Données personnelles : la Californie adopte son propre règlement général sur la protection des données

L’UE avait le RGPD, la Californie a désormais son CCPA.

Voté en juin 2018 et entré en vigueur le 1er janvier de cette année, le California Consumer Privacy Act permet à l’Etat américain, présenté comme la « 5e puissance économique mondiale », de se targuer d’être le premier à adopter un texte de cette envergure hors UE.

Une avancée majeure prenant de vitesse le Congrès et les entreprises

Avançant un affaiblissement de la protection de la vie privée des consommateurs au niveau des Etats, l’Union américaine pour les libertés civiles (ACLU) se positionnait en faveur d’un texte à l’échelle nationale, et un groupe de 51 chefs d’entreprise (représentant Amazon, IBM, FedEx, AT&T, Mastercard, etc.) avait adressé une lettre ouverte en ce sens aux législateurs. L’Internet Association (lobby des entreprises américaines : Facebook, Google, eBay, etc.), avait, quant à elle, même fait pression pour instaurer rapidement une disposition fédérale qui entrerait en vigueur avant celle du CCPA pour le court-circuiter.

En dépit de ses détracteurs, et même si une loi fédérale est actuellement étudiée au sein du Congrès américain, la Californie n’a pas souhaité attendre pour prendre des mesures-phares en matière de protection des données.

Le CCPA, évidemment d’intense inspiration « RGPDienne », offre ainsi une protection aux consommateurs californiens et impose de nombreuses obligations pour les entreprises collectrices de données personnelles.

Un droit d’accès est notamment prévu, pour tous les résidents de l’Etat, à l’ensemble des informations qui permettent de les identifier et qui sont détenues par les entreprises. Ces derniers peuvent, à l’instar des utilisateurs européens, savoir comment leurs données sont utilisées, exercer leur droit de refuser leur vente au travers du fameux bouton « do not sell my personal data », et également, exercer leur droit de suppression des données.

Tranchant avec le RGPD qui ne prévoit pas cette possibilité, les utilisateurs californiens peuvent même attaquer directement l’entreprise fautive en cas de violation des règles de protection des données personnelles.

L’existence de limites et des sanctions encore trop parcellaires

Le CCPA a réussi à s’imposer dans l’un des berceaux technologiques mondiaux, abritant la Silicon Valley et les sièges sociaux de trois des GAFAM – Google, Apple et Facebook –, au prix de certaines concessions. Sous pression des lobbys, la loi californienne ne s’applique ainsi qu’aux entreprises à but lucratif dépassant 25 millions de dollars annuels de revenus, qui détiennent des informations sur au minimum 50 000 utilisateurs, ou qui génèrent plus de 50% de leur chiffre d’affaires grâce à la vente de données.

Selon l’International Association of Privacy Professionals, près de 500 000 entreprises sont concernées par cette loi aux Etats-Unis. La mise en conformité au CCPA a logiquement engendré de nombreuses difficultés pour les firmes, entre coûts de conformité, mises à niveau des infrastructures et cybersécurité. Selon une étude, seulement 52% des grandes entreprises américaines seraient conformes au CCPA lors de son entrée en vigueur au 1er janvier 2020. Le bureau du procureur général de la Californie, quant à lui, avait chiffré à 55 milliards de dollars le coût de cette mise en conformité.

Fort des lobbys menés par plusieurs des GAFAM, les entreprises concernées ont réussi à obtenir plusieurs concessions, dont en particulier :

  • L’exigence d’une caractérisation de la violation des données pour qu’un utilisateur ouvre une procédure pour saisir les tribunaux en cas de non-conformité
  • La suppression au sein du CCPA de la proposition tendant à prévoir comme règle par défaut, l’interdiction de la vente des informations personnelles
  • La faiblesse des sanctions : le non-respect de la loi, seulement qualifié d’infraction, ne conduirait qu’à une amende maximum de 7 500 dollars (contre 4% du chiffre d’affaires ou 20 millions pour le RGPD) et ne serait donc pour l’instant que très symbolique

Pour combler ces lacunes, les yeux se tournent désormais vers le projet de loi actuellement débattu au sein du Congrès, qui permettrait d’adopter l’équivalent du RGPD européen sur l’ensemble du territoire nord-américain. L’existence d’une CNIL américaine, sous forme d’agence de la vie privée en ligne, au sein de l’autorité américaine de la concurrence, est même évoquée par les démocrates…

Telle évolution aux Etats-Unis est remarquable, tant la régulation des données personnelles a longtemps été considérée comme inutile et incompatible avec la culture et l’économie de l’innovation. En décidant d’une régulation en la matière, outre que cela renforce une approche « occidentale » des libertés personnelles dans le monde numérique, cela sonne le glas de l’acceptation par les individus de supporter des atteintes à leur vie privée en échange de services nouveaux. Cela devrait faire bouger les lignes des modèles économiques, et pourrait devenir rapidement un enjeu contesté des relations internationales.

Photo d'Arnaud Raynouard
Arnaud Raynouard

Professeur des Universités à l’Université Paris-Dauphine, Arnaud Raynouard anime le Comité Scientifique Juridique du cabinet Deloitte Société d’Avocats. Agrégé en droit privé et sciences criminelles, et diplômé en gestion, Arnaud […]

Antoine Le Grix

Etudiant en alternance à l’Université Panthéon-Assas Paris II, Antoine Le Grix a secondé le Professeur Arnaud Raynouard au sein du cabinet d’avocats Deloitte Société d’Avocats afin de faire vivre le […]