« La majeure partie du travail de préparation en vue de se conformer au RGPD s’applique à la CCPA. Toutefois, on peut être conforme au RGPD sans pour autant être conforme à la CCPA. »
Ces propos figurent dans l’aide en ligne de Shopify.
La plate-forme de commerce électronique note un certain nombre de différences entre les deux textes, destinés à renforcer le contrôle des individus sur leurs données personnelles.
En vigueur depuis le 25 mai 2018, le RGPD s’applique, de manière générale, à toute entité traitant des données de personnes physiques établies dans l’UE.
Entré en application ce 1er janvier 2020, le CCPA (California Consumer Privacy Act) a une portée plus restreinte.
D’une part, il ne s’applique pas aux traitements de données liés à des activités commerciales réalisées intégralement hors de Californie.
De l’autre, il ne vise que les entités répondant à au moins un de ces trois critères :
Le RGPD n’aborde pas ces notions de « ménages » et d’« appareils ».
Il est aussi moins strict sur la question du droit d’information. Ainsi n’impose-t-il pas, par exemple, la mise à disposition d’une ligne téléphonique gratuite pour recueillir les demandes des individus.
Ces derniers ont, comme avec le RGPD, le droit d’exiger la suppression de données qui les concerne.
Ils peuvent aussi s’opposer à leur vente*, sans que cela entraîne une modification de la qualité et/ou du prix du service qui leur est fourni. Sauf si une différence se justifie par « la valeur que les données procurent au consommateur ».
Le CCPA laisse 45 jours pour apporter réponse à une demande. Un historique d’au moins 12 moins devra pouvoir être fourni.
Le texte ouvre par ailleurs – au contraire du RGPD – aux individus la possibilité d’engager des poursuites au civil.
La non-conformité ne peut en revanche être punie. Seules peuvent l’être les violations de données. Ce au cas par cas, avec des amendes d’un montant maximal de 7 500 $. Soit potentiellement bien moins que les sanctions encourues sous le régime du RGPD.
Le CCPA inclut des exceptions, en particulier pour les données médicales et les enquêtes criminelles. Mais aussi pour la détection d’incidents de sécurité, l’amélioration de produits ou encore le contrôle de certaines transactions.
Face à un patchwork de règles sur la protection des données, les grandes entreprises du numérique en appellent à une loi fédérale.
Le législateur étudie actuellement deux propositions dans ce sens. L’une émane des républicains ; l’autre, des démocrates. Les premiers privilégient un texte référent qui aurait priorité sur les lois des États. Les seconds prônent a contrario le principe de subsidiarité.
* La vente est interdite par défaut pour les mineurs de moins de 16 ans, à moins d’avoir leur consentement (ou celui d’un parent ou d’un tuteur pour les moins de 13 ans).
Photo d’illustration © WEBN-TV – licence CC BY-ND 2.0
Une API sans authentification a permis à des tiers de valider les numéros de téléphone…
D'AgentJ à YesWiki, voici les dernières entrées au SILL (Socle interministériel de logiciels libres).
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…