Approuvé en juin 2018 et effectif dès le 1er janvier 2020, le California Consumer Privacy Act va marquer de son empreinte les prochains mouvements réglementaires qui auront lieu aux Etats-Unis. Même si 11 États ont d’ores et déjà adopté des lois pour la protection des données, le CCPA marque d’une pierre blanche un momentum américain de grande envergure. Ce dernier va effectivement régir la protection des données des consommateurs californiens mais va notamment permettre la régulation des acteurs tech de la Silicon Valley.
Le CCPA, une loi emblématique qui cache la multitude
Cette réglementation s’inscrit dans la tendance générale à une plus grande responsabilité des entreprises vis-à-vis de la protection des données des consommateurs. Elle a pour but de permettre aux résidents californiens de disposer d’un meilleur contrôle de leurs données personnelles. Ainsi, l’Etat de Californie souhaite protéger au mieux les droits des consommateurs tout en accordant un meilleur respect de la vie privée et en améliorant la transparence de l’utilisation des données personnelles.
Ce texte est également le fer de lance d’une vague législative qui englobe de nombreux états américains. En effet, depuis 2018, un certain nombre d’entre eux ont déjà adopté des textes relatifs à la protection des données.
Le dernier en date a pris effet le 1er octobre dans l’État du Nevada en votant la loi Senat Bill 220 (SB 220) début 2019. Il vient compléter une loi existante en apportant un volet concernant la protection des données personnelles des clients de sites services en ligne. Un premier pas important puisque inexistant jusqu’alors. Cependant, bien que dans la même veine que le CCPA, ce texte n’en a pas la même portée puisqu’il ne concerne que les données personnelles récupérées en ligne.
Ce fourmillement de textes de loi autour des mêmes problématiques de “privacy” présentent tous des spécificités qui leurs sont propres et rendent les choses parfois compliquées au niveau légal. De fait, une loi fédérale est désormais évoquée avec insistance. Cela offrirait aux acteurs du digital de disposer d’un environnement stable et légal permettant de créer des produits/solutions où acteurs économiques et utilisateurs pourront trouver un consensus quant à l’utilisation des données personnelles.
Le CCPA, « cousin » américain du RGPD ?
A ce jour, on ne compte plus les articles se demandant ce qui distingue le CCPA du RGPD et qualifiant même le CCPA de « version américaine du RGPD » ou encore de « RGPD light ».
Or si le CCPA est indéniablement inspiré par le RGPD, et accorde aux consommateurs certains droits sur la façon dont leurs informations personnelles sont collectées et utilisées, les deux réglementations présentent des différences très claires tant au niveau de la nature des droits d’accès des données utilisateurs que de la mise en œuvre de ces derniers.