RGPD vs CPRA : Comment la dernière loi californienne se compare
Le CPRA (California Privacy Rights Act) a modifié et élargi le CCPA à compter de janvier 2023. Bien qu'il ait rapproché le droit californien de la protection des données des normes du RGPD en ajoutant des principes de minimisation des données et de limitation des finalités, il maintient toujours le modèle de consentement par refus. Le CPRA a également créé la California Privacy Protection Agency (CPPA) en tant qu'organisme d'application dédié.
| Caractéristique | GDPR | CPRA |
|---|---|---|
| Portée géographique | Union européenne et États membres de l'EEE | Californie, États-Unis (en vigueur depuis janvier 2023) |
| À qui cela s'applique | Toute organisation traitant les données des résidents de l'UE | Entreprises à but lucratif remplissant les critères du CCPA, incluant désormais le partage en plus de la vente |
| Exigences de consentement | Opt-in : consentement affirmatif requis avant le traitement | Opt-out : les consommateurs peuvent refuser la vente et le partage d'informations personnelles |
| Règles sur les cookies et le suivi | Les cookies non essentiels nécessitent un consentement explicite préalable | Pas de règles spécifiques sur les cookies, mais la publicité comportementale inter-contextes déclenche des droits de refus |
| Droits individuels | Accès, rectification, effacement, portabilité, limitation, opposition | Connaissance, suppression, correction, refus de la vente/du partage, limitation de l'utilisation des IP sensibles, portabilité |
| Sanctions maximales | Jusqu'à 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial | Jusqu'à 7 500 $ par violation intentionnelle, appliqué par la CPPA et le procureur général |
| Autorité de contrôle | Autorités nationales de protection des données dans chaque État membre de l'UE | California Privacy Protection Agency (CPPA) et procureur général de Californie |
Principales différences
Le CPRA a introduit plusieurs concepts similaires au RGPD dans le droit californien. Il a ajouté des exigences de minimisation des données, ce qui signifie que les entreprises ne doivent collecter que les informations personnelles raisonnablement nécessaires à la finalité déclarée. Il a également introduit la limitation des finalités, exigeant des entreprises qu'elles informent les consommateurs de la durée de conservation des données et qu'elles ne les utilisent pas au-delà de la finalité initialement déclarée.
Un changement majeur a été la création de la catégorie des informations personnelles sensibles dans le cadre du CPRA. Celle-ci inclut les numéros de sécurité sociale, les détails des comptes financiers, la géolocalisation précise, l'origine raciale ou ethnique et les données biométriques. Les consommateurs peuvent limiter l'utilisation et la divulgation des informations sensibles. Le RGPD a un concept similaire avec ses catégories spéciales de données, bien que les catégories spécifiques diffèrent légèrement.
Le CPRA a également établi la California Privacy Protection Agency (CPPA), un organisme de réglementation dédié doté de pouvoirs de réglementation et d'application. Auparavant, l'application du CCPA incombait uniquement au procureur général de Californie. L'application du RGPD est assurée par les autorités de protection des données de chaque État membre, dont beaucoup existent depuis des décennies.
Comment Pryvii vous aide
Pryvii détecte si votre site web répond aux exigences les plus récentes du CPRA, y compris la vérification des déclarations relatives aux informations personnelles sensibles, les politiques de conservation des données et la présence de liens de refus pour la vente et le partage d'informations personnelles. Il compare votre site aux normes du RGPD et du CPRA en une seule analyse.
Questions fréquemment posées
En quoi le CPRA diffère-t-il du CCPA ?
Le CPRA a élargi le CCPA en ajoutant des exigences de minimisation des données et de limitation des finalités, en créant une catégorie d'informations personnelles sensibles, en établissant l'agence d'application CPPA, en ajoutant des droits de correction et en étendant les droits de refus pour couvrir le partage de données pour la publicité comportementale inter-contextes.
La conformité au CPRA signifie-t-elle que je suis aussi conforme au RGPD ?
Pas nécessairement. Bien que le CPRA se soit rapproché du RGPD, il utilise toujours un modèle de refus plutôt que d'adhésion. Le RGPD exige un consentement explicite avant le traitement des données, accorde des droits plus étendus aux personnes concernées et applique des bases juridiques différentes pour le traitement. Vous devez traiter chaque réglementation séparément.
Qu'est-ce qui est considéré comme information personnelle sensible en vertu du CPRA ?
Le CPRA définit les informations personnelles sensibles comme les numéros de sécurité sociale, les numéros de permis de conduire, les informations de compte financier, la géolocalisation précise, l'origine raciale ou ethnique, les croyances religieuses, l'appartenance syndicale, le contenu des courriers/e-mails/SMS, les données génétiques, les données biométriques, les informations de santé et les données sur l'orientation sexuelle.
Comparaisons connexes
Vérifiez votre conformité
Analysez votre site web par rapport à plusieurs réglementations en quelques minutes.