CCPA vs RGPD : quelles sont les différences ?

Aux Etats-Unis, plus précisément, dans l’État de Californie, une loi portant sur la protection des données fait depuis quelque temps parler beaucoup d’elle : la California Consumer Privacy Act ou CCPA. À sa lecture, on comprend assez vite qu’elle est fortement inspirée du RGPD.

CCPA : généralité

Depuis l’avènement du numérique et la numérisation des processus au sein des entreprises, ces dernières ont exploité avec plus d’intérêt les informations personnelles des consommateurs afin d’augmenter leurs ventes.

C’est pour protéger les droits des consommateurs californiens, promouvoir le respect de la vie privée et forcer les entreprises à être plus transparentes que la California Consumer Privacy Act (CCPA) a été mise en place. Elle permettra aux consommateurs d’avoir un plus grand contrôle sur leurs données personnelles et offrira la possibilité de demander des comptes aux entreprises qui les manipuleront. Pour synthétiser, la CCPA garantit aux Californiens les droits suivants :

  • Le droit à l’information : les personnes concernées ont le droit de savoir quelles informations personnelles les concernant sont collectées ;
  • Le droit d’accès : un accès facilité aux informations personnelles et la possibilité d’exiger leur effacement ;
  • Le droit de demander l’interdiction de la vente des informations personnelles ;
  • Le droit de profiter d’un service de même qualité à un même prix ;

En plus de promouvoir ces droits, la CCPA interdit aux entreprises de commercialiser les informations personnelles des consommateurs dont l’âge est compris entre 13 et 16 ans sans leur accord express. Pour ce qui est des mineurs de moins de 13 ans, il faudra obtenir le consentement de leurs parents ou de leur tuteur avant de pouvoir vendre leurs informations personnelles.

Les différences du CCPA et du RGPD

Même si la CCPA et le RGPD portent sur un même objet, la protection des données personnelles, ces deux textes diffèrent sur plusieurs points :

La portée juridique

Le RGPD a une portée juridique très large. Il s’applique non seulement aux entreprises européennes, mais également aux entreprises étrangères situées hors de l’UE manipulant des données de résidants européens. La CCPA ne concerne que les entreprises exerçant leurs activités en Californie et qui remplissent au moins une des conditions suivantes :

  • Un chiffre d’affaires brut annuel dépassant les 20 millions de dollars ;
  • La possession de données personnelles de plus de 50 000 consommateurs, ménages ou appareils ;
  • 50 % des revenus annuels issus de la commercialisation de données personnelles ;

En fin de compte, la CCPA a une portée beaucoup plus réduite. Mais cela n’est pas sans avantage puisqu’elle permet aux entreprises de petite taille d’éviter de supporter des obligations souvent difficiles à respecter faute de moyens et de temps.

Les sanctions

Les sanctions prévues par les deux textes sont complètement différentes. Celles prévues par le RGPD sont plus sévères : une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel global ou 20 millions d’euros. La CCPA quant à elle ne peut sanctionner qu’à hauteur d’une amende dont le montant maximal ne doit pas dépasser 7 500 dollars.

Autre différence, la CCPA ne s’applique que pour les cas de violation de données découvertes par les personnes concernées. Ici, le contraste est assez fort puisque dans le RGPD, une entreprise peut toujours être sanctionnée même lorsqu’une violation de données n’a pas été constatée par le propriétaire des données. Pour illustration, le RGPD permet à une autorité de contrôle de sanctionner une entreprise dont le traitement des données n’est pas conforme aux exigences de la nouvelle règlementation, même si aucune plainte n’a été formulée par les propriétaires des données en cause.

Il ressort de tout cela que le RGPD offre une protection plus poussée pour les citoyens que la CCPA. Notez toutefois que tout citoyen californien dont les données ont été violées peut attaquer l’entreprise responsable directement. Une chose impossible dans le cadre du RGPD parce que ce dernier oblige le citoyen dont les données ont été violées à passer par un organisme de contrôle comme la CNIL.

La qualification juridique

Le RGPD ne prend en compte qu’une personne physique. La CCPA quant à elle offre une protection au consommateur, au ménage et aux entités identifiables. De ce fait, elle peut par exemple donner la possibilité à un couple d’agir ensemble pour la même raison.