Le California Consumer Privacy Act (CCPA), qui vise à protéger les données en ligne des Californiens, est entré en vigueur le 1er janvier dernier. Souvent qualifié de « RGPD californien », étant donné les nombreuses similitudes entre les deux lois, il s'agit de l'arsenal législatif le plus ambitieux adopté à ce jour par un État américain autour de la protection des données personnelles.

L'objectif du CCPA est simple, et très proche de celui du règlement général sur la protection des données européenne : permettre aux internautes du Golden State de savoir quelles données sont collectées sur eux, comment elles sont utilisées et avec qui elles sont partagées. Mais aussi de demander que ces données soient mises à jour, corrigées ou supprimées. Il offre également un cadre juridique permettant aux internautes de poursuivre en justice les entreprises en cas de fuite de données.

La loi californienne est par certains aspects moins contraignante que celle entrée en vigueur en Europe. Elle n'oblige pas les entreprises à nommer un délégué à la protection des données, ni à mener une étude préalable à leur collecte pour en évaluer les risques. Le Premier Amendement américain, garant de la liberté d'expression, rend en outre tout concept de droit à l'oubli impensable outre-Atlantique. Le consentement des internautes est aussi appréhendé de manière différente.

« Avec le RGPD, les internautes européens doivent donner leur consentement préalable avant que toute collecte de données puisse être