CCPA Vs GDPR - En Quoi Ces Cadres Juridiques Diffèrent

Le règlement général sur la protection des données (GDPR) et le California Consumer Privacy Act (CCPA) sont deux réglementations sur la confidentialité des données qui dictent la manière dont les entreprises collectent, traitent et partagent les informations privées des utilisateurs. Bien qu’ils servent le même objectif, le RGPD et le CCPA garantissent la confidentialité des données différemment et obligent les entreprises à s’adapter de différentes manières.

Cet article explique  les principales différences entre le RGPD et le CCPA . Lisez la suite pour savoir ce qui distingue ces lois, où elles se chevauchent et comment se conformer aux deux réglementations.

RGPD Vs CCPA : Les Principales Différences

Le RGPD et le CCPA protègent tous deux les données personnelles, mais les deux lois diffèrent dans de nombreux domaines, notamment :

  • Portée territoriale.
  • Application du règlement.
  • La nature et l’étendue des restrictions de traitement.
  • Pénalités et amendes.
  • Les droits des propriétaires de données.

Le tableau ci-dessous présente les principales différences entre le RGPD et le CCPA :

Si une organisation est conforme au RGPD, cela ne la rend pas conforme au CCPA et vice versa. Le CCPA et le RGPD réglementent tous deux le traitement en ligne des données personnelles, mais ils le font différemment.

Qu’est-ce Que Le RGPD ?

Le Règlement général sur la protection des données (RGPD) est la loi sur la protection des données la plus complète au monde. Ce règlement contrôle la manière dont les organisations traitent les données personnelles dans les 27 États membres de l’Union européenne (UE).

Le GDPR permet aux propriétaires de données privées ( personnes concernées ) de dicter la manière dont les entreprises traitent leurs informations. Le RGPD définit le traitement comme toute forme de collecte, d’enregistrement, d’organisation, de structuration, de stockage, de modification ou de destruction de données personnelles.

Le statut de personne concernée ne s’applique pas uniquement aux citoyens de l’UE. Selon le RGPD, toute personne au sein de l’UE au moment du traitement des données est une personne concernée.

Ce règlement accorde de nombreux avantages aux personnes concernées, notamment le droit de :

  • Savoir comment les organisations utilisent leurs informations personnelles.
  • Accéder à leurs informations personnelles en possession de toute entreprise.
  • Apporter des modifications aux données personnelles.
  • Demander la suppression de leurs données privées.
  • Restreindre et s’opposer aux activités de traitement.
  • Transférer des données entre différentes organisations.

Pour traiter toute forme de données personnelles, une organisation doit recevoir le consentement de la personne concernée. L’autorisation n’est valable que si la demande est claire sur le but, l’étendue et la durée du traitement des données.

Le RGPD ne protège que les personnes physiques et ne s’applique pas aux personnes morales.

Qui Est Réglementé Par Le RGPD ?

Le RGPD s’applique à toutes les entreprises, organisations et sites Web qui offrent des services ou surveillent le comportement des personnes au sein de l’UE. Ce règlement n’a aucune restriction géographique et concerne toutes les entités qui collectent des données auprès de clients de l’UE.

Le RGPD reconnaît deux types d’entreprises qui doivent respecter les règles de confidentialité des données :

  • Responsables du traitement : Ces sociétés déterminent les moyens et les finalités du traitement des données.
  • Processeurs de données : ces entités traitent les informations personnelles pour le compte des contrôleurs de données.

Chaque État de l’UE dispose d’une autorité nationale de protection des données chargée de :

  • Réalisation d’audits d’entreprises et de leurs mesures de confidentialité des données.
  • Sensibilisation au RGPD et à la confidentialité des données.
  • Offrir des conseils aux entreprises qui souhaitent se mettre en conformité.

Le non-respect de la réglementation peut entraîner des sanctions pécuniaires pouvant atteindre 4 % du chiffre d’affaires annuel d’une entreprise ou 20 millions d’euros. Les autorités peuvent également sanctionner le non-respect en interdisant certains types de traitement et en ordonnant aux entreprises d’effacer les données. La nature et la gravité de l’infraction déterminent l’étendue de la peine.

Le GDPR n’est pas applicable dans les domaines de l’application de la loi et de la sécurité nationale. Cependant, les entreprises offrant des services aux forces de l’ordre ou aux agences de sécurité doivent se conformer à la réglementation.

Quelles Données Sont Couvertes Par Le RGPD ?

Le RGPD couvre les informations personnelles qui se rapportent directement ou indirectement à une personne identifiée ou identifiable au sein de l’UE. Certains types de données protégés par le RGPD sont :

  • Des noms.
  • Dates de naissance.
  • Adresses mail.
  • Adresses du domicile (rue, code postal, code postal, ville).
  • Les numéros de téléphone.
  • Photos.
  • Comptes bancaires.
  • Numéros de carte de crédit.

Le RGPD ne couvre pas :

  • Le traitement de données anonymes ne révélant pas les identités.
  • Données des personnes concernées décédées.
  • Tout traitement de données effectué au niveau personnel ou domestique.

Le RGPD comprend des données accessibles au public. Si un responsable du traitement ou un sous-traitant collecte des données personnelles auprès d’une source publique, l’entreprise est soumise au RGPD.

Pour se mettre en conformité avec le RGPD, une entreprise doit mettre en place des mesures de protection techniques et organisationnelles. Une organisation doit protéger les données qu’elle collecte et traite, et le RGPD tient les entreprises responsables en cas de violation de données.

Que Faut-il Pour être Conforme Au RGPD ?

La conformité au RGPD commence par le mappage des données. Documentez la façon dont les données circulent dans votre entreprise pour identifier les domaines qui pourraient causer des problèmes de confidentialité.

Une fois que vous savez comment votre entreprise traite les données privées, examinez et mettez à jour votre politique de confidentialité. Les utilisateurs lisent la politique pour vérifier la conformité au RGPD, utilisez donc cette page pour communiquer :

  • La base juridique du traitement des données.
  • Périodes de conservation des données.
  • Droits des visiteurs dans le cadre du RGPD.

Toutes les informations contenues dans la politique de confidentialité doivent être concises et faciles à comprendre pour se conformer à la réglementation.

Ensuite, ajustez tous les formulaires que vous utilisez sur votre site Web. Le GDPR insiste sur le fait que toutes les personnes concernées consentent au traitement des données, alors assurez-vous que les visiteurs acceptent avant de commencer à collecter des données. Informez également les utilisateurs sur la finalité des cookies et traceurs.

Assurez-vous que les employés connaissent l’importance de la protection des données et des règles du RGPD. Former le personnel sur les principes de base de la réglementation et les procédures nécessaires.

Certaines organisations doivent embaucher ou promouvoir un délégué à la protection des données (DPD) pour se conformer au RGPD. Les organisations qui ont besoin d’un DPO sont :

  • Autorités publiques.
  • Entités qui effectuent un suivi régulier des personnes concernées à grande échelle.
  • Les entreprises qui traitent des données personnelles sensibles à grande échelle (race, origine ethnique, religion, histoire politique, histoire médicale, sexualité, histoire financière, etc.).

Un DPO est également utile pour conserver les enregistrements des activités de traitement, ce qui est une autre exigence du RGPD.

Rappelons que l’autorité de tutelle locale aide les entreprises à se mettre en conformité avec le RGPD. Planifiez des audits réguliers des contrôles de traitement et de sécurité dans votre organisation et prenez des mesures pour vous conformer.

Notre article sur le Règlement général sur la protection des donnéesu propose une analyse approfondie de la manière de se conformer au RGPD.

Qu’est-ce Que Le CCPA ?

California Consumer Privacy Act (CCPA) est une loi qui garantit le droit à la vie privée des citoyens de Californie, aux États-Unis. Le CCPA est la première législation importante sur la protection de la vie privée à l’échelle de l’État aux États-Unis.

Le CCPA protège les consommateurs , personnes physiques résidant en Californie. La définition d’un consommateur CCPA est la suivante :

  • Une personne qui se trouve en Californie à des fins autres que temporaires ou transitoires.
  • Une personne qui réside en Californie mais se trouve en dehors de l’État à des fins temporaires ou transitoires.

Les consommateurs ont le droit de :

  • Savoir quelles données personnelles une entreprise possède.
  • Savoir si une entreprise vend ses informations privées.
  • Empêcher une entreprise de vendre ses données privées.
  • Déplacez les données entre différentes entités.
  • Demander la suppression des données.
  • Demandez une copie de leurs données.
  • Bénéficiez des mêmes services et prix, qu’ils exercent ou non leurs droits CCPA.

Les obligations du CCPA s’appliquent à la collecte et à la vente d’informations personnelles :

  • La collecte comprend l’achat, la location, la collecte, la réception ou l’accès aux données personnelles directement auprès du consommateur ou indirectement.
  • La vente comprend la location, la divulgation ou la communication d’informations personnelles à des fins monétaires.

Selon le CCPA, une entreprise n’a pas besoin du consentement préalable d’un utilisateur pour traiter des données personnelles. Cependant, les consommateurs se réservent le droit de refuser les ventes de données.

Comme le RGPD, le CCPA ne protège pas les personnes morales.

Qui Est Réglementé Par Le CCPA ?

Le CCPA s’applique aux entreprises qui collectent, vendent ou divulguent les données personnelles des résidents de Californie. Le règlement ne s’étend pas aux activités non commerciales.

Le CCPA ne s’applique qu’à une organisation qui :

  • Est une entreprise à but lucratif.
  • Collecte les données personnelles des consommateurs.
  • Détermine les finalités et les moyens du traitement des données.
  • Fait des affaires en Californie.

De plus, une entreprise doit respecter l’un des seuils suivants pour tomber sous le coup de la CCPA :

  • Revenu brut annuel de plus de millions.
  • Chaque année, achète, acquiert, vend ou partage les données personnelles de plus de 50 000 consommateurs, foyers ou appareils.
  • Gagne 50% ou plus de ses revenus annuels de la vente d’informations personnelles.

Le CCPA s’applique également à toute entité ou organisation qui contrôle ou est contrôlée par l’entreprise. Toute entreprise qui partage la même image de marque avec une entreprise couverte (nom, marque de service ou marque commerciale) est également soumise au CCPA.

Comme le GDPR, le CCPA ne s’étend pas aux domaines de l’application de la loi et de la sécurité nationale.

La responsabilité de l’application du CCPA appartient au procureur général de Californie. Les sanctions pour non-respect de la loi vont des violations accidentelles aux violations intentionnelles.

Quelles Données Sont Couvertes Par Le CCPA ?

Le CCPA protège les informations personnelles qui se rapportent directement ou indirectement à un consommateur, un foyer ou un appareil spécifique. Exemples de données couvertes par le CCPA :

  • Informations démographiques (nom, adresse, e-mail, etc.).
  • Un identifiant unique (adresses IP, identifiants d’appareils, géolocalisation, etc.)
  • Données sur l’emploi et l’éducation.
  • Numéros de compte et de sécurité sociale.
  • Permis de conduire.
  • Registres des biens personnels.
  • Activité en ligne.
  • Données biométriques.
  • Enregistrements audio.

Le CCPA ne s’applique pas à la collecte et au partage de certains types de données personnelles, telles que :

  • Informations médicales et de santé en vertu d’autres cadres juridiques américains (The Confidentiality of Medical Information Act et The Health Insurance Portability and Accountability Act).
  • Données personnelles pour les essais cliniques.
  • Données personnelles des agences de renseignements sur les consommateurs.
  • Informations en vertu de la Loi sur la protection de la vie privée des conducteurs.
  • Données personnelles transmises par les agences d’évaluation du crédit.
  • Informations en vertu de la loi Gramm-Leach-Bliley.

Utilisez notre liste de contrôle de conformité HIPPA pour vous assurer que votre entreprise collecte et stocke en toute sécurité les données de santé des patients.

Le CCPA ne couvre pas les données accessibles au public. Le traitement des informations provenant des dossiers du gouvernement fédéral, étatique ou local est sûr si l’utilisation des données est conforme à l’objectif de partage.

Le CCPA exclut également certaines activités de traitement de sa définition de « vente », notamment :

  • Lorsqu’un consommateur utilise ou demande à une entreprise de partager des données personnelles avec un tiers.
  • Lorsqu’une entreprise partage des données personnelles avec un fournisseur de services pour atteindre un «objectif commercial» nécessaire.
  • Lorsqu’une entreprise transfère des données personnelles à un tiers dans le cadre d’une fusion, d’une acquisition ou d’une faillite.

Le CCPA ne couvre pas le traitement des informations anonymes des consommateurs. Les données « anonymisées » n’ont pas d’identités individuelles ou d’indicateurs d’une personne, d’un foyer ou d’un appareil en particulier. Cependant, les entreprises qui collectent des données anonymisées doivent mettre en place des mesures techniques pour empêcher la réidentification.

Que Faut-il Pour être Conforme Au CCPA ?

Commencez par cartographier toutes les données personnelles circulant dans votre organisation. Répondre aux questions suivantes:

  • Quelles données personnelles collectez-vous et possédez-vous ?
  • Comment collectez-vous les informations sur les consommateurs ?
  • Où et comment stockez-vous les données privées ?
  • Partagez-vous des données sensibles avec d’autres entreprises ?

Ensuite, mettez à jour vos informations de confidentialité. Faites savoir aux consommateurs quelles données personnelles vous collectez et dans quel but. Selon le CCPA, une entreprise doit fournir une divulgation « au point de collecte ou avant ».

Le CCPA exige également que les entreprises ajoutent un lien de confidentialité sur la page d’accueil avec le titre « Ne vendez pas mes informations ». Le lien doit mener à une page permettant aux consommateurs de refuser la vente de leurs données.

Vous devez également vous assurer que votre équipe peut répondre aux demandes des consommateurs, telles que :

  • Envoi d’une copie de leurs données.
  • Suppression de leurs informations personnelles.
  • Expliquer quelles catégories de leurs données vous vendez.
  • Demander de refuser la vente de données personnelles.

Assurez-vous que le personnel a une formation adéquate pour savoir comment diriger et traiter les demandes des clients.

Le RGPD Couvre-t-il Le CCPA ?

Si une entreprise opère en Californie et collecte des données auprès des visiteurs de l’UE, l’entreprise est soumise au RGPD. Cependant, en raison des différences entre les deux lois, cette entreprise devra également rendre compte du CCPA si elle collecte des informations locales.

En tant que deux lois distinctes, le RGPD n’inclut pas les règles du CCPA. Toute organisation relevant du champ d’application de ces deux réglementations doit se conformer à la fois au RGPD et au CCPA.

Deux Réglementations Complètement Différentes Sur La Confidentialité Des Données

Le RGPD et le CCPA créent des cadres juridiques différents pour la confidentialité et l’autonomie des données. Toute entreprise relevant du champ d’application des deux réglementations doit connaître la différence entre le RGPD et le CCPA pour garantir une conformité totale et des opérations sûres.

ARTICLES CONNEXESPLUS DE L'AUTEUR