Le règlement général sur la protection des données de l’Union européenne (UE) (Le RGPD) et la California Consumer Privacy Act (CCPA) présentent de nombreuses similitudes: elles ont été introduites à peu près au même moment, elles donnent toutes deux aux consommateurs des droits plus étendus sur leurs données et elles ont toutes deux des répercussions à l’échelle mondiale – mais il existe également des différences importantes.
Alors, quelles sont les principales différences entre le RGPD et le CCPA ? Comment pouvez-vous être sûr que votre site Web est conforme?
CCPA vs RGPD
| Area | CCPA | GDPR |
|---|---|---|
| Scope | For-profit business trading in California with gross annual revenue over $25 million, or processing data of over 50,000 consumers, households or devices or deriving over 50% of annual revenue from selling consumer data Non-profits controlled by a for-profit parent company are also covered | Data controllers and processors either established in the EU or located outside the EU but processing the data of EU data subjects in connection with selling goods or services or monitoring consumer behavior in the EU |
| Beneficiaries of protection | California residents, including where they are travelling out of state | Data subjects, meaning where data relates to identified or identifiable individuals. |
| Type of information | Personal information - this identifies, relates to, describes or is capable of being associated with, or may reasonably be linked (directly or indirectly) to a particular consumer or household. Some categories of personal information are identified as falling within the definition | Personal data - information relating to an identified or identifiable subject. Some categories of personal data can only be processed if a lawful justification can be found |
| Privacy notice | Privacy notice must confirm what categories of personal data are collected and for what intended purpose. Third parties must give consumer the opportunity to opt out of their data being re-sold | Data controllers must provide detailed information about how data is collected and processed, including whether third parties are involved |
| Right to access | Consumers can request disclosure of their data, which must be provided free of charge in a portable format | Data subjects can access their data following a written request, which must be provided in a portable format |
| Right to delete | Consumers can request the deletion of their data, although there are some grounds for organizations to refuse | Data subjects can request erasure of personal data if it falls within one of six circumstances |
| Right to correct | Consumers can ask for incorrect data about them to be corrected | Data subjects can ask for incorrect data about them to be corrected |
| Right to refuse | Consumers can opt out of their data being processed for particular purposes such as direct marketing, profiling and research | Consent must be given before personal data is collected and this can be withdrawn subsequently |
| Right to opt out of third party sales | Users must be given the opportunity to opt out of consumers’ personal information being sold on to third parties | No specific right to opt out of third party sales but data subjects can opt out of processing data for marketing and withdraw consent for data processing |
| Freedom from discrimination | Individuals have the right to freedom from discrimination where they exercise CCPA rights, for example withholding services if an individual opts out of data collection | The right not to be discriminated against is not explicitly stated |
| Security controls | Data security requirements are not contained in the CCPA but if a business violates its duty to implement reasonable security practices, individuals may be able to seek damages | Data controllers and processors are required to select appropriate technical and organizational measures to manage security risk |
| Enforcement | Breaches can be punished by a fine applied by the California Attorney General of up to $2,500 per violation or $7,500 for intentional violations. There is no cap on the total fine amount. Businesses are given 30 days to rectify breaches before fines are assessed. Individuals can only bring a lawsuit privately where businesses can be shown to be in violation of their duty to implement reasonable security procedures and only for a specific category of personal information, which excludes redacted or encrypted data | Fines are capped at €20 million or 4% of annual global turnover. Individuals can also take court action seeking compensation from a data controller or processor |
Les droits des individus pour le CCPA et le RGPD
Bien que les deux lois s’appliquent à des juridictions différentes, elles partagent certaines similitudes en ce qui concerne les droits qu’elles accordent aux individus.
Droit d’être informé
Le CCPA et le RGPD exigent que les entreprises informent les individus de la collecte, de l’utilisation et du partage de leurs informations personnelles. Cela inclut la fourniture d’un avis de confidentialité et la spécification des finalités pour lesquelles les données seront traitées.
Droit d’accès
Les individus ont le droit de demander l’accès à leurs informations personnelles détenues par une entreprise en vertu de la CCPA et du RGPD. Cela leur permet de voir quelles données sont traitées et de vérifier leur exactitude.
Droit de rectification
Pour se conformer au RGPD, les individus ont le droit de demander la correction d’informations personnelles inexactes ou incomplètes. Bien que le CCPA ne prévoie pas explicitement ce droit, les entreprises peuvent toujours avoir besoin de corriger des données inexactes pour se conformer à d’autres exigences du CCPA.
Droit à l’effacement/suppression
Le CCPA et le RGPD accordent aux individus le droit de demander la suppression de leurs informations personnelles dans certaines circonstances, par exemple lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou si la personne retire son consentement.
Droit à la portabilité des données
Le RGPD donne aux individus le droit d’obtenir leurs informations personnelles dans un format structuré, couramment utilisé et lisible par machine, leur permettant de les transmettre à un autre responsable du traitement. Le CCPA n’offre pas explicitement ce droit, mais il permet aux individus de demander leurs informations personnelles dans un format facilement utilisable.
Droit d’opposition/limitation du traitement
En vertu du RGPD, les individus peuvent s’opposer au traitement de leurs informations personnelles à des fins spécifiques, telles que le marketing direct, et peuvent demander des restrictions sur le traitement dans certaines situations. Le CCPA ne fournit pas de droit équivalent, mais exige que les entreprises honorent les demandes de consommateurs de ne pas vendre mes informations personnelles.
Droit de refuser la vente de renseignements personnels
Le CCPA donne aux consommateurs le droit de refuser la vente de leurs informations personnelles par une entreprise. Le RGPD n’a pas de disposition équivalente spécifique, mais les individus peuvent exercer leur droit de s’opposer au traitement sur la base d’intérêts légitimes ou à des fins de marketing direct, ce qui peut aboutir à un résultat similaire.
Droit à la non-discrimination
Le CCPA et le RGPD interdisent aux entreprises de discriminer les personnes qui exercent leurs droits à la vie privée. Cela inclut de facturer des prix différents, de fournir différents niveaux de service ou de refuser complètement des biens et des services.
Il est important de noter que ces droits ne sont pas absolus et peuvent faire l’objet d’exceptions, selon les circonstances spécifiques et les exigences légales.
Comprenez-vous les différences entre le CCPA et le RGPD ?
Le CCPA et le RGPD couvrent une grande partie du même territoire, mais il existe des différences importantes entre les deux régimes. Alors que de plus en plus de pays préparent leur propre législation sur les données, il est essentiel d’être au courant des détails de ce que vous devez faire pour répondre aux exigences du CCPA, vous conformer aux exigences de consentement du RGPD et à toutes les autres règles qui s’appliquent à vos opérations.
Pourquoi ne pas laisser CookieHub vous aider à gérer vos politiques en matière de cookies, afin que vous puissiez être sûr de répondre aux exigences dans différents endroits ?