Au lendemain du scandale de « Cambridge Analytica » et de l’entrée en vigueur du Règlement Général sur la Protection des Données européennes (RGPD), l’État de la Sillicon Valley rejoint la position européenne en adoptant le California Consumer Privacy Act, une loi protectrice des données personnelles collectées par les entreprises, qui entrera en vigueur le 1er janvier 2020.

Son adoption a été anticipée face à la menace des citoyens californiens de recourir à une initiative populaire pour l’adoption d’une réglementation rigide en la matière. Le mouvement dirigé par Alastair Mactaggart, un promoteur immobilier américain parvenu à réunir 625 000 signatures en ce sens, a conduit le Parlement californien à l’adoption de la loi. Il convient de rappeler que l’état de Californie prévoit constitutionnellement la possibilité pour une fraction du corps électoral d’initier l’adoption d’une loi ordinaire par référendum en dehors de toute intervention du Parlement.

Ainsi, le California Consumer Privacy Act constitue une réponse du Parlement de l’État de Californie aux citoyens californiens empêchant l’adoption d’une loi référendaire trop strictes qui ne prendrait pas suffisamment en compte les intérêts des entreprises technologiques de la Silicon Valley.

En dépit des millions de dollars versés par les entreprises californiennes aux lobbies (parmi lesquelles figurent Apple et Google), leurs tentatives de blocage de l’adoption de la loi ont été vaines. Ces dernières n’ont d’autre choix que de se contenter d’encourager de futurs amendements sur cette loi qu’ils contestent fortement.

C’est dans ce contexte particulier que la nouvelle loi californienne doit être analysée.

I – California Consumer Privacy Act : la reconnaissance de divers droits aux consommateurs.

D’un point de vue général, les nouvelles dispositions législatives contraignent les entreprises californiennes de toute taille à rendre public le type de données personnelles qu’elles collectent et d’obtenir le consentement des consommateurs pour la vente de leurs données personnelles.

D’un point de vue plus particulier et s’inspirant éventuellement des dispositions européennes, la nouvelle loi californienne confère divers droits à tout citoyen californien parmi lesquels figurent :
 Le droit de connaître les données recueillies par une entreprise sur lui ;
 Le droit de s’opposer à la vente de ses informations personnelles ;
 Le droit de supprimer ses données personnelles ;
 Le droit d’être informé des catégories de données personnelles qui seront recueillies à son sujet avant sa collecte et d’être informé de tout changement à cette collecte ;
 Le consentement obligatoire avant la vente des informations concernant les mineurs ;
 Le droit de connaître les catégories de tiers avec lesquels ses données personnelles sont partagées ;
 Le droit de connaître les catégories de sources d’information auprès desquelles ses données personnelles ont été acquises ;
 Le droit de connaître l’objet commercial de la collecte de ses informations.
-Le droit privé d’action lorsque les entreprises violent vos données, pour s’assurer que ces entreprises gardent vos informations en toute sécurité.

Le RGPD a vocation à s’appliquer à toute organisme traitant des données personnelles d’un résident européen, quel que soit sa taille : son application est donc très large. Inversement, l’application de la loi californienne se limite au dépassement de l’un des trois seuils suivants par l’entreprise ou sa société mère : des revenus annuels bruts de 25 millions de dollars ; des données personnelles concernant 50 000 ou plus résidants californiens ; ou encore 50% ou plus de leur revenu annuel doit provenir de la vente des données personnelles des résidents de la Californie.

Toutefois, tout comme pour le RGPD, de nombreuses mesures devront être mises en œuvre par les entreprises californiennes et internationales pour se conformer à la nouvelle loi californienne, telles que la préparation de cartes de données ou d’enregistrements pour se conformer aux demandes de refus de partages de données ; l’identification de l’âge des citoyens mais aussi une mise à jour des politiques de confidentialité.

En cas de non-conformité de l’entreprise aux nouvelles dispositions californiennes, sa responsabilité est engagée.

Il s’agit d’une responsabilité stricte pouvant donner lieu à la condamnation d’une amende de 7.500 $ en cas de violation intentionnelle et 2.500 $ en cas de violation non-intentionnelle par donnée dévoilée. Petit joueur par rapport au RGPD, peut-être, mais toujours aussi important.

Par ailleurs, la cybersécurité fait également partie des préoccupations de la loi californienne, tout comme pour le RGPD. A ce titre, la loi californienne prévoit que si une entreprise est victime d’un vol ou d’un piratage informatique engendrant une perte des données personnelles qu’elle détient, sa responsabilité est également mise en jeu et peut donner lieu à une indemnisation civile allant de 100 à 175$ par résident californien dont la donnée a été obtenue même en l’absence de préjudice matériel.

II – Violation flagrante du concept du consentement : l’autorisation implicite de « paiements pour la vie privée » ?

Si la loi californienne confère de nouveaux droits aux citoyens californiens, leurs solidités est contestable [1]. D’une part, selon le texte de la loi californienne, les entreprises ne peuvent pas vendre les données collectées mais sont légalement en droit de les « partager » avec d’autres entreprises lorsque l’individu s’est opposé à leur vente.

D’autre part, une lecture croisée de la loi californienne indique que les entreprises sont autorisées à proposer des prix plus élevés pour les individus qui se sont opposés à la vente de leurs données personnelles.

En effet, bien que les nouvelles dispositions légales californiennes empêchent une entreprise de facturer des prix ou des taux différents pour des biens et services selon que l’individu consente ou non au partage de ses données personnelles, une différence de prix ou de qualité est admise si elle est « raisonnablement liée à la valeur fournie au consommateur par les données du consommateur ». [2]

En d’autres termes, la loi admet dans un premier temps que la proposition d’un prix ou d’une qualité de produit différent au consommateur ne consentant pas au traitement de ses données personnelles constitue un obstacle à l’exercice de ses droits - un grand écart par rapport aux dispositions du RGPD sur le consentement qui placent le consentement manifeste libre, spécifique, éclairée et univoque de l’individu au cœur de son approche.

Pourtant, la loi ajoute néanmoins que rien n’empêche une entreprise de procéder à une telle différence de prix si l’absence de consentement de la part du consommateur a des répercussions sur la valeur du bien ou du service. Or, la loi ne donne aucune indication sur l’appréciation de la répercussion d’une donnée sur la valeur d’un bien. Ainsi, toute la difficulté réside dans le fait de savoir à quel moment la collecte d’une donnée personnelle a une répercussion sur la valeur du bien ou du service.

Toutefois, dans le silence de la loi, on peut légitimement croire que la preuve d’une répercussion sur la valeur du bien par le refus d’autoriser la collecte de données personnelle est facile à apporter par l’entreprise étant donné que ces mêmes données sont sources de revenu pour les entreprises lorsqu’elle les vend ou les échange.

Ainsi, si les juges suivent cette interprétation, les entreprises seront donc en mesure de pratiquer une différence de prix et de qualité de produit à chaque fois que l’utilisateur s’oppose à la collecte de ses données par l’entreprise et ceci en toute légalité.

C’est pourquoi, la directrice exécutive d’un groupe de consommateurs californien, le « California Public Interest Research Group », a dénoncé la faiblesse de la loi et son risque d’inconstitutionnalité en affirmant que pour la « première fois, la Californie autorise explicitement les accords de « paiements pour la vie privée lesquels sont en contradiction directe avec nos droits à la vie privée. » [3].

Son indignation a notamment été suivie par Justin Brookman, directeur exécutif d’un autre groupe de consommateurs californien « Consumer Reports » qui a affirmé « qu’en vertu de la Constitution de la Californie, les consommateurs ont un droit inviolable à la vie privée. Les consommateurs ne devraient pas être accusés d’avoir exercé ce droit » [4].

Toutefois, malgré leurs désaccords sur certaines dispositions légales, les deux directeurs ont applaudi l’adoption de la loi dans l’ensemble protectrice.

En revanche, la nouvelle réglementation a fait l’objet de vives contestations par les entreprises technologiques. Robert Callahan, vice-président des affaires gouvernementales de l’Internet Association, a affirmé qu’il était « essentiel que les décideurs travaillent à corriger les conséquences inévitables et négatives de la politique et de la conformité que cet accord de dernière minute créera pour les consommateurs et les entreprises californiennes ». [5].

Néanmoins, on notera le timide encouragement de Facebook sur l’adoption de la loi dont l’opposition aurait été mal venue après le récent scandale du « Cambridge Analytica ».

III – Le retentissement international du RGPD européen.

Tout comme le RGPD, la nouvelle loi californienne bénéficie d’un champ d’application extra-territoriale. Effectivement, elle contraint les entreprises californiennes et mondiales traitant les données des citoyens californiens à se conformer avant 2020, à ses nouvelles dispositions.

Si la Californie s’est fortement inspirée du RGPD, les dispositions de la nouvelle loi s’en écartent légèrement. Tout d’abord, contrairement au RGPD qui laisse aux utilisateurs le choix sur le type d’utilisation de leurs données, la loi californienne autorise les entreprises à collecter les informations qu’elles souhaitent.

Par ailleurs, en cas de violation de la loi californienne, une action civile ne peut être engagée que par le Procureur Général de Californie et uniquement par lui. Cela s’oppose à la possibilité de recours offerte à chaque citoyen européen (la personne concernée) auprès de l’autorité de contrôle (en France, la Commission nationale de l’informatique et des libertés (Cnil)) de chaque État membre, ou bien devant des tribunaux nationaux, par le RGPD.

IV. Conclusion.

Finalement, notre ressenti est le suivant, si l’esprit de la California Consumer Privacy Act est similaire à celui du RGPD, il ne s’agit en rien d’un plagiat. Par conséquent, la distinction entre les deux lois est réelle et les entreprises californiennes et internationales devront prendre les mesures nécessaires pour appliquer le droit californien d’une part et le droit européen d’autre part.

La nouvelle loi n’a pas abordé les chevauchements ou incohérences avec les lois de confidentialité déjà en vigueur en Californie. Ainsi, les nouvelles dispositions du Code civil californien disposent qu’en cas de conflits entre les provisions légales, la loi offrant la plus grande protection de confidentialité aux citoyens doit s’appliquer.

L’avenir de cette loi interroge : amendements de la loi en faveur des entreprises ou effet boule de neige international ?

Il conviendra de souligner qu’aux États-Unis, la protection du droit à la vie privée garantit par la Constitution américaine, n’a jamais occupé la même place que celle acquise en Europe. Malgré les éventuelles faiblesses du California Consumer Privacy Act, son adoption réjouis inévitablement les Pro-Privacy qui se satisfont de disposer de la loi la plus protectrice de la vie privée de l’histoire des États-Unis.

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres