La Revue Squire

La loi californienne sur la protection des données personnelles


Rédigé par Stephanie Faber le 26 Juillet 2018


La loi californienne sur la protection des données personnelles


La presse spécialisée c’est fait l’écho d’une nouvelle loi californienne, California Consumer Privacy Act of 2018, qualifiée de loi la plus stricte de l’histoire des États-Unis en matière de protection de la vie privée.  Cette loi devrait avoir un impact significatif même en dehors de l’État de Californie.  Elle a fait l’objet de critiques pour avoir été rédigée à la hâte afin d’éviter une modification par les citoyens (selon une procédure exceptionnelle spécifique à la Californie). Que dit cette loi ?

1. Champ d’application

La loi s’applique à toute personne morale (i) exerçant en Californie (ii) dont l’activité est à but lucratif (iii) qui collecte des « informations personnelles » sur des consommateurs tout en déterminant la finalité et les moyens du traitement de ces informations, et (iv) qui satisfait au moins à une des trois conditions suivantes :

  • un chiffre d’affaires brut annuel supérieur à 25 millions de dollars US ;
  • achat, vente ou partage, à des fins commerciales, d’informations personnelles concernant plus de 50.000 consommateurs, ménages ou objets connectés par an ;
  • vente d’information personnelles représentant au moins 50% des revenus annuels.

La loi définit l’« information personnelle » comme : l’« Information qui identifie, concerne, décrit et peut être associée avec, ou peut raisonnablement être reliée, directement ou indirectement, à un consommateur particulier ou un ménage ». Elle exclut expressément les informations publiquement accessibles.

La loi définit la « collecte » comme « l’achat, la location, la collecte, l’obtention, la réception, ou l’accès à toute information personnelle relative à un consommateur par tout moyen… y compris collecter des informations de façon active ou passive auprès du consommateur, ou en observant le comportement du consommateur ». La protection de la loi n’est donc pas limitée aux informations personnelles collectées en ligne.

2. Points saillants de la loi

La loi est dense et complexe et vise à accorder des droits aux consommateurs dont les informations personnelles sont collectées.

2.1 Droit d’accès et obligation de transparence


Les consommateurs ont le droit de demander aux entreprises des informations sur les données qu’elles collectent, les sources, les finalités et les destinataires.
De plus, une entreprise qui collecte des informations personnelles du consommateur doit l’informer, au plus tard au moment de la collecte, des catégories d’informations personnelles collectées et de la finalité.

2.2 Droit à l’effacement

Les consommateurs peuvent demander la suppression de toute information personnelle que l’entreprise a collecté auprès d’eux. Ce droit connait cependant des exceptions (par exemple en cas d’usage purement interne et compatible avec le contexte dans lequel le consommateur a fourni les informations)

2.3 Droit d’opposition à la commercialisation des informations personnelles

Un consommateur a le droit de s’opposer à la « vente » de ses informations personnelles.
Le terme de « vente » est défini assez largement mais exclut le transfert dans le cadre d’opération tel que les fusions, acquisitions, faillites, ou transferts de fonds de commerce sous réserve que le cessionnaire respecte la loi.

2.4 Protection renforcée pour les mineurs

La loi prévoit que la vente d’information concernant un mineur de moins de 16 ans requiert son consentement et d’un mineur de moins de 13 ans, le consentement de ses parents.

2.5 Non-discrimination

Il est interdit de refuser des biens ou des services à un consommateur, d’augmenter les prix des produits ou services ou d’offrir une qualité de biens ou services moindre à un consommateur, du fait que celui-ci ci a exercé ses droits en vertu de la loi.

2.6 Recours en matière civile

Le consommateur bénéficie d’un recours civil en cas de data breach, à savoir un accès non autorisé, exfiltration, vol ou divulgation non autorisés de données non cryptées ou pseudonymisées, en l’absence de mesure de sécurité raisonnables et adaptée en fonction de la nature des informations. Le consommateur peut obtenir réparation selon le plus élevé des montants suivants : le préjudice réel ou les dommages et intérêts préétablis se situant entre 100$ et 750$ par consommateur et par incident. Il peut aussi obtenir une injonction ou une décision déclaratoire. 

2.7 Nullité des renonciations à recours

Les droits de recours des consommateurs sont d’ordre public et toute clause contractuelle tendant à supprimer ou limiter ces droits est nulle. Cette disposition devrait aussi empêcher les clauses d’arbitrage.

3. Préemption

La loi dispose qu’elle « est destinée à compléter la loi fédérale et nationale mais ne s’applique pas si telle application est évincée par, ou en conflit avec, la loi fédérale ou la Constitution de Californie ».

4. Date d’effet

La loi entrera en vigueur le 1er janvier 2020.

5. Prochaines étapes

La loi prévoit que des mesures complémentaires seront prises sous l’égide de l’Attorney General de Californie.

Durant les prochains mois la loi fera certainement l’objet de critiques et débats ainsi que d’actions de lobbyings par les entreprises et les associations de consommateurs.  Elle est donc susceptible d’être modifiée avant même son entrée en vigueur.
 
Nos équipes aux États Unis sont à votre disposition si vous pensez que la règlementation pourrait affecter vos activités.

L’article original en anglais est disponible à l’adresse : www.securityprivacybytes.com/2018/07/californias-consumer-privacy-act-of-2018/

   






Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :