Logo Logo
Cookiebot

Le CCPA, c'est quoi ?


Le California Consumer Privacy Act (CCPA) est une loi californienne sur la confidentialité des données qui réglemente la manière dont les entreprises du monde entier peuvent traiter les informations personnelles des résidents de la Californie.

Le CCPA est entré en vigueur le 1er janvier 2020. C’est la première loi de ce type aux Etats-Unis.


Les trois seuils du CCPA pour les entreprises

Le CCPA s’applique à toutes les entreprises à but lucratif dans le monde qui vendent des informations personnelles de plus de 50 000 résidents californiens par an, qui ont un chiffre d’affaires annuel brut de plus de 25 millions de dollars, ou qui tirent plus de 50 % de leur chiffre d’affaires annuel de la vente d’informations personnelles de résidents californiens.

La vente est définie par le CCPA comme « vendre, louer, publier, divulguer, diffuser, rendre disponible, transférer, ou sinon communiquer oralement, à l’écrit, par voie électronique ou autre, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers pour une contrepartie monétaire ou un autre bénéfice. » (1798.140.t1) (Ceci n’est pas une traduction officielle du CCPA)

Si une société partage une image de marque commune (c’est-à-dire un nom commun, une marque de service ou une marque de commerce) avec une autre entreprise qui est tenue au respect du CCPA, la société sera également assujettie au respect du CCPA.

En vertu du CCPA, les résidents (« consommateurs ») californiens sont habilités à exercer le droit de déroger à la vente de leurs données à des tiers, le droit de demander la communication des données déjà collectées, et le droit de demander la suppression de données collectées.

De plus, les résidents californiens ont le droit d’être informés et le droit à des services et prix égaux (c’est-à-dire qu’ils ne doivent pas être discriminés selon leur choix dans l’exercice de leurs droits).

Le non-respect du CCPA peut valoir aux entreprises des amendes de 7 500 dollars par violation et de 750 dollars par utilisateur affecté en dommages et intérêts.

Le pouvoir de faire respecter le CCPA relève du bureau du procureur général de Californie, qui a jusqu’à juillet 2020 pour préciser les modalités d’exécution de la législation.

Cependant, la période intermédiaire entre janvier et juillet 2020 n’est pas un délai de grâce, et les entreprises s’exposent à des poursuites civiles concernant la collecte et la vente de données depuis le 1er janvier 2020.


Que signifie le CCPA pour mon site ?


Si votre entreprise rencontre un des trois seuils du CCPA mentionnés ci-dessus et qu’elle a un domaine Internet, vous devez effectuer certains changements à votre site web.

Votre site web doit informer ses utilisateurs, avant ou au moment de la collecte des données, des catégories d’informations personnelles qu’il collecte et à quelles fins.

Votre site web doit inclure un lien « Ne pas vendre mes informations personnelles » que les utilisateurs peuvent utiliser pour retirer leurs données des ventes par des tiers.

Si votre site web a des mineurs de moins de 16 ans parmi ses utilisateurs, vous devez obtenir leur consentement positif (opt-in) avant que vous ne soyez autorisés à vendre ou divulguer leurs données personnelles à des tiers. Si le mineur est âgé de moins de 13 ans, un parent ou un tuteur légal doit consentir à leur place.

Votre entreprise doit aussi mettre à jour la politique de confidentialité de son site web pour y inclure une description des droits du consommateur et de la manière d’exercer ces droits. Votre politique de confidentialité doit aussi contenir une liste mise à jour annuellement des catégories d’informations personnelles que votre société collecte, vend et divulgue.

Si votre entreprise reçoit une requête vérifiable de la part d’un consommateur vous demandant de lui communiquer ses informations personnelles collectées, vous devez lui procurer gratuitement les enregistrements de ses données personnelles collectées dans les 12 derniers mois (y compris les sources, les objectifs commerciaux et les catégories de tiers avec qui ses données ont été partagées).

Votre entreprise n’a pas le droit de discriminer selon le choix du consommateur d’exercer son droit de retrait, de demande de communication ou de suppression des données.


Comment définir les informations personnelles ?


Les informations personnelles sont définies par le CCPA comme « des informations qui identifient, se rapportent, décrivent, peuvent être raisonnablement associées avec, ou pourrait être raisonnablement reliées, directement ou indirectement, avec un consommateur ou un ménage » (1798.140.o1) (Ceci n’est pas une traduction officielle du CCPA)

Les informations personnelles, conformément au CCPA, incluent les identifiants directes (tels que le vrai nom, le pseudonyme, l’adresse postale, les numéros de sécurité sociale), les identifiants uniques (tels que les cookies, les adresses IP et les noms de compte), les données biométriques (telles que les enregistrements de visages ou de voix), les données de géolocalisation (telles que l’historique de localisation), l’activité Internet (telle que l’historique de navigation, l’historique de recherche, les données sur l’interaction sur une page web ou une application), les informations sensibles (telles que les données de santé, les caractéristiques personnelles, le comportement, les convictions religieuses ou politiques, les préférences sexuelles, les données d’embauche et d’éducation, les informations financières et médicales).

Les informations personnelles incluent également les données qui par inférence peuvent aboutir à l’identification d’un individu ou d’un ménage.

Les données agrégées et anonymes ne sont pas couvertes par le CCPA, sauf si elles sont d’une certaine manière ré-identifiables.

Cela signifie que les données qui ne sont pas en elles-mêmes des informations personnelles peuvent le devenir selon le CCPA si elles peuvent être utilisées – par inférence ou par combinaison avec d’autres données – pour identifier un individu ou un ménage.


Que dit le CCPA sur les cookies ?


Les cookies et autres technologies de traçage sur les sites web sont classés en tant qu’identifiants uniques qui sont des informations personnelles selon la définition du CCPA.

Les cookies sont une des technologies les plus utilisées dans le monde par les sites web pour collecter des informations personnelles sur les utilisateurs finaux.

Les cookies propriétaires (ceux mis en place par le site web lui-même) collectent souvent des données anonymes pour ses fonctions essentielles qui sont supprimées dès lors que l’utilisateur ferme le navigateur, mais les cookies tiers (ceux mis en place par les sociétés de technologies et les plateformes de réseaux sociaux) collectent souvent beaucoup d’informations personnelles, parfois sensibles, sur les consommateurs qui peuvent être gardées jusqu’à cent ans.

Même les données collectées sur votre site web à travers des cookies qui ne constituent peut-être pas en elles-mêmes des informations personnelles (telles que les données d’analyse rendues anonymes), mais par inférence ou combinaison avec d’autres données dans l’objectif d’identifier et de connecter des appareils, créer des profiles et délivrer des publicités personnalisées peuvent ultimement être considérées comme des informations personnelles en vertu du CCPA.

Si votre entreprise rencontre un des trois seuils de conformité au CCPA, vous êtes responsable pour tous les types d’informations personnelles que vous collectez sur les résidents californiens à travers les cookies de votre site web. Les consommateurs peuvent demander la communication de leurs informations personnelles collectées sur votre site web dans les 12 derniers mois, ainsi que la suppression de ces données.

Vous devez donc savoir quelles données votre site web collecte, la manière dont il les collecte et à quelles fins, et avec qui (tiers) il partage ces données.


Cookiebot est une plateforme de gestion du consentement de niveau mondial qui assure la conformité avec le RGPD européen et, depuis janvier 2020, avec le CCPA.

Cookiebot est une technologie qui scanne en profondeur votre site web pour déceler tous les cookies et les traceurs, et les contrôle automatiquement, pour que vous et votre utilisateurs finaux soyez sûrs de connaître quelles informations personnelles sont collectées et quels tiers y ont accès.

Cookiebot permet également aux entreprises d’être conformes au CCPA en mettant en place le lien requis « Ne pas vendre mes informations personnelles » avec la déclaration cookie générée par le scanner, ainsi qu’en offrant les bandeaux d’acceptation de consentement nécessaire pour le consentement des mineurs âgés de moins de 16 ans.

Essayez Cookiebot gratuitement aujourd’hui.


Ressources


En lire plus sur le CCPA

Lire le texte de loi officiel du CCPA

En lire plus sur la conformité au CCPA

Consulter les détails de la définition des informations personnelles selon le CCPA

En lire plus sur le CCPA et les cookies

En lire plus sur les droits des consommateurs selon le CCPA

Consulter notre comparaison CCPA vs RGPD

Qu’est-ce que le RGPD ?

En lire plus sur le RGPD aux Etats Unis

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit