CCPA vs CPRA : Ce qui a changé dans le droit californien de la vie privée
Le CPRA (California Privacy Rights Act) a été approuvé par les électeurs californiens en 2020 et est entré en vigueur le 1er janvier 2023. Il a considérablement modifié et élargi le CCPA original en introduisant les informations personnelles sensibles comme catégorie, en ajoutant des exigences de minimisation des données et de limitation des finalités, en créant l'agence d'application CPPA et en élargissant les droits des consommateurs, y compris la correction et le refus de la prise de décision automatisée.
| Caractéristique | CCPA | CPRA |
|---|---|---|
| Portée géographique | Californie, États-Unis (en vigueur depuis janvier 2020) | Californie, États-Unis (en vigueur depuis janvier 2023, modifiant le CCPA) |
| À qui cela s'applique | Entreprises à but lucratif remplissant les critères de chiffre d'affaires, de volume de données ou de vente de données | Mêmes critères que le CCPA, mais couvrant aussi le partage d'informations personnelles |
| Exigences de consentement | Refus de la vente d'informations personnelles | Refus de la vente et du partage ; droit de limiter l'utilisation des informations personnelles sensibles |
| Règles sur les cookies et le suivi | Pas de règles spécifiques sur les cookies ; le droit de refus est déclenché par la vente de données via le suivi | Droits de refus étendus à la publicité comportementale inter-contextes via les cookies |
| Droits individuels | Connaissance, suppression, refus de la vente, non-discrimination | Connaissance, suppression, correction, refus de la vente/du partage, limitation de l'utilisation des IP sensibles, portabilité |
| Sanctions maximales | 7 500 $ par violation intentionnelle, 2 500 $ par violation non intentionnelle | 7 500 $ par violation intentionnelle, 2 500 $ par violation non intentionnelle ; application supplémentaire par la CPPA |
| Autorité de contrôle | Procureur général de Californie | California Privacy Protection Agency (CPPA) et procureur général de Californie |
Principales différences
Le CPRA a introduit le concept d'informations personnelles sensibles, une nouvelle catégorie de données comprenant les numéros de sécurité sociale, la géolocalisation précise, l'origine raciale ou ethnique, les données biométriques, les informations de santé et le contenu des courriers ou SMS. Les consommateurs ont obtenu le droit de limiter l'utilisation et la divulgation de ces informations sensibles. Le CCPA original ne distinguait pas entre les informations personnelles sensibles et non sensibles.
La minimisation des données et la limitation des finalités sont de nouvelles exigences du CPRA. Les entreprises doivent désormais ne collecter que les informations personnelles raisonnablement nécessaires et proportionnées aux finalités déclarées, et ne doivent pas les conserver plus longtemps que nécessaire. Le CCPA n'avait pas de telles exigences, permettant des pratiques de collecte de données plus larges.
Le CPRA a également créé la California Privacy Protection Agency (CPPA), la première agence d'application de la vie privée dédiée aux États-Unis. En vertu du CCPA, l'application relevait uniquement du procureur général de Californie. La CPPA dispose d'un pouvoir réglementaire et peut mener des enquêtes et engager des actions d'application de manière indépendante. Le CPRA a également élargi le droit de refus pour inclure le partage de données à des fins de publicité comportementale inter-contextes, et pas seulement la vente de données.
Comment Pryvii vous aide
Pryvii vérifie votre site web par rapport aux exigences originales du CCPA et aux obligations élargies du CPRA. Il vérifie que les liens de refus couvrent à la fois la vente et le partage, contrôle les déclarations relatives aux informations personnelles sensibles et s'assure que votre politique de confidentialité reflète les droits et exigences mis à jour du CPRA.
Questions fréquemment posées
Dois-je mettre à jour mon site web pour le CPRA si j'étais déjà conforme au CCPA ?
Oui. Le CPRA a introduit de nouvelles exigences qui vont au-delà du CCPA original. Vous devez mettre à jour votre politique de confidentialité pour refléter les nouveaux droits (correction, portabilité), ajouter des mécanismes de refus pour le partage de données, inclure des déclarations sur les informations personnelles sensibles et mettre en place des calendriers de conservation des données.
Quelle est la différence entre la vente et le partage en vertu du CPRA ?
En vertu du CCPA, le droit de refus ne s'appliquait qu'à la vente d'informations personnelles moyennant contrepartie financière. Le CPRA a élargi ce droit pour inclure le "partage", défini comme la mise à disposition d'informations personnelles à des fins de publicité comportementale inter-contextes, même sans échange monétaire. Cela capture de nombreuses pratiques de technologies publicitaires et d'analyse.
Quand le CPRA est-il entré en vigueur ?
Le CPRA est entré en vigueur le 1er janvier 2023, avec une période rétrospective au 1er janvier 2022. La CPPA a commencé l'application formelle le 1er juillet 2023. Les entreprises auraient dû mettre à jour leurs pratiques avant ces dates, mais les actions d'application peuvent faire référence aux pratiques de données de la période rétrospective.
Comparaisons connexes
Vérifiez votre conformité
Analysez votre site web par rapport à plusieurs réglementations en quelques minutes.