La presse spécialisée c’est fait l’écho d’une nouvelle loi californienne, California Consumer Privacy Act of 2018, qualifiée de loi la plus stricte de l’histoire des États-Unis en matière de protection de la vie privée. Cette loi devrait avoir un impact significatif même en dehors de l’État de Californie. Elle a fait l’objet de critiques pour avoir été rédigée à la hâte afin d’éviter une modification par les citoyens (selon une procédure exceptionnelle spécifique à la Californie). Que dit cette loi ?
1. Champ d’application
La loi s’applique à toute personne morale (i) exerçant en Californie (ii) dont l’activité est à but lucratif (iii) qui collecte des « informations personnelles » sur des consommateurs tout en déterminant la finalité et les moyens du traitement de ces informations, et (iv) qui satisfait au moins à une des trois conditions suivantes :
- un chiffre d’affaires brut annuel supérieur à 25 millions de dollars US ;
- achat, vente ou partage, à des fins commerciales, d’informations personnelles concernant plus de 50.000 consommateurs, ménages ou objets connectés par an ;
- vente d’information personnelles représentant au moins 50% des revenus annuels.
La loi définit l’« information personnelle » comme : l’« Information qui identifie, concerne, décrit et peut être associée avec, ou peut raisonnablement être reliée, directement ou indirectement, à un consommateur particulier ou un ménage ». Elle exclut expressément les informations publiquement accessibles.
La loi définit la « collecte » comme « l’achat, la location, la collecte, l’obtention, la réception, ou l’accès à toute information personnelle relative à un consommateur par tout moyen… y compris collecter des informations de façon active ou passive auprès du consommateur, ou en observant le comportement du consommateur ». La protection de la loi n’est donc pas limitée aux informations personnelles collectées en ligne.
2. Points saillants de la loi
La loi est dense et complexe et vise à accorder des droits aux consommateurs dont les informations personnelles sont collectées.
2.1 Droit d’accès et obligation de transparence
Les consommateurs ont le droit de demander aux entreprises des informations sur les données qu’elles collectent, les sources, les finalités et les destinataires.
De plus, une entreprise qui collecte des informations personnelles du consommateur doit l’informer, au plus tard au moment de la collecte, des catégories d’informations personnelles collectées et de la finalité.
2.2 Droit à l’effacement
Les consommateurs peuvent demander la suppression de toute information personnelle que l’entreprise a collecté auprès d’eux. Ce droit connait cependant des exceptions (par exemple en cas d’usage purement interne et compatible avec le contexte dans lequel le consommateur a fourni les informations)
2.3 Droit d’opposition à la commercialisation des informations personnelles
Un consommateur a le droit de s’opposer à la « vente » de ses informations personnelles.
Le terme de « vente » est défini assez largement mais exclut le transfert dans le cadre d’opération tel que les fusions, acquisitions, faillites, ou transferts de fonds de commerce sous réserve que le cessionnaire respecte la loi.
2.4 Protection renforcée pour les mineurs
La loi prévoit que la vente d’information concernant un mineur de moins de 16 ans requiert son consentement et d’un mineur de moins de 13 ans, le consentement de ses parents.
2.5 Non-discrimination
Il est interdit de refuser des biens ou des services à un consommateur, d’augmenter les prix des produits ou services ou d’offrir une qualité de biens ou services moindre à un consommateur, du fait que celui-ci ci a exercé ses droits en vertu de la loi.
2.6 Recours en matière civile
Le consommateur bénéficie d’un recours civil en cas de data breach, à savoir un accès non autorisé, exfiltration, vol ou divulgation non autorisés de données non cryptées ou pseudonymisées, en l’absence de mesure de sécurité raisonnables et adaptée en fonction de la nature des informations. Le consommateur peut obtenir réparation selon le plus élevé des montants suivants : le préjudice réel ou les dommages et intérêts préétablis se situant entre 100$ et 750$ par consommateur et par incident. Il peut aussi obtenir une injonction ou une décision déclaratoire.
2.7 Nullité des renonciations à recours
Les droits de recours des consommateurs sont d’ordre public et toute clause contractuelle tendant à supprimer ou limiter ces droits est nulle. Cette disposition devrait aussi empêcher les clauses d’arbitrage.
3. Préemption
La loi dispose qu’elle « est destinée à compléter la loi fédérale et nationale mais ne s’applique pas si telle application est évincée par, ou en conflit avec, la loi fédérale ou la Constitution de Californie ».
4. Date d’effet
La loi entrera en vigueur le 1er janvier 2020.
5. Prochaines étapes
La loi prévoit que des mesures complémentaires seront prises sous l’égide de l’Attorney General de Californie.
Durant les prochains mois la loi fera certainement l’objet de critiques et débats ainsi que d’actions de lobbyings par les entreprises et les associations de consommateurs. Elle est donc susceptible d’être modifiée avant même son entrée en vigueur.
Nos équipes aux États Unis sont à votre disposition si vous pensez que la règlementation pourrait affecter vos activités.
L’article original en anglais est disponible à l’adresse : www.securityprivacybytes.com/2018/07/californias-consumer-privacy-act-of-2018/
Contact : stephanie.faber@squirepb.com
