RGPD vs CCPA : tout sur la loi californienne sur la protection de la vie privée des consommateurs de 2020 (et comment elle se compare au RGPD)

Article 4 du RGPD, CCPA 1798.140

Les personnes concernées, définies comme des personnes identifiées ou identifiables auxquelles se rapportent les données personnelles.

Consommateurs, définis comme des résidents de Californie qui sont soit :

• En Californie à des fins autres que temporaires ou transitoires.
• Domicilié en Californie mais actuellement hors de l'État dans un but temporaire ou transitoire.

Les consommateurs comprennent :

• Clients de biens et services ménagers.
• Des employés.
• Transactions interentreprises.

Bien que ni le RGPD ni le CCPA ne s'appliquent aux personnes morales, les deux s'appliquent aux personnes physiques, mais avec une différence dans la manière dont ils sont définis. Le CCPA indique clairement qu'il s'applique aux résidents de Californie, tandis que le RGPD utilise le terme plus vague de «personnes concernées par l'UE» sans nommer aucune exigence de résidence ou de citoyenneté. Le CCPA protège également les données qui peuvent être liées à un foyer particulier , et pas seulement à un individu comme le fait le RGPD.

Article 3 du RGPD, CCPA 1798.140

Contrôleurs de données et processeurs de données :

• Établis dans l'UE qui traitent des données à caractère personnel dans le cadre des activités de l'établissement de l'UE, que le traitement des données ait lieu ou non au sein de l'UE.
• Non établi dans l'UE qui traite les données personnelles des personnes concernées de l'UE dans le cadre de l'offre de biens ou de services dans l'UE, ou de la surveillance de leur comportement.

Toute entité à but lucratif faisant des affaires en Californie, qui répond à l'une des conditions suivantes :

• A un revenu brut supérieur à 25 millions de dollars.
• Chaque année, achète, reçoit, vend ou partage les informations personnelles de plus de 50 000 consommateurs, foyers ou appareils à des fins commerciales.
• Tire 50 % ou plus de ses revenus annuels de la vente des informations personnelles des consommateurs.

Le champ d'application du RGPD est large : il s'applique à toutes les organisations, des entreprises aux institutions publiques et au secteur à but non lucratif. Le CCPA a quant à lui limité son applicabilité aux entreprises à but lucratif qui répondent à des exigences très claires.

En ce qui concerne la localisation géographique, le RGPD s'applique à toute entreprise qui traite les données des personnes concernées de l'UE, où qu'elles se trouvent. Le CCPA n'est pas clair sur ce point : les entreprises relevant de sa juridiction doivent « faire des affaires en Californie », mais ne précise pas si l'entreprise doit être située dans l'État ou respecter certains seuils de profit pour être qualifiée comme telle.

Article 4 du RGPD, CCPA 1798.140

Les données personnelles sont toutes les informations relatives à une personne concernée identifiée ou identifiable. Le RGPD interdit le traitement de catégories particulières définies de données personnelles, sauf si une justification légale du traitement s'applique.

Les informations personnelles qui identifient, se rapportent à, décrivent, sont susceptibles d'être associées à, ou peuvent raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier.

Le RGPD s'applique à toutes les catégories de données personnelles, tandis que le CCPA ne s'applique qu'aux données non couvertes par les lois fédérales existantes sur la protection de la vie privée telles que la loi Gramm-Leach-Bliley (GLBA) ou la loi HIPAA (Health Information Portability and Accountability Act).

Article 4 du RGPD, CCPA 1798.140

Les données pseudonymes sont considérées comme des données personnelles. Les données anonymes ne sont pas considérées comme des données personnelles.

Le CCPA ne limite pas la capacité d'une entreprise à collecter, utiliser, conserver, vendre ou divulguer des informations sur les consommateurs anonymisées ou agrégées. Cependant, le CCPA met la barre haute pour prétendre que les données sont anonymisées ou agrégées. Les données pseudonymes peuvent être considérées comme des informations personnelles en vertu du CCPA car elles peuvent toujours être associées à un consommateur ou à un ménage particulier.

La définition de « pseudonymisation » dans le cadre du RGPD et du CCPA est très similaire en ce sens qu'il s'agit du traitement de données personnelles de telle manière que les données personnelles ne peuvent plus être attribuées à une personne identifiée ou identifiable sans l'utilisation d'informations supplémentaires, par mettre en place des mesures techniques et organisationnelles permettant de conserver séparément les informations supplémentaires nécessaires à l'identification.

Article 13 du RGPD, CCPA 1798.100

Les contrôleurs de données doivent fournir des informations détaillées sur ses activités de collecte et de traitement de données personnelles. L'avis doit inclure des informations spécifiques selon que les données sont collectées directement auprès de la personne concernée ou d'un tiers.

Les entreprises doivent informer les consommateurs sur :

• Les catégories d'informations personnelles collectées.
• Les fins d'utilisation prévues pour chaque catégorie.

Le RGPD et le CCPA obligent les organisations à divulguer ce qu'elles font des données personnelles qu'elles collectent. Le CCPA oblige cependant les entreprises à divulguer les ventes de données et les activités relatives au traitement des données au cours des 12 derniers mois, tandis que le RGPD n'impose pas de telles limitations.

Article 24 du RGPD, CCPA 1798.150

Le RGPD exige que les responsables du traitement et les sous-traitants prennent les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

Le CCPA n'impose pas directement d'exigences en matière de sécurité des données. Cependant, il établit un droit d'action pour certaines violations de données résultant de violations de l'obligation d'une entreprise de mettre en œuvre et de maintenir des pratiques et procédures de sécurité raisonnables adaptées au risque découlant de la loi californienne en vigueur.

• Les catégories d'informations personnelles collectées.
• Les fins d'utilisation prévues pour chaque catégorie.

Pratiquement similaire dans l'approche statutaire bien que des mesures de sécurité raisonnables puissent varier dans une certaine mesure selon les circonstances d'une organisation et l'interprétation de l'organisme de réglementation.

Article 12 du RGPD – Article 21, CCPA 1798.120

Droits individuels élargis :

• accéder à leurs informations ;
• faire corriger les inexactitudes;
• faire effacer des informations ;
• empêcher le marketing direct ;
• empêcher la prise de décision et le profilage automatisés ;
• portabilité des données.

Droits individuels élargis :

• accéder à leurs informations ;
• faire corriger les inexactitudes;
• faire effacer des informations ;
• empêcher le marketing direct ;
• empêcher la prise de décision et le profilage automatisés ;
• portabilité des données.

Alors que le RGPD exige que les organisations obtiennent le consentement préalable des personnes concernées pour le traitement des données et l'accès de tiers à leurs données, le CCPA permet aux personnes concernées de refuser la vente de leurs données et exige que les entreprises aient un lien visible en haut de leur page d'accueil à cet effet.

Le RGPD et le CCPA offrent tous deux le droit à la portabilité des données : à savoir fournir aux consommateurs leurs données personnelles dans un format couramment utilisé et lisible par machine qui peut ensuite être transmis à une autre entité.

Le RGPD va encore plus loin dans cette direction, en obligeant les organisations à transférer les informations d'une personne concernée à un autre responsable du traitement sur demande.

En vertu de la CCPA, les entreprises sont uniquement tenues de fournir aux consommateurs les informations par voie électronique dans un format facilement utilisable.

Bien que le droit d'effacement du RGPD comporte quelques exceptions notables telles que les données nécessaires à l'exercice du droit à la liberté d'expression ou les données nécessaires au respect de la législation de l'UE ou des États membres de l'UE, le CCPA élargit encore ces exceptions en incluant non seulement la liberté d'expression et d'information nécessaires aux contrats, mais surtout aux usages internes compatibles avec le contexte dans lequel le consommateur a fourni les données.

Article 8 du RGPD, CCPA 1798.120

L'âge de consentement par défaut du GDPR est de 16 ans, bien que la législation des États membres individuels puisse abaisser l'âge à pas moins de 13 ans.

La personne exerçant la responsabilité parentale doit donner son consentement pour les enfants n'ayant pas atteint l'âge du consentement. Les enfants doivent recevoir un avis de confidentialité adapté à leur âge.

Les données personnelles des enfants sont soumises à des exigences de sécurité renforcées.

Le CCPA interdit de vendre les informations personnelles d'un consommateur de moins de 16 ans sans son consentement.

Les enfants âgés de 13 à 16 ans peuvent directement donner leur consentement. Les enfants de moins de 13 ans ont besoin d'une autorisation parentale.

Le RGPD met l'accent sur la protection spéciale des enfants et prévoit des dispositions spécifiques pour protéger les données personnelles des enfants lorsqu'elles sont traitées pour fournir des services de la société de l'information.

Le CCPA crée une règle spéciale pour les enfants concernant la « vente » d'informations personnelles, mais cette règle ne se limite pas aux services de la société de l'information.