Les entreprises canadiennes face à la nouvelle loi californienne sur la protection des renseignements personnels
Jusqu’à tout récemment, les États-Unis tiraient de l’arrière en matière de protection des renseignements personnels. Grande surprise, le 28 juin dernier, la Californie a adopté le California Consumer Privacy Act (CCPA) qui entrera en vigueur en janvier 2020.
Et comme toutes les nouvelles lois de ce type, elle dépasse les frontières et concerne donc les entreprises canadiennes qui ont des clients en Californie. La bonne nouvelle, c’est que les entreprises qui ne rencontrent aucun des critères ci-dessous ne sont pas concernées pour le moment.
Le CCPA s’applique à toute organisation possédant les informations personnelles de résidents californiens et qui :
A des revenus annuels bruts supérieurs à 25 millions de dollars américains;
ou
- Achète, reçoit, vend ou partage les renseignements personnels de plus de 50 000 résidents californiens;
ou
- Tire 50% ou plus de ses revenus annuels par la vente d’informations de résidents californiens.
COMPARAISON AVEC PIPEDA
La loi californienne ressemble en plusieurs points à la loi canadienne, la Loi sur la protection des renseignements personnels et les documents électroniques (ou PIPEDA en anglais), mais elle s’en distance aussi sur plusieurs autres. La conformité à PIPEDA n’est donc pas suffisante pour être conforme à la CCPA.
Voici les principales différences :
- Droit d’accès : les deux lois contiennent le droit pour les consommateurs d’être informés de l’existence et de l’usage de leurs renseignements personnels et d’avoir accès à ces derniers. Toutefois, contrairement à la loi canadienne, la loi californienne ne prévoit pas d’exception à ce droit qui permettrait à une entreprise de refuser l’accès à un consommateur.
- Droit à l’effacement : en vertu de la loi canadienne, les organisations peuvent conserver les renseignements personnels tant que ceux-ci sont nécessaires aux finalités pour lesquelles ils ont été collectés, ce qui implique le droit pour les consommateur de demander la suppression des informations une fois les finalités remplies. À première vue, la loi californienne offre un droit plus large, soit celui de demander que leurs informations soient supprimées, point. Elle prévoit toutefois plusieurs exceptions assez vagues qui diminue l’étendue du droit et le rendent donc semblable à celui de PIPEDA.
- Droit à la portabilité : contrairement à la loi canadienne, la loi californienne prévoit le droit à la portabilité des données, c’est-à-dire que les consommateurs ont le droit de recevoir leurs informations dans un format structuré, couramment utilisé pour les transmettre à une autre entité, sans interférence de l’entité initiale.
- Consentement : la loi californienne n’accorde pas une grande importance au consentement, contrairement à la loi canadienne qui base la légalité de la collecte sur le consentement, soit implicite (opt-out) ou explicite (opt-in) des consommateurs. La CCPA donne toutefois aux Californiens le droit de «opt-out» de la vente de leurs renseignements personnels. Ce droit oblige donc les organisations à inclure sur leur site web un lien clair menant à un formulaire pour la désinscription à la vente.
- Anti-discrimination : les deux lois prévoient des dispositions interdisant aux organisations d’obliger les consommateurs à consentir à la collecte de leurs informations pour avoir des produits ou services ou pour les avoir à un prix donné. La loi californienne est plus souple car elle permet aux organisations d’offrir des réductions aux individus consentant à la collecte ou à l’usage de leurs informations.
- Requêtes : Si la loi canadienne prévoit que les organisations doivent mettre en place des procédures de plaintes et de requêtes accessibles et faciles à utiliser, la loi californienne prévoit que doivent être disponibles au minimum deux modes de communication, un numéro de téléphone sans frais et un site internet.
DES AMENDES PRÉVUES
Au Canada, le Commissaire à la protection de la vie privée n’a pas le pouvoir d’imposer des amendes pour des contraventions à PIPEDA et les consommateurs ne possèdent pas de droit privé d’action.
La Californie a elle, été beaucoup plus ferme quant à l’application de sa loi. En effet, les consommateurs possèdent un droit privé d’action, c’est-à-dire le droit de poursuivre en recours civil ou collectif une entreprise pour des infractions aux obligations de sécurité, et ce, sans qu’ils aient subi un quelconque préjudice.
La CCPA prévoit également des sanctions allant jusqu’à 7500 US$ par violation.
L’IMPORTANCE D’UN PROGRAMME DE CONFORMITÉ
Si votre entreprise recueille ou possède des renseignements personnels de résidents californiens, vous êtes possiblement sujet à la CCPA, ce qui vous met grandement à risque d’actions civiles de la part de consommateurs, puisque ceux-ci n’ont pas à prouver de dommages pour réclamer des compensations. Et ce, même si vous êtes conformes à la loi canadienne.
Alors qu’Internet vous permet de transiger avec des consommateurs et entreprises partout sur la planète, il devient de plus en plus important de vérifier que vos pratiques de gestion des données et de marketing électronique respectent les exigences réglementaires.
N’hésitez pas à parler avec un conseiller de Certimail pour vérifier si vous êtes touché par cette nouvelle législation.
Leave a Reply
Want to join the discussion?Feel free to contribute!