Du 4 au 6 mai 2022, l’Agence californienne de protection de la vie privée (“CPPA”) a tenu par vidéoconférence plusieurs séances publiques préalables à l’élaboration de la réglementation concernant la California Privacy Rights Act (“CPRA”). Au cours des séances, des intervenants allant des experts en protection de la vie privée et en cybersécurité aux associations commerciales et aux propriétaires de petites entreprises californiennes ont fourni des commentaires verbaux, des idées et des suggestions à l’ACPP alors qu’elle élaborait le prochain règlement de l’ACPR. Les sessions se sont concentrées sur un certain nombre de questions, notamment la prise de décision automatisée, la minimisation des données et la limitation des objectifs, les modèles sombres, les droits des consommateurs.par ex., les droits de retrait, la limitation de l’utilisation des informations personnelles sensibles), les audits de cybersécurité et les évaluations des risques. Les commentaires et les positions des intervenants variaient. Certaines des positions prises par les parties prenantes sont résumées ci-dessous:
- Prise de décision automatisée. De nombreux intervenants se sont dits préoccupés par la portée de l’expression « technologie décisionnelle automatisée ». »Certains intervenants ont exprimé leur appui à une définition large. D’autres intervenants ont demandé que l’APPC limite la portée à la technologie qui produit un « effet juridique ou similaire important », (par ex., a une incidence sur les antécédents de crédit du consommateur). Les intervenants ont également suggéré une approche à plusieurs niveaux fondée sur les risques avec des exigences plus strictes pour les outils qui recueillent et/ou traitent des informations sensibles ou effectuent une prise de décision automatisée qui constituerait un profilage .par ex., algorithmes de filtrage des locataires pour signaler les applications de location).
- Minimisation des données et limitation des finalités. Certains intervenants ont encouragé l’ACPP à fournir des directives solides et claires sur l’exigence de l’ADRC selon laquelle les entreprises doivent divulguer les fins auxquelles les renseignements personnels qu’elles recueillent seront utilisés, et il leur est interdit de recueillir d’autres catégories de renseignements personnels ou d’utiliser les renseignements personnels recueillis à des fins supplémentaires qui sont “incompatibles avec les fins divulguées pour lesquelles les renseignements personnels ont été recueillis ” sans donner d’avis supplémentaire. Les intervenants ont demandé des directives sur ce que l’APPC considère comme « incompatible », certains soutenant une interprétation stricte du terme pour inclure des fins auxquelles la personne moyenne ne s’attend pas raisonnablement.par ex., profilage invasif non lié à la fourniture du produit ou du service demandé par le consommateur ou partage volontaire avec les forces de l’ordre).
- Audits et évaluations de cybersécurité. Les intervenants ont généralement exprimé leur appui à l’obligation pour les entreprises de se soumettre à des audits et à des évaluations de cybersécurité. Certains intervenants ont exhorté l’ACPP à veiller à ce que le calendrier et la fréquence des évaluations des risques soient appropriés pour prévenir et atténuer les risques pour les particuliers avant qu’une entreprise ne traite des renseignements personnels. Certains intervenants ont suggéré que la LPPC exige des entreprises qu’elles mettent des évaluations des risques à la disposition du public. D’autres intervenants ont mis en garde l’ACPP contre le fait de fournir des lignes directrices claires, mais pas trop prescriptives, couvrant, par ex., quand des évaluations seraient nécessaires, à quoi les évaluations devraient ressembler et comment elles devraient être effectuées à des fins de conformité. Certains intervenants ont également demandé à la CPPA de tirer parti des exigences énoncées par d’autres lois, telles que la Loi sur la Protection des données des consommateurs de Virginie, la Loi sur la protection de la vie privée du Colorado et le Règlement général sur la protection des données de l’UE, afin que les entreprises multinationales puissent plus facilement se conformer à toutes ces exigences.
- Harmonisation avec d’autres régimes de réglementation et organismes de réglementation: De nombreux intervenants ont estimé que le règlement devrait s’harmoniser avec d’autres régimes de réglementation et ont exhorté l’ACPP à collaborer avec d’autres organismes de réglementation des États pour harmoniser le plus possible les exigences futures avec celles d’autres États.
À la suite de ces séances, l’ACPP commencera le processus officiel d’élaboration des règlements, mais la publication des règlements définitifs n’est pas prévue avant juillet 2023.