Photo by Viviana Rishe on Unsplash

La Californie devient le premier État américain à réellement légiférer en matière de protection des renseignements personnels

L’État américain de la Californie adoptait récemment une loi en matière de protection des renseignements personnels qui se rapproche des règles de nous voyons habituellement dans nos lois de ce type au Canada. La Californie devient ainsi le premier État américain à aller dans cette direction, les Américains demeurant généralement opposés à des règles comme celles qui s’appliquent en vertu de lois comme la LPRPDE canadienne ou le règlement GDPR européen.

La California Consumer Privacy Act of 2018 (la « CPA ») entrera en vigueur en 2020, en s’appliquant alors aux entreprises dont les clients ou les utilisateurs de sites Web sont californiens. Fait intéressant, sans doute afin de ne pas imposer un fardeau indu aux PME, la CPA limite son application aux entreprises relativement importantes (avec des revenus dépassant vingt-cinq millions de dollars ou manipulant les données de plus de 50 000 personnes). En principe, l’application de la CPA se limiterait aux entreprises qui réalisent des affaires en Californie. Cela dit, il semble que l’interprétation habituelle des tribunaux californiens rend probable une application future aux entreprises pour lesquelles « faire affaire en Californie » se limite à exploiter un site Web accessible par des résidents californiens.

Comme c’est le cas au Canada et en Europe, la définition des « renseignements personnels » utilisée dans la CPA s’avère très large. Cette loi vient aussi imposer l’obligation aux entreprises d’obtenir le consentement des individus avant de collecter leurs renseignements. Les individus obtiennent aussi le droit de refuser que leurs renseignements soient vendus par une entreprise avec laquelle ils traitent. La CPA prévoit finalement le droit des individus d’accéder à leurs données, y compris aux détails concernant ce qui a été collecté sur chacun et de quelles sources. Nouveauté par rapport à ce qu’on voit habituellement chez nous dans de telles lois (mais qui ressemble à une disposition du GDPR), la CPA interdit aux entreprises la discrimination contre les individus qui refuseraient de consentir à la collecte de leurs renseignements par l’entreprise.

Désirant sans doute éviter le sort destiné à des lois faibles sans recours réels pour les individus lésés (comme la LPRDE, au Canada), la CPA prévoit la possibilité pour les tribunaux d’imposer aux entreprises délinquantes des dommages préétablis (des « dommages statutaires », dans le jargon), dont les montants seront fonction du nombre de victimes de pratiques trop laxistes en matière de sécurité. La loi prévoit d’ailleurs aussi un droit pour les individus de poursuivre directement les entreprises dans certaines circonstances.

L’État de la Californie devient donc le premier État américain à se munir de règles un tant soit peu similaires à ce qui se fait en Europe et au Canada en matière de renseignements personnels.