Connexion

La vigilance est de mise sur le traitement des données personnelles des consommateurs américains

Par Ondine Delauynay

Le procureur californien, Rob Bonta, a annoncé avoir récemment signé un accord avec Sephora visant à mettre fin aux poursuites pour violation du California Consumer Privacy Act (CCPA). L’occasion de s’intéresser à ce texte qui vise à renforcer le droit au respect de la vie privée et la protection du consommateur. Que recouvre-t-il ? Doit-il être compris comme une forme de RGPD américain ? Quelles conséquences pour les groupes français implantés localement ? Alexandra Neri, associée du cabinet Herbert Smith Freehills, répond aux questions de la rédaction.

En juin 2021, le procureur général de Californie a annoncé lancer une opération de contrôle de la mise en conformité des retailers, visant à vérifier s’ils continuaient à vendre les informations personnelles des consommateurs qui signalaient leur refus via le global privacy control (GPC). En enquêtant sur le site web de Sephora, les enquêteurs ont constaté que l’activation du GPC restait sans effet sur la circulation des données vers des sociétés tierces, notamment des fournisseurs de publicité et d’analyse. Ils ont également mis en lumière d’autres infractions au CCPA. Tout d’abord, le groupe n’a pas averti les consommateurs d’avoir vendu ou partagé, dans les 12 derniers mois, des catégories d’informations personnelles sur eux. Il n’a pas non plus affiché un lien, sur son site et dans son application mobile, pour refuser que les informations personnelles soient vendues. Le 25 juin 2021, le procureur général a donc notifié au groupe qu’il se trouvait en violation du CCPA et disposait de 30 jours pour y remédier, avant que sa responsabilité ne soit engagée. Mais aucune correction n’a été mise en oeuvre. Face à l’ampleur des faits allégués, le groupe a souhaité négocier avec le procureur. Il a accepté de payer la somme de 1,2 M$ de pénalités et de se conformer à des mesures correctives, visant à clarifier ses divulgations en ligne et sa politique de confidentialité, à fournir des mécanismes permettant aux consommateurs de refuser la vente d’informations personnelles par le biais du GPC et enfin de conformer les accords de ses fournisseurs de services aux dispositions du CCPA. Des rapports devront en outre être fournis au procureur sur l’ensemble de ces points. J’ajoute que si cet accord met fin aux poursuites de la justice californienne, il n’empêche pas la constitution d’une class action de la part des consommateurs victimes.

Quel est l’objet du CCPA ?

À la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, portant sur la moitié de la population américaine, un projet de loi a été soumis en 2018 aux citoyens californiens par voie pétitionnaire. Le droit californien permet en effet aux citoyens locaux de faire adopter des textes législatifs en recueillant 366 000 signatures. Ce projet de loi, baptisé California Consumer Privacy Act (CCPA), en a obtenu 600 000. Il a donc été adopté par l’assemblée législative et est entré en vigueur le 1er janvier 2020. Le texte protège les droits des consommateurs sur leurs données personnelles. D’abord, et sauf exception légale, ils peuvent demander la suppression des données collectées auprès d’eux. Le droit à l’information avant la collecte des données est également consacré en fournissant aux consommateurs des détails sur les types de données collectées, les finalités poursuivies, l’éventuelle vente de données à des tiers avec un mécanisme d’opt-out et bien sûr les droits dont ils disposent. Une visibilité sur les données et un accès facile à celles-ci est en outre accordé sur une période de 12 mois précédant la demande.

Le CCPA peut-il être qualifié de RGPD californien ?

Il partage, avec le Règlement général sur la protection des données (RGPD), un même objectif : celui de garantir et de protéger les données à caractère personnel des individus. Mais dans le détail, le texte américain est bien moins sévère. D’abord s’agissant de la notion de donnée à caractère personnel. Le CCPA exclut de son champ les données contenues dans un fichier tenu par un organisme public, ainsi que les données médicales et celles des salariés. Contrairement au RGPD qui est fondé sur l’opt-in, le CCPA consacre le principe du opt-out. Par ailleurs, le RGPD s’applique sans distinction à tout organisme public ou privé, alors que le CCPA ne vise pour sa part que les sociétés à but lucratif exerçant une activité dans l’État de Californie, traitant de données de résidents locaux et répondant à certains critères de chiffre d’affaires annuel (> 25 M$ brut), de nombre de consommateurs concernés (> 50 000) et de gains réalisés (+ 50 % du CA annuel grâce à la vente des informations). Le CCPA ne reprend pas non plus le principe d’accountability, ni de privacy by design, ni d’obligation de désigner un DPO ou de tenir un registre de traitements. À l’inverse du RGPD.

Dans quelle mesure le texte californien s’applique-t-il aux groupes français ?

Comme la plupart des textes américains, le CCPA a une portée extraterritoriale. La loi s’applique aux entreprises exerçant leur activité en Californie, mais a priori rien n’empêche une entreprise localisée hors du territoire de se voir appliquer ces dispositions, à condition de rentrer dans le champ des critères édictés ci-dessus.

Sur quels points les groupes français et internationaux doivent-ils être vigilants ?

Le CCPA contraint les entreprises qui collectent, transmettent et vendent des informations personnelles à mettre les informations sur les catégories et les objets de la collecte à la disposition des consommateurs. Elles doivent fournir des informations détaillées, dans le cadre d’une politique de confidentialité, sur les sources, les objectifs commerciaux et les catégories d’informations collectées et la manière dont elles sont vendues ou transférées à des tiers. Il convient par ailleurs de rendre possible l’exercice des droits des consommateurs et d’activer un contrôle permettant aux consommateurs de refuser la vente de leurs données. À noter que certains transferts, notamment ceux vers les fournisseurs d’accès de services, peuvent rester autorisés. S’agissant des mineurs de moins de 16 ans, les entreprises sont tenues à davantage d’attention, notamment par la mise en place d’un mécanisme d’opt-in.

Le CCPA a-t-il vocation à être étendu au niveau fédéral ?

Ce point est très intéressant, car il revient à considérer la position des Gafam sur ces législations. Ces derniers ont longtemps été très réticents à l’adoption de tels textes encadrant les droits des consommateurs, d’abord pour encourager l’e-commerce et la liberté d’entreprendre. Mais ce sont les résidents californiens qui sont à l’origine de l’adoption du CCPA. Et, depuis, d’autres projets de loi étatiques ont été présentés. En 2021, le Colorado et la Virginie ont adopté une loi sur la protection de la vie privée. En 2022, le Connecticut et l’Utah ont fait de même. D’autres États, comme le Massachussetts, le Michigan, le New Jersey, l’Ohio ou encore la Pennsylvanie s’apprêtent à suivre le mouvement. J’ajoute que le CCPA a récemment été modifié. Le California Privacy Rights Act (CPRA) entrera en vigueur le 1er janvier prochain et sera applicable à compter du 1er juillet 2023. Il confère aux consommateurs californiens de nouveaux droits en matière de données et crée une agence de réglementation nationale. Le changement vient donc des États, qui construisent, texte après texte, une protection du consommateur quant à ses données personnelles. Et c’est bien pour éviter un morcellement de législations et de régulations que les Gafam soutiennent une législation fédérale sur les données numériques. Nous pouvons rappeler que le 20 juillet dernier, l’American Data Privacy Act, visant à encadrer la collecte et l’utilisation des données sensibles des consommateurs, a été largement approuvé par le Comité de l’énergie et du commerce et sera donc débattu prochainement. La Federal Trade Commission (FTC) a également publié, le 11 août 2022, une consultation visant à mieux connaître les « pratiques de surveillance commerciale et de sécurité des données qui portent préjudice aux consommateurs ». Ce sont donc des premiers pas vers une loi fédérale, même si la route est encore longue