Le CPRA modifie de façon importante depuis le 1er janvier 2034 la loi californienne sur la protection des données à caractère personnel (CCPA) aux Etats-Unis.

En Californie, le California Consumer Privacy Act of 2018 (« CCPA ») (en français, la loi californienne sur la protection de la vie privée des consommateurs) a laissé place au California Privacy Rights Act of 2020 (« CPRA ») (en français, la loi californienne sur les droits à la vie privée) depuis le 1er janvier 2023.

Le CCPA est une loi californienne destinée à renforcer les droits à la vie privée et la protection des personnes citoyennes ou résidentes de l’Etat. Depuis le 1er janvier 2020, les entreprises qui font des affaires en Californie et qui atteignent au moins l’un des 3 seuils d’éligibilité suivants, à savoir :
 un revenu brut annuel de plus de 25 millions de dollars ; ou
 elles achètent, vendent, reçoivent ou partagent annuellement à des fins commerciales des données personnelles d’au moins 50 000 résidents ménages ou appareils situés sur le territoire de l’Etat ; ou
 elles tirent au moins 50% de leurs recettes annuelles de la vente de données personnelles de résidents, ménages ou appareils situés en Californie… ont l’obligation de se conformer au CCPA.

En novembre 2020, le CPRA, aussi appelé la « Proposition 24 », est venu modifier le CCPA dans le sens d’une protection renforcée pour les données à caractère personnel des Californiens. En d’autres termes, le CPRA change et renforce le CCPA.

Notez que le seuil ci-dessus de 50 000 résidents ou ménages californiens a été porté à 100 000 depuis le 1er janvier 2023.

Afin de se mettre en conformité avec leurs nouvelles obligations en Californie, les entreprises concernées par au moins l’un des seuils précités, doivent mettre en place un certain nombre de mesures, que l’on vous présente ci-dessous.

 Concernant les droits des personnes concernées.

Le CPRA introduit deux nouveaux droits pour les personnes concernées : le droit de rectification et le droit de consentir au traitement de données sensibles, nouvelle catégorie de donnée personnelle au sens de la loi.

Les entreprises doivent donc être en mesure de permettre aux personnes concernées d’exercer, en plus des droits déjà existants dans le CCPA, ces deux droits.

 Concernant les mécanismes de limitation de ventes, partages et utilisation des données personnelles et des données sensibles.

La plupart des entreprises qui vendent ou partagent des données personnelles ou qui utilisent ou divulguent des données sensibles doivent, depuis le 1er janvier, fournir un lien clair et visible sur leur page web avec comme titre « Do Not Sell or Share My Personal Information » (en français, ne pas vendre ni partager mes données personnelles) afin de permettre aux personnes et ménages concernés de s’opposer à la vente ou au partage de leurs données personnelles. Notez que le CCPA imposait déjà la mise à disposition d’un formulaire de non-consentement intitulé « Do Not Sell My Personal Information ».

En outre, la personne ou le ménage concerné(e) doit désormais pouvoir cliquer sur un lien clair et visible ayant comme titre « Limit the Use of My Sensitive Personal Information » (en français, limiter l’utilisation de mes données sensibles).

 Concernant la durée de conservation des données.

Désormais, une entreprise collectant des données personnelles est interdite de conserver les données des personnes concernées pour une période allant au-delà de la durée nécessaire à la réalisation de l’objectif.

Contrairement au CCPA, le CPRA exige que les entreprises informent la personne ou ménage de la durée de conservation de leurs données pour chaque catégorie de données traitées. S’il n’est pas possible d’établir une durée précise, l’entreprise devra indiquer les critère utilisés permettant d’établir la durée de conservation.

Ainsi, avec le CPRA, les entreprises ne peuvent plus conserver des données personnelles de personnes ou ménages résidents de l’Etat pour des durées indéterminées sans justification ou sans en informer la personne ou le ménage concerné(e).

 Concernant la protection des données sensibles.

Avec le CPRA, les données dites « sensibles » seront protégées (ce qui n’était pas le cas avec le CCPA). De ce fait, la personne concernée pourra limiter l’utilisation et le partage de ses données sensibles.

Les données sensibles prévues par le CPRA sont les suivantes :
 Pièce d’identité délivrée par une autorité fédérale, provinciale ou territoriale, ou par un gouvernement d’État, le numéro de sécurité sociale ou permis de conduire ;
 Données bancaires (identifiant et mot de passe d’un compte bancaire, carte de débit, ou numéro de carte de crédit combiné à un code d’accès, mot de passe, ou identifiants permettant d’accéder à un compte) ;
 Géolocalisation précise d’une personne ou ménage ;
 Origine raciale ou ethnique, croyance religieuse ou philosophique ou appartenance syndicale ;
 Contenus de communication privée (à moins que l’entreprise ne soit la destinataire directe de la communication) ;
 Données génétiques ;
 Traitement d’informations biométriques dans le but d’identifier de manière unique une personne ;
 Données de santé ; ou
 Orientation sexuelle.

 Concernant la mise en œuvre d’une analyse de risque.

Le nouveau droit d’opposition aux traitements des données sensibles donne lieu à une nouvelle obligation pour les entreprises : celle de réaliser des analyses de risque, à l’instar de l’analyse d’impact du RGPD. Cette analyse permet de prévoir un traitement conforme au CPRA et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

 Concernant l’utilisation des données personnelles de mineurs.

Le CPRA renforce des droits en matière de confidentialité des personnes concernées et notamment s’agissant des mineurs (16 ans ou moins). Même si la protection des mineurs était déjà à l’ordre du jour du CCPA, le CPRA apporte une protection supplémentaire. Ainsi, si le CCPA impose aux entreprises d’obtenir le consentement d’un mineur pour revendre ses données, depuis le 1er janvier, les entreprises devront observer un délai de 12 mois pour obtenir un consentement à la vente et au partage à la suite d’un premier refus.

 Concernant la création d’une autorité de protection des données.

La California Privacy Protection Agency (CPPA), création du CPRA, est chargée de veiller au respect du CPRA par les entreprises. Il s’agit là de la première autorité de régulation dédiée à la protection des données personnelles aux Etats-Unis.

En conclusion, le CPRA réintroduit un certain nombre des dispositions plus protectrices de la vie privée qui faisaient partie de la Ballot Initiative qu’Alastair Mactaggart, son sponsor, avait souhaité faire passer mais que le processus législatif en Californie avait supprimées du texte finalement adopté sous la dénomination de CCPA.

Cette fois-ci le texte est bien resté une proposition des citoyens de l’Etat, et adoptée comme telle sans passer par la voie de l’amendement constitutionnel, et le CPRA introduit des protections plus étendues pour les résidents de l’Etat s’agissant de leurs données à caractère personnel.

Stéphane Grynwajc Avocat aux barreaux de Paris, de New-York, et du Québec Solicitor (England and Wales) Cabinet S. Grynwajc www.transatlantic-lawyer.com/fr [->stephane@avocat-transatlantique.com]