Préparation pour l’entrée en vigueur de la nouvelle loi de la Californie sur la protection des renseignements personnels

La California Consumer Privacy Act (CCPA) entre en vigueur dans moins de deux mois, soit le 1^er janvier 2020. Certaines organisations canadiennes pourraient y être assujetties, puisque, comme nous le verrons au point 1, la nouvelle loi californienne a une portée extraterritoriale. Pour s’y conformer, ces organisations devront observer de nouvelles exigences en matière de transparence (par exemple en ajoutant des avis sur leur site Web et en révisant leur politique sur la protection de la vie privée), revoir certaines pratiques en fonction de nouveaux droits à la vie privée et modifier leurs contrats avec leurs fournisseurs de services.

Contrairement à la loi canadienne (la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE), qui limite les amendes à des circonstances bien précises¹ et ne prévoit aucun droit privé d’action², la CCPA est assortie d’amendes salées :

• Pénalités : En vertu de la CCPA, le procureur général de la Californie peut intenter une poursuite civile contre une entreprise qui omet de remédier à une violation dans les délais prescrits³. Il peut réclamer une amende pouvant aller jusqu’à 2 500 $ US pour une violation non intentionnelle et jusqu’à 7 500 $ US pour une violation intentionnelle⁴;
• Droit d’intenter une action civile pour atteinte aux données : La CCPA permet aussi aux consommateurs d’intenter une poursuite civile contre les entreprises en cas d’atteinte à la sécurité de leurs données. Ils peuvent réclamer des dommages-intérêts allant de 100 $ à 750 $ US par incident, ou le montant des dommages réels si celui-ci est supérieur⁵.

Malgré son entrée en vigueur imminente, le gouvernement californien continue de modifier la loi. Par ailleurs, le 10 octobre, le procureur général de la Californie a publié le projet de règlement, qui vient préciser les droits et obligations que conférera la loi aux consommateurs et aux entreprises⁶.

Dans ce bulletin, nous présentons les mesures que devraient prendre les organisations canadiennes en vue de se conformer à la CCPA en sa forme actuelle.

1. Déterminer si vous êtes visé par la CCPA

La CCPA vise les organismes à but lucratif (i) qui font affaire en Californie⁷, (ii) qui recueillent des renseignements personnels sur les ménages et les consommateurs californiens (définis essentiellement comme des résidents de la Californie) et (iii) qui, soit :

• ont un revenu annuel brut de plus de 25 millions $ US⁸;
• achètent, reçoivent, vendent ou transmettent les renseignements personnels de plus de 50 000 résidents de la Californie;
• tirent 50 % ou plus de leur revenu annuel de la vente de renseignements personnels de résidents de la Californie.

La CCPA définit la « vente » comme la communication des renseignements personnels d’un consommateur à une autre entreprise ou à un tiers en échange d’une valeur pécuniaire ou d’une autre contrepartie de valeur. La notion de « vente » n’a pas encore été précisément circonscrite, mais de nombreux commentateurs estiment qu’elle doit être interprétée au sens large et qu’une entreprise qui permet à un tiers de placer des témoins publicitaires sur son site Web s’adonnerait effectivement à la vente de renseignements personnels. Ainsi, si le site est visité par 50 000 résidents de la Californie par année (moins de 150 visiteurs par jour en moyenne), l’organisation serait assujettie à la CCPA, quel que soit son chiffre d’affaires.

Au sens de la CCPA, le terme « consommateur » englobe les employés. Cependant, la loi ne s’appliquera que de façon restreinte aux renseignements personnels des employés avant le 1er janvier 2021. Jusqu’à cette date, en ce qui concerne les employés, les entreprises auront comme seule obligation de les aviser au moment de la collecte (voir les détails en annexe), et les employés n’auront aucun droit en vertu de la CCPA⁹ autre que le droit d’action privée en cas d’atteinte à la sécurité de leurs données.

2. Mettre en place des processus permettant aux consommateurs de la Californie d’exercer leurs droits en vertu de la CCPA et les aviser de ces droits (y compris sur votre site Web)

La CCPA crée de nouveaux droits pour le consommateur que nous décrivons plus en détail à l’annexe. Dans le tableau ci-dessous, nous les comparons aux droits correspondants de la LPRPDE, s’il en est.

Droit	Comparaison avec la LPRPDE
Droit d’être informé de la collecte de ses renseignements personnels	À la demande d’un consommateur, une organisation doit fournir de l’information précise sur les renseignements personnels qu’elle a recueillis à son sujet, vendus à un tiers ou communiqués à un fournisseur de services. Ce droit est semblable au droit d’accès de la LPRPDE, mais la CCPA et le règlement proposé établissent très précisément l’information à fournir et ne donnent pas le droit à une personne d’obtenir une copie des documents réels (malgré le droit d’accès mentionné ci-dessus).
Droit d’être informé de la vente de ses renseignements personnels
Droit de refuser la vente de ses renseignements personnels	Ce droit est semblable à certains égards au droit de retirer son consentement de la LPRPDE, mais se limite à la « vente » de renseignements personnels. Les entreprises doivent afficher un lien « Ne pas vendre mes renseignements personnels » sur la page d’accueil de leur site Web.
Droits d’accès et à la portabilité des données	Le droit d’accès est semblable à celui de la LPRPDE, quoique celle-ci ne prévoit aucune exception. La LPRPDE ne prévoit aucun droit semblable à l’heure actuelle, mais la Charte numérique récemment adoptée par le gouvernement du Canada laisse croire qu’un droit à la « mobilité des données » pourrait éventuellement y être ajouté1 . Notons qu’un droit à la portabilité des données est prévu par le Règlement général sur la protection des données (RGPD) européen.
Droit de consentir à la vente de renseignements personnels des enfants	La LPRPDE ne prévoit aucun droit semblable, mais les Lignes directrices pour l’obtention d’un consentement valable publiées en 2018 décrivent la manière dont les organisations doivent obtenir le consentement de mineurs.
Droit à la suppression des données	La LPRPDE ne prévoit aucun droit semblable à l’heure actuelle, mais la Charte numérique récemment adoptée par le gouvernement du Canada laisse croire qu’un droit à la suppression des données pourrait éventuellement y être ajouté1. Ce droit se rapproche du droit à l’effacement du RGPD. Notons qu’il comporte de nombreuses exceptions, dont quelques-unes sont semblables à celles du RGPD.
Droit de ne pas subir de discrimination	Un parallèle peut être fait entre ce droit et l’interdiction, prévue dans la LPRPDE, d’obliger une personne à consentir à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. La CCPA comporte toutefois des exigences plus précises.

3. Exigences en matière de transparence : avis de collecte et politique sur la protection de la vie privée

Comme la LPRPDE, la CCPA oblige les organisations à la transparence. La CCPA est toutefois beaucoup plus normative en ce qui concerne l’information que les organisations doivent fournir au sujet de leurs pratiques en matière de renseignements personnels. On y retrouve deux concepts similaires : l’avis de collecte¹² et la politique sur la protection de la vie privée¹³. Selon le règlement proposé, l’avis de collecte peut être inclus dans la politique sur la protection de la vie privée¹⁴.

a. Avis de collecte

La CCPA exige qu’avant ou au moment de recueillir les renseignements d’un consommateur, une entreprise lui fournisse un avis contenant :

•  une liste des catégories de renseignements personnels qui seront recueillis;
• les fins de la collecte pour chaque catégorie.

Si l’entreprise souhaite recueillir des renseignements personnels d’une autre catégorie ou les utiliser à d’autres fins, elle devra en aviser le consommateur au préalable.

Le règlement proposé précise que cet avis doit être aisément accessible et facile à comprendre pour le consommateur moyen. Le règlement proposé énonce diverses exigences à cet égard¹⁵. L’avis doit notamment être visible ou accessible à un endroit où le consommateur le verra avant que ses renseignements personnels soient recueillis, par exemple sous forme de lien sur la page d’accueil du site Web¹⁶.

Les entreprises qui ne recueillent pas de renseignements personnels directement du consommateur ne seront pas tenues de fournir un avis de collecte. Par contre, elles auront certaines obligations si elles décident de les vendre¹⁷. Quoique plus spécifiques et limitées à des circonstances particulières, les obligations de la CCPA sont comparables à celles qu’impose la LPRPDE aux organisations qui obtiennent le consentement du consommateur par l’intermédiaire d’un tiers qui est en relation directe avec lui.

b. Politique sur la protection de la vie privée

Les entreprises visées par la CCPA doivent réviser leur politique externe sur la protection de la vie privée tous les 12 mois et s’assurer qu’elle contient les renseignements suivants¹⁸ :

• Au moins une méthode de demande prévue par la CCPA¹⁹.
• Une description des droits suivants :
• droit d’être informé de la collecte de ses renseignements personnels;
• droit d’être informé de la vente de ses renseignements personnels;
• droit de ne pas subir de discrimination;
• droit de refuser la vente de ses renseignements personnels et lien vers la page Web « Ne pas vendre mes renseignements personnels »²⁰.
• Les catégories de renseignements personnels recueillis par l’entreprise dans les 12 derniers mois²¹. Selon le règlement proposé, la politique devra également indiquer la ou les sources des renseignements, les fins auxquelles ils seront utilisés et un lien vers un portail ou un formulaire de demande d’information sur les renseignements recueillis, ainsi que la marche à suivre pour soumettre une demande²².
• Une liste des catégories de renseignements personnels que l’entreprise a vendus dans les 12 derniers mois (si elle n’a vendu aucuns renseignements personnels dans les 12 derniers mois, elle doit le mentionner)²³.
• Une liste des catégories de renseignements personnels que l’entreprise a communiqués à des fins commerciales dans les 12 derniers mois (si elle n’a communiqué aucuns renseignements personnels à des fins commerciales dans les 12 derniers mois, elle doit le mentionner)²⁴.

La politique sur la protection de la vie privée doit :

• indiquer si l’entreprise vend les renseignements personnels de personnes de moins de 16 ans sans autorisation²⁵, ainsi que la procédure de consentement à la vente de ces renseignements²⁶;
• expliquer le droit du consommateur de demander la suppression de ses renseignements personnels et fournir un lien vers un portail ou un formulaire de demande d’information sur les renseignements recueillis, la marche à suivre pour soumettre une demande et une description du processus de traitement²⁷.

4. Réviser les contrats avec les fournisseurs

Les entreprises qui engagent des fournisseurs pour traiter des renseignements personnels doivent conclure avec eux des contrats utilisant un libellé précis pour que les fournisseurs soient tenus responsables de leurs violations à la CCPA. La LPRPDE énonce le principe de responsabilité autrement : l’organisation demeure responsable des renseignements personnels transmis à des tiers aux fins de traitement et doit veiller à ce que ses contrats avec les fournisseurs de services protègent adéquatement les renseignements²⁸.

Le libellé nécessaire pour transférer la responsabilité dépend du type de fournisseur auquel les renseignements personnels sont communiqués. La CCPA en distingue deux : (i) les « fournisseurs de services » et (ii) les « personnes » exclues de la définition de « tiers ». Les deux types de fournisseurs ont la même fonction principale, soit de traiter des renseignements personnels pour le compte d’une entreprise conformément à un contrat écrit²⁹, mais diffèrent quant à la nature de l’entité qui fournit les services et aux limitations contractuelles devant être imposées pour transférer la responsabilité au fournisseur.

Dans la CCPA, le sens de « personnes » est plus large que celui de « fournisseurs de services ». Le premier terme englobe diverses entités, comme les particuliers et « toute organisation ou tout autre groupe de personnes agissant de concert »³⁰, tandis que le second se limite à certains types d’organisations³¹.

Le contrat avec un « fournisseur de services » doit simplement lui interdire de conserver, d’utiliser ou de communiquer les renseignements personnels à des fins non liées aux services fournis ou autrement interdites par la CCPA³².

Pour transférer la responsabilité aux fournisseurs qui sont des « personnes » exclues de la définition de « tiers », les entreprises doivent s’assurer que les contrats conclus avec eux contiennent les clauses suivantes :

• interdiction de vendre les renseignements personnels;
• interdiction de conserver, d’utiliser ou de communiquer les renseignements personnels à des fins non liées aux services fournis;
• interdiction de conserver, d’utiliser ou de communiquer les renseignements personnels hors du cadre de la relation d’affaires directe entre les parties;
• confirmation par la personne qui reçoit les renseignements personnels qu’elle comprend les restrictions susmentionnées et qu’elle les respectera³³.

Une fois ces conditions remplies, le fournisseur devient le seul responsable de tout acte contraire à la CCPA³⁴, sauf si la partie qui lui a donné les renseignements personnels savait ou avait des raisons de croire, au moment où elle a donné les renseignements, que le fournisseur avait l’intention de commettre un tel acte³⁵.

Conclusion

De nombreuses organisations canadiennes qui exercent leurs activités en ligne seront vraisemblablement assujetties à la CCPA si elles recueillent les renseignements personnels de résidents de la Californie. Ces organisations doivent prendre note des diverses exigences de la CCPA et adopter un plan pour s’assurer de les respecter. Elles doivent également retenir que le droit d’action privée en cas d’atteinte à la sécurité des données peut donner lieu à des dommages-intérêts sans preuve de préjudice, et que les pouvoirs d’application dont dispose le procureur général de la Californie en vertu de la CCPA sont plus vastes que ceux conférés au CPVPC par la LPRPDE.

Enfin, les entreprises visées par la CCPA doivent savoir que la loi risque d’être modifiée avant son entrée en vigueur et que le règlement proposé le sera lui aussi vraisemblablement, et ont donc intérêt à surveiller l’évolution du dossier.

Annexe

Droit du consommateur	Obligation correspondante pour l’entreprise	Mode d’exercice du droit/obligation d’avis
Droit d’être informé de la collecte de ses renseignements personnels36	À la demande d’un consommateur, l’entreprise qui a recueilli ses renseignements personnels doit lui indiquer : les catégories37 de renseignements personnels et les renseignements précis recueillis par l’entreprise. Les catégories de renseignements personnels et les renseignements précis semblent désigner un sommaire des renseignements personnels recueillis plutôt que les données brutes sous-jacentes (qui sont couvertes à la section sur le droit d’accès ci-dessous); les sources des renseignements personnels recueillis; les fins de la collecte; les catégories de tiers à qui les renseignements personnels sont communiqués38. Les entreprises ont 45 jours pour répondre gratuitement aux demandes vérifiables qu’elles reçoivent.	Les entreprises doivent offrir au moins deux méthodes de demande, y compris un numéro de téléphone sans frais. Toutefois, les entreprises qui exercent leurs activités en ligne seulement et sont en relation directe avec les consommateurs peuvent ne fournir qu’une adresse courriel39. Dans tous les cas, l’entreprise doit aussi fournir l’adresse d’un site Web (si elle en exploite un)40.
Droit d’être informé de la vente de ses renseignements personnels ou de la communication de ses renseignements personnels à des fins commerciales41	À la demande d’un consommateur, l’entreprise qui vend ses renseignements personnels doit lui indiquer, pour les 12 derniers mois : les catégories de renseignements personnels du consommateur qui ont été vendus; les catégories de tiers auxquels les renseignements personnels ont été vendus (par catégorie de renseignements, pour chaque tiers à qui ils ont été vendus). À la demande d’un consommateur, l’entreprise qui communique ses renseignements personnels à des fins commerciales doit lui indiquer, pour les 12 derniers mois : les catégories de renseignements personnels du consommateur que l’entreprise a communiqués à des fins commerciales (à noter que la communication de renseignements personnels à des fins commerciales se rapporte habituellement aux contrats avec des fournisseurs).	Les entreprises doivent offrir au moins deux méthodes de demande, y compris un numéro de téléphone sans frais. Toutefois, les entreprises qui exercent leurs activités en ligne seulement et sont en relation directe avec les consommateurs doivent fournir une adresse courriel42. Dans tous les cas, l’entreprise doit aussi fournir l’adresse d’un site Web (si elle en exploite un)43.
Droit de refuser la vente de ses renseignements personnels44	À la demande d’un consommateur, une entreprise doit cesser de vendre ses renseignements personnels, à moins que le consommateur n’y consente expressément par la suite.	Les entreprises doivent afficher un lien « Ne pas vendre mes renseignements personnels » visible et évident sur la page d’accueil de leur site Web (ou sur une page distincte à l’intention des consommateurs de la Californie) qui mène à une page permettant au consommateur de retirer son consentement à la vente. Selon le règlement proposé, cette page doit comprendre un avis concernant le droit de refuser la vente de renseignements personnels, qui doit notamment comprendre45 : une description du droit de refus; le formulaire Web ou une autre méthode de retrait du consentement à la vente; un lien vers la politique sur la protection de la vie privée de l’entreprise. Cet avis doit être aisément accessible et facile à comprendre pour le consommateur moyen. Le règlement proposé énonce diverses exigences à cet égard46. Les entreprises devront fournir au moins deux méthodes de retrait du consentement à la vente, dont un formulaire Web interactif47. Les entreprises devront traiter les mesures de contrôle de la confidentialité activées par l’utilisateur (comme les modules d’extension et les paramètres de confidentialité d’un navigateur) comme une demande valide de retrait du consentement à la vente48.
Droit de consentir à la vente de renseignements personnels des enfants49	Une entreprise ne peut pas vendre les renseignements personnels de personnes de moins de 16 ans sans autorisation (elle doit obtenir le consentement des enfants de 13 à 16 ans, ou du parent ou tuteur si l’enfant a moins de 13 ans).	Pour les enfants âgés de moins de 13 ans, l’autorisation peut être obtenue par une méthode50 permettant de vérifier de façon raisonnable que la personne qui donne le consentement est bel et bien le parent ou le tuteur de l’enfant. Une fois l’autorisation légalement obtenue, l’entreprise doit informer la personne qui a donné le consentement de son droit de le retirer à une date ultérieure et de la marche à suivre, sauf si elle cible exclusivement des consommateurs de moins de 16 ans51.
Droit à la suppression des données52	Les entreprises doivent supprimer les renseignements personnels sur demande et en donner l’instruction à leurs fournisseurs de services, qui en ont eux aussi l’obligation. Diverses exceptions s’appliquent à cette obligation, notamment lorsque les renseignements personnels sont nécessaires pour : effectuer une opération contractuelle; fournir un bien ou un service demandé par le consommateur; détecter des incidents de sécurité; assurer la liberté d’expression; mener des recherches qui servent l’intérêt public; des usages exclusivement internes qui correspondent raisonnablement aux attentes du consommateur; respecter une obligation légale; d’autres utilisations internes des renseignements qui sont légales et compatibles avec le contexte dans lequel le consommateur les a transmis.	Les entreprises doivent offrir aux moins deux méthodes de demande53. L’une de ces méthodes doit correspondre à la principale manière dont l’entreprise interagit avec le consommateur, même si l’entreprise se trouve ainsi obligée de fournir trois méthodes de demande54. Pour les demandes en ligne, le processus doit se faire en deux étapes : le consommateur doit d’abord demander clairement la suppression de ses renseignements personnels, puis confirmer son choix55.
Droits d’accès et à la portabilité des données56	Les consommateurs ont un droit d’accès à leurs renseignements personnels ainsi qu’à la portabilité de leurs données. Les entreprises qui reçoivent une demande à cet effet doivent indiquer au consommateur les catégories de renseignements personnels et les renseignements précis qu’ils ont recueillis à son sujet dans les 12 derniers mois. Ces renseignements peuvent être transmis par la poste ou par voie électronique, auquel cas ils doivent l’être dans un format portable et, dans la mesure du possible sur le plan technique, facilement utilisable qui permet au consommateur de transmettre les renseignements à une autre entité sans entrave. Les renseignements doivent être transmis sans frais dans les 45 jours suivant la réception d’une demande vérifiable. La loi ne prévoit aucune exception à ces droits.	Les entreprises doivent offrir aux moins deux méthodes de demande, y compris un numéro de téléphone sans frais et un site Web (si l’entreprise en exploite un).
Droit de ne pas subir de discrimination liée à l’exercice des droits prévus par la CCPA57	Les entreprises ne peuvent exercer de discrimination contre un consommateur qui a fait valoir ses droits en vertu de la CCPA, notamment en lui refusant des biens ou des services, en lui demandant un prix différent ou en lui offrant des biens ou des services de qualité différente. Toutefois, une entreprise peut offrir un prix, un tarif ou un niveau de qualité différents si la différence est raisonnablement liée à la valeur des données du consommateur. Dans ce cas, l’entreprise doit fournir au consommateur un avis concernant l’incitatif financier.	L’avis concernant l’incitatif financier offert par une entreprise doit contenir58 : une brève explication de ce dernier ou de la différence sur le plan du prix ou du service offert (l’incitatif); une description des modalités de l’incitatif et des catégories de renseignements personnels visées; la façon de consentir à l’incitatif; un avis concernant le droit de retirer son consentement à l’incitatif et la façon d’exercer ce droit; les raisons pour lesquelles l’incitatif est autorisé par la CCPA, y compris une estimation de bonne foi de la valeur des données du consommateur et une description de la méthode utilisée59 pour la calculer. Le règlement proposé précise que cet avis doit être aisément accessible et facile à comprendre pour le consommateur moyen, et énonce diverses exigences à cet égard60. L’avis doit notamment être accessible en ligne, à un endroit où les consommateurs le verront avant de consentir à l’incitatif61.

---

¹ Voir l’article 28 de la LPRPDE. Par exemple, une organisation qui ne déclarerait pas une atteinte à la sécurité des données dont elle a connaissance est passible d’une amende de 100 000 $ CA.

² Aux termes de la LPRPDE, lorsqu’une personne dépose une plainte au Commissariat à la protection de la vie privée du Canada (CPVPC), celui-ci publie un rapport. Dans l’année suivant sa publication, le plaignant peut demander que la Cour fédérale entende toute question qui faisait l’objet de la plainte initiale – ou qui est mentionnée dans le rapport – et qui concerne des obligations imposées par la LPRPDE. La Cour fédérale peut alors : a) ordonner à l’organisation de revoir ses pratiques en vue de se conformer à la loi; b) lui ordonner de publier un avis énonçant les mesures prises ou envisagées pour corriger ses pratiques; c) accorder au plaignant des dommages-intérêts.

³ Code civil de la Californie, § 1798.155(a).

⁴ Code civil de la Californie, § 1798.155(b). On ne sait pas encore exactement ce qui constitue une violation.

⁵ Code civil de la Californie, § 1798.150.

⁶ Quoiqu’il permette de mieux comprendre comment la CCPA sera mise en œuvre, ce projet de règlement n’est pas encore définitif. En effet, en application de ses pouvoirs législatifs (voir § 1798.185 du Code civil de la Californie), le procureur général tiendra des audiences publiques et acceptera les commentaires écrits au sujet du projet de règlement jusqu’au 6 décembre 2019. L’adoption de la version définitive n’est pas attendue avant le printemps, et l’entrée en vigueur du règlement est prévue pour le 1er juillet 2020.

⁷ Cette phrase n’est pas définie, mais elle pourrait englober les entreprises sans présence physique qui font affaire en Californie en ligne.

⁸ Il n’est pas clairement indiqué si le revenu doit provenir de Californie, mais selon la plupart des observateurs, il serait question du revenu global.

⁹ Projet de loi no 25 de l’Assemblée.

¹⁰ Innovation, Sciences et Développement économique Canada, Renforcer la protection de la vie privée dans l’ère numérique – Propositions pour moderniser la Loi sur la protection des renseignements personnels et des documents électroniques.

¹¹ Innovation, Sciences et Développement économique Canada, Renforcer la protection de la vie privée dans l’ère numérique – Propositions pour moderniser la Loi sur la protection des renseignements personnels et des documents électroniques.

¹² Code civil de la Californie, § 1798.100(b).

¹³ Code civil de la Californie, §§ 1798.130(a)(5).

¹⁴ Règlement proposé, § 999.305(c).

¹⁵ Règlement proposé, § 999.305(a)(2).

¹⁶ Règlement proposé, § 999.305(a)(2). Lorsqu’une entreprise collecte les renseignements personnels d’un consommateur hors ligne, le règlement proposé indique qu’elle peut, par exemple, inclure l’avis sur un formulaire servant à recueillir les renseignements, fournir au consommateur une version papier de l’avis ou afficher de façon bien visible un avis le dirigeant vers une page Web où se trouve l’avis.

¹⁷ Règlement proposé, § 999.305(d).

¹⁸ Code civil de la Californie, §§ 1798.130(a)(5).

¹⁹ Code civil de la Californie, §§ 1798.130(a)(5)(A).

²⁰ Code civil de la Californie, §§ 1798.130(a)(5)(A).

²¹ Code civil de la Californie, §§ 1798.130(a)(5)(B).

²² Règlement proposé, § 999.308(b)(1).

²³ Code civil de la Californie, §§ 1798.130(a)(5)(C)(i).

²⁴ Code civil de la Californie, §§ 1798.130(a)(5)(C)(ii).

²⁵ Règlement proposé, § 999.308(b)(1).

²⁶ Règlement proposé, § 999.332(a).

²⁷ Règlement proposé, § 999.308(b)(2).

²⁸ De récentes décisions du Commissariat à la protection de la vie privée du Canada décrivent les mesures de protection que les organisations doivent inclure dans leurs contrats avec les tiers qui sont membres de leur groupe (voir le Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-001, par. 74) et les tiers qui ne sont pas membres de leur groupe (voir le Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-003, par. 41).

²⁹ Code civil de la Californie, § 1798.140(v)(w).

³⁰ Code civil de la Californie, § 1798.140(n).

³¹ Code civil de la Californie, § 1798.140(v). Les fournisseurs de services peuvent être des entreprises individuelles, des sociétés de personnes, des sociétés à responsabilité limitée, des sociétés par actions, des associations et d’autres entités juridiques organisées ou exploitées au profit de leurs actionnaires ou autres propriétaires.

³² Code civil de la Californie, § 1798.140(v).

³³ Code civil de la Californie, § 1798.140(w).

³⁴ Code civil de la Californie, §§ 1798.140(w), 1798.145(h).

³⁵ Code civil de la Californie, §§ 1798.140(w), 1798.145(h).

³⁶ Code civil de la Californie, §§ 1798.100(a)(b) et 1798.110(a).

³⁷ Pour ce qui est des « catégories » de renseignements personnels, l’entreprise doit utiliser les catégories indiquées dans la définition des renseignements personnels de la CCPA qui décrivent le mieux les renseignements visés.

³⁸ S’applique à la communication – pour reprendre le terme utilisé dans la LPRPDE – qui n’est pas assimilable à la vente et dont le destinataire n’est pas un fournisseur de services).

³⁹ Projet de loi AB-1564, § 1798.130(a).

⁴⁰ Projet de loi AB-1564, § 1798.130(a).

⁴¹ Code civil de la Californie, § 1798.115.

⁴² Projet de loi AB-1564, § 1798.130(a).

⁴³ Projet de loi AB-1564, § 1798.130(a).

⁴⁴ Code civil de la Californie, §§ 1798.120, 1798.135.

⁴⁵ Règlement proposé, § 999.306(c).

⁴⁶ Règlement proposé, § 999.306(a)(2).

⁴⁷ Règlement proposé, § 999.315(a).

⁴⁸ Règlement proposé, § 999.315(c).

⁴⁹ Code civil de la Californie, § 1798.120(d).

⁵⁰ Par exemple, demander un numéro de carte de crédit ou de débit ou utiliser un autre système de paiement en ligne, faire signer un formulaire de consentement sous peine de parjure ou obliger la personne à appeler un numéro de téléphone sans frais. Pour d’autres exemples, consulter le règlement proposé, § 999.330(a)(2).

⁵¹ Règlement proposé, §§ 999.330(b), 999.331(b), 999.332(b).

⁵² Code civil de la Californie, § 1798.105.

⁵³ Règlement proposé, § 999.312(b).

⁵⁴ Règlement proposé, § 999.312(c).

⁵⁵ Règlement proposé, § 999.312(d).

⁵⁶ Code civil de la Californie, §§ 1798.100(d).

⁵⁷ Code civil de la Californie, §§ 1798.125, 1798.135.

⁵⁸ Règlement proposé, § 999.307(b).

⁵⁹ Pour en savoir plus sur les méthodes pouvant être utilisées pour calculer la valeur des données d’un consommateur, voir les exemples énumérés dans le règlement proposé, § 999.337(b).

⁶⁰ Règlement proposé, § 999.307(a)(2).

⁶¹ Règlement proposé, § 999.307(a)(2)(e).