L’adoption du RGPD en avril 2016 a inspiré de nombreux législateurs à travers le monde. Les Etats-Unis n’ont pas échappé à cette influence, même si de grandes différences subsistent avec la réglementation européenne. La différence la plus notable est sans doute l’absence d’une loi globale applicable à toutes les catégories de données personnelles et à tous les secteurs d’entreprises. Les récentes initiatives de certains États démontrent la volonté de renforcer la protection des données dans le pays.
Par Alexis Chauveau-Maulini, Consultant Senior
L’adoption du California Consumer Privacy Act (CCPA) en 2018 a amorcé une vague législative qui se propage désormais d’une côte à l’autre des Etats-Unis. A ce jour, quatre autres États ont adopté une loi, à savoir :
- la Virginie, avec le Virginia’s Consumer Data Protection Act (VCDPA), qui est entré en vigueur et est exécutoire depuis le 1er janvier 2023 dans l’État de Virginie ;
- le Colorado, avec le Colorado Privacy Act (CPA), qui entrera en vigueur et sera exécutoire à compter du 1er juillet 2023 ;
- le Connecticut, avec le Connecticut Data Privacy Act (CTDPA), qui entrera en vigueur et sera exécutoire à compter du 1er juillet 2023 ;
- l’Utah, avec le Utah Consumer Privacy Act (UCPA), qui entrera en vigueur et sera exécutoire à compter du 31 décembre 2023.
On notera que la loi californienne a fait l’objet d’un amendement significatif avec le California Privacy Rights Acts (CPRA), qui est entré en vigueur le 1er janvier 2023 et sera exécutoire le 1er juillet 2023.
On peut distinguer trois tendances : tout d’abord, la loi californienne qui est considérée comme la plus protectrice des personnes, puis les lois de Virginie, du Colorado et du Connecticut qui ont une approche intermédiaire, enfin la loi de l’Utah qui est moins contraignante pour les entreprises.
Portée et champ d’application
Les cinq lois visent les consumers (consommateurs et ménages), ce qui signifie que les personnes agissant dans un cadre professionnel sont exclues de la protection. Toutefois, depuis le 1er janvier 2023, la loi californienne considère que les personnes agissant dans un cadre professionnel doivent être traitées comme des consommateurs et bénéficier des mêmes droits.
Le champ d’application des lois de Virginie, du Colorado, du Connecticut et de l’Utah est articulé sur un double critère alternatif – lieu d’établissement de l’organisation qui traite les données et le lieu de résidence des consommateurs dont les données sont traitées –, combiné avec certains seuils.
S’agissant de la Californie, le critère déterminant pour l’application de la loi repose sur le lieu de résidence des consommateurs dont les données sont traitées, combiné avec les seuils susmentionnés.
On notera qu’il existe des exemptions (entity-level exemption, data-level exemption) qui permettent éventuellement d’échapper à l’application des lois.
Droit des personnes
Les différents droits reconnus aux personnes sont les suivants :
- le droit d’accès, parfois associé au droit d’interrogation ;
- le droit de rectification ;
- le droit de suppression ;
- le droit à la portabilité des données ;
- le droit à la non-discrimination ;
- le droit d’opposition à certains traitements (marketing ciblé, profilage et vente des données) ;
- le droit de consentir au traitement de données sensibles ;
- le droit d’appel.
Selon la loi considérée les individus bénéficient de tout ou partie de ces droits ; sachant que le contenu exact des droits ou la manière de les exercer peuvent différer. Les cinq lois exigent la fourniture d’une mention d’information suffisamment claire et accessible décrivant la manière dont les personnes peuvent exercer leurs droits.
S’agissant plus particulièrement du droit de s’opposer à la vente de ses données personnelles, la loi californienne impose à l’organisation qui traite les données de fournir un lien “Do Not Sell or Share My Personal Information” (DNSMPI) sur son site internet. La loi du Connecticut prévoit également la fourniture d’un tel lien, mais sans préciser son libellé exact.
Enfin, pour les cinq lois la demande d’exercice d’un droit doit être traitée dans les 45 jours qui suivent la réception de la demande, ce délai pouvant être renouvelé une fois.
Encadrement des relations contractuelles
Les lois de Virginie, du Colorado, de l’Utah et du Connecticut ont repris du RGPD les notions de controller et de processor qui concurrencent désormais les notions de business et de service provider utilisées par la loi californienne.
Les cinq lois prescrivent aux parties qui interviennent dans un traitement de données de conclure un contrat et leur imposent certaines obligations spécifiques (description des traitements mis en œuvre, obligations en matière de sécurité, etc.).
Obligation de réaliser des Data Protection Assessments
Les lois de Virginie, du Colorado et du Connecticut exigent la réalisation de Data Protection Assessments avant la mise en œuvre de traitements présentant un risque élevé pour les personnes (données sensibles, marketing ciblé et/ou profilage, vente de données personnelles).
En plus des Data Protection Assessments, la loi californienne impose un audit annuel de cybersécurité pour les traitements présentant un risque élevé pour la vie privée ou la sécurité des personnes.
Contrôle de la conformité et sanctions
La Californie a créé une autorité dédiée, la California Privacy Protection Agency (Agence californienne de protection de la vie privée), tandis que les quatre autres États s’en remettent à l’Attorney General pour faire respecter et sanctionner les nouvelles lois relatives à la vie privée.
A ce jour il n’y a pas de droit de recours individuel des personnes concernées (sauf pour le CCPA qui prévoit cette possibilité dans certains cas limités).
Les amendes encourues en cas de violation de la loi sont cumulatives en fonction du nombre de violations et leur montant final peut s’avérer dispendieux.
Les cinq lois confèrent aux organisations la possibilité de remédier aux infractions qui leur sont reprochées (right to cure) pendant un laps de temps (30 jours pour la Virginie et l’Utah, 60 jours pour le Colorado et le Connecticut) avant de se voir effectivement infliger une sanction. Ce droit est désormais expiré pour le CCPA.
Les initiatives législatives prises par certains États constituent un point de départ prometteur pour la protection des données aux Etats-Unis. Il faudra observer en pratique la manière dont ces différentes lois seront appliquées, ainsi que l’avancement du projet de loi fédérale en matière de protection de la vie privée, l’American Data and Privacy Protection Act (ADPPA), mais de toute évidence les organisations doivent se préparer à des contraintes accrues en ce domaine.