Vos droits à la vie privée selon le CCPA : guide du consommateur

Le California Consumer Privacy Act (CCPA) représente l'une des lois sur la vie privée les plus importantes aux États-Unis. En l'absence d'une législation fédérale complète sur la vie privée, la Californie est devenue pionnière en matière de protection numérique de la vie privée, d'autres États utilisant le CCPA comme modèle pour leurs propres lois.

Droits des consommateurs selon le CCPA

Le CCPA établit six droits fondamentaux pour les consommateurs, les deux derniers ayant été ajoutés par l'amendement CPRA de 2020 :

Droit de savoir : Les consommateurs peuvent demander des informations sur les données personnelles qu'une entreprise collecte, leurs sources, les finalités de la collecte et avec qui elles sont partagées. Ceci est distinct de l'obligation de l'entreprise de fournir un avis lors de la collecte, qui doit être affiché de manière proactive.

Droit de suppression ou de correction : Les consommateurs peuvent demander l'effacement ou la correction de leurs informations personnelles, avec des exceptions limitées pour les données publiquement disponibles, les informations de crédit et les données nécessaires aux réclamations juridiques. Les entreprises doivent se conformer dans un délai de 90 jours.

Droit de désinscription : Les consommateurs peuvent refuser la vente et le partage de leurs informations personnelles. Les sites web doivent fournir un lien visible « Ne pas vendre ni partager ». La loi couvre explicitement le partage de données avec des plateformes publicitaires à des fins de marketing et de reciblage. Le mécanisme Global Privacy Control (GPC) du navigateur permet des demandes de désinscription automatisées sur tous les sites visités.

Droit de limiter l'utilisation des informations sensibles : Certaines catégories de données -- notamment les identifiants gouvernementaux, la géolocalisation précise, les données de santé, les données génétiques et les informations sur l'orientation sexuelle -- bénéficient d'une protection supplémentaire. Les consommateurs peuvent restreindre les entreprises à n'utiliser ces données que lorsque c'est strictement nécessaire pour fournir les services demandés.

Droit à la non-discrimination : Les entreprises ne peuvent pas pénaliser les consommateurs qui exercent leurs droits CCPA.

Comparaison entre le CCPA et le RGPD

Certains droits du CCPA reflètent des dispositions du RGPD : le droit de savoir, l'effacement et la correction fonctionnent de manière similaire dans les deux cadres. Cependant, les philosophies sous-jacentes diffèrent fondamentalement.

Le CCPA donne aux consommateurs le pouvoir de décider du sort de leurs données via des mécanismes de désinscription. Les entreprises jouissent d'une liberté considérable tant que les consommateurs ne s'y opposent pas activement. Le RGPD adopte l'approche inverse, imposant des exigences strictes en amont aux organisations avant tout traitement de données.

Le modèle d'autonomisation du consommateur a des limites pratiques. Visiter des dizaines de sites web quotidiennement et gérer individuellement les préférences de désinscription pour chacun est irréaliste. Bien que le Global Privacy Control aide, son adoption reste limitée. L'approche du RGPD, qui place la charge de la protection de la vie privée sur les organisations plutôt que sur les individus, offre sans doute une protection plus efficace, bien qu'au prix d'exigences de conformité complexes qui peuvent mettre en difficulté les petites entreprises.

Concernant les données sensibles, l'inclusion par le CCPA de la géolocalisation précise et des identifiants gouvernementaux est particulièrement avant-gardiste. Cependant, les restrictions prescriptives du RGPD sur le traitement des données sensibles sont considérablement plus strictes que le cadre de désinscription du CCPA.