La nouvelle loi californienne sur la vie privée, la CPRA, a été approuvée : Et maintenant ?

Le 3 novembre 2020, les électeurs californiens ont adopté la proposition 24, la loi californienne sur les droits à la vie privée (CPRA), par environ 56-44%. Cette loi modifiera et remplacera la loi californienne sur la protection de la vie privée des consommateurs (CCPA), encore récente, lorsqu’elle entrera en vigueur le 1er janvier 2023.

La loi s’appuie sur le cadre existant de la CCPA, élargit les droits des consommateurs en matière de protection de la vie privée pour mieux s’aligner sur le GDPR de l’UE, impose des obligations supplémentaires aux entreprises et crée la première agence du pays dédiée à la réglementation et à l’application de la vie privée, la California Privacy Protection Agency (CCPA). Ci-dessous, nous avons souligné les points clés que vous devez connaître pour commencer à vous préparer à la CPRA.

Comme c’est souvent le cas avec la vie privée, plus la préparation est précoce, plus la conformité est facile.

Ce que vous devez savoir

Dates clés et changements immédiats

Dates de fonctionnement et d’application : La LRPC dans son ensemble n’entrera pas en vigueur avant le 1er janvier 2023 et ne s’appliquera qu’aux informations recueillies à partir du 1er janvier 2022. La mise en application ne commencera pas avant le 1er juillet 2023. D’ici là, l’ACCP demeurera le régime de protection de la vie privée en vigueur.

Changements immédiats : L’adoption de la loi aura quelques impacts immédiats, notamment :

1. Prolongation de l’exemption pour les employés : Les exemptions pour les données des employés et les données interentreprises sont prolongées jusqu’au 1er janvier 2023.
2. Création de l’Agence californienne de protection de la vie privée (CPPA) : L’agence de surveillance de la vie privée, la CPPA, entre en vigueur immédiatement. Le conseil d’administration de cinq membres de la CPPA doit être nommé dans les 90 jours suivant la promulgation de la loi, ce qui se produit 5 jours après que le secrétaire d’État certifie le vote final.

DISPOSITIONS CLÉS

Changements de définition : Plusieurs changements importants sont apportés aux définitions dans la LRPC, notamment :

Nouvelle sous-catégorie de renseignements personnels  » sensibles  » : La LRPC maintient les onze catégories de renseignements personnels (RP) de la CCPA, mais ajoute la nouvelle sous-catégorie de renseignements personnels  » sensibles  » (RP sensibles). Les consommateurs auront désormais des droits accrus lorsque des IP sensibles sont en cause, notamment un nouveau droit de limiter l’utilisation et la divulgation de ces données. Les IP sensibles comprennent (1) le numéro de sécurité sociale, de permis de conduire, de carte d’identité nationale ou de passeport ; (2) les informations de connexion à un compte avec un mot de passe ; (3) l’emplacement géographique précis d’un consommateur ; (4) l’origine raciale ou ethnique, les croyances religieuses ou l’appartenance à un syndicat ; (5) le contenu du courrier, du courriel ou du texte d’un consommateur, sauf si l’entreprise en est le destinataire ; (6) les informations génétiques du consommateur ; (7) le traitement des informations biométriques pour identifier le consommateur ; (8) les IP analysées concernant la santé d’une personne ; et (9) les IP analysées concernant la vie sexuelle ou l’orientation sexuelle d’un consommateur.

Nouvelle définition de « tiers » : La LRPC ajoute une nouvelle définition de tiers, qui est définie dans la négative pour exclure les fournisseurs de services, les entrepreneurs et toute entreprise avec laquelle le consommateur interagit intentionnellement et qui recueille des informations du consommateur dans le cadre de l’interaction du consommateur avec l’entreprise. Ces exceptions sont particulièrement importantes étant donné le droit nouvellement élargi des consommateurs de refuser le « partage » de leurs informations avec des tiers (discuté ci-dessous)..

Nouvelle définition du (et limitation partielle du) « profilage » : La LRPC ajoute une définition du « profilage » qui désigne « toute forme de traitement automatisé » des IP utilisé « pour analyser ou prédire des aspects des préférences, de la situation économique, des performances professionnelles, de la santé, des intérêts, du comportement, de la localisation, de la fiabilité ou des mouvements d’une personne » Le profilage peut désormais être partiellement limité par les consommateurs grâce au droit de limiter l’utilisation et la divulgation des IP sensibles à des « objectifs commerciaux » spécifiques (discutés ci-dessous), qui excluent le profilage, sauf si le consommateur s’attend raisonnablement à ce que le profilage soit nécessaire pour exécuter les services ou fournir les biens demandés. Cela pourrait avoir des implications importantes sur la façon dont l’intelligence artificielle peut être utilisée et expliquée.

Modifications des obligations des entreprises

Limite la conservation des données et exige la divulgation des périodes de conservation : La CPRA exige que les entreprises informent les consommateurs de la durée pendant laquelle l’entreprise a l’intention de conserver chaque catégorie de PI, y compris les PI sensibles. Si, pour une raison quelconque, il n’est pas possible de spécifier la durée de conservation, l’entreprise doit au moins informer les consommateurs des critères utilisés pour déterminer la période de conservation. En aucun cas, l’entreprise ne peut conserver les IP ou IP sensibles du consommateur plus longtemps que ce qui est raisonnablement nécessaire pour la finalité divulguée pour laquelle elles ont été collectées.

Ajoute un droit de limiter l’utilisation et la divulgation des IP sensibles : Comme indiqué ci-dessus, l’ajout de la sous-catégorie des IP sensibles s’accompagne d’un nouveau droit du consommateur de limiter l’utilisation et la divulgation de cette catégorie d’informations. Ce droit de limiter l’utilisation et la divulgation est déclenché lorsque des IP sensibles sont collectées ou traitées dans le but de déduire des caractéristiques sur le consommateur. Le consommateur peut limiter l’utilisation ou la divulgation de ses IP sensibles à : (1) ce qui est nécessaire pour fournir des services ou des biens, et (2) certains « services commerciaux » limités. Les IP sensibles qui ne sont pas collectées ou traitées dans le but de « déduire » des caractéristiques sur le consommateur seront traitées comme des IP et ne seront pas soumises à cette limitation. Les IP sensibles doivent être divulguées séparément dans l’avis de confidentialité et les consommateurs doivent être informés de leur droit d’accepter de limiter l’utilisation et la divulgation de leurs IP sensibles et avoir la possibilité de l’exercer.

Ajoute un droit de corriger des IP inexactes : La LRPC ajoute un nouveau droit pour le consommateur de corriger des IP inexactes. Les entreprises seront désormais obligées d’ajouter un avis de ce droit aux divulgations de leur politique de confidentialité et de mettre en place des politiques et des procédures pour répondre à ces demandes.

Etend les droits d’exclusion des consommateurs au partage des IP pour la publicité intercontextuelle : En vertu du CCPA, les consommateurs ont le droit d’ordonner aux entreprises de ne pas vendre leurs IP (connu sous le nom de droit d’exclusion de la vente). En vertu de la CPRA, ce droit est étendu pour permettre aux consommateurs d’empêcher les entreprises de « partager » leurs informations avec des tiers. « Partage » dans ce contexte signifie qu’une entreprise partage, divulgue ou loue les IP d’un consommateur à un tiers pour une publicité comportementale intercontextuelle, que ce soit ou non contre de l’argent ou une autre contrepartie de valeur, y compris lorsqu’il n’y a pas d’échange d’argent.  » Publicité intercontextuelle  » signifie cibler la publicité d’un consommateur sur la base des IP obtenues à partir de l’activité du consommateur à travers des entreprises, des sites web, des apps ou des services autres que celui avec lequel le consommateur interagit intentionnellement. À l’instar du droit d’exclusion de la vente dans la LCAP, le droit d’exclusion du partage ne s’étend pas au partage des IP avec les fournisseurs de services et les entrepreneurs.

Etend la disposition de non-discrimination pour inclure la non-rétorsion : La CPRA modifie le droit de non-discrimination des consommateurs pour inclure une interdiction de représailles contre un employé, un candidat à l’emploi ou un entrepreneur indépendant pour avoir exercé l’un de leurs droits en vertu de la loi.

Ajoute des exigences contractuelles pour toutes les personnes qui reçoivent des IP : La CPRA ajoute de nouvelles exigences contractuelles pour toutes les personnes qui reçoivent des IP, y compris la vente et le partage, ainsi que les fournisseurs de services et les entrepreneurs. Le contrat doit désormais :

1. Préciser que les informations sont fournies à des fins limitées et spécifiées;
2. Obliger la personne qui reçoit les informations à se conformer à la CPRA et à « fournir le même niveau de protection de la vie privée que celui requis par » la CPRA ;
3. Donner à l’entreprise le droit de s’assurer que les informations sont transférées « d’une manière compatible avec les obligations de l’entreprise en vertu du présent titre »;
4. Obliger la personne recevant les IP à notifier l’entreprise si elle ne peut plus répondre à ses obligations de la CPRA;
5. Donner à l’entreprise le droit de prendre des mesures pour arrêter et remédier à l’utilisation non autorisée des IP.

Augmentation des droits des enfants

Augmentation des amendes administratives pour les IP des enfants : La LRPC augmente les amendes administratives pour toute violation de la loi impliquant l’IP d’enfants de moins de 16 ans jusqu’à un montant potentiel de 7 500 $ par violation. Sous le régime de la LCAP, cette sanction était réservée aux violations intentionnelles. L’amende maximale de 2 500 $ pour tous les autres actes non intentionnels impliquant des personnes âgées de 16 ans et plus reste la même.

Exigence d’un consentement d’opt-in pour le partage des IP des enfants de moins de 16 ans : Tout comme la CPRA étend le droit des consommateurs de refuser la vente des IP pour inclure le droit de refuser le partage des IP avec des tiers, l’exigence de la CCPA qu’une entreprise obtienne un consentement affirmatif d’opt-in pour vendre les IP des enfants de moins de 16 ans s’étend maintenant aussi au partage des IP des enfants. La CPRA appelle également à l’élaboration de règles pour « établir les spécifications techniques d’un signal de préférence d’opt-out qui permet au consommateur, ou au parent ou tuteur du consommateur, de spécifier que le consommateur est âgé de moins de 13 ans ou d’au moins 13 ans et de moins de 16 ans. »

Nouvelle agence de surveillance de la vie privée, nouvelle élaboration de règles et droit d’action privé étendu

Etablit la nouvelle California Privacy Protection Agency (CPPA) : Comme indiqué ci-dessus, la CPRA crée une nouvelle agence, la CPPA,  » pour mettre en œuvre et faire respecter  » la CCPA et la CPRA (lorsqu’elle entrera en vigueur). La CPPA sera la première agence de protection de la vie privée aux États-Unis consacrée uniquement à la confidentialité des données des consommateurs et aura un large mandat pour enquêter sur les violations possibles de la CPRA, faire appliquer la CPRA par des actions administratives et promulguer des règles.

Requiert une nouvelle réglementation sur l’assurance : La CPRA exige que l’ACPR « examine le code des assurances californien existant » concernant la vie privée des consommateurs, à l’exception des dispositions relatives aux taux et aux prix des assurances. L’ACPR doit déterminer si le Code des assurances offre des protections de la vie privée supérieures à celles de la LRPC et, dans la négative, l’ACPR  » doit  » adopter un règlement qui applique les protections supérieures de la LRPC aux compagnies d’assurance. Le commissaire aux assurances conserve toutefois sa compétence sur les taux et les prix des assurances.

Demande une nouvelle réglementation sur la cybersécurité et la vie privée : L’ACPR doit publier des règlements exigeant que les entreprises  » dont le traitement des renseignements personnels des consommateurs présente un risque important pour la vie privée ou la sécurité des consommateurs  » (1) effectuent un audit de cybersécurité sur une base annuelle et (2) soumettent une évaluation des risques à l’ACPR en ce qui concerne leur traitement des RP.

Etend la portée du droit d’action privé : L’ACPR étend la portée du droit d’action privé en ajoutant une cause d’action pour l’accès et l’exfiltration non autorisés, le vol ou la divulgation d’une adresse électronique en combinaison avec un mot de passe ou une question et une réponse de sécurité qui pourraient permettre l’accès au contenu. Auparavant, le CCPA ne reconnaissait qu’une cause d’action relative aux IP non cryptées ou non expurgées. La CPRA précise également que la mise en œuvre et le maintien de procédures et de pratiques de sécurité raisonnables après la violation ne constituent pas un remède.

Conclusion

La CPRA est un autre exemple de l’évolution rapide du paysage de la vie privée. Mais sous cette volatilité se dessine une tendance claire au renforcement des obligations des entreprises en matière de protection de la vie privée, qui se poursuivra presque certainement à un rythme soutenu, tant aux États-Unis que dans le reste du monde. Dans cet environnement, celles qui se préparent tôt et celles qui maîtrisent la loi et les données dont elles disposent, leur provenance, leur destination et leur durée de conservation, seront les mieux placées pour s’y conformer.