La California Consumer Privacy Act (CCPA) a été adoptée pour protéger la confidentialité et la sécurité des données des résidents de Californie.

Les entreprises qui ne sont pas physiquement situées en Californie ou aux États-Unis peuvent toujours tomber dans le champ d'application du CCPA. Cela signifie que les entreprises du monde entier peuvent devoir conformer aux exigences du CCPA.

Il existe cependant des exemptions. Continuez à lire pour savoir quelles organisations et types de données sont exemptés de cette loi sur la confidentialité des données.

Quelles organisations doivent se conformer au CCPA?

Toute organisation à but lucratif qui collecte les informations personnelles des résidents de Californie et répond à l'un des critères suivants doit se conformer au CCPA :

• Dépasse 25 millions de dollars de revenus bruts annuels : Tous les revenus mondiaux comptent pour les 25 millions de dollars, et pas seulement les revenus provenant de Californie. Cela signifie que les organisations nationales et multinationales qui traitent des informations personnelles concernant un petit nombre de résidents de Californie pourraient être soumises à la loi.
• Acheter, vendre, recevoir ou partager à des fins commerciales les informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus : Ce total peut englober le nombre de dossiers d'informations personnelles qu'une organisation a achetés auprès d'un courtier en données, le nombre de visiteurs du site Web qu'elle a eus au cours de la dernière année et/ou le nombre de contacts dans son CRM.
• Gagne 50 % ou plus de ses revenus annuels en vendant des données personnelles: Les revenus liés à la publicité basée sur les centres d'intérêt, comme les annonces de reciblage, comptent pour ce pourcentage.

Exemple

En raison de la portée du CCPA concernant les données personnelles des résidents de Californie, cette législation peut avoir un impact sur les entreprises du monde entier. Cependant, de nombreuses entreprises sous-estiment sa portée.

Examinons un exemple d'entreprise qui doit se conformer au CCPA ci-dessous. Ceci est basé sur un exemple de cas d'application du CCPA publié par le bureau du procureur général de Californie.

Une entreprise qui propose une plateforme de rencontre en ligne est basée au Colorado. Elle vend les informations personnelles de plus de 50 000 utilisateurs qui ont un compte. Ces utilisateurs vivent partout dans le pays, y compris en Californie. Le CCPA s'applique-t-il à cette entreprise ?

Oui, le CCPA s'applique à cette entreprise car elle collecte et vend les informations personnelles de plus de 50 000 consommateurs, dont certains vivent en Californie.

Pourquoi les exemptions du CCPA ont-elles été créées ?

En vertu du CCPA, les définitions des informations personnelles, des entreprises et des consommateurs sont larges. Par exemple, le terme « consommateur » désigne tout résident de Californie, et pas seulement les clients. Cela soulève des questions compliquées, comme celle de savoir si les informations personnelles des employés et des candidats à un emploi sont soumises au CCPA. Si tel était le cas, la gestion de ces informations personnelles augmenterait la charge de conformité pour les entreprises, en particulier celles disposant de ressources limitées.

Afin de répondre à ces complexités, la législature californienne a ajouté des exemptions au CCPA, dont certaines sont temporaires.

En 2019, le CCPA a été amendé pour inclure des exemptions temporaires pour les informations personnelles des employés et les communications B2B. Ces exemptions temporaires ont été prolongées avec l'adoption de la California Privacy Rights Act (CPRA) et doivent actuellement expirer le 1er janvier 2023. Cependant, en février 2022, deux projets de loi ont été introduits pour prolonger la durée des exemptions jusqu'au 1er janvier 2026 ou indéfiniment.

Examinons de plus près quelles entreprises et catégories d'informations personnelles sont exemptées du CCPA.

Quelles entreprises sont exemptées du CCPA ?

Il existe quelques entreprises qui sont totalement exemptées du CCPA tel qu'il est actuellement rédigé, même si elles collectent les informations personnelles des résidents californiens et remplissent l'un des critères décrits ci-dessus. Ces entreprises sont :

• Organisations à but non lucratif : Les organisations à but non lucratif sont exemptées car elles ne relèvent pas de la définition d'une entreprise.
• Agences gouvernementales : Les agences gouvernementales sont exemptées car elles peuvent avoir besoin d'informations personnelles pour des enquêtes, des assignations et des convocations ; droit fédéral, étatique et local ; ou d'autres questions. Le terme agence gouvernementale est large et donc sujet à interprétation. Il engloberait probablement les agences fédérales, étatiques et locales ainsi que les organismes gouvernementaux à tous les niveaux, y compris les écoles publiques.
• Institutions d'assurance, agents et organisations de soutien : Le CCPA exempte certaines entreprises réglementées par d'autres lois. Cela inclut les institutions d'assurance, les agents et les organisations de soutien qui sont soumis à la loi californienne sur la protection des informations d'assurance (IIPPA).

Quels types de données sont exemptés du CCPA ?

En plus des entreprises exemptées, il existe également des catégories d'informations personnelles exemptées. Celles-ci comprennent les catégories suivantes :

Informations liées à l'emploi

Le CCPA inclut une exemption limitée pour les informations personnelles des employés et des candidats à un emploi que les entreprises collectent et utilisent uniquement dans le contexte du rôle de cette personne ou de son ancien rôle. Ainsi, si un consommateur est à la fois employé et client d'une entreprise de commerce électronique, par exemple, toutes les informations personnelles collectées lorsqu'il agit en tant que client sont couvertes par le CCPA.

L'exemption CCPA pour les employés est temporaire et doit actuellement expirer le 1er janvier 2023. Les entreprises se basant sur cette exemption pour se conformer au CCPA doivent planifier en conséquence.

Communications B2B

Certaines informations personnelles collectées lors de transactions avec d'autres entreprises et organisations sont partiellement exemptées de la CCPA. Cela inclut les coordonnées B2B traitées uniquement dans le cadre de la diligence raisonnable ou des transactions où un produit ou service est fourni ou reçu.

L'exemption B2B de la CCPA est une autre exemption temporaire dont l'expiration est fixée au 1er janvier 2023. Les entreprises qui dépendent de cette exemption pour se conformer à la CCPA doivent planifier en conséquence.

Données soumises à d'autres lois américaines

Les entités ci-dessous ne sont pas entièrement exemptées de la CCPA, mais certains types de données qu'elles collectent le sont car elles sont soumises à d'autres lois.

1. Informations financières

La CCPA exempte les informations collectées par les institutions financières et les entreprises de services financiers et soumises à la Gramm-Leach-Bliley Act (GLBA) ou à la California Financial Information Privacy Act (CalFIPA).

2. Informations de santé protégées

La CCPA exempte les informations de santé protégées (PHI) collectées par des entités ou des associés commerciaux couverts et soumises à HIPAA. Elle exempte également les informations médicales soumises à la loi analogue de la Californie, le Confidentiality of Medical Information Act (CMIA).

3. Informations des essais cliniques

La CCPA exempte les informations collectées dans le cadre d'un essai clinique ou d'une autre étude de recherche biomédicale soumise à la Politique fédérale pour la protection des sujets humains, également connue sous le nom de Common Rule.

4. Informations sur les rapports de consommation

La CCPA exempte la collecte, la maintenance, la divulgation, la vente, la communication ou l'utilisation de toute information personnelle soumise à la Fair Credit Reporting Act (FCRA) tant que l'activité est autorisée par la FCRA.

5. Informations sur les conducteurs

La CCPA exempte les données traitées conformément au Driver’s Privacy Protection Act de 1994 (DPPA).

Informations sur les garanties et les rappels

Les informations sur les garanties et les rappels dans n'importe quel secteur sont exemptées de la CCPA.

De plus, les informations sur les véhicules ou les propriétaires retenues ou partagées entre un concessionnaire automobile et le fabricant sont exemptées tant que ces informations sont partagées pour provoquer une réparation couverte par une garantie écrite ou un rappel.

Les informations personnelles collectées et utilisées entièrement en dehors de l'État de Californie

La CCPA ne s'applique pas aux activités qui se déroulent entièrement en dehors de la Californie. Donc, si une entreprise collecte les informations personnelles d'un consommateur lorsqu'ils sont en dehors de la Californie, cela n'est pas soumis à la CCPA. Si leurs informations personnelles sont collectées lorsqu'ils sont en Californie mais ne sont pas vendues, cela n'est pas non plus soumis à la CCPA. Enfin, si aucune partie de la vente des informations personnelles du consommateur n'a lieu en Californie, cela n'est pas soumis à la CCPA.

Cette exemption est probablement la plus difficile à appliquer en pratique puisque la CCPA ne précise pas comment une entreprise est censée déterminer quand un consommateur est en dehors de la Californie.

Comment Secureframe peut éliminer les incertitudes dans la conformité à la CCPA

Comme le RGPD, la CCPA est une loi phare sur la protection des données qui donne aux consommateurs plus de contrôle sur les informations personnelles que les entreprises collectent à leur sujet.

Bien qu'elle ait des répercussions majeures sur la manière dont les entreprises peuvent traiter les données personnelles des résidents californiens, elle ne s'applique pas à toutes les entreprises ni à tous les types d'informations personnelles. Ces exemptions peuvent compliquer la mise en œuvre de la loi pour les entreprises.

C'est là qu'intervient Secureframe. Nous pouvons vous aider à comprendre comment le CCPA impacte votre entreprise et vérifier la conformité. Nous rendons le processus de conformité clair en fournissant des procédures et des politiques validées par des experts du CCPA, une formation CCPA exclusive pour une conformité automatisée des employés, un accès à des experts internes et des mises à jour sur les dernières exigences du CCPA.

Pour avoir une confiance totale dans votre stratégie de conformité CCPA, planifiez une démonstration de notre plateforme dès aujourd'hui.