PiiBlur

La loi californienne sur la protection de la vie privée des consommateurs s'applique aux photos et aux vidéos tout comme elle s'applique aux bases de données et aux feuilles de calcul. Si votre entreprise collecte des images contenant des informations identifiables sur les résidents californiens, la CCPA crée des obligations spécifiques en matière de droits de divulgation, d'accès, de suppression et de désinscription.

De nombreuses entreprises comprennent le CCPA pour les données structurées (noms, e-mails, historique des achats) mais négligent complètement le contenu visuel. Ce guide explique comment le CCPA s'applique aux photographies et aux vidéos, en quoi il diffère du RGPD et quelles mesures prendre. Il s’agit d’orientations opérationnelles et non de conseils juridiques.

Comment le CCPA définit les informations personnelles sur les photos

La CCPA définit les informations personnelles de manière large : « les informations qui identifient, se rapportent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un foyer particulier ».

Selon cette définition, une image contenant un visage, une plaque d'immatriculation, un badge nominatif ou tout autre élément visuel identifiable est considérée comme une information personnelle. Le CCPA répertorie également les données biométriques – y compris les « images du visage » utilisées à des fins d’identification – comme catégorie d’informations personnelles.

Quand le CCPA s'applique à vos images

Le CCPA s’applique aux entreprises à but lucratif qui satisfont à l’un de ces seuils :

Revenu brut annuel supérieur à 25 millions de dollars
Achetez, vendez ou partagez les informations personnelles de 100 000 consommateurs, foyers ou appareils californiens ou plus par an
Tirer 50 % ou plus de vos revenus annuels de la vente ou du partage d'informations personnelles

Si votre entreprise répond à l'un de ces critères et traite des images contenant des informations identifiables sur les résidents californiens, la CCPA s'applique à ces images.

Le CCPA couvre les résidents de Californie, quel que soit l'endroit où le traitement a lieu. Une entreprise basée à New York qui traite des images de dashcam qui capturent les plaques d'immatriculation californiennes a toujours des obligations en vertu du CCPA.

CCPA vs RGPD pour les images : principales différences

Si vous utilisez déjà Conformité des images RGPD, comprendre où le CCPA diverge vous aide à éviter les lacunes.

Portée. Le RGPD s'applique à toute organisation traitant des données de résidents de l'UE, quelle que soit sa taille. Le CCPA s’applique uniquement aux entreprises atteignant les seuils de revenus ou de volume de données ci-dessus.

Base légale. Le RGPD requiert une base légale (consentement, intérêt légitime, etc.) avant le traitement. Le CCPA n’en exige aucune – il accorde plutôt aux consommateurs le droit de connaître, de supprimer et de se désinscrire après la collecte.

Modèle de consentement. Le RGPD nécessite généralement un consentement opt-in pour de nombreuses activités de traitement. Le CCPA utilise un modèle de désinscription : vous pouvez collecter et traiter des informations personnelles par défaut, mais les consommateurs peuvent refuser leur vente ou leur partage.

Droit de suppression. Les deux réglementations incluent des droits de suppression, mais les exemptions du CCPA sont plus larges. Les entreprises peuvent refuser les demandes de suppression lorsque les données sont nécessaires pour finaliser une transaction, détecter des incidents de sécurité, se conformer à des obligations légales ou pour certaines utilisations internes.

Application. Le RGPD est appliqué par les autorités de protection des données dans les États membres de l'UE. Le CCPA est appliqué par le procureur général de Californie et, en vertu des amendements de la CPRA, par la California Privacy Protection Agency (CPPA). Un droit d'action privé existe uniquement pour les violations de données impliquant des informations personnelles non cryptées ou non expurgées.

Sanctions. Les amendes RGPD atteignent 4% du chiffre d'affaires mondial. Les sanctions du CCPA sont de 2 500 $ par violation involontaire et de 7 500 $ par violation intentionnelle. Les poursuites pour violation de données dans le cadre du droit d'action privé peuvent entraîner des dommages-intérêts légaux allant de 100 $ à 750 $ par consommateur et par incident.

Étapes pratiques pour la conformité des photos CCPA

1. Inventoriez votre collection de données visuelles

Identifiez toutes les sources d'images et de vidéos de vos opérations : caméras de sécurité, caméras de véhicules, drones, téléchargements d'utilisateurs, photos d'employés et photographie immobilière. Documentez les informations identifiables capturées par chaque source.

2. Mettez à jour votre avis de confidentialité

Le CCPA vous oblige à divulguer les catégories de renseignements personnels que vous collectez au moment ou avant le point de collecte. Si vous collectez des images contenant des visages, des plaques ou d'autres données identifiables, votre avis de confidentialité doit l'indiquer. Inclure:

Les catégories d'informations personnelles collectées (ex : données biométriques, géolocalisation via les panneaux de signalisation, identifiants via les plaques d'immatriculation)
Les finalités de la collecte
Si les informations sont vendues ou partagées

3. Créez des workflows pour les droits des consommateurs

Les consommateurs californiens ont le droit de :

Sachez quelles informations personnelles vous avez collectées, y compris les images
Supprimer leurs informations personnelles, sauf certaines exceptions
Se désinscrire de la vente ou du partage de leurs informations personnelles
Non-discrimination pour l'exercice de leurs droits

Vous avez besoin d’un processus pour traiter ces demandes dans un délai de 45 jours. Pour les images, cela signifie localiser, récupérer et supprimer des données visuelles spécifiques liées à un consommateur.

4. Rédigez avant de partager ou de publier

Le moyen le plus efficace de réduire l’exposition au CCPA consiste à supprimer les informations identifiables des images avant qu’elles ne quittent votre contrôle. Une fois que vous partagez ou publiez une image non expurgée, vous avez distribué des informations personnelles, ce qui crée des obligations de divulgation et des complications de désinscription.

PiiBlur détecte 13 catégories de données personnelles dans les images et vidéos, notamment les visages, les plaques d'immatriculation, les cartes d'identité et les badges nominatifs. La suppression à la source élimine le suivi et la gestion en aval de ces informations personnelles.

5. Gérer le risque de violation de données

Le droit d'action privé du CCPA s'applique spécifiquement aux violations impliquant des « informations personnelles non cryptées et non expurgées ». Si les images de vos systèmes sont violées et contiennent des visages, des plaques ou d'autres identifiants non expurgés, vous vous exposez à des dommages-intérêts légaux allant de 100 $ à 750 $ par consommateur et par incident.

La suppression des images avant leur stockage réduit directement cette exposition. Un ensemble de données piraté d'images expurgées ne contient aucune information personnelle identifiable.

6. Mettre en œuvre des mesures de sécurité raisonnables

Le CCPA attend des entreprises qu'elles maintiennent « des procédures et des pratiques de sécurité raisonnables ». Pour les données d'images, cela inclut les contrôles d'accès aux images stockées, le cryptage en transit et au repos, ainsi que les pistes d'audit pour savoir qui accède aux données visuelles.

Traitez les images comme des données personnelles dès le premier jour

Le CCPA n’exempte pas les photographies et les vidéos. Si vos images contiennent des informations identifiables sur des résidents californiens, elles constituent des informations personnelles au sens de la loi – soumises aux mêmes exigences de divulgation, d'accès, de suppression et de désinscription que toute autre catégorie de données.

La rédaction automatisée est le moyen le plus direct de minimiser votre surface de conformité. La suppression des éléments identifiables avant que les images ne soient stockées, partagées ou publiées réduit le volume d'informations personnelles que vous gérez et limite la responsabilité en cas de violation.

PiiBlur traite les images et les vidéos via son API ou son tableau de bord, détectant et supprimant automatiquement les 13 catégories PII. Le niveau gratuit couvre 100 images et 5 minutes de vidéo par mois – suffisamment pour valider l'approche par rapport à votre contenu réel.