Cookiebot

Un aperçu du California Consumer Privacy Act (CCPA)

Le CCPA, c’est quoi ?


Le California Consumer Privacy Act (CCPA) est une loi californienne sur la confidentialité des données qui réglemente la manière dont les entreprises du monde entier peuvent traiter les informations personnelles des résidents de Californie.

Le CCPA est entré en vigueur le 1er janvier 2020. C’est la première loi de ce type aux États-Unis. À partir du 1er janvier 2023, la loi californienne sur les droits à la vie privée (CPRA) entre en vigueur, modifiant et étendant le CCPA. En savoir plus sur le CPRA

Les trois seuils du CCPA pour les entreprises

Le CCPA s’applique à toute entreprise à but lucratif, où qu’elle se trouve dans le monde, qui vend les informations personnelles (IP) de plus de 50 000 résidents californiens par an, qui a un chiffre d’affaires annuel brut de plus de 25 millions de dollars, ou qui tire plus de 50 % de son chiffre d’affaires annuel de la vente d’informations personnelles de résidents californiens.

La vente d’IP est définie par le CCPA comme « vendre, louer, publier, divulguer, diffuser, rendre disponible, transférer, ou sinon communiquer oralement, à l’écrit, par voie électronique ou autre, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers pour une contrepartie monétaire ou un autre bénéfice. » (1798.140.t1) (Ceci n’est pas une traduction officielle du CCPA)

Si une société partage une image de marque commune (c’est-à-dire un nom commun, une marque de service ou une marque de commerce) avec une autre entreprise qui est tenue au respect du CCPA, la société sera également assujettie au respect du CCPA.

En vertu du CCPA, les résidents californiens (« consommateurs ») sont habilités à exercer le droit de refuser la vente de leurs données à des tiers, le droit de demander la divulgation des données déjà collectées, et le droit de demander la suppression de données collectées.

De plus, les résidents californiens ont le droit d’être informés et le droit à des services et prix égaux (c’est-à-dire qu’ils ne doivent pas être discriminés selon leur choix dans l’exercice de leurs droits).

Le non-respect du CCPA peut valoir aux entreprises des amendes de 7 500 dollars par violation et de 750 dollars par utilisateur affecté en dommages et intérêts.

Le CCPA, quelles implications pour mon site web ?


Si votre entreprise répond à l’un des trois seuils du CCPA mentionnés ci-dessus et dispose d’un domaine en ligne, vous êtes tenus d’apporter certains changements à votre site web.

Votre site web doit informer ses utilisateurs, avant ou au moment de la collecte des données, des catégories d’informations personnelles qu’il collecte et à quelles fins.

Votre site web doit inclure un lien Ne pas vendre mes informations personnelles que les utilisateurs peuvent utiliser pour refuser la vente de données à des tiers.

Si votre site web compte des mineurs de moins de 16 ans parmi ses utilisateurs, vous devez obtenir leur consentement (opt-in) avant que vous ne soyez autorisés à vendre ou divulguer leurs données personnelles à des tiers. Si le mineur est âgé de moins de 13 ans, un parent ou un tuteur légal doit consentir à leur place.

Votre entreprise doit aussi mettre à jour la politique de confidentialité de son site web pour y inclure une description des droits du consommateur et de la manière d’exercer ces droits. Votre politique de confidentialité doit aussi contenir une liste mise à jour annuellement des catégories d’informations personnelles que votre société collecte, vend et divulgue.

Si votre entreprise reçoit une demande vérifiable de la part d’un consommateur vous demandant la divulgation de ses informations personnelles collectées, vous devez lui procurer gratuitement les enregistrements de ses données personnelles collectées dans les 12 derniers mois (y compris les sources, les objectifs commerciaux et les catégories de tiers avec qui ses données ont été partagées).

Votre entreprise n’a pas le droit de discriminer selon le choix du consommateur d’exercer son droit au retrait, de demande de divulgation ou de suppression des données.

Comment définir les informations personnelles ?


Les informations personnelles sont définies par le CCPA comme « des informations qui identifient, se rapportent, décrivent, peuvent être raisonnablement associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur ou un ménage. » (1798.140.o1) (Ceci n’est pas une traduction officielle du CCPA)

Les informations personnelles, conformément au CCPA, incluent les identifiants directes (tels que le vrai nom, le pseudonyme, l’adresse postale, les numéros de sécurité sociale), les identifiants uniques (tels que les cookies, les adresses IP et les noms de compte), les données biométriques (telles que les enregistrements de visages ou de voix), les données de géolocalisation (telles que l’historique de localisation), l’activité Internet (telle que l’historique de navigation, l’historique de recherche, les données sur l’interaction sur une page web ou une application), les informations sensibles (telles que les données de santé, les caractéristiques personnelles, le comportement, les convictions religieuses ou politiques, les préférences sexuelles, les données d’embauche et d’éducation, les informations financières et médicales).

Les informations personnelles incluent également les données qui par inférence peuvent aboutir à l’identification d’un individu ou d’un ménage.

Les données agrégées et anonymes ne sont pas couvertes par le CCPA, sauf si elles sont d’une quelconque manière ré-identifiables.

Cela signifie que les données qui ne sont pas en elles-mêmes des informations personnelles peuvent le devenir selon le CCPA si elles peuvent être utilisées – par inférence ou par combinaison avec d’autres données – pour identifier un individu ou un ménage.

Que dit le CCPA sur les cookies ?


Les cookies et autres technologies de traçage sur les sites web sont classés comme ’identifiants uniques lesquels entrent dans la catégorie des informations personnelles selon la définition du CCPA. Les cookies sont une des technologies les plus utilisées dans le monde par les sites web pour collecter des informations personnelles sur les utilisateurs finaux.

Les cookies propriétaires (ceux mis en place par le site web lui-même) collectent souvent des données anonymes pour les fonctions de base du site web. Elles sont supprimées dès lors que l’utilisateur ferme le navigateur, mais les cookies tiers (ceux mis en place par les sociétés de technologies et les plateformes de réseaux sociaux) collectent souvent beaucoup d’informations personnelles, parfois sensibles, sur les consommateurs ; celles-ci peuvent être conservées jusqu’à cent ans.

Même les données collectées sur votre site web par le biais de cookies peuvent en fin de compte être considérées comme des informations personnelles en vertu du CCPA. Ces informations ne constituent peut-être pas en elles-mêmes des informations personnelles (telles que les données d’analyse rendues anonymes), mais par inférence ou combinaison avec d’autres données dans l’objectif d’identifier et de connecter des appareils, créer des profiles et diffuser des publicités personnalisées, elles peuvent permettre l’identification de personnes.

Qu’est-ce qui va changer pour les entreprises et les résidents de Californie à partir du 1er janvier 2023 ?

La nouvelle loi californienne sur les droits à la vie privée (CPRA) s’applique également aux organisations à but lucratif dont le revenu annuel brut est supérieur à 25 millions de dollars américains ou qui tirent plus de 50 % de leur revenu annuel de la vente ou du partage d’informations personnelles des résidents de Californie. Toutefois, le CPRA modifie l’un des trois seuils : le nombre minimum de résidents ou de ménages californiens dont les informations personnelles sont traitées et/ou partagées par ces entreprises est passé à 100 000. En vertu du CPRA, les données B2B sont également couvertes, et l’organisme de surveillance, l’Agence californienne de protection de la vie privée(CPPA), a été créé.

Alors que le CCPA ne porte que sur la vente d’informations personnelles, le CPRA inclut le partage des données. Le texte étend ou modifie également les droits existants des consommateurs, et en ajoutent de nouveaux : le droit de correction, pour faire corriger les données inexactes collectées à leur sujet, le droit de limiter l’utilisation des données classées comme informations personnelles sensibles, le droit de demander des informations sur la prise de décision automatisée et les résultats probables de l’utilisation de ces processus, et le droit de refuser l’utilisation de technologies de prise de décision automatisée en ce qui concerne leurs informations personnelles. En savoir plus sur le CPRA et sa portée.

Si votre entreprise répond à l’un des seuils de conformité du CCPA/CPRA, vous êtes responsable de toutes les informations personnelles que vous collectez sur les résidents de Californie par le biais des cookies de votre site web, si ces informations sont vendues ou partagées. Les consommateurs peuvent demander la divulgation de leurs informations personnelles collectées sur votre site web au cours des 12 derniers mois, ainsi que vous demander de corriger ou de supprimer ces données.

Vous devez donc savoir quelles données votre site web collecte, la manière dont il les collecte, à quelles fins, et avec qui (tiers) il partage ces données.

Notre plateforme de gestion du consentement (CMP) permet d’assurer la conformité avec le RGPD européen et le règlement ePrivacy, le CCPA et le CPRA, ainsi que d’autres réglementations.

La technologie CMP scanne en profondeur votre site web pour découvrir tous les cookies et autres traceurs similaires, puis les contrôle automatiquement afin que vous et vos utilisateurs finaux sachiez quelles informations personnelles sont collectées et avec quels tiers elles sont partagées, si les utilisateurs y consentent.

Nous permettons également aux entreprises d’être conformes au CCPA et au CPRA en mettant en place le lien requis Ne pas vendre ou partager mes informations personnelles avec la déclaration de cookies générée par le scanner, ainsi qu’en proposant des bandeaux d’opt-in nécessaires au consentement des mineurs de moins de 16 ans.

Essayez Cookiebot CMP gratuitement dès aujourd’hui.

Ressources


En lire plus sur le CCPA

Lire le texte de loi officiel du CCPA

En lire plus sur la conformité au CCPA

Consulter les détails de la définition des informations personnelles selon le CCPA

En lire plus sur le CCPA et les cookies

En lire plus sur les droits des consommateurs selon le CCPA

Consulter notre comparaison CCPA vs RGPD

Qu’est-ce que le RGPD ?

En lire plus sur le RGPD aux Etats Unis