Passer au contenu principal

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) est une loi de l’État signée en 2018 dans le but de renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de l’État. La loi, entrée en vigueur en janvier 2020, fournit aux consommateurs plus de contrôle sur les informations personnelles que les entreprises collectent à leur sujet et établit de nouveaux droits sur la protection de la vie privée des consommateurs, notamment :

  • Le droit de connaître les renseignements personnels qu’une entreprise recueille à leur sujet et comment ils sont utilisés et partagés
  • Le droit de faire supprimer leurs informations personnelles
  • Le droit de refuser la vente de leurs renseignements personnels
  • Le droit à la non-discrimination pour l’exercice de leurs droits CCPA

À qui la loi CCPA s’applique-t-elle ?

La loi CCPA s’applique à toute entreprise à but lucratif exerçant ses activités en Californie et répondant à l’un des critères suivants :

  • A des revenus annuels bruts supérieurs à 25 millions de dollars
  • Achète ou vend les informations personnelles d’au moins 50 000 résidents, foyers ou dispositifs californiens
  • Génère au moins 50 % de ses revenus annuels en vendant les informations personnelles de résidents californiens

Le chiffrement des données est-il requis pour la conformité avec la loi CCPA ?

La conformité à la loi CCPA exige que les informations personnelles des consommateurs soient chiffrées, comme indiqué dans l’article 1798.150 de la loi : « Tout consommateur dont les renseignements personnels non chiffrés et non expurgés, tels que définis au sous-paragraphe (A) du paragraphe (1) de la subdivision (d) de l’article 1798.81.5, font l’objet d’un accès non autorisé et d’une exfiltration, d’un vol ou d’une divulgation à la suite de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables adaptées à la nature des informations afin de protéger les renseignements personnels peut intenter une action civile dans l’un des buts suivants :

  1. Pour recouvrer des dommages-intérêts d’un montant d’au moins cent dollars (100 $) et d’au plus sept cent cinquante dollars (750 $) par consommateur et par incident ou dommage réel, selon le plus élevé des deux.
  2. Pour obtenir une injonction ou une mesure de redressement déclaratoire.
  3. Pour obtenir toute autre réparation que le tribunal juge appropriée.

Comment les violations de données sont-elles gérées en vertu de la loi CCPA ?

Les consommateurs ne peuvent poursuivre une entreprise en justice en vertu de la loi CCPA que si certaines conditions sont remplies. Les informations personnelles volées doivent inclure le prénom (ou la première initiale) et le nom de famille du consommateur en combinaison avec :

  • Numéro de sécurité sociale
  • Numéro de permis de conduire, numéro d’identification fiscale, numéro de passeport, numéro d’identification militaire ou autre numéro d’identification unique délivré sur un document gouvernemental couramment utilisé pour déterminer l’identité d’une personne
  • Numéro de compte financier, numéro de carte de crédit ou numéro de carte de débit s’il est combiné avec un code de sécurité, un code d’accès ou un mot de passe requis qui permettrait à quelqu’un d’accéder au compte du consommateur
  • Informations médicales ou d’assurance maladie
  • Empreinte digitale, image de la rétine ou de l’iris, ou autres données biométriques uniques utilisées pour déterminer l’identité d’une personne (mais cela n’inclut pas les photographies, sauf si elles sont utilisées ou stockées à des fins de reconnaissance faciale)

Ces informations doivent notamment avoir été volées sous une forme non chiffrée et non expurgée.

La législation connexe va plus loin à l’heure de traiter les conséquences auxquelles les entreprises sont confrontées à la suite d’une violation d’informations de consommateurs lorsque les enregistrements n’ont pas été chiffrés ou lorsque les données chiffrées et les clés de chiffrement ont été volées. Plus précisément, dans le cadre d’un amendement au projet de loi 1130 de l’Assemblée, l’article 1798.82 du Code civil de Californie indique en partie :

« Une personne ou une entreprise qui conduit des activités en Californie, et qui possède ou concède sous licence des données informatisées comprenant des renseignements personnels, doit divulguer une violation de la sécurité du système après la découverte ou la notification de la violation de la sécurité des données à un résident de Californie (1) dont les renseignements personnels non chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée, ou (2) dont les renseignements personnels chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée et la clé de chiffrement ou les informations d’identification de sécurité ont été, ou sont raisonnablement considérées comme ayant été, acquises par une personne non autorisée, et la personne ou l’entreprise qui possède ou concède sous licence les informations chiffrées a des raisons valables de croire que la clé de chiffrement ou les informations d’identification de sécurité pourraient rendre ces renseignements personnels lisibles ou exploitables. La divulgation doit être faite dans les meilleurs délais et sans retard déraisonnable, conformément aux besoins légitimes des forces de l’ordre, comme prévu à la subdivision (c), ou toute mesure nécessaire doit être prise pour déterminer l’étendue de la violation et restaurer l’intégrité raisonnable des systèmes de données. »