• blogangle-right
  • Liste de contrôle pour la conformité au CPRA : Changements clés et comment les mettre en œuvre dans votre entreprise

Table of Contents

Liste de contrôle pour la conformité au CPRA : Changements clés et comment les mettre en œuvre dans votre entreprise

  • February 29, 2024

Dans le paysage en constante évolution de la vie privée numérique, le California Privacy Rights Act (CPRA) marque une étape importante pour les entreprises et les consommateurs de l'État doré. Adopté pour améliorer et développer les bases posées par le California Consumer Privacy Act (CCPA), le CPRA inaugure une nouvelle ère de normes rigoureuses en matière de protection des données et de droits à la vie privée des consommateurs.

Alors que les entreprises naviguent dans les complexités de la conformité, comprendre les exigences du CPRA devient non seulement une obligation légale, mais aussi un élément crucial pour établir la confiance et la transparence avec les clients.

Ci-dessous, nous expliquons l'essentiel de la conformité au CPRA, offrant un guide complet pour aider les organisations à aligner leurs pratiques avec les dispositions de la loi. Nous couvrirons les aspects clés de la conformité au CPRA, de la compréhension des droits des consommateurs à la mise en œuvre de mesures de protection des données robustes, pour aider votre entreprise à respecter les obligations légales et à embrasser la confidentialité des données comme une valeur essentielle.

Le California Privacy Rights Act expliqué

Le CPRA est une nouvelle législation qui modifie et renforce le CCPA existant afin de donner aux consommateurs californiens une meilleure protection de la vie privée des données. Il a été promulgué le 3 novembre 2020, après avoir été approuvé par les électeurs californiens lors d'un référendum pendant les élections générales.

Le CPRA élargit la définition des informations personnelles établies par le CCPA et crée de nouveaux droits pour les consommateurs, y compris le droit de :

  • Corriger les informations personnelles inexactes
  • Supprimer les informations personnelles
  • Savoir quelles informations personnelles sont collectées et comment elles sont utilisées
  • Refuser la vente de leurs informations personnelles

Si le CCPA accordait déjà aux résidents de Californie des protections de confidentialité des données, pourquoi le CPRA est-il nécessaire et quel est son objectif ? Le CPRA a été adopté pour plusieurs raisons :

  1. Renforcer les droits de confidentialité des consommateurs : Le CPRA offre aux résidents californiens un contrôle encore plus grand sur leurs informations personnelles, comme le droit de corriger les informations inexactes et le droit de limiter l'utilisation des informations personnelles sensibles.
  2. Répondre aux nouveaux défis de la confidentialité : Alors que la technologie et les pratiques de gestion des données évoluent, de nouveaux défis en matière de confidentialité émergent. Le CPRA a été conçu pour répondre à ces défis en mettant à jour et en développant le cadre réglementaire afin de mieux protéger les consommateurs dans un paysage numérique en mutation rapide.
  3. Renforcer l'application : Le CPRA a créé la California Privacy Protection Agency (CPPA), une nouvelle agence de régulation dédiée à l'application des lois sur la confidentialité de l'État. Cette initiative visait à renforcer l'application des droits à la vie privée et à s'assurer que les entreprises se conforment à la loi.
  4. Clarifier et étendre les réglementations : Le CPRA visait également à clarifier certains aspects du CCPA qui étaient ambiguës ou sujets à des interprétations variées. Il comble également les lacunes de la législation qui auraient pu être exploitées au détriment de la confidentialité des consommateurs.
  5. S'aligner sur les normes de confidentialité mondiales : Avec la tendance mondiale vers des protections renforcées de la vie privée, comme le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, le CPRA visait à rapprocher les lois californiennes sur la confidentialité des normes internationales.

Lectures recommandées

Conformité au CCPA : Un guide sur la loi californienne de confidentialité des données telle que modifiée par le CPRA

Quelles entreprises doivent se conformer à la CPRA ?

Comme la CCPA, la CPRA s'applique à toute organisation à but lucratif qui collecte ou traite les informations personnelles des consommateurs californiens. Cela inclut :

  • Les entreprises technologiques, telles que les réseaux sociaux, la technologie publicitaire, la technologie éducative et les services cloud
  • Les entreprises de commerce électronique et les détaillants en ligne
  • Les fintechs et institutions financières telles que les banques et coopératives de crédit
  • Les entreprises de voyage et d'hôtellerie, y compris les hôtels, les compagnies aériennes et les agences de voyage
  • Les services par abonnement tels que les fournisseurs de streaming, les publications en ligne et les programmes d'adhésion
  • Les entreprises immobilières et les plateformes en ligne
  • Les courtiers en données et les agences de marketing qui achètent, vendent ou partagent des informations personnelles

Certaines exemptions existent pour les petites entreprises qui :

  • Ont un chiffre d'affaires annuel de moins de 25 millions de dollars
  • Achètent, vendent ou traitent les informations personnelles de moins de 100 000 consommateurs ou ménages par an
  • Tirent moins de 50 % de leur chiffre d'affaires annuel de la vente ou du partage d'informations personnelles des consommateurs

CPRA vs CCPA vs RGPD : comparaison des réglementations sur la protection des données

CCPA CPRA GDPR
Affects California residents California residents EU residents
Applicable to For-profit businesses that collect California residents' personal information For-profit businesses that collect California residents' personal information Organizations that process the personal data of EU residents
Consumer rights Rights to access, delete, and know about personal information collected, sold, or disclosed; right to opt-out of the sale of personal information Grants additional rights to correct inaccuracies and limit the use of sensitive personal information Rights regarding access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automated decision-making and profiling
Data protection requirements Focus on transparency, accountability, and giving consumers control over their personal information Introduces more specific requirements for risk assessments and cybersecurity audits for high-risk activities and sensitive data Emphasizes data protection by design and requires data controllers and processors to implement appropriate technical and organizational measures to ensure and demonstrate compliance
Data sharing restrictions No specific provisions regarding cross-border data transfers but requires contracts with service providers and third parties to ensure protections extend to data processed on behalf of businesses No specific provisions regarding cross-border data transfers but requires contracts with service providers and third parties to ensure protections extend to data processed on behalf of businesses Imposes strict requirements for transferring personal data outside the EU, ensuring such transfers only occur to countries deemed to provide an adequate level of data protection or through approved mechanisms like Standard Contractual Clauses (SCCs)
Enforcement Enforced by the California Attorney General, with provisions for civil penalties and a limited private right of action for data breaches Establishes the California Privacy Protection Agency (CPPA) for enforcement, expands the private right of action, and introduces administrative fines Enforced by data protection authorities in each EU member state, with provisions for substantial fines up to €20 million or 4% of annual global revenue, whichever is higher

Quels types d'informations personnelles sont protégées par la CPRA ?

Comme la CCPA, la CPRA définit assez largement le terme « informations personnelles ». Cela couvre plusieurs types de données qui pourraient être liées à un consommateur ou un ménage spécifique, de manière directe ou indirecte. Les informations personnelles selon la CPRA comprennent :

Identifiants :

  • Nom ou alias
  • Adresse postale
  • Identifiant personnel unique ou identifiant en ligne
  • Adresse IP
  • Adresse e-mail
  • Nom de compte
  • Numéro de sécurité sociale
  • Numéro de permis de conduire
  • Numéro de passeport

Informations des dossiers clients :

  • Nom
  • Signature
  • Numéro de sécurité sociale
  • Caractéristiques ou description physiques
  • Adresse postale
  • Numéro de téléphone
  • Numéro de passeport
  • Numéro de permis de conduire ou d'identification d'état
  • Numéro de police d'assurance
  • Historique éducatif ou professionnel
  • Numéros de compte bancaire, de carte de crédit et de carte de débit, ou toute autre information financière
  • Informations médicales ou d'assurance santé

Classifications protégées :

  • Race
  • Religion
  • Orientation sexuelle
  • Identité ou expression de genre
  • Âge
  • Handicap

Informations commerciales :

  • Dossiers de propriété personnelle
  • Produits ou services achetés, obtenus ou considérés
  • Historique ou tendances d'achat ou de consommation

Informations sur l'activité sur Internet ou autres réseaux électroniques :

  • Historique de navigation et de recherche
  • Informations concernant les interactions avec un site Web, une application ou une publicité en ligne

Informations biométriques et sensorielles :

  • Empreintes digitales, empreintes faciales et empreintes vocales
  • Scans de l'iris ou de la rétine
  • Frappe, démarche ou autres schémas physiques
  • Données de sommeil, de santé ou d'exercice contenant des informations identifiantes
  • Informations audio, électroniques, visuelles, thermiques, olfactives ou similaires

Données de géolocalisation :

  • Informations de localisation géographique précise sur un individu ou un appareil particulier

Informations sur l'emploi ou l'éducation :

  • Historique professionnel et évaluations de performance
  • Informations personnellement identifiables non accessibles au public comme défini dans la Loi sur les droits à l'éducation de la famille (FERPA)

Inférences tirées :

  • Profils de consommateurs créés pour refléter les préférences, caractéristiques, tendances psychologiques, prédispositions, comportement, attitudes, intelligence, capacités et aptitudes du consommateur

Cette définition expansive des informations personnelles en vertu de la CPRA souligne l'approche large de la loi en matière de protection de la vie privée et des données, obligeant les entreprises à examiner attentivement les données des consommateurs qu'elles collectent, utilisent et partagent pour s'assurer de la conformité avec la loi.

Cependant, toutes les informations des consommateurs ne sont pas considérées comme des informations personnelles protégées par la CPRA et la CCPA. Les catégories de données non considérées comme des informations personnelles comprennent :

  • Informations Disponibles Publiquement : Informations légalement mises à disposition à partir des registres gouvernementaux fédéraux, étatiques ou locaux.
  • Informations Dépersonnalisées, Agrégées ou Anonymisées : Données qui ne peuvent raisonnablement être utilisées pour déduire des informations sur, ou être autrement liées à, un consommateur ou un ménage particulier.
  • Informations Exclues Par D'autres Lois : Certaines informations personnelles sont couvertes par des lois sectorielles sur la confidentialité et ne sont donc pas considérées comme des informations personnelles en vertu de la CPRA. Les exemples incluent :
  • -Informations de santé ou médicales couvertes par la Loi sur la Portabilité et la Responsabilité en matière d'Assurance Maladie (HIPAA) et la Loi de Californie sur la Confidentialité des Informations Médicales (CMIA)
  • -Informations personnelles collectées, traitées, vendues ou divulguées en vertu de la Loi Gramm-Leach-Bliley (GLBA) concernant les institutions et services financiers
  • -Informations personnelles couvertes par la Loi sur le Rapport d'Information Équitable (FCRA)
  • -Informations personnelles collectées, traitées, vendues ou divulguées en vertu de la Loi sur la Protection de la Vie Privée des Conducteurs de 1994

Qu'est-ce qui qualifie comme des informations personnelles sensibles en vertu de la CPRA ?

La CPRA introduit le concept d'"informations personnelles sensibles", qui est considéré comme plus privé et présente un risque plus élevé de causer des dommages s'il est mal utilisé ou divulgué. Cette nouvelle catégorie d'informations personnelles comprend :

  • Permis de conduire, carte d'identité d'État, passeport ou numéro de Sécurité Sociale
  • Compte financier, numéro de carte de débit ou de crédit en combinaison avec tout code de sécurité ou d'accès requis, mot de passe ou identifiants
  • Géolocalisation précise
  • Origine raciale ou ethnique
  • Croyances religieuses ou philosophiques
  • Appartenance syndicale
  • Le contenu des courriels, courriers et messages texte d'un consommateur à moins que l'entreprise ne soit le destinataire prévu de la communication
  • Données génétiques
  • Informations biométriques qui peuvent identifier de manière unique un consommateur
  • Informations personnelles collectées et analysées concernant la santé, la vie sexuelle ou l'orientation sexuelle d'un consommateur

La CPRA confère aux consommateurs de nouveaux droits spécifiquement liés aux informations personnelles sensibles, ainsi que des obligations plus strictes pour les entreprises traitant ce type de données.

Droit de Limiter l'Utilisation et la Divulgation : Les consommateurs ont le droit de diriger les entreprises pour limiter l'utilisation de leurs informations personnelles sensibles uniquement à ces fins nécessaires pour effectuer les services ou fournir les biens demandés par le consommateur. Par exemple, effectuer une transaction, fournir les biens ou services demandés, assurer la sécurité et l'intégrité, et entreprendre des activités pour vérifier ou maintenir la qualité ou la sécurité d'un service ou d'un appareil.

Exigences de Transparence : Les entreprises doivent fournir des divulgations claires aux consommateurs au sujet de leurs droits concernant les informations personnelles sensibles, y compris le droit de limiter leur utilisation.

Limitation des Finalités : Les entreprises doivent limiter leur utilisation des informations personnelles sensibles uniquement à ces fins nécessaires pour effectuer les services ou fournir les biens convenus — à moins qu'elles ne reçoivent le consentement explicite du consommateur pour des utilisations supplémentaires.

Modèle d'Avis de Confidentialité

Téléchargez notre modèle d'avis de confidentialité, modifiez le contenu en fonction de votre utilisation des données, puis publiez l'avis pour respecter les exigences de la CPRA.

Droits des consommateurs en vertu du CPRA

Le CPRA accorde aux consommateurs des droits significatifs concernant leurs informations personnelles. Ces droits s'appuient sur ceux établis par le CCPA et introduisent de nouvelles dispositions pour renforcer la confidentialité des consommateurs.

Voici un aperçu des droits des consommateurs en vertu du CPRA et du CCPA :

Droit de savoir : Les consommateurs ont le droit de savoir : 

  • Quelles informations personnelles sont collectées sur eux
  • Les sources des informations collectées
  • L'objectif de la collecte ou de la vente des informations
  • Les catégories de tiers avec lesquels les informations sont partagées

Droit d'accès : Les consommateurs peuvent demander l'accès aux informations personnelles spécifiques qu'une entreprise a collectées sur eux.

Droit de suppression : Les consommateurs ont le droit de demander la suppression de leurs informations personnelles détenues par une entreprise et, par extension, par les prestataires de services de l'entreprise.

Droit de rectification : Un nouveau droit en vertu du CPRA permet aux consommateurs de corriger les informations personnelles inexactes qu'une entreprise détient sur eux.

Droit de refuser la vente ou le partage : Les consommateurs peuvent refuser la vente ou le partage de leurs informations personnelles. Le CPRA étend ce droit pour inclure le partage d'informations personnelles pour la publicité comportementale croisée.

Droit de limiter l'utilisation et la divulgation des informations personnelles sensibles : Les consommateurs peuvent demander aux entreprises de limiter l'utilisation de leurs informations personnelles sensibles uniquement à ce qui est nécessaire pour effectuer les services ou fournir les biens demandés par le consommateur.

Droit à la portabilité des données : Sur demande, les consommateurs ont le droit de recevoir une copie de leurs informations personnelles dans un format portable et facilement utilisable qui leur permet de transmettre les informations à une autre entité.

Droit à la non-discrimination : Les entreprises ne peuvent pas discriminer les consommateurs pour avoir exercé leurs droits au titre du CPRA, notamment en refusant des biens ou des services, en facturant des prix ou des tarifs différents ou en offrant un niveau ou une qualité de biens ou de services différents.

Droit de refuser la prise de décision automatisée : Le CPRA introduit un droit pour les consommateurs de refuser la prise de décision automatisée, y compris le profilage dans certains contextes.

Droit de restreindre les informations personnelles sensibles : Les consommateurs ont le droit de restreindre l'utilisation de leurs informations personnelles sensibles à des fins autres que celles explicitement autorisées par le CPRA, telles que la réalisation des services ou la fourniture des biens demandés par le consommateur.

Pénalités en cas de non-respect des lois californiennes sur la confidentialité des données

Le CPPA est principalement responsable de l'application du CPRA. Il a le pouvoir d'auditer les entreprises pour vérifier leur conformité, d'enquêter sur d'éventuelles violations et d'imposer des amendes et des pénalités en cas de non-respect. La création du CPPA est un développement significatif dans la réglementation de la confidentialité, car elle est la première agence aux États-Unis dédiée uniquement à la confidentialité des consommateurs.

Bien que le CPPA soit le principal organisme d'application, le procureur général de Californie conserve également l'autorité d'appliquer le CPRA, en particulier dans les cas où des sanctions civiles peuvent être recherchées.

Selon la gravité de la violation, le non-respect du CPRA peut entraîner les pénalités suivantes :

  • Amendes administratives : Le CPPA peut imposer des amendes administratives allant jusqu'à 2 500 USD par violation et jusqu'à 7 500 USD pour chaque violation intentionnelle ou violation impliquant des informations personnelles de mineurs. Ces amendes sont évaluées par violation, ce qui peut représenter des pénalités substantielles pour des problèmes généralisés ou systémiques.
  • Pénalités civiles: En plus des amendes administratives, les entreprises peuvent faire face à des sanctions civiles appliquées par le biais d'une action en justice intentée par le procureur général de Californie. Le potentiel de sanctions civiles ajoute une autre couche de risque financier pour les entreprises non conformes.
  • Droit d'action privé: En cas de violation de données résultant d'un défaut de mise en œuvre et de maintien de procédures et pratiques de sécurité raisonnables par une entreprise, les consommateurs peuvent demander des dommages-intérêts légaux compris entre 100$ et 750$ par consommateur et par incident, ou des dommages réels, selon le montant le plus élevé. Cette disposition permet aux individus d'engager une action en justice indépendamment des activités de l'ACPA ou des activités du procureur général.

Ce que les organisations conformes à la CCPA doivent faire pour se conformer à la CRPA

Si votre organisation est déjà conforme à la CCPA, vous avez établi une base solide pour les pratiques de confidentialité des données. Cependant, étant donné la portée plus large de la CRPA et les pouvoirs d'application de l'ACPA, il est essentiel de répondre de manière proactive aux nouvelles exigences. Pour assurer une conformité totale à la CRPA, vous devrez prendre les mesures suivantes :

  1. Comprendre les améliorations de la CRPA: Familiarisez-vous avec les définitions et concepts étendus de la CRPA, tels que les informations personnelles sensibles, le partage d'informations personnelles et les nouveaux droits des consommateurs.
  2. Former les employés: Fournissez une formation à la confidentialité des données mise à jour aux employés qui traitent des informations personnelles ou des demandes de renseignements des consommateurs sur les pratiques de confidentialité de votre organisation, en veillant à ce qu'ils soient au courant des exigences de la CRPA et savoir comment s'y conformer.
  3. Réviser et mettre à jour l'inventaire des données: Effectuez une révision complète des informations personnelles que votre organisation collecte, traite, stocke et partage. Portez une attention particulière aux informations personnelles sensibles et assurez-vous que la gestion des données répond aux nouvelles exigences plus strictes.
  4. Mettre à jour les avis et politiques de confidentialité: Révisez vos politiques de confidentialité et avis aux consommateurs pour inclure les droits et protections supplémentaires en vertu de la CRPA, tels que le droit de corriger les inexactitudes et le droit de limiter l'utilisation des informations personnelles sensibles. Assurez-vous que vos politiques communiquent clairement aux consommateurs comment exercer leurs droits.
  5. Évaluer et renforcer la sécurité des données: Étant donné le droit d'action privé étendu pour les violations de données, il est important d'évaluer vos mesures de sécurité actuelles pour identifier et combler toute lacune afin de protéger contre l'accès, la divulgation et l'utilisation non autorisés des informations personnelles.
  6. Réviser les contrats avec les fournisseurs et les tiers: Examinez les accords avec les prestataires de services, les sous-traitants et les tiers pour vous assurer qu'ils incluent des termes conformes aux exigences de la CRPA. Cela inclut les obligations de se conformer aux dispositions de la CRPA, de traiter les informations personnelles conformément aux instructions de votre organisation et d'aider à satisfaire les demandes de droits des consommateurs.
  7. Mettre en œuvre des processus pour les nouveaux droits des consommateurs: Développez et mettez en œuvre des processus pour répondre aux droits des consommateurs de corriger leurs informations personnelles et de limiter l'utilisation et la divulgation de leurs informations personnelles sensibles. Cela peut impliquer d'ajuster vos systèmes existants pour traiter les demandes des consommateurs en vertu de la CCPA.
  8. Effectuer des audits internes de conformité réguliers: Auditez périodiquement vos efforts de conformité à la CRPA pour identifier et corriger les lacunes ou faiblesses et assurer une conformité continue à la loi.
  9. Documenter les efforts de conformité: Tenez des registres détaillés de vos activités de conformité, y compris la cartographie des données, les évaluations des risques, les mises à jour de politiques, la formation des employés et le traitement des demandes de droits des consommateurs. Cette documentation peut être cruciale pour démontrer la conformité en cas d'enquêtes ou d'audits réglementaires.

Liste de contrôle de conformité CPRA

Obtenez une liste de contrôle étape par étape pour vous guider dans le processus de conformité au CPRA et au CCPA.

Assurez la conformité à la confidentialité des données avec l'automatisation GRC de Secureframe

L'automatisation change fondamentalement le paysage de la sécurité, de la confidentialité et de la conformité, rendant plus rapide et plus facile la création et le maintien de votre programme de confidentialité des données et en assurant la conformité avec un paysage réglementaire en évolution.

Avec Secureframe, vous pouvez :

  • Mettre en place les bonnes politiques et procédures de confidentialité des données
  • Fournir et suivre la formation des employés
  • Automatiser la collecte des preuves de conformité au CPRA
  • Rester à jour avec les dernières exigences en matière de confidentialité des données

Une plateforme d'automatisation facilite également l'obtention et la preuve de la conformité à plusieurs réglementations sur la confidentialité des données, y compris le RGPD. Au lieu de partir de zéro, un logiciel de conformité peut aider à cartographier ce que vous avez déjà fait pour le CPRA et le CCPA à d'autres réglementations et cadres de sécurité de l'information.

Pour en savoir plus sur les capacités de Secureframe, planifiez une démonstration avec un expert produit aujourd'hui.

Utiliser la confiance pour accélérer la croissance

Demander une démoangle-right
cta-bg

FAQs

En quoi le CPRA est-il différent du CCPA ?

Voici quelques-unes des principales différences entre le CPRA et le CCPA :

  1. Droits supplémentaires pour les consommateurs : Le CPRA introduit de nouveaux droits pour les consommateurs, comme le droit de corriger des informations personnelles inexactes, le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles, et le droit de refuser la prise de décision automatisée.
  2. Obligations plus strictes pour les entreprises : Le CPRA impose des obligations supplémentaires aux entreprises, y compris des exigences liées à la minimisation des données, à la limitation des finalités, et à la protection des informations personnelles sensibles. Il met également à jour les seuils pour que les entreprises soient soumises à la loi, élargissant potentiellement son applicabilité.
  3. Création de la CPPA : Le CPRA crée la California Privacy Protection Agency, un nouvel organisme de réglementation responsable de l'application de la loi, qui remplace le bureau du procureur général de Californie en tant qu'autorité principale d'application.
  4. Extension du champ d'application de l'application et des sanctions : Le CPRA étend le champ d'application de l'application et des sanctions, y compris l'introduction d'amendes administratives pour les violations et l'expansion du droit privé d'action pour inclure les violations impliquant l'adresse e-mail d'un consommateur en combinaison avec un mot de passe ou une question et réponse de sécurité.
  5. Nouvelles exigences pour les fournisseurs de services, les contractants et les tiers : Le CPRA introduit des obligations spécifiques pour les fournisseurs de services, les contractants et les tiers qui traitent des informations personnelles pour le compte des entreprises, y compris des obligations contractuelles et légales directes.

Le CPRA remplace-t-il le CCPA ?

La California Privacy Rights Act (CPRA) est un amendement à la California Consumer Privacy Act (CCPA). Elle ne remplace pas la CCPA mais étend la loi de plusieurs manières significatives. Le CPRA, approuvé par les électeurs californiens en novembre 2020, élargit les droits à la vie privée des consommateurs, introduit de nouvelles exigences réglementaires et établit une nouvelle agence de contrôle, la California Privacy Protection Agency (CPPA).

Quelles entreprises doivent se conformer au CPRA ?

Le CPRA établit des seuils spécifiques pour déterminer quelles entreprises doivent se conformer à ses dispositions. La conformité est requise pour les entreprises qui opèrent en Californie et répondent à l'un des critères suivants :

  • Avoir des revenus annuels bruts supérieurs à 25 millions de dollars
  • L'entreprise achète, vend ou partage les informations personnelles de 100 000 consommateurs ou ménages ou plus
  • L'entreprise tire 50 % ou plus de ses revenus annuels de la vente ou du partage des informations personnelles des consommateurs

Les règlements du CPRA étendent également certaines obligations aux prestataires de services, aux sous-traitants et aux tiers qui traitent des informations personnelles au nom des entreprises couvertes, ainsi qu'aux "joint ventures" et « partenariats » où deux entreprises ou plus répondent conjointement aux critères de seuil. Cela garantit que les protections des consommateurs s'étendent à l'ensemble de l'écosystème de traitement des informations personnelles liées aux services offerts aux résidents de Californie.

Quelle est la différence entre le CPRA et le RGPD ?

Voici quelques-unes des principales différences entre le CPRA et le RGPD :

  1. Portée géographique :
  2. CPRA : S'applique spécifiquement aux entreprises qui collectent les informations personnelles des Californiens et répondent à certains seuils.
  3. RGPD : S'applique à toutes les organisations opérant au sein de l'UE et de l'EEE, ainsi qu'aux organisations en dehors de ces régions qui proposent des biens ou services aux résidents de l'UE, ou surveillent le comportement de ces derniers.
  4. Applicabilité et seuils :
  5. CPRA : Cible les entreprises ayant plus de 25 millions de dollars de revenus bruts annuels, celles qui achètent, vendent ou partagent les informations personnelles de 100 000 consommateurs ou ménages ou plus, ou celles qui tirent 50 % ou plus de leurs revenus annuels de la vente ou du partage des informations personnelles des consommateurs.
  6. RGPD : S'applique largement à toute entité qui traite les données personnelles des résidents de l'UE, quelle que soit la taille de l'organisation ou le volume de données qu'elle traite.
  7. Droits des consommateurs :
  8. CPRA : Renforce les droits introduits par la CCPA, tels que les droits de savoir, de supprimer et de refuser la vente ou le partage des informations personnelles, et introduit de nouveaux droits comme le droit de corriger les informations inexactes et de limiter l'utilisation des données sensibles.
  9. RGPD : Établit des droits complets pour les individus, y compris le droit d'être informé, le droit d'accès, le droit de rectification, le droit à l'effacement ("droit à l'oubli"), le droit de restreindre le traitement, le droit à la portabilité des données, le droit de s'opposer, et les droits relatifs à la prise de décision automatisée et au profilage.
  10. Mesures de protection des données :
  11. CPRA : Introduit des concepts tels que la minimisation des données, la limitation de la finalité et la limitation de la conservation, exigeant des entreprises qu'elles ne collectent que les informations personnelles nécessaires aux fins déclarées au moment de la collecte et qu'elles les conservent uniquement pour la durée nécessaire à ces fins.
  12. RGPD : Met en avant les principes de la protection des données dès la conception et par défaut, obligeant les responsables du traitement et les sous-traitants à mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir et démontrer la conformité, y compris la minimisation des données et l'intégration des garanties nécessaires dans le traitement.
  13. Autorité de Régulation :
  14. CPRA : Établit la California Privacy Protection Agency (CPPA) comme l'autorité de régulation dédiée à l'application de la nouvelle loi.
  15. RGPD : Appliqué par les autorités de protection des données (APD) dans chaque État membre de l'UE, avec des mécanismes de coordination et de cohérence fournis par le Comité Européen de la Protection des Données (CEPD).
  16. Transferts de Données Transfrontaliers :
  17. CPRA : Ne se concentre pas spécifiquement sur les transferts de données transfrontaliers mais exige que les contrats avec des tiers, des fournisseurs de services et des sous-traitants incluent certaines dispositions pour assurer la protection des informations personnelles.
  18. RGPD : Inclut des exigences strictes pour le transfert de données personnelles en dehors de l'UE, garantissant que ces transferts n'ont lieu que vers des pays offrant un niveau de protection adéquat ou par le biais de mécanismes assurant la protection des données transférées, tels que les Clauses Contractuelles Type (CCT) ou les Règles Contraignantes d'Entreprise (BCR).
  19. Application et Pénalités :
  20. CPRA : Implique des amendes pour les violations et prévoit un droit d'action privé pour les consommateurs en cas de violations de données impliquant des informations personnelles non cryptées et non anonymisées.
  21. RGPD : Implique des amendes significatives en cas de non-conformité, allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'exercice financier précédent, le montant le plus élevé étant retenu, et prévoit des demandes d'indemnisation individuelles pour les dommages.