait, bon nombre des nouvelles obligations sont reprises telles quelles du RGPD, avec peu ou pas de modifications. Cependant, la CPRA reste une loi relativement longue, souvent vague et ambiguë, qui répartit les obligations des organisations sur plusieurs sections plutôt que de s'inspirer d'une loi sur la protection de la vie privée relativement bien structurée comme le RGPD. Si les organisations qui se conforment au RGPD ont une longueur d'avance significative en matière de conformité à la CPRA, la conformité au RGPD n'est pas suffisante pour se conformer à la CPRA (ni même à la CCPA d'ailleurs), et vice versa. Par conséquent, certaines organisations devront continuer à se conformer à des réglementations multiples, partiellement redondantes et partiellement divergentes, avec la possibilité que d'autres États adoptent à l'avenir des lois similaires ou différentes.

LA CPRA : CE QUE VOUS DEVEZ SAVOIR

• Le seuil d'applicabilité basé sur le volume de traitement est passé de 50 000 consommateurs à 100 000 consommateurs.

• Les exceptions relatives aux informations B2B et à l'emploi sont prolongées jusqu'au 1er janvier 2023.

• Crée la California Privacy Protection Agency (CPPA), première agence aux États-Unis chargée exclusivement de faire respecter les droits à la vie privée.

• Nouvelles obligations en matière de confidentialité : droit d'être informé des informations partagées avec des tiers à des fins de publicité contextuelle, période de rétrospection plus longue pour les droits d'accès à l'information, divulgation des périodes de conservation et droit de rectification des informations.

• Nouveaux droits des consommateurs : droit de corriger les informations personnelles, de limiter la divulgation des informations personnelles à des fins de publicité contextuelle et de limiter l'utilisation des informations personnelles sensibles.

• Les entreprises doivent exiger contractuellement des prestataires de services et des sous-traitants qu'ils maintiennent le même niveau de protection que celui requis par la CPRA et qu'ils aident l'entreprise à respecter les droits des personnes concernées.

• Lorsque le traitement présente un risque important pour la vie privée ou la sécurité des consommateurs, les entreprises doivent réaliser une évaluation de l'impact sur la vie privée, se soumettre à un audit annuel indépendant en matière de cybersécurité et fournir les résultats d'une évaluation des risques à la CPPA.

• Les entreprises sont tenues de limiter le traitement des informations personnelles à ce qui est nécessaire aux fins pour lesquelles ces informations ont été collectées.

• Les entreprises sont tenues de mettre en œuvre des mesures de sécurité raisonnables et peuvent être tenues responsables des incidents liés à la sécurité des données résultant d'un manquement à cette obligation, y compris en cas de compromission des adresses électroniques et des identifiants requis pour accéder à un compte.

• La CPPA peut prendre des mesures coercitives immédiatement, sans période de remédiation, et imposer des amendes légales plus élevées en cas de violation des informations personnelles d'un mineur.

QUE FAIRE POUR SE PRÉPARER

• Commencez par cartographier les données afin de comprendre les types de données détenues par l'entreprise, la manière dont elles sont protégées et les fins auxquelles elles sont utilisées.

• Mettre à jour les politiques et procédures afin de se conformer aux nouvelles exigences et obligations de la CPRA.

• Mettre à jour la politique de confidentialité afin de se conformer aux nouvelles exigences en matière de divulgation.

• Réaliser une évaluation de l'impact sur la vie privée.

• Entamer des collaborations avec des cabinets d'audit indépendants spécialisés dans la cybersécurité pour les traitements à haut risque.

• Rédiger et adopter un avenant relatif à la confidentialité des données à utiliser avec des tiers.

Contexte de la CPRA

La CPRA est le résultat de la frustration d'Allistar MacTaggart face aux modifications législatives apportées à la CCPA. Ceux qui ont suivi l'évolution de la protection de la vie privée en Californie se souviendront peut-être que la CCPA a été initialement promulguée grâce au compromis conclu entre MacTaggart et la législature californienne, qui a accepté de retirer son initiative référendaire initiale de la certification en échange de l'adoption quelque peu précipitée de la CCPA. Depuis, la législature californienne a proposé et examiné plusieurs projets de loi visant à modifier la CCPA, ce qui, selon MacTaggert, affaiblissait de manière inappropriée les protections de la vie privée prévues par la CCPA. Afin de s'assurer que la CPRA ne soit pas affaiblie par la législation ou attaquée par ses opposants, les auteurs de la CPRA ont décidé de contourner la législature et de faire certifier la loi lors du scrutin de novembre sous le nom de Proposition 24. Ce faisant, il a assuré la viabilité à long terme de la CPRA et l'a rendue quelque peu immuable. Si les amendements visant à renforcer la CPRA ne nécessitent qu'une majorité simple pour être adoptés, tout amendement visant à affaiblir la CPRA nécessiterait une majorité des deux tiers au Sénat et à la Chambre des représentants, ce qui rendrait un tel processus hautement improbable.

Nouveaux seuils d'applicabilité

La CPRA modifie légèrement les seuils applicables aux « entreprises », de sorte que certaines petites et moyennes entreprises pourraient ne plus être soumises à la CPRA (même après avoir dépensé des ressources pour se conformer à la CCPA). À l'inverse, un petit sous-ensemble d'autres entreprises pourrait désormais y être soumis. Les nouveaux seuils s'appliquent notamment lorsqu'une organisation :

Achète, vend ou « partage » chaque année les informations personnelles d'au moins 100 000 consommateurs ou ménages. Le seuil fixé par la CCPA était de 50 000 consommateurs.
Chiffre d'affaires annuel brut de 25 millions de dollars ou plus au cours de l'année civile précédente. La CPRA a précisé que le chiffre d'affaires annuel est calculé au 1er janvier de l'année civile précédente et non sur la base des prévisions ou estimations pour l'année en cours. Étant donné que la réglementation CCPA ne précise pas si le calcul du chiffre d'affaires annuel doit être basé sur les revenus générés en Californie et que la CPRA n'apporte pas de clarification à ce sujet, les organisations doivent continuer à partir du principe que leur chiffre d'affaires global (mondial) sera pris en compte.
Tire 50 % ou plus de ses revenus annuels de la vente ou du partage des informations personnelles des consommateurs. Le « partage » est un nouveau terme important défini dans la CPRA, comme décrit ci-dessous.

La CPRA précise également qu'elle s'applique également aux filiales de l'entreprise avec lesquelles celle-ci partage les informations personnelles des consommateurs, si cette filiale contrôle ou est contrôlée par une entreprise soumise à la CPRA et qui partage un nom, une marque de service ou une marque commerciale permettant au consommateur de comprendre que les deux ou plusieurs entités sont détenues en commun.

La CPRA s'applique également aux coentreprises composées d'entreprises dans lesquelles chacune détient une participation d'au moins 40 % dans la coentreprise. Chaque coentreprise et chaque entreprise sont considérées comme des entreprises distinctes au sens de la CPRA.

La CPRA permet également aux organisations de certifier volontairement leur conformité avec la nouvelle California Privacy Protection Agency (CPPA). Si peu d'organisations sont susceptibles de se soumettre volontairement aux obligations de la CPRA (en particulier les petites et moyennes entreprises qui en sont déjà exclues), certaines pourraient choisir de le faire, notamment si elles y voient un avantage concurrentiel en termes de réputation et ont déjà consacré des ressources pour se conformer à la CCPA et au RGPD.

Prolongation des exclusions partielles temporaires relatives aux informations B2B et à l'emploi

La CPRA prolonge d'un an, jusqu'au 1er janvier 2023, les exclusions partielles relatives aux informations sur l'emploi et les relations interentreprises prévues par les récentes modifications apportées à la CCPA.

Droits des consommateurs et obligations des entreprises

La CPRA modifie certains droits des consommateurs et obligations des entreprises et en crée plusieurs nouveaux, notamment :

Droit explicite de corriger les informations personnelles inexactes. Les entreprises doivent faire des efforts commercialement raisonnables pour corriger les informations personnelles inexactes qu'elles détiennent, sur demande vérifiable du consommateur.
Le droit de refuser qu'une entreprise « vende » ou « partage » des informations personnelles. La nouvelle définition du terme « partager » précise clairement que la divulgation d'informations personnelles (y compris les identifiants uniques contenus dans les cookies) à des fins de publicité comportementale inter-contextuelle, avec ou sans contrepartie, sera soumise au droit des consommateurs de refuser une telle divulgation. Cela implique que pour d'autres types de divulgations, c'est-à-dire celles qui ne sont pas utilisées dans le cadre de la publicité comportementale, toutes les divulgations ne seront pas considérées comme une vente. Cependant, la CPRA ne fournit pas la clarification indispensable quant à la contrepartie nécessaire pour que la divulgation d'informations personnelles soit considérée comme une « vente » soumise au droit de refus (ou à l'obligation de conclure certaines obligations contractuelles avec les sous-traitants et les prestataires de services).
Le droit de savoir quelles informations personnelles ont été vendues ou partagées. Bien que ce droit corresponde en grande partie au droit prévu par la CCPA, il a désormais été étendu non seulement aux informations divulguées à des fins monétaires ou autres contreparties de valeur, mais aussi aux informations personnelles partagées à des fins de publicité comportementale contextuelle, avec ou sans contrepartie.
Le droit de limiter l'utilisation des informations personnelles sensibles. La CPRA définit une nouvelle catégorie d'informations personnelles appelée « informations personnelles sensibles », qui comprend les informations personnelles révélant le numéro de sécurité sociale ou tout autre numéro d'identification délivré par le gouvernement d'un consommateur, les informations de connexion au compte ou les informations financières d'un consommateur avec les identifiants de sécurité requis, la géolocalisation « précise » d'un consommateur (à moins de 1850 pieds), l'origine raciale ou ethnique d'un consommateur, ses convictions religieuses ou philosophiques, son appartenance à un syndicat, ses données génétiques et le contenu de son courrier, de ses e-mails et de ses SMS (sauf si l'entreprise est le destinataire prévu de ces communications). Elle comprend également les informations personnelles collectées et analysées concernant la santé, la vie sexuelle ou l'orientation sexuelle d'un consommateur, mais exclut explicitement les informations accessibles au public. Bien que la définition de la CPRA soit plus large que la définition similaire du RGPD des « catégories particulières de données à caractère personnel », contrairement au RGPD, la CPRA n'exige pas le consentement pour le traitement de cette nouvelle catégorie d'informations personnelles et accorde uniquement aux consommateurs le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles à ce qui est nécessaire à l'entreprise pour fournir ses biens et services. La CPRA exige que l'entreprise fournisse aux consommateurs un lien leur permettant d'exercer ce droit, qui peut prendre la forme d'un lien supplémentaire « Limiter l'utilisation de mes informations personnelles sensibles » ou d'un lien combiné « clairement identifié » sur sa page d'accueil, qui permet au consommateur de refuser la vente de ses informations personnelles habituelles et de limiter l'utilisation de ses informations personnelles sensibles.
Obligations des prestataires de services et des sous-traitants en matière d'assistance aux droits des consommateurs. La CPRA exige que les entreprises transmettent les demandes des consommateurs visant à accéder à leurs informations personnelles, à les supprimer ou à limiter l'utilisation d'informations personnelles sensibles (chacune avec ses propres exceptions) et que les prestataires de services et les sous-traitants aident l'entreprise à se conformer à ces demandes, avec des exigences similaires en matière de notification pour les tiers.
Prolongation de la période de rétrospection pour le droit à l'information. Pour les informations collectées après le 1er janvier 2022, les consommateurs peuvent demander des informations sur leurs données personnelles collectées par l'entreprise au-delà de la période de 12 mois prévue par la CCPA, sauf si cela s'avère impossible ou nécessite des efforts disproportionnés.
Sécurité raisonnable. Bien que les entreprises aient toujours été tenues d'assurer une « sécurité raisonnable » des informations personnelles en vertu de l'article 1798.81.5 du Code civil californien, la CPRA a désormais expressément intégré cette exigence dans la CPRA.
Minimisation des données. En vertu de la CPRA, la collecte, l'utilisation et le partage d'informations personnelles doivent être limités aux informations raisonnablement nécessaires et proportionnées pour permettre à l'entreprise d'atteindre les objectifs pour lesquels les informations ont été collectées. En outre, les entreprises ne peuvent pas conserver les informations personnelles pendant une période plus longue que celle raisonnablement nécessaire aux fins divulguées.
Exigences supplémentaires en matière de déclaration de confidentialité. Bon nombre des droits et obligations nouveaux et modifiés mentionnés ci-dessus doivent être communiqués aux consommateurs dans la déclaration de confidentialité de l'entreprise, notamment le nouveau droit de limiter l'utilisation des informations sensibles, le droit de corriger les informations personnelles inexactes, les informations relatives à toute prise de décision automatisée et la divulgation de la durée de conservation par l'entreprise des informations personnelles collectées ou des critères permettant de déterminer cette durée.
Exigences en matière d'audit. En vertu de la CPRA, les entreprises seront tenues de réaliser des évaluations d'impact sur la vie privée et des audits indépendants en matière de cybersécurité pour les activités « à haut risque ». Les entreprises doivent fournir une évaluation des risques à la nouvelle agence de protection de la vie privée des consommateurs (CPPA) créée en vertu de la CPRA. Les entreprises peuvent être tenues de restreindre leurs activités de traitement si les risques pour les consommateurs l'emportent sur les avantages pour l'entreprise et les parties prenantes.
Prise de décision automatisée et profilage. La CPRA exige des entreprises qu'elles divulguent des informations significatives sur leurs activités de prise de décision automatisée et de profilage, et accorde aux consommateurs le droit de refuser la prise de décision automatisée et le profilage. Le profilage utilise un traitement automatisé pour évaluer les aspects personnels d'un consommateur et faire des prédictions concernant ses performances au travail, sa situation économique, sa santé, ses préférences, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements.
Signaux de désinscription pour les consommateurs âgés de moins de 16 ans. La CPRA exige que la nouvelle CPPA établisse des spécifications techniques pour un signal de désinscription qui identifie les consommateurs âgés de moins de 13 ans ou entre 13 et 16 ans afin d'aider à obtenir leur consentement explicite pour le partage ou la vente de leurs informations personnelles.
Obligations contractuelles. À l'instar des exigences contractuelles du RGPD, la CPRA impose aux entreprises de conclure des contrats avec tous les tiers auxquels elles divulguent des informations personnelles. La CPRA oblige les entreprises à s'assurer que le destinataire offre le même niveau de protection des informations personnelles que celui exigé par la CPRA et à permettre à l'entreprise de prendre des mesures raisonnables et appropriées pour remédier à toute utilisation non autorisée par le destinataire. Le destinataire est également tenu d'informer l'entreprise s'il n'est plus en mesure de se conformer à ces exigences. Ces exigences s'ajoutent à toutes les obligations contractuelles nécessaires pour éviter qu'une divulgation ne soit considérée comme une « vente » au sens de la CPRA.
Extension de la règle refuge. Une entreprise n'est pas responsable des violations commises par ses prestataires de services, ses sous-traitants et, désormais, des tiers si elle ne savait pas ou n'avait aucune raison de croire que le prestataire de services, le sous-traitant ou le tiers avait l'intention de commettre une violation ; toutefois, cette règle refuge ne s'étend pas à certaines informations qui sont soumises à l'exercice par le consommateur de ses droits en vertu de la CPRA ou à l'exercice d'un choix opt-in valide.

Impacts liés à l'application de la loi

La CPRA crée une nouvelle agence chargée de l'application de la loi et augmente les responsabilités potentielles en cas d'infractions.

Agence californienne de protection de la vie privée (CPPA). La CCPA crée la première agence aux États-Unis dédiée exclusivement à la protection de la vie privée des consommateurs. Cette agence sera chargée de mettre en œuvre et de faire respecter la CPRA et disposera de pouvoirs d'assignation et d'audit. En plus de reprendre la plupart des pouvoirs d'application de la loi du bureau du procureur général de Californie, elle reprendra également le pouvoir réglementaire du procureur général. Outre ses pouvoirs d'application, la CPPA sera également tenue de sensibiliser le public aux risques liés à la confidentialité et de fournir des conseils aux entreprises et aux consommateurs sur leurs droits et obligations en vertu de la CPRA. On s'attend à ce que la CPPA fasse preuve d'un grand zèle dans l'application de la CPRA.

Suppression du délai de régularisation prévu par la loi. La CPRA supprime le délai de régularisation de 30 jours prévu par la loi avant que le procureur général de Californie (désormais la CPPA) puisse engager une action coercitive pour toute violation de la CPRA ; toutefois, la CPPA peut accorder à une entreprise un délai pour régulariser la violation présumée, à la discrétion de l'agence, en tenant compte de l'absence d'intention de la part de l'entreprise et de ses efforts volontaires pour remédier à la violation.

Amendes potentielles. La CPRA maintient les sanctions administratives potentielles pouvant aller jusqu'à 2 500 dollars par infraction (ou 7 500 dollars par infraction intentionnelle) et augmente le montant potentiel de l'amende à 7 500 dollars pour les infractions impliquant des mineurs (c'est-à-dire lorsque l'entreprise a effectivement connaissance que le consommateur est âgé de moins de 16 ans).

Droits d'action privés. La CPRA étend le droit d'action privé des consommateurs en cas de non-mise en œuvre et de non-maintenance de mesures de sécurité raisonnables entraînant la compromission d'informations personnelles, afin d'inclure la compromission de l'adresse e-mail d'un consommateur ainsi que la question de sécurité ou le mot de passe permettant d'accéder au compte du consommateur. En outre, les droits supplémentaires des consommateurs et les obligations supplémentaires des entreprises identifiés ci-dessus peuvent servir de base à des actions civiles, notamment pour étayer des plaintes pour pratiques commerciales déloyales, etc. en vertu du California Business & Professions Code 17200 et suivants.

Mesures à prendre

Commencez le mappage des données. Les entreprises doivent procéder à un exercice de mappage des données si elles ne l'ont pas déjà fait afin de comprendre les types de données qu'elles détiennent, comment elles les protègent, les fins auxquelles elles les utilisent et quels fournisseurs ont accès à ces données.
Mettre à jour les politiques et procédures. Les entreprises doivent revoir leurs politiques et procédures afin de se conformer aux nouvelles exigences de la CPRA, notamment leurs politiques de conservation des données, leurs politiques de sécurité de l'information et leurs politiques de réponse aux demandes des consommateurs. Les entreprises qui ne disposent pas de telles politiques doivent commencer à les rédiger.
Mettre à jour les avis de confidentialité afin d'y inclure les nouvelles informations obligatoires. Les entreprises doivent déterminer si elles souhaitent offrir les droits des consommateurs à tous les consommateurs ou uniquement aux consommateurs californiens, et mettre en œuvre les différences en matière de droits et d'informations.
Réalisez une évaluation de l'impact sur la vie privée. Les entreprises doivent évaluer et documenter les risques liés au traitement des données à caractère personnel et envisager d'adopter des mesures de sécurité ou de confidentialité supplémentaires afin de mieux protéger la vie privée des consommateurs.
Commencez à collaborer avec des cabinets d'audit indépendants spécialisés dans la cybersécurité pour les traitements à haut risque. Les entreprises devraient envisager de commencer tôt les audits de cybersécurité afin de comprendre le processus d'audit et d'avoir la possibilité de traiter les conclusions critiques de ces audits.
Rédigez et adoptez un avenant relatif à la confidentialité des données à utiliser avec les tiers, y compris les prestataires de services et les sous-traitants. La CPRA exige que toutes les divulgations d'informations personnelles soient soumises à des obligations contractuelles qui protègent les informations personnelles. Les entreprises doivent comprendre la portée des tiers auxquels elles divulguent des informations personnelles et commencer à mettre en place des modifications afin de continuer à bénéficier des services de ces tiers après l'entrée en vigueur de la CPRA.

Conclusions

La CPRA apporte des modifications importantes à la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) et constitue l'une des lois les plus complètes jamais adoptées aux États-Unis en matière de protection de la vie privée. Bien qu'elle n'entre pleinement en vigueur qu'au 1er janvier 2023 (la période de rétroactivité pour l'extension du droit d'accès commençant plus tôt), les entreprises doivent commencer à se préparer dès que possible afin d'éviter toute non-conformité, d'autant plus qu'une nouvelle agence sera chargée de veiller au respect de la CPRA et que la période de remédiation pour les mesures réglementaires a été supprimée.

Pour toute question ou information complémentaire sur ce sujet, veuillez contacter l'un des auteurs ou votre partenaire Foley.

Foley a mis en place une équipe pluridisciplinaire et multijuridictionnelle qui a préparé une multitude de ressources thématiques à l'intention de ses clients et qui est prête à aider ces derniers à relever les défis juridiques et commerciaux que l'épidémie de coronavirus pose aux parties prenantes dans divers secteurs. Cliquez ici pour accéder au Centre de ressources sur le coronavirus de Foley afin de vous tenir informé des développements, des analyses et des ressources pertinents pour soutenir votre entreprise en cette période difficile. Pour recevoir ce contenu directement dans votre boîte de réception, cliquez ici et envoyez le formulaire.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.