En matière de protection des données personnelles, le Règlement Général sur la Protection des Données (RGPD) fait la loi en Union européenne. Outre-Atlantique, l’État de Californie dispose depuis 2020 du California Consumer Protection Act (CCPA) pour protéger ses résidents. Bien que d’inspiration similaire, les deux réglementations affichent cependant des distinctions fondamentales. On vous explique les principales différences entre les deux normes.
Qu’est-ce que le RGPD ?
Pour rappel, le Règlement Général sur la Protection des Données (Règlement n° 2016/679 du 27 avril 2016) est la norme européenne de référence en matière de protection des données personnelles. Entré en vigueur le 25 mai 2018, il impose de nombreuses restrictions liées à l’exploitation de données personnelles.
Le RGPD repose sur cinq principes fondateurs :
- Principe de finalité
- Principe de proportionnalité
- Principe de durée de conservation limitée
- Principe de respect du droit des personnes
- Principe de sécurité et confidentialité.
Pour obtenir plus de détails sur cette réglementation ambitieuse, n’hésitez pas à consulter notre article : « Data et RGPD, ce qu’il faut savoir ».
Qu’est-ce que le CCPA ?
Souvent comparé au RGPD, le California Consumer Protection Act vise à encadrer le traitement des données personnelles des citoyens californiens. Initié il y a plusieurs années déjà et finalisé en 2018, le texte est entré en vigueur le 1er janvier 2020. Grâce au CCPA, les résidents californiens bénéficient dorénavant de différents droits :
- Le droit d’en connaître concernant les informations personnelles collectées et leur usage ;
- Le droit d’effacer les informations collectées ;
- Le droit de retrait soit l’option de refuser la vente de leurs données personnelles. Un bouton spécifique « do not sell my personal data » (en français, ne vendez pas mes données personnelles) est d’ailleurs prévu à cet effet ; et
- Le droit à la non-discrimination.
L’adoption du CCPA fut un véritable tour de force. De nombreux piliers de la Silicon Valley ont déployé d’intenses efforts de lobby afin de limiter le champ d’application de la législation. Si certaines concessions ont été faites, l’existence d’un tel texte aux États-Unis reste cependant un grand pas en avant concernant le respect du caractère privé des données personnelles.
Différence entre CCPA et RGPD : données concernées
Les deux réglementations proposent une définition relativement similaire des données à caractère personnel. Néanmoins, le CCPA exclut spécifiquement de son champ d’application les données médicales ainsi que les données collectées par les organismes publics.
Le champ d’application en matière de données du RGPD est donc plus vaste que celui du California Consumer Protection Act.
Différence entre CCPA et RGPD : personnes protégées et consentement
Le CCPA protège uniquement les individus (consommateurs) résidant dans l’État de Californie.
Le RGPD en revanche protège les données personnelles de n’importe quel individu, comme indiqué dans le considérant 14 du Règlement :
« La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. »
Cela signifie qu’en théorie, un individu résidant hors Union européenne peut invoquer la protection du RGPD pour autant, par exemple, qu’une entreprise européenne traite ses données.
Au niveau du consentement, la logique s’avère également fort différente. En vertu du RGPD, l’individu doit consentir préalablement à l’utilisation de ses données. En revanche, le CCPA stipule que l’individu bénéficie d’un droit de retrait qu’il peut exercer. La démarche est donc inverse.
Différence entre RGPD et CCPA : champ d’application
Le Règlement Général sur la Protection des Données s’applique de manière très large, on parle de champ d’application extraterritorial. Il concerne l’ensemble des organismes établi en Union européenne mais également n’importe quel organisme collectant les données de résidents européens. Le caractère lucratif ou non de l’activité n’est pas pertinent dans ce cadre.
Le CCPA s’applique aux entreprises à but lucratif exerçant une activité commerciale en Californie remplissant l’une des conditions suivantes :
- Avoir un chiffre d’affaires annuel supérieur à 25 millions de dollars ;
- Détenir des données personnelles concernant au minimum 50 000 utilisateurs (ménages, individus, etc.) ;
- Ou réaliser au minimum 50% du chiffre d’affaires grâce à la vente de données.
S’il ne fait aucun doute que les entreprises établies en Californie ainsi que les entités liées à de telles entreprises sont concernées, certaines questions se posent concernant les autres entreprises. Bien qu’une controverse juridique existe (par rapport à la notion de « doing business in California »), il semble cependant acquis par la majorité que toute société exploitant les données de résidents californiens et remplissant l’une des conditions susmentionnées devrait se conformer aux prescriptions du CCPA.
Différence entre RGPD et CCPA : sanctions
Au niveau des sanctions potentielles, le RGPD présente un caractère nettement plus strict. Les amendes pour certaines violations peuvent aller jusqu’à 4% du chiffre d’affaires de l’année précédente ou 20 millions d’euros (en fonction du montant le plus élevé).
Le CCPA en revanche prévoit une amende pouvant aller jusqu’à 7500 dollars par infraction mais avec un nombre illimité d’amendes. En revanche, seules les infractions liées à des données collectées au cours des douze derniers mois peuvent faire l’objet de sanctions alors que le RGPD n’impose pas une telle limite temporelle.
Les voies de recours et d’introduction de réclamation divergent également. Les résidents californiens ont d’ailleurs la possibilité d’attaquer directement l’entreprise responsable. Cependant, pour que le CCPA s’applique, il faut qu’une violation soit effectivement constatée par un individu ce qui n’est pas forcément le cas dans le cadre du RGPD.
La protection des données personnelles, un enjeu de taille
Le CCPA ne peut donc en aucun cas être assimilé au RGPD. Cela reviendrait à comparer la Constitution française avec la Constitution américaine. Le California Consumer Protection Act et le Règlement Général sur la Protection des Données affichent des différences concernant les personnes protégées, les organismes qui doivent respecter les obligations, les procédures à respecter et d’autres éléments essentiels.
Au-delà de ces différences fondamentales, il existe plusieurs nuances sujettes à interprétation. De nombreuses subtilités n’ont pu être évoquées dans le cadre de cet article. Nul doute que les cabinets d’avocats et de conseil spécialisés se régaleront dans les prochaines années. Les deux réglementations sont complexes et l’environnement technologique de cesse d’évoluer.
Hormis l’intention, les deux normes ont donc peu de points communs. On ne peut cependant que saluer l’existence de textes visant à protéger les citoyens à l’heure ou nos données personnelles font office de poule aux œufs d’or. La tendance est d’ailleurs mondiale. À l’été 2020, plus de 60 juridictions avaient déjà entériné ou travaillaient sur des réglementations encadrant l’usage des données.
Au niveau de l’entreprise, une politique adéquate concernant l’utilisation des données personnelles commence par une vue d’ensemble des données collectées et de leur traitement. Ryax propose un framework unifié pour l’exploitation des données. Grâce à notre SaaS, le traitement des données est harmonisé au sein de l’entreprise ce qui facilite considérablement la mise en conformité avec les réglementations.
Si vous voulez en savoir plus sur notre logiciel, n’hésitez pas à consulter notre fiche produit ou contacter notre équipe.
La Ryax Team.