Chronique
Numérique

CCPA et Cloud Act, que faut-il en retenir ?

27/07/2018
Joseph Smallhoover, associé chez Bryan Cave Leighton Paisner
Dans une chronique, Joseph Smallhoover, associé chez Bryan Cave Leighton Paisner, revient sur l'essentiel de ces deux textes adoptés aux États-Unis. La California Consumer Privacy Act (CCPA) et le Cloud Act forment-ils le RGPD américain ?

Deux lois américaines concernant la protection des données personnelles ont été adoptées récemment aux États-Unis, l’une par la Californie – la CCPA (California Consumer Privacy Act of 2018), l’autre par le Congrès fédéral – la loi CLOUD (Clarifying Lawful Overseas Use of Data). Ces deux lois marquent des changements importants dans la législation américaine concernant les données privées et leur traitement.

La Loi CCPA de 2018

A la différence de la Constitution fédérale américaine, la Constitution de la Californie accorde expressément un droit à la vie privée. La loi californienne dans sa version existante avant l’adoption à la fin du mois de juin 2018 de la CCPA, prévoyait la confidentialité des données personnelles dans divers contextes et exigeait que les victimes de piratages et autres failles de sécurité soient notifiées si leurs données personnelles étaient compromises ou risquaient de l’être.

  • Droits

A compter du 1er janvier 2020, la CCPA accorde à toute personne ayant sa résidence ou son domicile en Californie le droit de demander à toute entreprise (peu importe le lieu de son activité) collectant des données personnelles de Californiens (résidents ou domiciliés en Californie) de divulguer :

  • les catégories et la nature de ces données personnelles qu’elle recueille,
  • les catégories de sources à partir desquelles ces informations sont collectées,
  • les finalités commerciales de la collecte ou de la vente des informations,
  • et les catégories de tiers avec lesquelles les informations sont partagées.

Au moment de l’entrée en vigueur de la CCPA, toute personne entrant dans le champ d’application de cette loi, aura le droit de demander la suppression de ses données personnelles. Par ailleurs, les personnes concernées par la CCPA auront le droit de demander à une entreprise qui vend leurs données personnelles, ou les communique à des fins commerciales, qu’elle les informe sur les catégories d’informations qu’elle recueille et l’identité des tiers auxquels les informations ont été vendues ou divulguées.

La CCPA :

  • obligera alors une entreprise à fournir cette information en réponse à une demande de l’intéressé,
  • autorisera l’intéressé à refuser la vente de ses données personnelles par l’entreprise,
  • interdira l’entreprise de discriminer ce dernier pour avoir exercé son droit, notamment en facturant celui-ci un prix différent ou en lui refusant la qualité des biens ou des services, sauf si la différence de prix est raisonnablement liée à la valeur des données de celui-ci.

Toutefois, la CCPA autorise les entreprises à offrir des incitations financières aux intéressés pour la collecte de données personnelles. Par ailleurs, la loi interdit, en général, la vente de données personnelles de personnes de moins de 16 ans.

La CCPA définit les « données personnelles » par une longue liste de caractéristiques et de comportements personnels, commerciaux et même collectifs s’il s’agit d’un foyer familial par exemple, ainsi que les déductions tirées de ces informations.

  • Recours

La CCPA prévoit la possibilité d’action publique par le procureur général de la Californie (Attorney General), mais admet également la possibilité d’actions privées, notamment dans certains cas d’accès non autorisés et d’exfiltration, de vol ou de divulgation de données personnelles cryptées ou non.

La possibilité de class actions (actions de groupe) potentiellement coûteuses est prévue par la CCPA ; en effet la CCPA prévoit des indemnités pour le consommateur de 100 US$ à 750 US$ par personne et par incident constaté, à moins que le procureur général n’interdise cette class action et n’initie une action publique.

Dorénavant, toute entreprise traitant avec les Californiens devra faire attention à ses obligations découlant de la CCPA car le non-respect de ses dispositions pourrait conduire à de lourdes condamnations.

La Loi fédérale CLOUD

La nouvelle loi fédérale dite « CLOUD » répond aux défis rencontrés par les autorités américaines pour accéder à des données de communication aux États-Unis et à l’étranger et clarifie les obligations des fournisseurs de services de communication en matière de sécurisation et de divulgation de ces données de communication.

La loi CLOUD apporte une réponse non seulement à la question pendante devant la Cour suprême des États-Unis dans l’affaire « États-Unis c/ Microsoft » – si le gouvernement américain peut exiger ou non d’un fournisseur de services de communication basé aux États-Unis d’accéder et de communiquer des données stockées à l’étranger – mais permet également aux autorités gouvernementales étrangères d’accéder plus facilement aux données de communication sous le contrôle des fournisseurs de services de communication américains stockées aux États-Unis sans recourir à la voie existante des traités d’entraide juridique (« MLAT ») critiquée pour ses lenteurs.

En réponse à l’affaire Microsoft, la loi CLOUD modifie le Titre II de la Electronic Communications Privacy Act de 1986 en précisant que les fournisseurs qui relèvent du champ d’application de la loi doivent conserver et divulguer les enregistrements de leurs abonnés en leur possession ou sous leur contrôle, indépendamment du fait que ces communications, enregistrements ou autres informations se trouvent aux États-Unis ou non.

Par conséquent, un fournisseur situé aux États-Unis ne peut plus refuser de donner accès aux autorités américaines aux informations relatives à une communication stockée à l’extérieur des États-Unis si le fournisseur a le contrôle de cette communication et ces informations.

La loi CLOUD prévoit toutefois que via une requête en annulation, un mandat de divulgation d’une telle information, stockée à l’extérieur des États-Unis, soit modifiable ou annulable si cette divulgation a comme résultat l’effraction par le fournisseur des lois d’un « gouvernement étranger qualifié ». Il s’agit des lois d’un pays « offr[ant] des protections substantielles et procédurales pour la vie privée et les libertés civiles », en particulier en matière de collecte de données et de cybersécurité, et qui a conclu un accord avec les États-Unis.

En vertu de la loi CLOUD, ces « gouvernements étrangers qualifiés » peuvent déposer des demandes de communication d’informations portant sur des personnes non américaines, si ces informations se trouvent aux États-Unis. Les fournisseurs de services de communication devront alors fournir ces informations sans obtenir un mandat judiciaire préalable ou que cette demande soit examinée par un tribunal américain.

Les organisations de protection des droits à la vie privée critiquent la loi CLOUD qui selon elles permettrait aux gouvernements étrangers d’espionner des personnes de manière arbitraire et sans aucune garantie judiciaire. De manière plus générale, la loi CLOUD fait l’objet de critiques substantielles, en ce qu’elle porterait atteinte aux libertés civiles fondamentales en contournant les lois sur la protection des données et la vie privée, en particulier dans l’Union Européenne.

Joseph Smallhoover
Ecrit par
Sophie Bridier
Mots-clés