English | French Canada
La nouvelle loi de la Californie sur la protection des renseignements personnels a des implications extraterritoriales
Perspectives Aon

La nouvelle loi de la Californie sur la protection des renseignements personnels a des implications extraterritoriales

 

Après seulement une semaine de débat législatif, la California Consumer Privacy Act (CCPA) a été rapidement promulguée le 28 juin 2018 et devrait entrer en vigueur le 1er janvier 2020. Cette Loi octroie de nouveaux droits en matière de protection des renseignements personnels aux consommateurs californiens et pourrait avoir d’importantes répercussions financières sur les entreprises qui ne la respectent pas.

La Loi s’applique à toutes les entreprises qui : 1) recueillent et contrôlent des renseignements personnels de personnes résidant en Californie, 2) exercent des activités dans l’État de Californie et 3) répondent à un ou plusieurs des critères suivants :

  • enregistrent un chiffre d’affaires de plus de 25 millions de dollars américains;
  • achètent, reçoivent, vendent ou partagent, à des fins commerciales, les renseignements personnels de 50 000 ou plus consommateurs, ménages ou appareils;
  • tirent 50 % ou plus de leur chiffre d’affaires annuel de la vente de renseignements personnels de résidents de la Californie.

La Loi s’applique également aux entités qui contrôlent ou qui sont contrôlées par une organisation répondant aux critères susmentionnés. Les résidents californiens se sont vus accorder de nombreux droits de protection des renseignements personnels en vertu de la Loi, y compris le droit de ne pas autoriser la vente de leurs renseignements personnels à des tiers. À cet égard, les organisations doivent afficher un lien clairement visible intitulé « Ne pas vendre mes renseignements personnels » sur leur page Web. Les consommateurs, définis comme des personnes physiques résidant en Californie, ont également le droit de connaître les renseignements personnels recueillis par l’organisation, leur provenance, le motif de leur collecte, si ces derniers sont transférés à des tiers et à qui. Par ailleurs, les consommateurs ont également le droit d’accéder à leurs renseignements personnels ou d’en demander la suppression. La Loi comprend également des mesures de protection spécifiques pour le consommateur, y compris le droit de recevoir un service égal et un prix identique de l’organisation, même s’il choisit d’exercer ses droits de protection des renseignements personnels prescrits par la CCPA.

Les organisations disposeront d’un délai de 30 jours pour corriger les infractions présumées à la loi. Les sanctions pour non-conformité incluent ce qui suit :

  • jusqu’à 2 500 dollars américains par infraction pour les organisations qui ne remédient pas à la violation pendant la période des 30 jours;
  • jusqu’à 7 500 dollars américains par infraction intentionnelle, en plus de la sanction indiquée ci-dessus.

Dans le cas d’un piratage de données, la CCPA prévoit un droit de recours en droit privé pour les consommateurs, soit individuel ou collectif, contre les organisations pour accès non autorisé, vol ou divulgation des « renseignements personnels sensibles » du consommateur découlant du fait que l’organisation n’avait pas « mis en place et maintenu des procédures et pratiques de sécurité raisonnables ». Il n’est pas nécessaire que le consommateur subisse un préjudice réel avant qu’un verdict de responsabilité ne soit prononcé. Les dommages et intérêts correspondront au montant le plus élevé de ce qui suit : 1) dommages et intérêts prescrits par la loi allant de 100 à 750 dollars américains par client et par incident ou 2) le montant des dommages réels subis.

Même si la CCPA présente des similitudes avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) canadienne et le Règlement général sur la protection des données (RGPD) de l’Union européenne, les différences fondamentales sont nombreuses, si bien qu’une conformité à la LPRPDE ou au RGPD n’entraînera pas nécessairement une conformité à la CCPA. Même si de nombreux commentateurs juridiques s’attendent à ce que les législateurs californiens modifient le projet de loi avant son entrée en vigueur, il est important que les sociétés canadiennes qui exercent des activités en Californie, ou qui ont des clients dans cet État, s’intéressent aux exigences de conformité mises en place dans le cadre de la CCPA.

Outre des mécanismes internes efficaces visant à assurer la conformité, une police d’assurance cyberresponsabilité peut aider les organisations qui cherchent à transférer une partie des risques pouvant découler d’une atteinte à la cybersécurité, d’un piratage des renseignements personnels ou du non-respect des lois sur la protection des renseignements personnels. Une police de cyberassurance offre une couverture pour les frais qu’engage une organisation afin de gérer une atteinte à la cybersécurité ou un piratage de renseignements personnels. La police couvre également les frais de règlement, de jugement et de défense lorsque l’organisation est partie à un litige de tiers ou à une procédure réglementaire. Si la police d’assurance cyberresponsabilité comprend des dispositions robustes, les amendes pour non-conformité à la CCPA pourraient être couvertes, si la loi l’autorise.