74% des consommateurs dans le monde estiment n'avoir que peu ou pas de contrôle sur leurs données personnelles, selon une étude de Ponemon Institute. Encore plus d'Américains (81%) estiment n'avoir que peu ou pas de contrôle sur leurs données personnelles une fois qu'elles sont partagées avec des entreprises, selon une étude de Wakefield Research.

Les gouvernements du monde entier ont introduit des législations majeures sur la confidentialité des données en réponse aux préoccupations croissantes des consommateurs concernant le partage de leurs informations personnelles. Les plus notables sont le Règlement général sur la protection des données (RGPD) dans l'Union européenne et la California Consumer Privacy Act, telle que modifiée par la California Privacy Rights Act (CPRA), aux États-Unis.

Comprendre comment ces lois se comparent en termes de destinataires, de types d'informations protégées et d'exigences est essentiel pour les organisations en croissance. Nous couvrons tout ce que vous devez savoir sur le CCPA vs le RGPD ci-dessous.

CCPA vs RGPD

La California Consumer Privacy Act (CCPA) est une législation sur la confidentialité des données adoptée en 2018 pour offrir aux résidents de Californie une meilleure vision et un meilleur contrôle sur la façon dont les entreprises collectent et utilisent leurs informations personnelles. Le Règlement général sur la protection des données est une loi adoptée en 2016 par l'Union européenne pour aider à protéger les données tout en offrant aux consommateurs un meilleur aperçu et un meilleur contrôle sur qui peut traiter leurs données personnelles et pourquoi.

Tant le CCPA que le RGPD sont considérés comme deux des lois les plus strictes au monde en matière de confidentialité des données et partagent plusieurs points communs. Cependant, ils ne sont pas interchangeables.

Voici les principales similitudes et différences à connaître.

Date d'entrée en vigueur

Le CCPA est entré en vigueur le 1er janvier 2020. Il a été modifié par le CPRA, une initiative de vote qui a été adoptée en novembre 2020. Le CPRA a modifié le CCPA en mettant à jour les critères de qualification et en ajoutant des droits supplémentaires en matière de confidentialité des consommateurs, entre autres changements. Les dispositions du CPRA prévues dans l'initiative de vote sont entrées en vigueur le 1er janvier 2023. Depuis lors, la California Privacy Protection Agency a finalisé des règlements supplémentaires pour étoffer les nouvelles exigences de la loi le 29 mars 2023. L'application de ces nouveaux règlements ne débutera que le 29 mars 2024.

Le RGPD est entré en vigueur le 25 mai 2018.

Qui est concerné par la législation

Le CCPA s'applique à toute organisation à but lucratif qui collecte les informations personnelles des résidents de Californie et qui répond également à l'un des trois seuils ci-dessous, ainsi qu'à leurs prestataires de services :

• Dépasse 25 millions de dollars de revenus bruts annuels
• Achète, vend, reçoit ou partage à des fins commerciales les informations personnelles de 100 000 consommateurs, ménages ou appareils ou plus
• Gagne 50% ou plus de ses revenus annuels en vendant ou partageant des données personnelles

GDPR s'applique aux responsables du traitement et aux sous-traitants qui traitent les données personnelles des résidents de l'UE. Les responsables du traitement sont des organisations qui décident comment et pourquoi traiter les données personnelles. Les sous-traitants sont des organisations qui traitent les données personnelles pour le compte des responsables du traitement.

Portée

Les deux lois s'appliquent aux entreprises situées en dehors de leurs frontières. Toute organisation qui sert soit les résidents de l'UE, soit les Californiens doit comprendre ses obligations en vertu de ces lois sur la protection des données.

Définition des données personnelles

Le GDPR définit les données personnelles comme toute information relative à une personne identifiable, directement ou indirectement. Les exemples incluent les noms, dates de naissance, numéros de téléphone, numéros de clients, adresses IP, numéros de téléphone ou de carte de crédit, données de localisation ou biométriques.

Le CCPA adopte une approche plus large de la protection des données en définissant les données personnelles comme toute information pouvant être liée à un consommateur, un foyer ou un appareil particulier, directement ou indirectement. Les exemples incluent les noms et adresses, les numéros de sécurité sociale, les historiques d'achats, et les identifiants d'appareils tels que les adresses IP.

Données sensibles

Le GDPR définit une catégorie spéciale de données personnelles soumises à des conditions de traitement spécifiques. Ces données personnelles sensibles peuvent révéler l'origine raciale ou ethnique d'une personne, ses opinions politiques ou son orientation sexuelle, entre autres identifiants, et ne peuvent être traitées que pour des raisons très particulières, comme établir des revendications légales.

En vertu du CCPA, tel qu'amendé par le CPRA, il n'existe pas de catégorie spéciale distincte de données. Cependant, il existe des types de données qui entrent dans la définition des informations personnelles du CCPA qui sont considérées comme des catégories spéciales selon le GDPR. Celles-ci incluent les origines raciales ou ethniques d'une personne ainsi que les numéros de passeport, la géolocalisation précise, les données biométriques, les messages textuels et plus encore. Les organisations doivent permettre aux consommateurs de refuser l'utilisation et la divulgation de leurs informations personnelles sensibles.

Droits des personnes concernées

Le CCPA, tel qu'amendé par le CPRA, et le GDPR accordent des droits similaires aux personnes concernées, comprenant :

• Droit de savoir quelles données personnelles sont collectées
• Droit d'accès aux données personnelles
• Droit de demander la suppression des données personnelles
• Droit de corriger des informations personnelles inexactes qu'une entreprise détient à leur sujet
• Droit à la portabilité des données

Certains de ces droits ne sont que globalement similaires mais présentent des différences. Par exemple, le droit d'accès d'une personne concernée en vertu du CCPA est limité à obtenir une divulgation écrite de ses informations personnelles. Ce droit en vertu du RGPD permet un accès plus large.

D'autres droits des personnes concernées diffèrent sensiblement entre les deux lois. Par exemple, seuls en vertu du CCPA, les personnes concernées ont les droits suivants :

• Droit de refuser la vente des informations personnelles
• Droit de limiter l'utilisation et la divulgation des informations personnelles sensibles
• Droit aux coordonnées pour soumettre des demandes liées aux droits des consommateurs
• Droit à la non-discrimination pour l'exercice des droits des personnes concernées (bien que cela soit implicite dans le RGPD)

Seuls en vertu du RGPD, les personnes concernées ont les droits suivants :

• Droit de restreindre le traitement des données personnelles dans certaines circonstances
• Droit de s'opposer au traitement des données personnelles à des fins particulières, y compris le traitement automatisé et le profilage

Ce qui est requis

En plus de respecter les droits des consommateurs concernant leurs données personnelles, les organisations ont des responsabilités supplémentaires en vertu du CCPA et du RGPD.

En effet, les deux lois exigent que les organisations aient une raison légitime de collecter et de traiter des informations personnelles. En vertu du CCPA, les organisations doivent établir un motif commercial valide pour la collecte et/ou le traitement des données personnelles. En vertu du RGPD, les organisations doivent établir une base légale pour traiter les données et obtenir le consentement explicite des consommateurs.

Les deux lois exigent qu'une organisation mette en place et maintienne des pratiques et des procédures de sécurité raisonnables pour aider à garantir que toute information personnelle collectée soit sécurisée contre une violation de données. Bien qu'aucune ne spécifie quelles mesures de sécurité raisonnables doivent être prises, des exemples incluent le cryptage des données, les pare-feu, les contrôles d'accès, la formation à la sécurité des employés et le maintien d'une politique de confidentialité à jour.

Opt-ins et cookies

Le CCPA a des exigences moins strictes concernant l'opt-in que le RGPD. En vertu du CCPA, les entreprises ne sont tenues d'obtenir un consentement explicite que des utilisateurs de moins de 16 ans. L'opt-in n'est pas requis sauf pour les moins de 16 ans. Les entreprises n'ont pas non plus besoin d'obtenir un consentement explicite pour les cookies qui suivent les données personnelles. Elles doivent seulement fournir une option sur leur site Web pour que les utilisateurs puissent refuser les cookies qui vendent leurs informations personnelles.

En vertu du RGPD, les consommateurs doivent prendre une décision claire et informée pour accepter le traitement des données. Les entreprises ne peuvent pas contraindre les consommateurs à accepter de partager leurs données en leur refusant l'accès aux produits ou services, et elles ne peuvent pas tromper les consommateurs pour qu'ils acceptent en cachant l'option d'opt-in ou en utilisant un langage trompeur.

Les entreprises doivent également obtenir un consentement explicite pour les cookies qui suivent les données personnelles et fournir une option claire pour que les utilisateurs puissent refuser afin de se conformer au RGPD.

Restrictions sur le transfert de données

Le RGPD comprend des dispositions spécifiques pour le transfert de données personnelles en dehors de l'UE ou de l'Espace économique européen (EEE). Dans les cas où les transferts de données sont réalisés, des conditions strictes s'appliquent pour garantir une protection adéquate des données.

Le CCPA, en revanche, ne réglemente pas le transfert d'informations personnelles au-delà des frontières internationales.

Qui applique la loi

La conformité au CCPA est appliquée par le procureur général de Californie. La conformité au RGPD est appliquée par les autorités de protection des données dans les États membres de l'UE.

Sanctions pour non-conformité

Le RGPD et le CCPA sont tous deux des lois strictes sur la protection des données, avec des amendes potentiellement importantes en cas de non-conformité.

Les entreprises qui ne respectent pas les exigences du CCPA peuvent se voir infliger des amendes par le procureur général de Californie, allant jusqu'à 7 500 dollars par violation. Sephora a été condamnée à une amende de 1,2 million de dollars en 2022 pour ne pas avoir informé les consommateurs qu'elle vendait leurs informations personnelles. C'était la première entreprise à être pénalisée en vertu du CCPA.

Les organisations qui violent le RGPD peuvent payer un prix bien plus élevé, en particulier pour les violations intentionnelles.

La non-conformité au RGPD peut entraîner des sanctions financières significatives — des amendes pouvant atteindre 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial de l'entreprise de l'année financière précédente, le montant le plus élevé étant retenu. Amazon a été notoirement condamnée à une amende de 888 millions d'euros en 2021 pour avoir suivi les données des clients sans consentement approprié et Google a payé plusieurs amendes pour violations totalisant plus de 200 millions de dollars.

Soyez conforme au RGPD et au CCPA avec Secureframe

Notre plateforme d'automatisation de la sécurité et de la conformité rend rapide et facile la garantie de votre conformité à la législation sur la confidentialité des données, y compris le RGPD et le CCPA. Accédez à des procédures et politiques vérifiées par des experts en RGPD et CCPA, à une formation exclusive pour la conformité automatique des employés, à des experts internes et à tout ce dont vous avez besoin pour être et rester conforme. Nous restons également à jour sur les dernières réglementations en matière de confidentialité des données pour vous, afin que vous puissiez vous concentrer sur ce qui compte le plus — servir vos clients et développer votre entreprise.

Pour en savoir plus sur nos offres RGPD et CCPA, planifiez une démonstration avec l'un de nos experts produit.