Ce que les entreprises canadiennes doivent savoir sur la California Consumer Privacy Act

Le 1^er juillet 2020, les entités canadiennes visées par la California Consumer Privacy Act (la « CCPA ») devront être conformes au projet de règlement récemment publié par le bureau du procureur général de la Californie.

Les règles prévues dans ce projet clarifient l’interprétation voulue de la CCPA et créent de nouvelles exigences concrètes auxquelles les entreprises devront se conformer. Le projet de règlement fait actuellement l’objet d’une consultation jusqu’au 6 décembre 2019, et la publication des règles définitives n’est pas prévue avant le printemps 2020.

CONTEXTE

La CCPA est la première loi étatique américaine qui impose aux entités faisant affaire en Californie, des obligations de protection des données similaires à celles prévues par le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne. La CCPA, qui prendra effet le 1^er janvier 2020, confère aux résidents de la Californie de nouveaux droits leur permettant de savoir quels renseignements personnels sont détenus à leur sujet par les entreprises. De plus, ces résidents pourront également accéder à cette information et la faire supprimer, de même que refuser que leurs renseignements personnels soient vendus par les entreprises.

En outre, il sera interdit aux entreprises de discriminer un consommateur parce que celui-ci a exercé un droit qui lui est conféré par la CCPA. Par exemple, une entreprise ne peut pas fournir un service de qualité inférieure à un consommateur ayant refusé que ses renseignements personnels soient vendus, sauf si la différence dans la qualité du service se rapporte raisonnablement à la valeur que procurent les renseignements personnels du consommateur. Cependant, les entreprises peuvent offrir des incitatifs financiers aux consommateurs qui leur fournissent des renseignements personnels à leur sujet, à condition que les incitatifs soient communiqués et que le consommateur donne son consentement à cet égard.

RÉPERCUSSIONS SUR LES ENTREPRISES CANADIENNES

La CCPA et son règlement s’appliquent aux entités (et aux entités qui contrôlent une entreprise ou sont contrôlées par une entreprise) qui font affaire en Californie et qui atteignent au moins l’un des seuils suivants :

• Les revenus annuels bruts de l’entité dépassent 25 M$ US.
• L’entité détient des renseignements personnels sur au moins 50 000 consommateurs californiens, ou ménages ou appareils se trouvant en Californie.
• Au moins 50 % des revenus annuels de l’entité proviennent de la vente des renseignements personnels des consommateurs.

La jurisprudence sur la question de « faire affaire » (doing business) est bien établie, et ce terme s’appliquera vraisemblablement aux entreprises qui vendent des biens ou des services en Californie, même si elles ne sont pas physiquement situées dans cet État. La CCPA définit un « consommateur » (consumer) comme étant un résident de la Californie. Par conséquent, une entité canadienne dont les revenus bruts dépassent 25 M$ US et qui offre des biens ou des services aux Californiens sera assujettie à la CCPA, et ce, même si elle n’est pas physiquement présente dans cet État.

Les entreprises canadiennes devraient également prendre note que la définition de « renseignement personnel » (personal information) prévue à la CCPA est large et inclut expressément les identifiants (comme les noms véritables et les adresses IP), les dossiers de clients, les classifications protégées (telles que la race ou la religion), l’historique des achats, les données biométriques, les activités sur le réseau, les données de localisation, les données provenant de capteurs (comme les enregistrements thermiques), les antécédents de travail et les antécédents scolaires, ainsi que les inférences tirées de ces types d’information.

NOUVELLES EXIGENCES DU PROJET DE RÈGLEMENT

Le projet de règlement prévoit que quatre types d’avis devront être transmis aux consommateurs aux termes de la CCPA. Les entreprises devront fournir ce qui suit :

1. Un avis au moment ou avant de collecter des renseignements personnels
2. Un avis concernant le droit de refus de la vente des renseignements personnels
3. Un avis relatif à tout incitatif financier offert aux consommateurs
4. Une politique sur la protection de la vie privée

Chacun de ces avis est distinct et ceux-ci ne peuvent pas être communiqués par le biais d’une seule politique sur la protection de la vie privée. De plus, les quatre avis doivent être rédigés en langage simple et non technique, au moyen d’un format qui attire l’attention des utilisateurs de manière évidente et qui est accessible aux consommateurs handicapés (un support de substitution doit être offert au minimum). Ils devront également être disponibles dans toutes les langues utilisées par l’entreprise dans ses contrats, ses mises en garde, ses annonces de vente et dans d’autres documents d’information destinés aux consommateurs. Le projet de règlement décrit plus en détail le contenu spécifique qui est requis pour chaque avis, et il présente des exemples de chacun d’eux. Il précise notamment que si la presque totalité des interactions entre une entreprise et ses consommateurs se fait hors ligne, l’entreprise devra fournir à ceux-ci l’avis concernant le droit de refus de la vente de leurs renseignements personnels, et ce, sur tout formulaire en version papier utilisé aux fins de la collecte de renseignements personnels.

De plus, le projet de règlement énonce les procédures qu’une entreprise doit suivre lorsqu’un consommateur lui fait parvenir une demande pour connaître ses pratiques en matière de collecte de renseignements ou pour consulter ou faire supprimer les renseignements personnels qu’elle possède à son sujet, ou encore lorsqu’un consommateur lui fait part de son refus d’acquiescer à la vente des renseignements personnels qu’elle possède à son sujet. Ces règles prévoient aussi des obligations de tenue des documents, ainsi que des obligations en matière de formation des employés à l’égard des exigences de la CCPA.

CONSEILS SUR LA CONFORMITÉ À LA CCPA

Une entreprise canadienne ayant déjà adopté des processus et des procédures pour se conformer au RGPD pourrait déjà être en bonne position relativement à sa conformité à la CCPA. Cependant, les entreprises devraient se montrer prudentes et veiller à ce que leurs pratiques en matière de protection des données respectent expressément la CCPA, car certaines exigences de cette loi sont différentes de celles prévues par le RGPD. Une entreprise peut se voir imposer une pénalité maximale de 2 500 $ US en vertu de la CCPA, et les violations intentionnelles de celle-ci peuvent faire l’objet d’une amende de 7 500 $ US par incident, sous réserve d’un délai de correction de 30 jours. Plus important encore, la CCPA prévoit un droit privé d’action, ce qui accroît le risque que des actions collectives soient lancées.

Pour se préparer à l’entrée en vigueur de la CCPA, les entreprises canadiennes exerçant des activités en Californie devraient déterminer si elles atteignent les seuils de revenus et de données sur les consommateurs qui sont prévus pour l’application de la CCPA. Le cas échéant, ces entreprises devraient analyser leurs flux de données pour comprendre à quel moment et à quel endroit les renseignements personnels sont collectés. De plus, elles devraient examiner leurs contrats avec les fournisseurs de services pour s’assurer que tout transfert de données n’est pas inclus dans la définition de « vente » (sell) aux termes de la CCPA. Elles devraient également s’assurer que la structure de leurs bases de données sur les clients leur permet d’accéder facilement aux renseignements personnels et d’en faire une vérification sans difficulté. Les entreprises canadiennes peuvent se donner une longueur d’avance en préparant les avis requis en matière de protection de la vie privée, en élaborant les procédures pour répondre aux demandes d’accès et de suppression, et en mettant sur pied un programme de formation des employés sur les exigences de la CCPA. Dans certains cas, des entreprises canadiennes pourraient déjà avoir une longueur d’avance sur les entreprises américaines, puisque leur conformité aux exigences canadiennes en matière de protection de la vie privée (dont les exigences relatives au droit d’accès, à la modification des renseignements, au retrait du consentement et aux avis) leur procure vraisemblablement une base solide pour se conformer à la CCPA. 

Pour en savoir davantage, communiquez avec :

Wendy Mee                416-863-3161
Ellie Marshall              416-863-3053
Imran Ahmad              416-863-4329

ou un autre membre du groupe Protection de la vie privée.