Approuvé en juin 2018 et effectif dès le 1er janvier 2020, le California Consumer Privacy Act va marquer de son empreinte les prochains mouvements réglementaires qui auront lieu aux Etats-Unis. Même si 11 États ont d’ores et déjà adopté des lois pour la protection des données, le CCPA marque d’une pierre blanche un momentum américain de grande envergure. Ce dernier va effectivement régir la protection des données des consommateurs californiens mais va notamment permettre la régulation des acteurs tech de la Silicon Valley.
Le CCPA, une loi emblématique qui cache la multitude
Cette réglementation s’inscrit dans la tendance générale à une plus grande responsabilité des entreprises vis-à-vis de la protection des données des consommateurs. Elle a pour but de permettre aux résidents californiens de disposer d’un meilleur contrôle de leurs données personnelles. Ainsi, l’Etat de Californie souhaite protéger au mieux les droits des consommateurs tout en accordant un meilleur respect de la vie privée et en améliorant la transparence de l’utilisation des données personnelles.
Ce texte est également le fer de lance d’une vague législative qui englobe de nombreux états américains. En effet, depuis 2018, un certain nombre d’entre eux ont déjà adopté des textes relatifs à la protection des données.
Le dernier en date a pris effet le 1er octobre dans l’État du Nevada en votant la loi Senat Bill 220 (SB 220) début 2019. Il vient compléter une loi existante en apportant un volet concernant la protection des données personnelles des clients de sites services en ligne. Un premier pas important puisque inexistant jusqu’alors. Cependant, bien que dans la même veine que le CCPA, ce texte n’en a pas la même portée puisqu’il ne concerne que les données personnelles récupérées en ligne.
Ce fourmillement de textes de loi autour des mêmes problématiques de “privacy” présentent tous des spécificités qui leurs sont propres et rendent les choses parfois compliquées au niveau légal. De fait, une loi fédérale est désormais évoquée avec insistance. Cela offrirait aux acteurs du digital de disposer d’un environnement stable et légal permettant de créer des produits/solutions où acteurs économiques et utilisateurs pourront trouver un consensus quant à l’utilisation des données personnelles.
Le CCPA, " cousin " américain du RGPD ?
A ce jour, on ne compte plus les articles se demandant ce qui distingue le CCPA du RGPD et qualifiant même le CCPA de " version américaine du RGPD " ou encore de " RGPD light ".
Or si le CCPA est indéniablement inspiré par le RGPD, et accorde aux consommateurs certains droits sur la façon dont leurs informations personnelles sont collectées et utilisées, les deux réglementations présentent des différences très claires tant au niveau de la nature des droits d’accès des données utilisateurs que de la mise en œuvre de ces derniers.
À la lecture du tableau, on découvre de nombreuses similarités entre RGPD et CCPA, malheureusement mêlées à de nombreuses disparités. Si une société européenne implantée en Californie se pense protégée du fait de sa conformité au règlement européen, il n’en est rien. La société devra se conformer aux lois qui régissent tout acte commercial sur le territoire californien pour satisfaire aux obligations du CCPA. Il sera donc nécessaire de la part de l’entreprise de réaliser tout un travail d’adaptation de l’ensemble de sa documentation, de ses procédures internes ou encore des mentions d’information (citoyen ou consommateur) des personnes concernées.
Malgré des schémas légaux différents, l’Europe comme de nombreux États américains avancent dans la même direction : la protection des données personnelles. Avec l’idée de l’arrivée prochaine d’une loi fédérale américaine, un consensus commun pourrait être trouvé entre les États-Unis et l’Europe. Il reste donc à attendre la décision du Congrès américain exhorté par les dirigeants des 50 plus grandes entreprises américaines, de légiférer sur une loi fédérale à propos de la protection des données des consommateurs.
Jean-Noël Barneron est directeur de l’innovation chez Herow
