En vertu de la loi californienne sur la confidentialité des données personnelles des consommateurs (CCPA), les Californiens peuvent demander la suppression de leurs données personnelles, mais il existe des exceptions à cette règle que vous devez connaître.

Toutes les données personnelles ne doivent pas être supprimées.

Qui doit se conformer à la CCPA ?

La CCPA donne aux Californiens de nouveaux droits sur leurs données personnelles.

À partir du 1er janvier 2020, les organisations qui exercent leurs activités dans l’État de Californie sont tenues de se conformer à cette réglementation si :

  • Elles ont un revenu annuel brut supérieur à 22,64 millions d’euros
  • Elles traitent les données personnelles de 50 000 consommateurs ou plus
  • Si elles tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles.

Le droit de suppression des données personnelles de la CCPA

L’un des nouveaux droits accordés aux consommateurs californiens est le droit de faire supprimer leurs données personnelles.

La CCPA s’applique aux données qui identifient, concernent, décrivent ou peuvent être associées à un individu ou à un ménage, directement ou indirectement.

Lorsque les consommateurs exercent leur droit de suppression de leurs données personnelles, les organisations sont tenues de s’y conformer dans un délai de 45 jours. Mais il existe des exceptions à ce droit.

A noter toutefois que, si les données ne doivent pas être supprimées, le consommateur doit en être informé au plus tard 45 jours après la réception de la demande. Ce délai ne s’applique pas aux données contenues dans les systèmes d’archivage ou de sauvegarde.

La suppression des données personnelles stockées dans une archive ou une sauvegarde peut être retardée jusqu’à la prochaine consultation ou utilisation de l’archive ou de la sauvegarde.

Lorsqu’une demande de suppression de données est reçue, l’organisation concernée doit prendre des mesures raisonnables pour vérifier que la demande de suppression de données a été envoyée par la personne à laquelle elles se rapportent.

Voici maintenant les 9 exceptions au droit de suppression des données personnelles en vertu de la CCPA.

Exceptions au droit à la suppression des données selon la CCPA

Les entreprises ne sont pas tenues par la loi de supprimer les données nécessaires à l’exercice de 9 activités spécifiques suivantes.

Activités transactionnelles

Les données n’ont pas besoin d’être supprimées si elles sont nécessaires pour mener à bien la transaction pour laquelle elles ont été collectées ou pour fournir les biens ou les services qui ont été demandés par le consommateur.

Les données n’ont pas besoin d’être supprimées si elles sont « raisonnablement prévues dans le cadre de la relation commerciale continue d’une entreprise avec le consommateur, ou si elles sont nécessaires à l’exécution d’un contrat entre l’entreprise et le consommateur ».

Activités de sécurité

L’exception concerne également les données à caractère personnel, telles que celles contenues dans les journaux d’un serveur, et qui sont nécessaires pour détecter des incidents de sécurité, pour protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales.

En effet, les données qui permettent la poursuite des personnes responsables ne doivent pas être supprimées.

Erreurs

Les données à caractère personnel qui sont nécessaires pour déboguer, identifier ou réparer des erreurs ne doivent pas non plus être supprimées.

Liberté d’expression

Si la CCPA contribue à protéger la vie privée des consommateurs, cette mesure est considérée comme secondaire par rapport à la liberté d’expression.

Il n’est pas nécessaire de supprimer les données personnelles pour permettre l’exercice de la liberté d’expression, pour garantir le droit d’un autre consommateur à exercer son droit à la liberté d’expression, ou pour exercer un autre droit prévu par la loi.

Conformité à la CCPA

Les données personnelles ne doivent pas être supprimées si elles sont nécessaires pour assurer la conformité avec la loi californienne sur la protection de la vie privée dans le cadre des communications électroniques.

Conformité juridique

Les données personnelles ne doivent pas être effacées si elles doivent être utilisées dans le cadre d’une conformité juridique, telle que les lois sur la conservation des données.

Recherche menée dans l’intérêt public

Les informations personnelles des consommateurs qui sont utilisées pour des recherches menées dans l’intérêt public n’ont pas besoin d’être supprimées.

Cela comprend les données personnelles qui sont collectées et conservées pour des recherches scientifiques, historiques ou statistiques.

C’est également le cas si la suppression des données risque de nuire gravement à la réalisation d’une recherche, à condition que le consommateur ait préalablement donné son consentement pour que ses données personnelles soient utilisées à des fins de recherche.

Utilisations internes attendues

Les données ne doivent pas être supprimées si elles sont nécessaires pour permettre uniquement des utilisations internes raisonnablement alignées sur les attentes du consommateur sur la base de la relation du consommateur avec l’entreprise.

Autres utilisations internes

Les données à caractère personnel ne doivent pas être supprimées si elles sont nécessaires à d’autres utilisations internes qui, de manière licite, sont compatibles avec le contexte dans lequel le consommateur a fourni ses données personnelles.

Mise en œuvre de la conformité à la CCPA

Le procureur général de Californie est chargé de faire respecter la CCPA. Il a le pouvoir d’imposer des sanctions financières en cas de non-conformité à cette loi.

Le montant de la sanction peut aller jusqu’à plus de 2 260 euros par infraction ou plus de 6 790 euros pour une infraction intentionnelle.

Quant aux consommateurs californiens, ils sont autorisés à intenter des actions en justice contre les organisations en cas de violation de leurs données personnelles. Ils peuvent également réclamer des dommages-intérêts, dont le montant est compris entre 90 et 680 euros par violation de données.