Différence entre CCPA et GDPR ?

Image of Carlo Cilento

Publié le 24 févr. 2023 et modifié le 15 août 2023 par Carlo Cilento

Il se passe beaucoup de choses en ce moment dans le domaine de la protection de la vie privée. Plusieurs pays de l'Union européenne prennent des mesures sévères à l'encontre de services en nuage basés aux États-Unis, tels que Google Analytics, et le mois dernier, l'ONG de défense de la vie privée noyb a remporté un important procès contre Facebook concernant l'utilisation de publicités personnalisées. Il est clair pour tout le monde que la protection de la vie privée occupe de plus en plus le devant de la scène, mais il est difficile de s'y retrouver dans la jungle de la législation sur la protection de la vie privée. C'est pourquoi cet article vise à présenter les différentes législations en matière de protection de la vie privée afin de clarifier les choses.

Nous nous concentrerons plus particulièrement sur la loi californienne sur la protection de la vie privée des consommateurs (Californian Consumer Privacy Act), qui est la loi américaine la plus connue en matière de protection de la vie privée. Il s'agit également d'un texte législatif très important, car de nombreuses grandes entreprises technologiques sont établies en Californie. Nous allons l'examiner et voir comment elle se compare au GDPR de l'UE.

  1. La CCPA
  2. À qui s'applique le CCPA ?
  3. Quelles sont les obligations de votre entreprise en vertu du CCPA ?
  4. Existe-t-il une loi fédérale sur la protection de la vie privée aux États-Unis ?
  5. L'ADPPA est-il un "GDPR light" ?
  6. Comment la CCPA et le GDPR réglementent-ils les cookies ?
  7. Comment la CCPA et le GDPR réglementent-ils les transferts de données ?
  8. Comment fonctionne le consentement dans la CCPA et le GDPR ?
  9. Conclusions
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

La CCPA

Le Californian Consumer Privacy Act(CCPA&aqs=chrome) est une loi californienne. Elle a été adoptée en 2018 et est entrée en vigueur en 2020. Elle confère aux consommateurs certains droits, notamment le droit à l'information, le droit à la suppression de leurs données et le droit à l'opt-out.

La CCPA a été modifiée en 2020 par une autre loi, la California Rights Privacy Act. Cet amendement a introduit de nouveaux droits en matière de protection de la vie privée et a créé l'Agence californienne de protection de la vie privée, qui fera appliquer la CCPA à partir de juillet 2023. La dernière version modifiée est celle à laquelle nous nous référerons tout au long de ce blog.

Pour résumer :

  • la CCPA est une loi californienne sur la protection de la vie privée
  • la CPRA est une autre loi californienne qui modifie la CPPA
  • l'ACPP est l'agence qui appliquera la loi californienne sur la protection de la vie privée à partir de juillet 2023.

En résumé, la Californie n'est pas douée pour choisir des noms. Nous allons maintenant examiner de plus près le CCPA et voir comment il se compare au GDPR.

islands.png

À qui s'applique le CCPA ?

Le CCPA s'applique principalement aux entreprises qui atteignent certains seuils en termes de revenus et de quantité d'informations personnelles traitées. Le CCPA s'applique également à certaines institutions et agences publiques, mais ne s'applique pas aux organisations à but non lucratif.

Il convient de noter que la CCPA s'applique aux entreprises qui font des affaires en Californie, quel que soit leur établissement. Ainsi, une entreprise non américaine peut être amenée à se conformer au CCPA si elle est active sur le marché californien.

Outre les entreprises, le CPPA comprend des règles pour les prestataires de services, les contractants et les tiers.

Quelles sont les obligations de votre entreprise en vertu du CCPA ?

Les entreprises ont plusieurs obligations en vertu du CCPA. Elles doivent fournir des informations sur la manière dont les données sont traitées, effacer ou corriger les données sur demande, limiter la conservation des données et permettre aux consommateurs de s'opposer à la vente et au partage de leurs données. Les consommateurs peuvent également les poursuivre en justice en cas de violation des données.

Existe-t-il une loi fédérale sur la protection de la vie privée aux États-Unis ?

Les États-Unis ne disposent pas d'une loi fédérale globale sur la protection de la vie privée, mais il existe des lois fédérales régissant des domaines spécifiques tels que les données relatives à la santé(HIPAA) et les données relatives aux enfants(COPPA). Une loi fédérale sur la protection de la vie privée est en cours d'élaboration : l'American Data Privacy and Protection Act(ADPPA).

À l'heure actuelle, six États disposent de lois sur la protection de la vie privée. La Californie est l'un d'entre eux, les autres étant le Colorado, le Connecticut, le Nevada, l'Utah et la Virginie. L'interaction entre l'ADPPA et la législation locale en matière de protection de la vie privée est un point litigieux dans les négociations politiques autour de la proposition. Certains États dotés de lois sur la protection de la vie privée ne souhaitent pas que l'ADPPA l'emporte sur leurs propres lois, car ils craignent que cela n'affaiblisse les droits de leurs citoyens en matière de protection de la vie privée. Dans le même temps, certains partisans du projet de loi insistent pour que l'ADPPA l'emporte sur les lois locales afin d'éviter une fragmentation juridique à travers les États-Unis.

L'ADPPA est-il un "GDPR light" ?

Le CCPA a été inspiré à certains égards par le GDPR et est parfois qualifié de "GDPR light". Les deux règlements sont similaires à certains égards :

  • elles ont toutes deux un effet extraterritorial dans certaines circonstances. Cela signifie que les entreprises situées en dehors de la Californie peuvent être amenées à se conformer au CCPA, et les entreprises situées en dehors de l'UE peuvent être amenées à se conformer au GDPR.
  • certains droits en matière de protection de la vie privée sont similaires dans les deux règlements, comme le droit à l'information et le droit à l'effacement. Les deux lois visent à donner aux individus un plus grand contrôle sur leurs données
  • elles prévoient toutes deux une protection spéciale pour les informations sensibles, bien que les définitions de ces dernières soient différentes
  • le GDPR est principalement appliqué par les autorités de protection des données dans chaque État membre de l'UE. À partir de juin 2023, le CCPA sera également appliqué par une autorité de protection des données (le CPPA) ainsi que par le procureur général de Californie.
  • Lanon-conformité peut coûter cher. Les amendes prévues par le GDPR peuvent s'élever à 20 millions d'euros ou à 4 % du chiffre d'affaires annuel mondial d'une entreprise, tandis que les sanctions civiles prévues par le CCPA peuvent atteindre un maximum de 7 500 dollars par infraction individuelle. Pour les entreprises qui traitent de grandes quantités de données à caractère personnel, les chiffres peuvent s'additionner rapidement !

Il existe également des différences importantes :

  • le GDPR a un champ d'application plus large et s'applique à un large éventail de responsables du traitement des données autres que les entreprises. D'autre part, le CCPA est une loi de protection des consommateurs et se concentre principalement sur les entreprises
  • le GDPR est une loi plus longue et plus complexe. Il comprend davantage de règles et un système complet de principes.
  • le GDPR est généralement plus strict. Par exemple, le régime de traitement des données sensibles est plus restrictif.
  • le GDPR protège les droits en matière de données de toutes les personnes de l'Union européenne et de l'Espace économique européen, y compris les citoyens non européens. En revanche, le CCPA ne s'applique qu'aux données des résidents californiens.

Comment la CCPA et le GDPR réglementent-ils les cookies ?

Le CCPA ne réglemente pas spécifiquement les cookies, mais les cookies tiers tombent sous le coup des règles relatives au partage des données. En vertu de la loi, les entreprises doivent informer les utilisateurs et leur fournir une méthode pour se désengager.

Il s'agit d'un cas où la législation européenne en matière de protection de la vie privée est plus stricte : en vertu du GDPR et de la directive "vie privée et communications électroniques", les responsables du traitement doivent recueillir le consentement des utilisateurs par le biais d'un système d'acceptation pour les cookies non essentiels (le bouton d'acceptation sur les bannières de cookies). En outre, contrairement à la CCPA, la législation de l'UE ne fait pas de distinction entre les cookies de première et de tierce partie.

Comment la CCPA et le GDPR réglementent-ils les transferts de données ?

La CCPA ne réglemente pas les transferts de données et ne fixe aucune limite aux transferts de données en dehors de la Californie ou des États-Unis.

Il s'agit là d'une autre différence importante avec le GDPR. Le GDPR comprend un système complexe de règles pour les transferts de données afin de garantir que les données personnelles ne peuvent être transférées qu'en toute sécurité.

En règle générale, une entreprise ne peut transférer des données que sur la base d'un des nombreux mécanismes de conformité. Les plus courants sont les clauses contractuelles types (CCN), qui doivent être mises en œuvre dans un contrat avec le destinataire des données et lui indiquer ce qu'il peut et ne peut pas faire avec les données.

La Commission européenne peut également "donner son feu vert" à un pays en tant que destination sûre pour les données par le biais d'un acte appelé décision d'adéquation. Deux décisions de ce type ont été prises pour les États-Unis, mais elles ont toutes deux été invalidées par la Cour de justice de l'UE dans les arrêts Schrems I et II, en raison des inquiétudes suscitées par la surveillance des données étrangères par les États-Unis.

La surveillance américaine complique également les transferts de données fondés sur les CSC, car ces clauses ne peuvent guère protéger les données européennes. L'arrêt Schrems II a précisé que les entreprises qui envoient des données aux États-Unis doivent compléter les CSC par des garanties supplémentaires, ce qui est très difficile à faire dans la pratique. Ce problème est au cœur des problèmes juridiques posés par Google Analytics en matière de transfert de données et c'est la raison pour laquelle plusieurs autorités européennes chargées de la protection de la vie privée se sont prononcées contre l'utilisation de Google Analytics (nous avons écrit à ce sujet en détail sur notre blog).

Une nouvelle décision d'adéquation pour les États-Unis est à venir, mais elle sera certainement contestée devant la Cour de justice. Les États-Unis ont apporté quelques modifications à leur système de surveillance, mais il est difficile de dire si elles satisferont la Cour. En d'autres termes, Schrems III se profile à l'horizon et il est impossible de savoir comment il se déroulera.

Comment fonctionne le consentement dans la CCPA et le GDPR ?

Dans l'ensemble, la CCPA n'exige pas de consentement préalable pour traiter les données des consommateurs : la loi s'articule principalement autour d'un système d'opt-out. Toutefois, le consentement préalable est nécessaire dans certaines situations.

En vertu du GDPR, un consentement valable est toujours un consentement explicite (opt-in). Mais le consentement n'est qu'une des bases juridiques du traitement des données à caractère personnel. Cela signifie que dans certains cas, les données peuvent être traitées légalement sans consentement. En résumé, le consentement n'est pas toujours nécessaire, mais lorsqu'il l'est, il doit être " opt-in ".

Si vous souhaitez en savoir plus sur les autres bases juridiques prévues par le GDPR, nous avons rédigé un blog sur le sujet.

Conclusions

Le GDPR et le CCPA sont tous deux des lois importantes en matière de protection de la vie privée. Elles ont toutes deux un effet extraterritorial, de sorte que les entreprises doivent se familiariser avec elles ou faire appel à un professionnel pour s'assurer de leur conformité. Le GDPR est un peu plus complexe, et nous faisons de notre mieux pour aborder certaines bases sur ce blog et les rendre digestes.

Il convient de noter que le GDPR et le CCPA ne s'appliquent qu'aux données personnelles. Du point de vue de la conformité, ne pas traiter de données à caractère personnel est une solution miracle pour les deux lois - et pour le droit de la protection de la vie privée en général. Cela n'est pas toujours possible, car il y a des choses que l'on ne peut tout simplement pas faire sans données à caractère personnel.

Heureusement, de plus en plus de solutions respectueuses de la vie privée montrent qu'il est possible de se passer de données personnelles. Par exemple, Simple Analytics est une alternative à Google Analytics qui respecte la vie privée et qui est conforme au GDPR tout en vous permettant d'obtenir les informations dont vous avez besoin sur votre site web.

Les services de cloud computing basés aux États-Unis ont récemment été critiqués pour leur non-conformité au GDPR. Par conséquent, les entreprises qui accordent de l'importance à la protection de la vie privée et qui souhaitent se conformer au règlement recherchent d'autres solutions. Si vous êtes intéressé, vous devriez consulter le site web "European Alternatives". Il vous donne une idée générale des alternatives qui existent dans différentes catégories telles que l'analyse web, le fournisseur d'email, l'hébergeur, etc.

Nous avons créé Simple Analytics car nous croyons en un internet indépendant et convivial pour les visiteurs de sites web. Donc moins de cookies et moins de traçage. Si cela vous parle, n'hésitez pas à essayer Simple Analytics.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours