La loi californienne renforcée sur la protection de la vie privée arrive dans moins d’un mois, mais peu d’observateurs s’attendent à ce que toutes les règles nécessaires soient établies d’ici janvier. Cela met les entreprises en territoire flou sur la façon de naviguer dans la conformité.
“Il y a encore beaucoup de choses que nos clients attendent”, a déclaré Cassandre Gaedt-Sheckter, avocat spécialisé dans la protection de la vie privée chez Gibson, Dunn & Crutcher LLP. “Mais alors qu’ils entrent dans la nouvelle année, je pense que les entreprises essaient vraiment de se conformer à ce qu’elles comprennent à ce stade.”
Il n’y a pas de calendrier clair sur le moment où toutes les règles seront finalisées. Une première partie de la nouvelle réglementation est toujours en préparation et d’autres sujets de la loi doivent encore être abordés.
L’application de la nouvelle loi devrait commencer en juillet, mais les entreprises doivent encore s’y conformer lorsque la loi entrera en vigueur le mois prochain.
Les électeurs de l’État ont approuvé la California Privacy Rights Act en 2020. Elle étend les droits des consommateurs concernant la manière dont les entreprises collectent et utilisent les informations personnelles. Il modifie et met à jour le cadre actuel de l’État, le California Consumer Privacy Act, la première loi complète sur la protection de la vie privée du pays.
Chronologie retardée
Des retards dans l’élaboration des règles se sont déjà produits. Lors de la mise en place de la CCPA, le bureau du procureur général a également manqué la date limite mettre en œuvre les réglementations sous-jacentes. Le règlement final a quand même été mis en ligne en août 2020, un peu plus tard que la loi imposée Juillet 2020 date limite.
“Je ne pense pas que le ciel nous tombe nécessairement sur la tête si toutes les réglementations ne sont pas en place d’ici le 1er janvier, et elles ne le seront pas”, a déclaré un défenseur de la vie privée.
L’absence de règles définitives laisse les entreprises déterminer par elles-mêmes comment se conformer au mieux à la loi. Lorsque la version finalisée sortira, les entreprises n’auront peut-être que peu de temps pour s’adapter.
L’Agence californienne de protection de la vie privée a reconnu cette incertitude dans son dernier projet de règles. Lors de l’enquête sur une violation de la loi sur la confidentialité de l’État, l’agence a déclaré qu’elle pouvait prendre en compte le temps entre la date d’entrée en vigueur de l’exigence et le moment où la violation s’est produite.
Des «efforts de bonne foi» pour se conformer peuvent également être envisagés, selon le projet de règles.
Mais la Chambre de commerce de Californie, dans un commentaire partagé avec Bloomberg Law, a déclaré que ces assurances ne suffisaient pas. L’application devrait être repoussée à un an après l’entrée en vigueur de la réglementation, a fait valoir le groupe.
Les partisans de la loi sur la protection de la vie privée ne veulent cependant aucun délai d’application.
“Depuis novembre 2020, les entreprises ont dû se rendre compte que le paysage a changé de façon permanente autour de l’économie des informations personnelles en Californie”, a déclaré Alastair Mactaggart, président de Californians for Consumer Privacy et membre du CPPA, dans un commentaire passé. « Il est très malhonnête de leur part de prétendre maintenant que parce qu’ils ne connaissent pas le langage exact que prendra la réglementation, ils ne pourront pas se conformer à l’ACPL l’année prochaine.
Travail en cours
Début décembre, l’agence travaillait toujours sur des réglementations mettant en œuvre certaines des bases de la CPRA dans les règles de confidentialité actuelles, telles que l’ajout d’un droit du consommateur à corriger les informations personnelles ou la définition de nouvelles obligations entre les entreprises et leurs tiers. Une deuxième série de commentaires publics sur ces changements s’est terminée le mois dernier.
Il n’y a eu aucun projet de règlement sur d’autres sujets importants mentionnés dans la CPRA. Une réunion de l’agence le 16 décembre commencera ce processus. Les éléments sur lesquels les entreprises et les défenseurs souhaitent obtenir des conseils incluent :
- Les droits à la vie privée des travailleurs, qui seront mis en ligne le 1er janvier, changeront fondamentalement la façon dont les employeurs collectent et stockent les données des employés.
- De même, les règles de confidentialité commenceront également à s’appliquer aux interactions interentreprises le 1er janvier.
- Évaluations des risques, dans lesquelles une entreprise devra déterminer quelles activités de traitement de données présentent un risque pour les droits à la vie privée et dans quelle mesure. Les entreprises devront également mener des audits annuels de cybersécurité.
- L’utilisation de la prise de décision automatisée, ou IA, dans la collecte et l’utilisation des informations personnelles.
Pour le moment, les entreprises doivent suivre du mieux qu’elles peuvent la loi californienne sur les droits à la vie privée et tout projet de réglementation existant, a déclaré Gaedt-Sheckter. Ils devront probablement s’adapter lorsque les règles finales seront publiées.
Les règles de confidentialité des consommateurs sont plus claires car elles sont déjà décrites dans la première loi de l’État sur la confidentialité, a déclaré Susan KohnRoss, qui préside la pratique de confidentialité pour Mitchell Silberberg & Knupp LLP. Essayer de se conformer aux projets de réglementation peut ne pas avoir de sens tant que les entreprises suivent l’autre ensemble de règles. Cela peut coûter de l’argent si la réglementation finale finit par être différente.
“C’est le poteau indicateur jusqu’à ce que quelque chose change”, a déclaré Ross, se référant à l’actuel California Consumer Privacy Act. « Nous ne savons pas à quoi ressembleront ces règlements finaux. Et jusqu’à ce que nous les voyions, on ne sait pas quels sont les changements que les entreprises pourraient devoir subir. »
