Le mois dernier, plus de deux ans après la promulgation de la loi californienne sur les droits des consommateurs par le gouverneur Gerald Brown Jr, le bureau du procureur général de Californie a publié les règlements finaux mettant en œuvre la loi sur les droits des consommateurs.
Bien que les réglementations finales fournissent aux entreprises et aux professionnels de la protection de la vie privée des orientations et des éclaircissements indispensables, personne ne devrait commettre l'erreur de se mettre trop à l'aise pour l'instant : Les électeurs californiens auront l'occasion de propulser l'État dans un territoire encore plus novateur en matière de protection de la vie privée le 3 novembre 2020, lorsqu'ils voteront pour approuver la loi californienne de 2020 sur les droits à la vie privée (California Privacy Rights Act of 2020).
Quelles sont les nouveautés et les prochaines étapes pour la Californie ? Voici cinq points à retenir de la réglementation finale de l'ACCP et un aperçu de ce qui se profile à l'horizon.
1 - Nous en sommes maintenant sûrs : les 25 millions de dollars ne doivent pas obligatoirement être générés en Californie.
Depuis deux ans, les praticiens débattent de la question de savoir si une entreprise est soumise à la CCPA si elle fait des affaires en Californie, recueille des informations personnelles, détermine ce qu'il faut en faire et a un chiffre d'affaires brut de plus de 25 millions de dollars, mais que seule une fraction de ce chiffre d'affaires est générée par des consommateurs californiens (oui, nous sommes super sympas dans les cocktails !).
L'OAG a clairement indiqué que l'ACCP ne se limite pas aux revenus générés en Californie ou provenant de résidents californiens.
2 - Les politiques de protection de la vie privée doivent contenir une description des droits des consommateurs, même ceux qui ne s'appliquent pas.
Lors de la dernière série de commentaires précédant les règlements définitifs, un certain nombre de personnes ont demandé au BVG de préciser qu'une entreprise ne devrait pas être tenue d'informer les consommateurs de leur droit de supprimer des informations si toutes les informations personnelles détenues par l'entreprise étaient exemptées de l'obligation de suppression sur demande.
De même, les entreprises ont demandé au BVG de préciser que si une entreprise ne vend pas d'informations personnelles, elle n'est pas tenue d'inclure une explication sur le droit de retrait dans sa politique de protection de la vie privée. Non, a répondu le BVG. Les politiques de protection de la vie privée de la CCPA doivent inclure une description des droits des consommateurs, même si l'entreprise n'est pas tenue de répondre à la demande.
3 - Le règlement final allège certaines charges pour les entreprises
Du point de vue de la conformité des entreprises, il y a de bonnes nouvelles :
- Les entreprises qui opèrent exclusivement en ligne et qui ont une relation directe avec les consommateurs auprès desquels elles collectent des informations ne sont plus tenues de fournir aux consommateurs un numéro de téléphone gratuit pour soumettre les demandes de connaissance, de suppression et d'exclusion. Ces entreprises sont tenues de fournir uniquement une adresse électronique pour les demandes de connaissance et de suppression.
- Les entreprises sont toujours tenues d 'accuser réception des demandes des consommateurs dans un délai de 10 jours, mais elles peuvent le faire de la même manière qu'elles ont reçu la demande. En d'autres termes, les entreprises peuvent automatiser leur processus d'accusé de réception de manière à ce que l'accusé de réception soit envoyé instantanément dès la réception de la demande du consommateur.
- Les entreprises qui suppriment des informations sur les consommateurs ne sont plus tenues d' informer ces derniers de la manière dont ces informations ont été supprimées.
- Dans certaines circonstances, les entreprises ne sont même pas tenues de rechercher des données à caractère personnel en réponse à une demande de renseignements. Cette sous-section a été ajoutée pour alléger la charge des entreprises lorsqu'elles conservent des données non structurées ou non consultables, que les informations sont conservées uniquement à des fins juridiques ou de conformité, que l'entreprise ne vend pas les informations ou ne les utilise pas à des fins commerciales, et que l'entreprise décrit au consommateur les catégories de documents susceptibles de contenir des informations à caractère personnel qu'elle n'a pas recherchées parce qu'elle remplit ces conditions.
4 - Le règlement final de l'ACCP définit enfin le terme "accessible"
Les versions antérieures du règlement de l'ACCP exigeaient que les avis et les politiques de confidentialité de l'ACCP soient "raisonnablement accessibles aux personnes handicapées". La version finale explique que pour les avis et les politiques de confidentialité publiés en ligne, les entreprises sont tenues de respecter les normes industrielles généralement reconnues, telles que les lignes directrices pour l'accessibilité des contenus Web (WCAG) version 2.1.
5 - L'utilisation des informations personnelles par les prestataires de services est limitée à la fourniture de services.
Bien que la CCPA permette aux entreprises de transférer des informations personnelles à des "prestataires de services" sans que ce transfert ne constitue une "vente" des données personnelles, elle était un peu vague sur ce que les prestataires de services pouvaient faire avec les informations personnelles une fois qu'ils les avaient obtenues. Le règlement final interdit désormais expressément aux prestataires de services de conserver, d'utiliser ou de divulguer les informations personnelles obtenues dans le cadre de leur activité de "prestataire de services", sauf si cela est nécessaire pour fournir des services conformément à leur contrat écrit et dans quatre autres circonstances limitées.
Et maintenant, la Californie ?
Le 3 novembre 2020, les électeurs californiens auront l'occasion de voter sur le California Privacy Rights Act of 2020, une nouvelle loi sur la protection de la vie privée qui est similaire à la CCPA mais avec quelques ajouts (considérez-la comme la "CCPA 2.0"). Entre autres, la CPRA créerait une nouvelle entité réglementaire dotée d'un budget de 10 millions de dollars (l'"Agence californienne de protection de la vie privée") pour remplacer le bureau du procureur général en tant qu'organisme de réglementation chargé de l'application de la CPRA. La CPRA accorderait également des droits supplémentaires aux consommateurs, exigerait des entreprises qu'elles concluent des contrats avec toutes les entités auxquelles elles divulguent des informations personnelles, et supprimerait la période de 30 jours prévue par la CCPA pour remédier à la situation.
Enfin, bonne nouvelle pour les entreprises, l'ACPR prolongerait jusqu'au 1er janvier 2023 les limites imposées par la CCPA aux employés et aux relations interentreprises. Les sondages actuels montrent que l'ACPR bénéficie d'un taux d'approbation de 90 % parmi les électeurs californiens. (D'ailleurs, les exemptions pour les employés et les entreprises à but lucratif bénéficient d'un large soutien. Le 2 septembre 2020, le corps législatif californien a voté la prolongation des exemptions actuelles pour les employés et le commerce interentreprises jusqu'au 1er janvier 2022, même si l'ACPR n'est pas approuvée par les électeurs (AB 1281). Le gouverneur Gavin Newsom a jusqu'au 30 septembre 2020 pour promulguer l'AB 1281).
