Il y a une différence de fonds entre l’Europe et les Etats-Unis sur ce que doit être la protection des données personnelles. L’Union Européenne protège globalement les personnes contre les abus alors que les Etats-Unis protègent contre l’exploitation commerciale des données. Si on résume les différences entre ces 2 textes (l’un de 21 pages et l’autre de plus de 85 en anglais), on peut les regrouper en 3 catégories : les personnes couvertes, les organisations concernées, les droits et les sanctions encourues.
1- Le « California Consumer Privacy Act » (CCPA) se focalise sur les « consumers » Californiens ce qui pourrait laisser à penser : « consommateurs résidents en Californie » et non pas, comme le RGPD, tous les résidents de l’Union Européenne. Cependant, la définition du « consumer » étant : « a natural person who is a California resident ». Le CCPA s’applique donc concrètement à tous les résidents Californiens, étant sous-entendu que tout individu est un consommateur potentiel. Ce texte se concentre en revanche sur les « businesses » donc sur le terrain commercial.
2- Alors que les organisations concernées par le RGPD sont toutes celles qui traitent des données personnelles en masse. Il s’agit des entreprises mais également toutes les administrations ou associations. Dans le cas de la Californie, le CCPA parle de « Businesses » donc d’entités commerciales qui réalisent au moins 1 des 3 conditions suivantes dans l’état de Californie: A/ réalise plus de 25 millions de dollars de chiffre d’affaires ; B/ traite des données personnelles à usage commercial de plus de 50 000 consommateurs, ménages ou périphériques ; C/ réalise plus de 50% de son revenu annuel de la vente de données personnelles de consommateurs ;
3- Les sanctions encourues sont également différentes. Le RGPD impose une sanction maximale de 4% du chiffre d’affaires mondial ou 20 Millions d’euros. Le CCPA n’émet pas de sanction maximale mais édicte des valeurs par violation : entre $2 500 et $7 500 selon que la violation soit volontaire ou involontaire. Ainsi selon certains experts américains de l’IAPP, l’amende que Facebook aurait pu subir suite au scandale « Cambridge Analytica » serait de $61,5 milliards (24,6 millions de clients Californiens multiplié par $2 500). De plus, le CCPA précise que les consommateurs peuvent également poursuivre les contrevenants sous certaines conditions.
Là où l’Europe est très large dans son champ d’application de la réglementation, l’état de Californie ne cible que les abus des entreprises commerciales sur les consommateurs. Si demain une organisation religieuse ou politique se mettait à traiter illégalement des données issues des réseaux sociaux, serait-elle concernée par le CCPA ?