Comment deux nouvelles modifications de la CCPA influencent les obligations de conformité des entreprises
En juin 2018, la Californie a innové en devenant le premier État du pays à adopter une loi complète sur la confidentialité des données.
La nouvelle loi, appelée Loi californienne sur la protection de la vie privée des consommateursLa loi sur la protection des données personnelles (CCPA) donne aux Californiens de nouveaux droits importants pour contrôler leurs informations personnelles et exige que les entreprises couvertes par la CCPA soient transparentes sur la façon dont elles collectent, utilisent et partagent ces informations. La loi entrera en vigueur le 1er janvier 2020, soit dans deux mois.
Bien que les consommateurs californiens aient accueilli favorablement les idées de transparence et de contrôle, la CCPA, telle qu'elle a été adoptée à l'origine, était difficile à manier pour les entreprises. La loi comptait plus de 10 000 mots, avait été rédigée en moins d'une semaine et, dans certains cas, était désespérément vague.
Il contenait des incohérences et des renvois à des sections qui n'existaient pas. Dire que l'ACCP avait besoin d'une bonne révision et d'un polissage est un euphémisme, c'est le moins que l'on puisse dire. La législature californienne a corrigé certaines de ces erreurs de rédaction en apportant des modifications mineures au début de l'année.
Plus récemment, l'État de Californie a apporté quelques bonnes nouvelles et quelques conseils aux entreprises sous la forme de deux amendements majeurs à la CCPA et d'un projet de règlement d'application publié par le bureau de l'Attorney General. Dans cet article, nous analysons ces deux amendements et la manière dont ils allègent - mais n'éliminent pas - la charge de la conformité pour les entreprises soumises à la loi sur les pratiques commerciales déloyales. Dans les prochains articles, nous examinerons le projet de règlement d'application publié le 10 octobre 2019 et ce qu'il signifie pour les entreprises.
Deux modifications récentes de l'ACCP
Le 11 octobre 2019, le gouverneur Gavin Newsom a signé deux amendements qui ont considérablement réduit l'application de la CCPA pendant un an. Ces amendements sont souvent appelés "exemption pour les employés" et "exemption pour les entreprises" (ou B2B), mais le mot "exemption" en exagère l'effet. En fait, ces modifications limitent certains droits (et obligations commerciales) de ces groupes pendant un an. Ces deux groupes bénéficieront des pleins droits de la CCPA à partir du 1er janvier 2021 (à moins que la CCPA ne soit à nouveau modifiée d'ici là).
> L'exception limitée à certains droits des travailleurs pendant un an
Le projet de loi 25 de l'Assemblée a modifié la loi sur la protection des données afin d'exclure les informations personnelles recueillies par les entreprises sur les candidats à l'emploi, les employés, les propriétaires, les directeurs, les responsables et les sous-traitants de certains droits de la loi sur la protection des données pour une durée d'un an. Cet amendement a été intégré à la loi sur la protection des données dans le code civil (Civil Code §1798.145(h)). En conséquence, les candidats à l'emploi et les employés n'auront pas le droit de soumettre une demande de connaissance ou de suppression des informations que leur employeur ou ancien employeur a collectées à leur sujet avant le 1er janvier 2021.
Mais ne vous y trompez pas : à partir du 1er janvier 2020 - c'est-à-dire dans deux mois - les candidats à l'emploi et les employés bénéficieront de certains droits en vertu de la loi sur la protection des données. Tout d'abord, les entreprises soumises à la loi sur la protection des données seront tenues de remettre aux candidats à l'emploi et aux employés un "avis de collecte" les informant (1) des catégories de données personnelles que l'entreprise recueille à leur sujet et (2) de la finalité de l'utilisation de ces données. L'avis de collecte doit être remis au candidat à l'emploi ou à l'employé avant ou au moment de la collecte des informations.
Cela signifie que si une entreprise concernée accepte des candidatures à un emploi ou des CV en ligne, elle doit fournir au candidat un avis au moment de la collecte (par le biais d'une fenêtre contextuelle ou d'un lien) avant ou au moment où le candidat remplit une candidature à un emploi ou télécharge un CV. De même, les employés actuels auront droit à un avis lors de la collecte pour les informer des catégories d'informations personnelles que l'entreprise recueille à leur sujet pendant qu'ils sont en poste, et des fins auxquelles ces informations sont utilisées.
Le droit à un avis de collecte n'est pas le seul droit que les candidats à l'emploi et les employés obtiendront en vertu de la loi sur la protection des données à partir de janvier 2020. Les candidats à l'emploi et les employés ont également le droit de poursuivre les entreprises si leurs informations personnelles sensibles non cryptées et non expurgées (telles que le numéro de sécurité sociale, le numéro de permis de conduire, les informations médicales ou les informations relatives à l'assurance maladie) font l'objet d'une violation en raison de l'obligation de l'entreprise de mettre en œuvre et de maintenir des procédures et des pratiques raisonnables en matière de sécurité. En cas de violation de données de ce type, la CCPA permet aux consommateurs - y compris les candidats à l'emploi et les employés - de percevoir des dommages-intérêts réels ou des dommages-intérêts légaux d'un montant compris entre 100 et 750 dollars par consommateur et par incident, le montant le plus élevé étant retenu. Cela change la donne, car la Californie est le seul État du pays à prévoir des dommages-intérêts légaux en cas de violation de données.
[bctt tweet="La Californie est le seul État du pays qui prévoit des dommages-intérêts légaux en cas de violation de données." username="MitratechLegal"]
> L'exception "d'entreprise à entreprise" est également limitée et expire dans un an.
La deuxième modification la plus notable de la CCPA est le projet de loi 1335 de l'Assemblée, qui exclut les informations personnelles collectées par une entreprise lorsqu'elle communique avec un consommateur agissant pour le compte d'une autre organisation et que la communication a lieu uniquement dans le cadre d'une transaction commerciale. En d'autres termes, les personnes dont les informations personnelles sont collectées dans un contexte commercial, ou dans un canal B2B, ne bénéficient pas des droits conférés par la CCPA en matière d'avis de collecte, ni du droit d'accéder à leurs informations personnelles ou de les supprimer.
Cet amendement a été intégré à la loi sur la protection des données dans le code civil (Civil Code §1798.145(n)(1)). Toutefois, à l'instar de l'exception limitée aux données relatives aux employés évoquée ci-dessus, il serait erroné de penser que les informations personnelles collectées dans un contexte interentreprises sont entièrement "exemptées" de la loi sur la protection des données. Comme les candidats à l'emploi et les employés, une personne dont les informations personnelles sensibles sont collectées dans un contexte interentreprises a le droit d'intenter une action en justice pour des dommages réels et légaux si ses informations sensibles sont violées sous une forme non chiffrée ou non expurgée en raison du manquement de l'entreprise à mettre en œuvre et à maintenir des procédures et des pratiques de sécurité raisonnables.
Et, comme l'amendement relatif aux employés, l'exclusion des données collectées dans un contexte interentreprises des droits de connaître et de supprimer expirera le 1er janvier 2021, ce qui signifie que les consommateurs dont les informations personnelles sont collectées dans un contexte interentreprises bénéficieront de tous les droits prévus par la CCPA à compter de cette date (à moins que la loi ne soit à nouveau modifiée).
Prochaine étape : les propositions de règlement
Le 10 octobre 2019, le bureau du procureur général de Californie a publié des propositions de règlement qui fournissent aux entreprises des conseils spécifiques concernant : (1) les avis que les entreprises doivent fournir aux consommateurs en vertu de la CCPA ; (2) les pratiques de l'entreprise pour traiter les demandes des consommateurs faites en vertu de la CCPA ; (3) les pratiques de l'entreprise pour vérifier l'identité du consommateur qui fait ces demandes ; (4) les pratiques de l'entreprise concernant les informations personnelles des mineurs, et (5) l'offre d'incitations financières par l'entreprise. La période de consultation publique sur les règlements proposés se termine le 6 décembre 2019.
Nous aborderons chacun d'entre eux dans les prochains articles du blog.