Entré en vigueur le 1er janvier 2020, le California Consumer Privacy Act (CCPA) 1 vise à renforcer la protection des données des consommateurs résidents en Californie. Contrairement au Règlement Européen sur la Protection des Données (RGPD) 2 qui a principalement pour objectif de redonner le pouvoir aux individus sur leurs données, le CCPA entend notamment encadrer la vente des données par les entreprises tout en garantissant la transparence sur la manière dont les données des consommateurs sont traitées.
Le CCPA : des obligations moindres
Bien que le RGPD et le CCPA convergent sur un certain nombre de points, le RGPD constitue une version plus stricte que le CCPA en ce que les exigences prévues sont plus nombreuses et nécessitent la mise en place de process plus complexes. Ainsi, pour une entreprise qui a défini les mesures appropriées afin de se mettre en conformité à la règlementation européenne, la conformité à la loi californienne ne devrait être qu’une simple formalité.
Le CCPA ne prévoit pas une obligation de tenir un registre des traitements, de désigner un DPO, de documenter la conformité (Accountability) ou encore d’assurer une protection des données dès la conception (Privacy by design). Il n’est pas non plus exigé de notifier les violations des données, de mettre en place des mesures de sécurité, d’encadrer la sous-traitance et les transferts des données.
Alors que le RGPD emploie le terme « donnée personnelle », le CCPA recourt plutôt au terme « information personnelle ». Dans un souci de clarté, le terme « donnée personnelle » sera utilisé dans le cadre de cet article.
En dépit des divergences existantes entre ces deux règlementations pouvant laisser penser que le règlement européen est, dans toutes ses dispositions, plus protectrices des données des personnes, il serait réducteur de nier la portée pragmatique de la loi californienne.
Contrairement au RGPD, le CCPA réfère, en effet, aux pratiques de commercialisation des données personnelles et tient compte pour certaines de ses exigences de la vente (ou pas) de ces données. Ainsi, d’un côté, il exige l’affichage d’un lien “do not sell my information”, de l’autre côté, il prohibe l’application de prix différents en cas de refus.
L’approche américaine, qui s’intéresse essentiellement à la valeur économique des données, se distingue dès lors de l’approche européenne qui repose sur le renforcement de la protection des personnes.
Plaider pour l’extra-patrimonialisation des données ou reconnaître la donnée personnelle en tant que bien ayant une valeur ?
Indépendamment de la démarche à encourager, contester que les données personnelles soient aujourd’hui dans le commerce et ne pas chercher à encadrer ces pratiques ne va-t-il pas dans le sens d’une diminution de la protection des personnes ? Pis encore, ne pas tenir compte de ces pratiques ne revient-il pas à considérer que la donnée n’appartient à personne, à donner la liberté aux plateformes de s’en saisir gratuitement et à renforcer le pouvoir de ces plateformes ?
Pour éviter ces risques et bien d’autres, le fournisseur principal (l’individu) doit indéniablement pouvoir en tirer une valeur, et par là, reprendre le contrôle sur ses données.
Reste à savoir quelle démarche adopter et comment permettre à la personne d’en tirer profit ?
La solution choisie doit notamment être favorable aux personnes concernées, ne doit pas tolérer de forcer la vente des données et doit permettre de rééquilibrer les pouvoirs entre utilisateurs et entités collectrices, sans toutefois porter atteinte aux principes relatifs à la protection des données personnelles. Chacun serait par la suite libre de faire des choix quant à la monétisation ou pas de ses données.
La CNIL 3, le Conseil National du Numérique 4 ou encore le Conseil d’Etat 5 se sont prononcés il y a quelques années sur cette question tout en rejetant la possibilité de reconnaître un droit de propriété sur les données. Aucune position n’a toutefois depuis été adoptée. Or, n’est-il pas impérieux de légiférer en la matière ? Nationaliser ce patrimoine informationnel ou perdre la souveraineté sur ces données ?
1California Legislative Information, Assembly Bill No. 375
2Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).
3 Ch. Paul et Ch. Féral-Schuhl [co-présidents], rapport d’information déposé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique, Assemblée nationale, 2015.
4 Conseil National du Numérique, Avis sur la libre circulation des données dans l’Union européenne, avril 2017.
5 Conseil d’Etat, Etude annuelle-Le numérique et les droits fondamentaux, 2014.
