Blog

RGPD et CCPA : deux réglementations majeures sur la protection des données personnelles affectant votre entreprise

Sourcepoint
novembre 23, 2021
RGPD et CCPA : deux réglementations majeures sur la protection des données personnelles affectant votre entreprise

La protection des données personnelles reste un sujet d’actualité important pour les utilisateurs et les entreprises du monde entier. On a l’impression que, chaque jour, on parle de l’entrée en vigueur d’une nouvelle loi ou réglementation sur la protection des données personnelles. Nous en avons abordé quelques-unes dans notre récent article A Little Privacy. Cela représente cependant un grand nombre d’informations à assimiler pour les entreprises qui recueillent et traitent les données.

Deux des principales réglementations en vigueur sur la protection des données personnelles sont le règlement général sur la protection des données (RGPD) de l’Union européenne et la réglementation californienne sur la protection des informations personnelles de l’utilisateur (CCPA). Bien que ces réglementations présentent des similitudes, elles sont uniques, tant en termes de champ d’application, de priorités, que de définitions. 

Vastes et exhaustives, ces deux réglementations peuvent s’appliquer à toute entité qui recueille et traite les informations personnelles des utilisateurs. Le tableau de comparaison suivant du RGPD et de la CCPA vous aidera à mieux comprendre chacune d’entre elles.

Règlement général sur la protection des données (RGPD) de l’UERéglementation californienne sur la protection des informations personnelles de l’utilisateur (CCPA)
PrésentationLe règlement général sur la protection des données est un règlement de l’Union européenne visant à améliorer le contrôle et les droits des individus sur leurs données personnelles et à simplifier le cadre réglementaire des entreprises internationales. 

Défini comme un règlement, et non comme une directive, il a force d’application directe tout en octroyant une certaine marge de manœuvre à chaque État membre de l’UE. 

Les approches en matière de conformité peuvent donc varier considérablement d’un pays européen à l’autre. 
La réglementation CCPA vise à permettre aux utilisateurs de contrôler les informations personnelles recueillies et traitées par les entreprises. 

La réglementation californienne sur la protection des informations personnelles de l’utilisateur (CPRA), qui entrera en vigueur en 2023, vient modifier et renforcer la réglementation CCPA avec un effet rétroactif qui commencera en janvier 2022.
Date d’entrée en vigueurAdopté le 14 avril 2016, le RGPD est entré en vigueur le 25 mai 2018.La réglementation CCPA est entrée en vigueur le 1er janvier 2020 (avec quelques exceptions).
Site Webgdpr.euoag.ca.gov/privacy/ccpa
Qui est protégé par la réglementation sur la protection des données personnelles ?Les « personnes concernées » sont les personnes physiques dont les données personnelles sont traitées (comme les clients ou les visiteurs d’un site Web).

Les personnes concernées ont le droit d’être informées de la manière dont leurs informations personnelles sont recueillies et utilisées, d’accéder aux données recueillies, de s’opposer au traitement de leurs informations personnelles et de demander la suppression de leurs données.
La protection en vertu de la réglementation CCPA ne s’étend qu’aux résidents de Californie, comme définis par le code fiscal de Californie.

En tant que résidents de Californie, les utilisateurs peuvent demander aux entreprises de leur communiquer les informations personnelles qu’elles recueillent et l’utilisation qu’elles en font, de ne pas vendre ces informations ou de les supprimer.
Quels types d’informations personnelles sont protégées ?Dans le cadre du RGPD, les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable.En vertu de la réglementation CCPA, les renseignements personnels sont définis comme tout ce qui permet d’identifier, a trait à, décrit, peut être associé avec ou pourrait être raisonnablement associé à un utilisateur ou à un foyer particulier. 
À quels types d’entités ces réglementations s’appliquent-elles ?Toutes les personnes physiques ou morales, les autorités, les agences et autres organismes publics, où que se trouve leur siège social physique ou le lieu du traitement, traitant les informations personnelles de personnes concernées se trouvant dans l’Espace économique européen (EEE) doivent se conformer au RGPD lorsque ces activités de traitement sont liées à l’offre de biens ou de services ou au contrôle du comportement au sein de l’EEE. Sont incluses toutes les entités qui recueillent, conservent, transmettent, ou encore traitent ces données. Le RGPD s’applique également au traitement des données personnelles dans le contexte d’activités d’un établissement ou d’une entité au sein de l’EEE, peu important le lieu de traitement et le lieu où se trouvent les personnes concernées. La réglementation CCPA s’applique à toutes les entités juridiques à but lucratif exerçant leurs activités en Californie et répondant à l’un des critères suivants :

– Chiffre d’affaires annuel brut de plus de 25 millions de $

– Achat, réception ou vente d’informations personnelles d’au moins 50 000 résidents, foyers ou appareils de Californie

– 50 % minimum des revenus annuels proviennent de la vente d’informations personnelles de résidents de Californie

Le lieu du siège social physique de l’entreprise est sans importance si l’entreprise exerce ses activités en Californie et répond aux critères susmentionnés.  
Rôles principauxResponsable de traitement : Personne physique ou entité juridique qui détermine les finalités et les moyens de traitement des données personnelles. Le responsable de traitement est chargé de garantir la conformité de l’entité au RGPD.

Sous-traitant : Personne physique ou entité juridique qui traite les données personnelles pour le compte du responsable de traitement. 

Délégué à la protection des données (DPD) : Rôle de direction exigé par le RGPD. Responsable de la stratégie, de l’approche et de la mise en œuvre de la conformité au RGPD.

Autorité de contrôle : Autorité publique au sein d’un pays de l’UE (également appelé État membre) qui contrôle la conformité au RGPD. L’autorité de contrôle peut mener des audits, faire des recommandations, répondre aux plaintes et prononcer des amendes.
Entreprise : Toute entité juridique à but lucratif qui exerce ses activités en Californie et répond à au moins l’un des trois critères susmentionnés établis par la réglementation CCPA (décrits ci-dessus).

Prestataire de services : Toute entité juridique à but lucratif qui offre des services dans le cadre d’un contrat de prestation de services, qui reçoit des informations personnelles d’utilisateurs d’une entreprise ou qui traite les informations personnelles pour le compte de l’entreprise.

Tiers : Toute entité autre qu’une entreprise qui recueille les informations personnelles d’utilisateurs ou une personne à qui une entreprise divulgue des informations personnelles d’utilisateurs. Les tiers qui reçoivent des informations personnelles ont l’interdiction de les vendre, de les conserver, de les utiliser ou de les divulguer à toute autre fin que la prestation de services stipulée dans un contrat. Ils ne doivent pas non plus conserver, utiliser ou divulguer ces informations en dehors de la relation commerciale directe.
Exigences pour les entreprisesLes entreprises doivent implémenter des mesures de protection techniques et opérationnelles afin de protéger les informations personnelles qu’elles contrôlent. Elles doivent également conserver une trace des activités de traitement.

Pour les activités de traitement de données présentant un risque élevé en termes des droits et libertés des personnes concernées, le responsable de traitement doit réaliser une analyse d’impact de protection des données.

En outre, les entreprises doivent se fonder sur une base légale pour tout traitement de données personnelles, dont l’obtention d’un consentement. 
Dans certains cas, les entreprises peuvent être tenues de désigner un délégué à la protection des données et de mettre à jour leur politique de confidentialité.

Cette politique de confidentialité doit être concise, transparente, compréhensible et facilement accessible. Le fait qu’une entreprise recueille directement les données auprès d’un individu ou les reçoive en tant que tiers détermine les exigences exactes relatives à la politique de confidentialité. 

Pour de plus amples informations sur notre politique de confidentialité, consultez le site gdpr.edu/privacy-notice/.
Toutes les entreprises concernées doivent fournir aux utilisateurs au moment de la collecte une mention d’information comportant les données personnelles recueillies par l’entreprise à leur sujet, ainsi que les finalités pour lesquelles ces données sont recueillies. 

La mention d’information doit inclure un lien vers la politique de confidentialité de l’entreprise, qui doit elle-même comprendre une description complète des pratiques de la société en matière de protection des données, des incitations financières et des droits dont disposent les personnes concernées. 

Si une entreprise vend les informations personnelles des utilisateurs (la vente des informations personnelles étant définie comme le partage d’informations personnelles avec une autre entreprise ou un tiers en vue d’une contrepartie monétaire ou autre contrepartie de valeur), elle doit inclure une option d’opt-out via un lien « Ne pas vendre
mes informations personnelles » sur la page d’accueil ou de renvoi du site Web ou de l’application sur lesquelles les informations sont recueillies afin de permettre aux utilisateurs de refuser cette vente. 
Sanctions en cas de non-conformitéSelon les dispositions qui ne sont pas respectées, les amendes encourues peuvent s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice financier précédent de l’entreprise, en fonction du montant le plus élevé. 

Dans d’autres cas, les amendes encourues peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice financier précédent de l’entreprise, en fonction du montant le plus élevé.
Toute non-conformité à la réglementation CCPA et à ses exigences peut entraîner les sanctions suivantes :

– Sanctions civiles de 7 500 $ maximum pour toute violation intentionnelle
– Sanctions civiles de 2 500 $ maximum pour toute violation non intentionnelle
– Poursuites privées entamées par les utilisateurs pour une somme de 100 à 750 $ maximum ou des dommages-intérêts compensatoires (selon le montant le plus élevé) pour chaque violation des obligations de sécurité en vertu de la réglementation CCPA résultant en une violation de sécurité (ou de données).

Dans tous les cas, les entreprises auront 30 jours pour remédier aux violations avant de devoir payer les amendes.

Une entreprise peut encourir des sanctions pour chaque violation sans qu’il n’existe de plafond. Par conséquent, si une entreprise ne respecte pas les demandes de 50 000 individus et si cette violation est jugée être intentionnelle par le procureur général, les amendes pourraient s’élever à environ 375 millions de $.

L’une des plus grandes différences entre le RGPD et la réglementation CCPA est l’éventail des personnes protégées. Le champ d’application du RGPD est bien plus large étant donné qu’il protège les personnes concernées se trouvant au sein de l’Espace économique européen. Même si elle s’inspire du RGPD, la réglementation CCPA protège spécifiquement les utilisateurs, qui sont définis comme les personnes physiques résidant en Californie.

Par conséquent, lorsqu’une entreprise propose des biens et des services ou suit le comportement d’une personne concernée au sein de l’EEE, elle doit se conformer au RGPD. De même, lorsqu’une entreprise à but lucratif répond à l’un des critères définis par la réglementation CCPA, elle doit se conformer à ses exigences. Toutefois, avec la dynamique actuelle autour des nouvelles réglementations sur la protection des données personnelles dans le monde, nombreuses sont les sociétés qui se détachent des spécificités respectives de la réglementation CCPA ou du RGPD, et veulent adopter une vision plus globale et harmonisée de la conformité en matière de protection des données personnelles.

L’importance de la citoyenneté numérique responsable et de l’éthique des données

Le RGPD et la réglementation CCPA ne sont que deux exemples d’une tendance plus généralisée axée sur la protection des données personnelles des utilisateurs individuels. Bien d’autres exigences, législations et réglementations sur la protection des données personnelles vont voir le jour à l’avenir. Dans ce monde numérique en constante évolution, il est impératif pour les entreprises de donner la priorité à la citoyenneté numérique responsable et à l’éthique des données dans toutes les juridictions, indépendamment des technicités juridiques. Vous devez donc veiller à ce que votre entreprise suive les réglementations afin d’agir en toute sécurité, de participer de manière responsable et de préserver l’intégrité de l’espace numérique.

Réservez une démonstration pour découvrir comment la plateforme de gestion du consentement (CMP) Dialogue de Sourcepoint peut vous aider à vous conformer aux réglementations sur la protection des données personnelles, notamment le RGPD ou la réglementation CCPA, tout en offrant une expérience du consentement personnalisée à vos utilisateurs.

Clause de non-responsabilité : les informations ci-dessus sont fournies à titre d’information générale uniquement, n’ont pas la valeur d’avis juridique et ne doivent pas servir de fondement à la prise de décisions juridiques. Veuillez demander les conseils d’un avocat sur la manière dont les nouvelles réglementations peuvent affecter votre entreprise.

Latest Blog Posts

Cinq conseils pour optimiser l’évaluation des fournisseurs tiers pour les éditeurs

avril 4, 2022

Vous savez que vous devez vous pencher davantage sur...

Mises en garde pour la liste de fournisseurs tiers : ce que vous pouvez faire pour protéger votre site

avril 4, 2022

Quand vous êtes-vous penché sur les différents fournisseurs tiers...

Latest White Papers

Ebook: Guide D’organisation De La Liste De Fournisseurs Tiers Pour Les Éditeurs

juin 9, 2022

Rester au fait des exigences réglementaires et identifier les...

Let's explore what we can do together.

We'll be in touch within 48 hours

[contact-form-7 id="593" title="Schedule a Demo"]