CCPA vs LGPD : Comparaison des lois de Californie et du Brésil sur la vie privée
Le CCPA et la LGPD représentent des approches fondamentalement différentes de la réglementation de la vie privée. Le CCPA est une loi de type opt-out qui autorise la collecte de données par défaut et donne aux consommateurs le droit de refuser. La LGPD suit un modèle de consentement préalable plus similaire au RGPD, exigeant une base juridique avant de traiter des données personnelles. Ils diffèrent également en termes de portée, de sanctions et de droits accordés aux individus.
| Caractéristique | CCPA | LGPD |
|---|---|---|
| Portée géographique | Californie, États-Unis | Brésil (s'applique au traitement des données des personnes au Brésil) |
| À qui cela s'applique | Entreprises à but lucratif remplissant les critères de chiffre d'affaires, de volume de données ou de vente de données | Toute organisation traitant les données personnelles des personnes au Brésil, sans seuils minimaux |
| Exigences de consentement | Opt-out : collecte de données par défaut avec droit de refuser la vente | Consentement préalable : l'une des 10 bases juridiques requises, le consentement étant la plus courante |
| Règles sur les cookies et le suivi | Pas de loi spécifique sur les cookies ; la vente via le suivi déclenche des droits de refus | Pas de loi spécifique sur les cookies ; les principes de consentement s'appliquent aux cookies et au suivi |
| Droits individuels | Connaissance, suppression, refus de la vente, non-discrimination | Accès, correction, anonymisation, suppression, portabilité, information sur le partage, révision des décisions automatisées |
| Sanctions maximales | 7 500 $ par violation intentionnelle, 2 500 $ par violation non intentionnelle | Jusqu'à 2 % du chiffre d'affaires au Brésil, plafonné à 50 millions de BRL par infraction |
| Autorité de contrôle | Procureur général de Californie et CPPA | ANPD (Autoridade Nacional de Protecao de Dados) |
Principales différences
Le modèle de consentement est la différence la plus fondamentale. Le CCPA permet aux entreprises de collecter et d'utiliser les informations personnelles par défaut, donnant aux consommateurs le droit de refuser la vente de ces informations. La LGPD exige l'une des 10 bases juridiques avant de traiter des données personnelles, le consentement étant la plus courante. Cela signifie que la LGPD exige une permission affirmative dans de nombreux cas où le CCPA ne le ferait pas.
Les structures de sanctions diffèrent significativement. Les amendes du CCPA sont par violation (7 500 $ pour intentionnelle, 2 500 $ pour non intentionnelle), ce qui peut s'accumuler mais tend à être prévisible. Les sanctions de la LGPD sont basées sur un pourcentage, jusqu'à 2 % du chiffre d'affaires de l'entreprise au Brésil, plafonnées à 50 millions de BRL par infraction. Pour les entreprises avec d'importantes opérations au Brésil, les amendes de la LGPD peuvent être substantielles.
La portée diffère également. Le CCPA ne s'applique qu'aux entreprises à but lucratif remplissant des seuils spécifiques et ne protège que les résidents de Californie. La LGPD s'applique à toute organisation traitant des données personnelles de personnes situées au Brésil, quel que soit le lieu d'implantation de l'organisation et sans seuils de chiffre d'affaires ou de volume de données. Cette portée extraterritoriale est similaire au RGPD.
Comment Pryvii vous aide
Pryvii analyse votre site web par rapport aux exigences du CCPA et de la LGPD en une seule passe. Il vérifie les mécanismes de refus nécessaires en vertu du CCPA, les mécanismes de consentement requis par la LGPD et s'assure que votre politique de confidentialité couvre les deux cadres. Le rapport multi-réglementations met clairement en évidence les points où votre site est en défaut pour chaque loi.
Questions fréquemment posées
Si je suis conforme au CCPA, suis-je aussi conforme à la LGPD ?
Non. Le modèle opt-out du CCPA est fondamentalement différent de l'approche de consentement préalable de la LGPD. La conformité au CCPA seule ne satisfait pas les exigences de la LGPD. Vous devriez mettre en place des mécanismes de consentement, établir une base juridique pour le traitement et potentiellement désigner un DPO (encarregado) pour vous conformer à la LGPD.
La LGPD s'applique-t-elle à mon entreprise si je suis basé aux États-Unis ?
Oui, si vous traitez des données personnelles de personnes situées au Brésil. La LGPD a une portée extraterritoriale similaire au RGPD, s'appliquant quel que soit le lieu d'implantation de l'organisation de traitement. Si votre site web collecte des données de visiteurs brésiliens, la LGPD peut s'appliquer.
Quelle loi accorde le plus de droits aux consommateurs ?
La LGPD offre un ensemble plus large de droits individuels, comprenant l'accès, la correction, l'anonymisation, la suppression, la portabilité, l'information sur le partage avec des tiers et le droit de révision des décisions automatisées. Le CCPA offre les droits de connaissance, de suppression, de refus de la vente et de non-discrimination. Le cadre des droits de la LGPD est plus complet.
Comparaisons connexes
Vérifiez votre conformité
Analysez votre site web par rapport à plusieurs réglementations en quelques minutes.