Nous sommes en 2023 et il manque encore à de nombreuses entreprises de cannabis un document opérationnel essentiel : une politique de confidentialité. J’écris et parle de cette question depuis des années. Et les choses ne s’améliorent pas. Alors parlons-en encore une fois.
Pour commencer, la Californie exige des politiques de confidentialité depuis très longtemps (enfin, « depuis longtemps », du moins en ce qui concerne Internet). En vertu de la loi californienne, les opérateurs de sites Web commerciaux qui collectent « des informations personnelles identifiables via Internet sur des consommateurs individuels résidant en Californie qui utilisent ou visitent leur site Web commercial » doivent avoir une politique de confidentialité. Cela fait beaucoup à digérer. En anglais, les propriétaires de sites Web doivent avoir une politique de confidentialité si les consommateurs californiens utilisent ou visitent leur site Web.
Toute entreprise de cannabis opérant en Californie et disposant d’un site Web est clairement soumise à cette exigence. Mais qu’en est-il d’une entreprise de cannabis basée dans l’Iowa ? Eh bien, tant que les résidents californiens l’utilisent ou le visitent, l’exigence s’applique. Et à moins que le secteur du cannabis puisse affirmer avec certitude que son site Web ne compte aucun utilisateur/visiteur californien, la meilleure pratique consiste simplement à obtenir une politique de confidentialité. Si vous lisez la loi ci-dessus, les exigences sont relativement gérables et pas trop intenses. Mais ce n’est pas la fin de l’histoire.
En 2018, la Californie a adopté le California Consumer Privacy Act (CCPA). Le CCPA s’inspire du précédent règlement général sur la protection des données (RGPD) de l’Union européenne. À l’instar du RGPD, le CCPA a codifié une multitude de droits des consommateurs concernant leurs informations personnelles. Et il a imposé une multitude de nouvelles exigences juridiques aux entreprises concernées (plus de détails ci-dessous). En 2020, les électeurs californiens ont adopté la Prop. 24, a/k/a, la California Privacy Rights Act (CPRA), qui a modifié et complété la CCPA. Et il y a fort à parier qu’il y a aussi des réglementations à respecter.
L’une des innombrables exigences imposées par le CCPA était d’avoir une politique de confidentialité. Et contrairement à la loi antérieure, les exigences du CCPA sont beaucoup plus strictes. Voir ici par exemple. C’est également le cas du RGPD. Pour toute entreprise soumise à l’un de ces nouveaux régimes de confidentialité, rédiger une politique de confidentialité conforme constitue un défi. La question à un million de dollars est donc la suivante : à qui s’appliquent ces lois ? Pour le CCPA, le procureur général de Californie déclare :
Le CCPA s’applique aux entreprises à but lucratif qui font des affaires en Californie et qui répondent à l’un des critères suivants :
Avoir un revenu annuel brut de plus de 25 millions de dollars ; Acheter, vendre ou partager les informations personnelles de 100 000 résidents, foyers ou appareils californiens ou plus ; ou Tirent 50 % ou plus de leurs revenus annuels de la vente des informations personnelles des résidents californiens.
La deuxième question à un million de dollars est de savoir ce que signifie faire des affaires. Bien sûr, le CCPA ne définit pas clairement cela. Mais ailleurs dans la loi, le CCPA déclare : « Aux fins de ce titre, la conduite commerciale a lieu entièrement en dehors de la Californie si l’entreprise a collecté ces informations alors que le consommateur se trouvait en dehors de la Californie et qu’aucune partie de la vente des informations personnelles du consommateur n’a eu lieu en Californie. , et aucune information personnelle collectée pendant que le consommateur était en Californie n’est vendue. Ce paragraphe n’interdit pas à une entreprise de stocker, y compris sur un appareil, des informations personnelles sur un consommateur lorsque celui-ci se trouve en Californie, puis de collecter ces informations personnelles lorsque le consommateur et les informations personnelles stockées se trouvent en dehors de la Californie.
Il est donc raisonnable pour les entreprises de supposer que même des relations tangentielles avec le Golden State pourraient les soumettre aux exigences du CCPA tant que l’un des seuils ci-dessus est respecté. Et cela signifie que l’entreprise a besoin d’une politique de confidentialité solide.
Et le RGPD ? Le RGPD a une portée encore plus large :
2. Le présent règlement s’applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant non établi dans l’Union, lorsque les activités de traitement sont liées à :
(a) l’offre de biens ou de services, indépendamment du fait qu’un paiement de la personne concernée soit requis ou non, à ces personnes concernées dans l’Union ; ou
(b) le contrôle de leur comportement dans la mesure où leur comportement a lieu au sein de l’Union.
Une entreprise qui propose simplement des services, même gratuitement, aux résidents de l’UE, peut se retrouver soumise au RGPD. Pour être honnête, ce ne sera pas le cas pour votre entreprise de cannabis. Cela est plus susceptible d’affecter les entreprises de chanvre/cannabinoïdes qui vendent dans le commerce électronique. Mais même les sociétés de cannabis peuvent entrer sur le territoire du RGPD grâce à des efforts de marketing et de vente.
Si l’une de ces lois s’applique – ou si une entreprise pense même que ces lois pourraient s’appliquer – une politique de confidentialité est nécessaire. Il existe de nombreux avocats des plaignants qui intenteront des poursuites, dans certains cas par le biais d’un recours collectif, si une entreprise ne parvient pas à appliquer une politique de confidentialité. Les choses empirent encore si la politique de confidentialité est inexacte ou si l’entreprise ne la respecte pas.
Une politique de confidentialité est un document clé (et souvent requis par la loi) pour toute entreprise de cannabis. Sans cela, il y aura non seulement une violation de la loi, mais aussi peut-être un procès. Cela n’a pas besoin de coûter un bras et une jambe, et s’il est bien fait, cela peut permettre d’économiser une tonne d’argent et de transpirer en arrière-plan.
Avant de terminer cet article, je dois mentionner qu’une politique de confidentialité n’est pas la seule chose dont les sociétés de cannabis doivent se soucier en matière de protection des données. Le CCPA, le RGPD et d’autres lois imposent de nombreuses exigences au-delà de la simple politique de confidentialité. Par exemple, consultez mon article il y a quelque temps sur le CCPA et les demandes de suppression. Ce truc peut devenir incroyablement compliqué. Et comme pour les politiques de confidentialité, il est préférable d’investir dès le début dans la conformité aux lois sur la protection de la vie privée, plutôt que d’investir dans un avocat de la défense plus tard.
