California Consumer Privacy Act (CCPA)

Télécharger la fiche technique

Que veut dire CCPA ?

Le California Consumer Privacy Act (CCPA) est une nouvelle loi qui a pour but de permettre aux résidents de la Californie d'avoir le contrôle de leurs données personnelles. Elle entre en vigueur le 1er janvier 2020.

Préparez-vous dès maintenant

Bien que la loi n'entre en vigueur que le 1er janvier 2020, les entreprises devront indiquer les mesures prises en 2019 pour s'y conformer dès l'an prochain. Vous devez vous préparer dès maintenant à son application.

Relevez le défi du CCPA

Découvrez ci-dessous 11 informations indispensables pour vous préparer au CCPA et offrir à vos clients la meilleure expérience possible de consentement.

Question

Réponse

Que veut dire CCPA ?

Le California Consumer Privacy Act (CCPA) est une nouvelle loi qui a pour but de permettre aux résidents de la Californie d'avoir le contrôle de leurs données personnelles.

Quelle est sa date d'entrée en vigueur ?

Le 1er janvier 2020

Mon entreprise est-elle concernée ?

Vous devez vous conformer au CCPA lorsque vous utilisez les informations d'un résident californien et que votre entreprise répond à l'un des critères suivants :

1. réalise un chiffre d'affaires annuel brut supérieur ou égal à 25 millions de dollars américains ;

2. achète, reçoit, vend ou partage les informations personnelles d'un nombre de consommateurs, de ménages ou d'appareils supérieur ou égal à 50 000 par an ;


3. tire 50 % ou plus de son chiffre d'affaires annuel de la vente de données personnelles de consommateurs.

Mon entreprise n'est pas située en Californie. Est-ce que le CCPA s'applique malgré tout ?

Comme le RGPD, le CCPA protège les données du consommateur quel que soit l'endroit où l'entreprise exerce son activité. Si le consommateur est un résident californien, la loi s'applique quelle que soit l'adresse de votre entreprise.

Quelles sont les exigences du CCPA ?

Le CCPA comporte cinq composantes principales qui confèrent aux résidents de la Californie les droits suivants :

1. savoir quelles sont les informations personnelles recueillies à leur sujet ; 


2. savoir si leurs informations personnelles sont partagées et avec qui ;


3. refuser la vente de leurs informations personnelles ;


4. accéder aux informations personnelles que vous avez recueillies ;

5. égalité de traitement en termes de prix et de service même après avoir exercé leur droit à la protection de leurs informations personnelles.

Que désigne le terme « informations personnelles » ?

Dans le contexte du CCPA, les informations personnelles sont définies de façon assez large et comprennent probablement toutes les données que vous avez déjà recueillies pour un consommateur ou un visiteur numérique. Le CCPA les définit spécifiquement comme étant des informations qui identifient, concernent, décrivent, peuvent être associées ou pourraient raisonnablement être rattachées, directement ou indirectement, à un consommateur ou à un ménage particulier.

Elles englobent ce qui est généralement considéré comme des « données à caractère personnel » (DCP), telles que le nom, l'adresse, le numéro de sécurité sociale, etc. Elles comprennent également toutes les informations pouvant être rattachées au consommateur concernée, comme par exemple l'adresse IP, les pages visitées, l'historique des achats, etc. En d'autres termes, si vous recueillez des informations sur les utilisateurs et les visiteurs, ces informations relèvent du CCPA.

Quelles sont mes obligations de communication ?

Avant ou au moment de collecter des informations personnelles, votre entreprise doit indiquer les catégories et les informations précises recueillies, les sources à partir desquelles celles-ci ont été recueillies, le but de la collecte, les catégories qui seront partagées ou vendues ainsi que les droits du consommateur.

La définition de ce qui constitue une communication conforme pour la collecte est encore en cours de discussion dans le cadre de forums public et c'est le procureur général de la Californie qui prendra la décision finale. Il existe toutefois certaines obligations de bases qui doivent être respectés dans tous les cas :

  • affichage d'un lien clair et visible vers la politique de confidentialité de l'entreprise ;
  • celle-ci doit couvrir les éléments d'information indiqués ci-dessus, y compris tous les tiers susceptibles de recevoir les informations personnelles ;
  • affichage d'un lien clair et visible intitulé « Ne vendez pas mes informations personnelles » sur la page d'accueil et dans la politique de confidentialité.

Que signifie « Partager des informations personnelles et avec qui » ?

Le CCPA couvre le partage de données avec des tiers et la « vente » d'informations personnelles. La distinction entre les deux est encore en cours de définition. La vente d'informations personnelles est soumise à des règles plus contraignantes que le partage.

Bien que la définition de la « vente » aux termes du CCPA soit large, il faut noter qu'il ne s'agit pas seulement d'un échange avec une contrepartie monétaire. Une « vente » désigne toute forme de contrepartie ou d'avantage obtenu en échangeant des données. Par exemple, le partage de données dans le cadre d'un « cookie pool » procure des avantages à votre entreprise. Ce partage est également considéré comme une « vente » de données.

En général, il y a partage, et non vente, lorsque l'une des situations suivantes s'applique :

  • Divulgation sur demande intentionnelle du consommateur ;
  • Utilisation d'un identifiant pour indiquer à un tiers qu'un consommateur a refusé la vente de ses données ;
  • Transfert à un prestataire de service. Pour être admissible, le partage doit être réalisé à des fins professionnelles dans le cadre d'un contrat écrit qui interdit toute autre communication des informations personnelles concernés ;
  • Vous avez communiqué au consommateur un avis conforme à la législation pour l'informer que ses informations seront communiquées de cette manière ;
  • Le prestataire de service n'utilise pas les informations personnelles à d'autres fins que celles prévues par votre entreprise.

Si le partage d'informations ne répond pas aux critères ci-dessus, vous devez permettre au consommateur de refuser la communication de ses informations.

Vous devrez examiner avec soin les contrats écrits conclus avec des tiers concernant le fonctionnemen t de votre site Web pour veiller au respect du CCPA. L'outil Crownpeak TagControl peut vous aider à identifier l'ensemble des cookies et balises de tiers qui fonctionnent sur votre site. La plate-forme de consentement Evidon peut vous aider à vérifier la conformité de vos avis de consentement.

Que signifie le refus de la vente des informations personnelles ?

Les exigences du CCPA concernant la vente d'informations personnelles comportent trois volets :

  • Communication de toute vente d'informations personnelles au sens de la loi. Cet avis doit au minimum figurer dans votre politique de confidentialité. Même si cela n'est pas encore précisé, il est fort probable qu'il devra également figurer de façon visible au niveau du point de collecte des données.
  • Affichage d'un lien visible intitulé « Ne vendez pas mes informations personnelles » sur votre page d'accueil et dans votre politique de confidentialité.
  • Espace dans votre site Web permettant au consommateur d'exercer ses différents droits relatifs à la protection de ses informations personnelles au titre du CCPA, et notamment de refuser la vente de celles-ci.

Je suis déjà en conformité avec le RGPD. Est-ce que je respect aussi le CCPA ?

Peut-être. En général, le RGPD va plus loin que le CCPA à de nombreux égards, mais le CCPA a des exigences très précises en ce qui concerne la vente d'informations personnelles. Vérifiez que votre solution de consentement respecte toutes les exigences du CCPA avant de considérer que vous êtes en conformité.

Quel est le meilleur moyen de respecter le CCPA ?

Le meilleur moyen de respecter le CCPA est de disposer :

  • d'une plate-forme de notification et de consentement installée à l'échelle de l'entreprise pour garantir le respect des obligations de consentement et de notification
  • d'un outil permettant d'identifier tous les prestataires de service interconnectés qui interviennent dans le fonctionnement de votre site pour avoir la certitide de connaître tous les intervenants avec lesquels vous êtes susceptible de partager des informations personnelles.

Crownpeak propose deux produits pour vous aider à relever le défi du CCPA : la plate-forme de consentement Evidon et l'outil TagControl.

Téléchargez la fiche technique aujourd'hui

Découvrez comment les solutions Crownpeak peuvent vous aider à offrir une expérience de consentement qui suscitera la confiance de vos clients. Demandez une démonstration aujourd'hui sur https://www.crownpeak.com/fr/produits/consent-solutions/ .