Mai 7, 2020

RGPD vs CCPA : Les 7 différences à connaître pour votre conformité

Le RGPD a bouleversé le traitement des données à caractère personnel pour les organismes. Sa mise en application, le 25 mai 2018, à fait des émules et plusieurs états s’en sont inspirés pour légiférer sur les données personnelles. Parmis eux, l’état de Californie avec le CCPA (California Consumer Act) entré en vigueur le 1er janvier 2020. Ce texte comporte néanmoins quelques différences avec le RGPD

CCPA et RGPD : Des objectifs voisins avec des différences notables. 

Que vous soyez DPO, Compliance Officer ou Directeur Juridique vous avez certainement été alerté de l’arrivée de ce texte promulgué le 29 juin 2019. Et, si vous travaillez dans un Groupe international, cette double mise en conformité est un beau défi à relever !  

Autant vous le dire tout de suite, la conformité d’un organisme au RGPD n’entraîne pas de facto une conformité au CCPA : il y a des obligations spécifiques à la loi californienne. 

Dans cette vidéo, je reviens sur les 7 grandes différences qui existent entre le RGPD et le CCPA. L’énumération de ces différences vous permettra d’identifier les actions et chantiers à entreprendre au sein de votre organisme. Vous pourrez ainsi envisager sereinement votre conformité vis à vis du CCPA.

CCPA et RGPD, quelles différences ?

1ère différence : Les personnes concernées

Le RGPD vise l’ensemble des personnes physiques se trouvant sur le territoire de l’Union Européenne sans condition de résidence.

Le CCPA se limite uniquement aux consommateurs résidents de Californie.  

2ème différence : Les données concernées

Le CCPA reconnaît comme “Informations personnelles” les données concernant les consommateurs pris individuellement mais également les données des ménages. La portée de la loi Californienne revêt donc une dimension extra-individuelle. Cette dimension n’existe pas dans le RGPD. 

En revanche, contrairement au RGPD, le CCPA exclut explicitement certaines catégories de données dans son champs d’application (données de santé, données publiques, etc).

De même le CCPA n’intègre pas la distinction entre données personnelles sensibles et données personnelles.

3ème différence : Les Organismes concernés

Le CCPA a un champs d’application bien plus étroit que celui du RGPD. 

Le RGPD s’applique aux personnes physique ou morales, organismes publics ou privés, à but lucratif ou non. 

A l’inverse, le CCPA s’applique uniquement aux entreprises à but lucratif remplissant l’un des critères seuils suivants : 

  • Avoir un chiffre annuel brut de plus de 25 millions de dollars
  • Vendre les informations personnelles de plus de 50 000 résidents californiens par an
  • Tirer plus de 50% du chiffre d’affaire annuel de la vente d’informations personnelles de résident californiens.

4ème différence : Le Recueil du Consentement

Contrairement au RGPD, le CCPA n’exige pas un consentement préalable au traitement. Les entreprises peuvent traiter les données de consommateurs californiens comme elles le souhaitent sauf lorsque ces dernières exercent leur droit d’opposition à la vente de leurs données.

Pas de logique d’Opt-in tel qu’on peut le voir avec le régime européen donc. 

Exceptions pour les mineurs de moins 16 ans : Entre 13 et 16 ans, le consentement du mineur est nécessaire pour la vente de leurs données personnelles. Pour les mineurs de moins de 13 ans, l’accord du tuteur légal sera exigé.

5ème différence : Les droits des personnes concernées

Droit d’information 

Dans les deux régimes, les entreprises ont l’obligation de mentionner les catégories de données personnelles traitées. Mais, contrairement au RGPD, le CCPA n’impose de mentionner que les catégories de données personnes traitées au cours des 12 derniers mois.

Droit d’accès et de portabilité

Contrairement au RGPD, les droits d’accès et de portabilité ne portent uniquement sur les informations personnelles recueillies dans les 12 mois qui précèdent la demande.

Droit de suppression.

Sur ce sujet encore, le CCPA et le RGPD diffèrent. Que ce soit dans les méthodes de formulation de la demande ou la nécessité de justifier la demande.

Droit d’opposition

Le RGPD permet aux personnes concernées de faire cesser toute opération de traitement de leurs données personnelles. 

Avec le CCPA, l’état californien a décidé de limiter ce droit uniquement à la vente d’informations personnelles à des tiers. Sur ce sujet, et contrairement au RGPD, le consommateur n’a pas à se justifier : ce droit est absolu. De plus, afin de garantir ce droit, le CCPA exige que les organismes mettent en place sur leur site web un lien spécifique avec pour titre “Ne pas vendre mes informations personnelles” (“Do Not Sell My Personnal Information”)

6ème différence : Les sanctions

Avec l’arrivée du CCPA, les entreprises encourent des sanctions pouvant aller jusqu’à 7 500 $ par violation avec des des dommages et intérêt de 750$ par utilisateur affecté par les violations. A première vue, les montants sont assez faibles face aux sanctions prévues par le RGPD qui peuvent s’élever jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaire annuel mondial. Attention néanmoins, car on peut imaginer qu’avec ce mécanisme les sanctions puissent atteindre des sommes conséquences. 

7ème différence : La vente de données personnelles

Pour le CCPA, les données sont perçues comme des biens immatériels ayant une valeur monétaire. A l’inverse, pour les européens, les droits sur les données personnes sont des droits extra-patrimoniaux et ne sont donc pas considéré comme des biens. 

Conséquence : Le CCPA permet les incitations financières pour obtenir des informations personnelles sur ses consommateurs. Cette possibilité est complètement absente du RGPD. 

Avant de Partir

Nos conseils, sous forme de vidéo ou d’article, s’inscrivent dans la volonté de l’équipe Adequacy d’apporter des réponses concrètes aux questions posées sur la mise en conformité des organismes. N’hésitez donc pas à me solliciter sur les difficultés que vous rencontrez sur ce sujet, soit dans les commentaires soit via LinkedIn

La CJUE invalide le Privacy Shield

La CJUE invalide le Privacy Shield

La Cour de Justice de l'Union Européen invalide la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis En revanche, elle juge que la décision 2010/87 de la Commission relative...