Qui le CaCPA protège-t-il ? Qui doit se conformer ?

Tout consommateur, défini comme une « personne physique résidant en Californie ». Ceci est en outre défini comme :

• Toute personne se trouve dans l'État à des fins non transitoires ou temporaires
• Toute personne qui vit dans l'État mais qui se trouve actuellement ou occasionnellement en dehors de l'État à des fins temporaires ou transitoires

Cela signifie que les consommateurs voyageant ou ayant une résidence partielle dans d'autres États seraient protégés, tant que leur domicile est en Californie. Cela signifie également que la loi s'applique aux entreprises « business-to-consumer » (B2C) et « business-to-business » (B2B).

Une « entreprise » couverte est définie comme une entité à but lucratif qui remplit 1 des 3 conditions suivantes.

1. Gagne $25 millions ou plus de revenus annuels.
2. Contient les données personnelles d'au moins 50 000 personnes, foyers ou appareils.
3. Obtient au moins la moitié de ses revenus en vendant des données personnelles. Vendre, ce n'est pas seulement échanger des données contre de l'argent. La simple divulgation de données à un tiers si cela entraîne un gain financier est soumise à la loi.

CaCPA stipule qu'ils doivent également remplir les 4 conditions suivantes.

1. Être une entité commerciale légale organisée et exploitée à des fins lucratives.
2. Recueille les renseignements personnels des consommateurs ou demande à quelqu'un de les recueillir en son nom.
3. Détermine les finalités et les moyens du traitement des informations personnelles des consommateurs.
4. Fait des affaires en Californie

Toute « entreprise à but lucratif » réussissant ce test sera soumise à la loi, quelle que soit sa situation géographique. Selon iapp, on estime que la loi s'appliquera à plus de 500 000 entreprises américaines, dont la plupart sont des petites et moyennes entreprises. Cela aura également un impact sur les entreprises en dehors des États-Unis, tant qu'elles font leurs affaires en Californie.

Quelle est la sanction en cas de non-conformité ?

Pour les infractions intentionnelles non traitées dans les 30 jours, l'amende est de $2 500 à $7 500 par infraction (par exemple, par enregistrement dans la base de données). Violations involontaires non traitées dans les 30 jours, les consommateurs peuvent recouvrer des dommages-intérêts d'un montant non inférieur à cent dollars ($100) et non supérieur à sept cent cinquante ($750) par consommateur par incident ou dommages réels, selon le montant le plus élevé.

Vingt pour cent des amendes perçues par l'État seront affectées à un nouveau "Fonds pour la protection de la vie privée des consommateurs". Tous les fonds dépassant les frais de justice et de recouvrement peuvent être placés dans le fonds général de l'État de Californie.

D'où vient cette loi ?

Le CaCPA a été adopté à la hâte par la législation en seulement 7 jours et a été signé quelques heures seulement avant la clôture de la session législative californienne de 2017-2018. Rapide pour une loi aux ramifications aussi étendues.

Cette ruée faisait suite à une initiative de vote beaucoup plus stricte proposée par le promoteur immobilier de San Francisco Alistair Mactaggart. Mactaggart a dépensé $3,5 millions de son propre argent pour financer la mesure d'initiative n ° 17-0039 qui a reçu plus de 629 000 signatures, plus que nécessaire pour mettre la question au scrutin de novembre 2018.

Comment le CaCPA définit-il les « informations personnelles » ?

La définition de CaCPA des informations personnelles est beaucoup plus étendue que la définition des PII, elle s'aligne plus étroitement sur la liste plus large du RGPD. Il est défini comme "des informations qui identifient, se rapportent à, décrivent, sont susceptibles d'être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier". En plus des informations généralement incluses sous PII, cela inclut également :

• Données de géolocalisation
• Informations sur l'éducation
• Informations audio, électroniques, visuelles, thermiques ou similaires
• Informations professionnelles et d'emploi
• Adresses IP
• Activité Internet (c.-à-d. historique de navigation et de recherche, données de suivi Web)
• Alias
• Caractéristiques des classifications protégées en vertu de la loi californienne ou fédérale
• Informations commerciales (c.-à-d. registres des biens personnels, historique des achats)
• Inférences tirées de toute information contenue dans la définition

Pourquoi CaCPA

Quelques jours seulement avant que Mactaggart ne puisse certifier les signatures, les démocrates californiens ont accepté de pousser un projet de loi de compromis en échange de l'abandon de l'initiative. Les lobbyistes de l'industrie technologique pensent qu'ils auront une bien meilleure chance de contrôler le récit et l'impact ultime du CaCPA. Les lobbyistes de l'industrie ont accepté de ne pas s'opposer au projet de loi puisque l'initiative de vote beaucoup moins favorable avait de bonnes chances de passer plus tard dans l'année.

Qu'ont-ils obtenu pour leur conformité ?

• 18 mois de temps pour faire pression sur la façon de réécrire les détails du projet de loi.
• La législature CA peut modifier le CaCPA avec une majorité simple au lieu d'une super majorité 70% requise par le CA Consumer Privacy Act de 2018.
• CaCPA rend plus difficile pour les consommateurs de poursuivre les entreprises non conformes, donnant la majeure partie du contrôle de l'application au procureur général de l'État de Californie.
• CaCPA affecte plus d'entreprises, car il a abaissé le seuil de moitié pour les entreprises avec seulement $25 millions de revenus annuels.

"La politique de réglementation des données est complexe et a un impact sur tous les secteurs de l'économie, y compris l'industrie de l'Internet", a déclaré le groupe de pression de l'Internet Association. «Cela rend encore plus préoccupant le manque de discussion publique et de processus entourant ce projet de loi de grande envergure. Il est essentiel à l'avenir que les décideurs s'efforcent de corriger les inévitables ramifications négatives en matière de politique et de conformité que cet accord de dernière minute créera pour les consommateurs et les entreprises californiens.

Les gagnants et les perdants de ce morceau de législation (10 660 mots) n'ont pas encore été déterminés, en raison de la réécriture massive des détails en cours en ce moment. Il est très probable que le nouveau CaCPA amélioré s'appliquera principalement aux petites et moyennes entreprises, celles qui ne peuvent pas se permettre les prix élevés des lobbyistes et leurs dépenses massives. Ce projet de loi rédigé à la hâte et à peine revu par qui que ce soit d'autre que ses rédacteurs avec ses nombreuses fautes de frappe et son texte mal écrit a été approuvé par le gouverneur Brown le 28 juin.^e 2018. Le 24 août^e à peine 57 jours plus tard, les 45 premiers amendements sont arrivés. Ces modifications visaient principalement à corriger des erreurs techniques. Se préparer.

Sources : Projet de loi de l'Assemblée n° 375, iapp Le conseiller en confidentialité, New York Times, FairWarning