Note de l'éditeur : WRAL TechWire a récemment lancé une série en 5 parties sur le droit de la confidentialité des données afin de clarifier l'un des domaines les plus dynamiques et les plus complexes du droit de la technologie. Ceci est la partie 3. Les messages précédents sont intégrés dans cette histoire.

Steve Britt est Counsel for Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe et Sarah Hutchins est Partner for Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

Tout comme la Californie a été le premier État à promulguer une loi sur la notification des violations de données en 2002 (l'Alabama a été le 50^th en 2018), il a été le premier État à promulguer une loi complète sur la confidentialité des données en 2020, connue sous le nom de California Consumer Privacy Act (CCPA). En utilisant le RGPD comme guide, mais en apposant sa propre marque sur le résultat final, la Californie partageait de nombreux éléments en commun avec le RGPD, notamment :

• Une définition large de Des renseignements personnels, pour inclure toute information relative à ou pouvant être utilisée pour identifier une personne physique, y compris les adresses IP (protocole Internet), les données de l'appareil et d'autres identifiants en ligne,
• Adoption de la plupart (mais pas de la totalité) des droits des personnes concernées par le RGPD, sous réserve d'explications claires et transparentes sur la manière dont ces droits peuvent être exercés,
• L'exigence d'avis de confidentialité détaillés sur les données collectées, les finalités de cette collecte et si elles sont partagées avec des tiers,
• L'exigence de contrats restrictifs pour certains types de tiers avec lesquels les données sont partagées,
• Imposition de normes de sécurité des données basées sur les risques,
• L'exigence d'une formation complète des employés pour tout le personnel manipulant des informations personnelles,
• Une cause d'action privée limitée pour une violation de données résultant du défaut de fournir une sécurité raisonnable des données avec des dommages-intérêts légaux de 100 $ à 750 $ par consommateur et par incident dans de telles actions, et, enfin,
• Application du CCPA par un organisme gouvernemental, en l'occurrence le procureur général de Californie.

La confidentialité des données et vous : ce que vous devez vraiment savoir d'un point de vue juridique

Au moment de sa promulgation, la CCPA était appelée RGPD-Lite, mais ce n'était vraiment vrai que d'un point de vue conceptuel, car le CCPA différait du RGPD de certaines manières significatives. Par exemple, CCPA :

• Ne s'appliquait pas aux organisations à but non lucratif ou gouvernementales et exemptait les employés et les contacts interentreprises (B2B) pendant 3 ans,
• S'applique uniquement aux entreprises à but lucratif faisant des affaires en Californie qui, avec des sociétés affiliées de marque commune, ont généré des revenus annuels mondiaux de 25,000,000 50,000 50 $ ou plus, ont traité des données sur au moins XNUMX XNUMX consommateurs (y compris leurs appareils) ou ont reçu XNUMX % de leurs revenus de la vente. d'informations personnelles,
• A accordé une cause d'action privée pour les dommages résultant d'une violation de données résultant du défaut de fournir une sécurité adéquate des données (14 États autorisent désormais une cause d'action privée dans leurs lois sur la notification de violation de données),
• Entités exclues réglementées par Gramm-Leach-Bliley, la Fair Credit Reporting Act, la Driver's Privacy Protection Act et les informations réglementées par la Health Insurance Portability and Accountability Act (HIPAA),
• Nécessite un bouton Web sur la page d'accueil d'une entreprise intitulé "DEMANDE RELATIVE À LA CONFIDENTIALITÉ» pour le transfert d'informations personnelles à un tiers qui n'est pas qualifié de « fournisseur de services »,
• Défini comme une « vente » de données, tout transfert pour une « contrepartie non monétaire » qui a capturé les fournisseurs de technologies publicitaires et de technologies de marketing, et
• N'a pas besoin de pop-ups de cookies ni de consentement affirmatif pour les communications marketing.

Avis d'invité : Règlement général sur la protection des données, ou RGPD - Là où tout a commencé

Cependant, aussi ambitieuse qu'ait été la CCPA, avant que l'encre ne sèche, en novembre 2020, la Californie a promulgué la California Privacy Rights Act (CPRA) par vote, à compter du 1er janvier 2023. La CPRA a modifié la CCPA et l'a élargie dans plusieurs manières significatives. Par exemple, l'ACRP :

• Augmentation du déclencheur juridictionnel sur le CCPA pour la collecte de données sur 100,000 50,000 consommateurs (au lieu de XNUMX XNUMX) et suppression de la couverture des « appareils » d'un consommateur
• Exclut les sociétés affiliées de marque commune dans la définition des entreprises couvertes, à moins que l'entreprise californienne ne partage réellement les informations personnelles des Californiens avec sa société affiliée,
• Inclusion d'une nouvelle catégorie d'informations personnelles appelées "informations sensibles" et extension du droit de retrait pour couvrir ces données,
• Création d'une catégorie de divulgation de données par des tiers appelée "partage" et extension du bouton "Ne pas vendre" à "Ne pas vendre ni partager mes informations personnelles",
• étendu ses droits sur les données pour couvrir les employés et les contacts interentreprises (B2B) d'une entreprise, et
• Création du premier régulateur national dédié à la confidentialité des données d'État (appelé California Privacy Protection Agency) avec de larges pouvoirs réglementaires, y compris 22 nouveaux domaines pour une nouvelle réglementation potentielle.

Les pouvoirs étendus de la California Privacy Protection Agency (CPPA) ne doivent pas être négligés, d'autant plus que la CCPA a déjà fait l'objet de quatre séries de réglementations du procureur général, imposant dans certains cas des règles allant au-delà de ce qui était prévu dans la loi. De plus, la cause d'action privée de la Californie et, dans certaines autres juridictions, la possibilité de litiges en vertu des lois sur la violation de données ont augmenté de façon exponentielle les risques liés à la gestion des données.

La complexité du CCPA, tel que modifié par le CPRA, rivalise déjà avec le GDPR, mais la Californie et l'Union européenne ont exprimé l'objectif de travailler ensemble sur les restrictions de transfert transfrontalier et sur un éventail d'autres initiatives de l'UE. Pendant ce temps, comme nous le verrons dans notre prochain article, d'autres États américains s'inspirent de la Californie.

Steve Brit, CIPP/E, CIPM, est avocat spécialisé dans la cybersécurité, la confidentialité des données et la technologie au sein du cabinet d'avocats Parker Poe. Il concentre sa pratique sur lois et réglementations en matière de cybersécurité et de confidentialité des données. Britt conseille ses clients sur l'ensemble des lois sur la protection des données. Il peut être joint au stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, est un avocat spécialisé dans la cybersécurité, la confidentialité des données et la technologie au sein du cabinet d'avocats Parker Poe. Elle aide les clients à naviguer dans les litiges commerciaux, les enquêtes gouvernementales, la confidentialité des données et la cybersécurité. Hutchins peut être joint au sarahhutchins@parkerpoe.com.