Conformité aux lois américaines sur la confidentialité pour votre site web, application et entreprise
Des lois d’États américains imposent de nouvelles exigences aux entreprises, et donc de nouvelles charges juridiques et techniques. La conformité, de manière générale, peut être compliquée. Nos solutions vous aident à clarifier et mettre en place les majeurs aspects juridiques et techniques pour que vous puissiez vous concentrer sur le développement de votre entreprise.
Quelles sont les lois qui me concernent ?
CPRA
Le « California Privacy Rights Act » (CPRA) s'appuie sur les dispositions existantes du CCPA, renforce les droits des consommateurs et ajoute de nouvelles exigences pour les entreprises qui traitent les données personnelles de résidents californiens.
Il concerne les entités juridiques qui mènent des activités à but lucratif en Californie, qui traitent les informations personnelles de consommateurs et qui remplissent un ou plusieurs des critères suivants :
- des revenus bruts annuels supérieurs à 25 millions de dollars ;
- achètent, vendent ou partagent en une année les informations personnelles d’au moins 100 000 consommateurs/ménages ou plus ; ou
- tirent 50 % ou plus de leurs revenus annuels de la vente ou du partage* d’informations personnelles de consommateurs.
* Peut inclure les intégrations tiers sur votre site web.
Vous souhaitez savoir si vous êtes concerné par le CPRA ? → Complétez ce quiz de 1 min
VCDPA
Le Virginia Consumer Data Protection Act (VCDPA) a été promulgué en mars 2021, et la Virginie est devenue le deuxième État des États-Unis à adopter une loi exhaustive sur la confidentialité des données, après la Californie. Le VCDPA est entré en vigueur le 1er janvier 2023.
Il concerne les personnes qui mènent leur activité en Virginie ou qui fournissent des produits ou des services destinés aux résidents de la Virginie et qui :
- au cours d’une année civile contrôlent ou traitent les données à caractère personnel d’au moins 100 000 consommateurs ; ou
- contrôlent ou traitent les données à caractère personnel d’au moins 25 000 consommateurs et tirent de la vente de données à caractère personnel plus de 50 % de leur revenu brut.
CPA
Le Colorado Privacy Act (CPA) est entré en vigueur le 1er juillet 2023 et vise à protéger le droit à la vie privée des résidents du Colorado en réglementant la manière dont les entreprises collectent, traitent et stockent les données à caractère personnel.
Il s’applique aux responsables qui exercent des activités commerciales dans le Colorado ou ciblent intentionnellement les résidents du Colorado avec des produits ou services commerciaux, et qui :
- contrôlent ou traitent les données à caractère personnel de 100 000 consommateurs ou plus au cours d’une année civile ; ou
- tirent des revenus de la vente de données à caractère personnel et traitent ou contrôlent les données à caractère personnel de 25 000 consommateurs ou plus.
CTDPA
Le Connecticut Data Privacy Act (CTDPA) est entré en vigueur le 1er juillet 2023 et vous oblige à fournir aux consommateurs des avis de confidentialité clairs et pertinents qui incluent des informations sur le traitement des données à caractère personnel, des finalités, des droits des consommateurs et le partage avec des tiers, entre autres obligations.
Il concerne les personnes qui exercent des activités commerciales dans le Connecticut ou fournissent des produits ou services destinés aux résidents du Connecticut et qui, au cours de l’année civile précédente :
- ont contrôlé ou traité des données à caractère personnel d’au moins 100 000 consommateurs (à l’exclusion des données à caractère personnel contrôlées ou traitées pour finaliser exclusivement une opération de paiement) ; ou
- ont contrôlé ou traité des données à caractère personnel d’au moins 25 000 consommateurs et tiré de la vente de données à caractère personnel plus de 25 % de leur revenu brut.
UCPA
L’Utah Consumer Privacy Act (UCPA) est une nouvelle loi sur la protection de la vie privée des consommateurs en Utah qui est entrée en vigueur le 31 décembre 2023. L’UCPA adopte une approche favorable aux entreprises en matière de protection de la vie privée des consommateurs, et vise à fournir une norme applicable aux entreprises tout en protégeant les droits garantis aux consommateurs de l’Utah.
Il concerne toute société qui :
- Exerce des activités commerciales en Utah ; ou
- Fournit un produit ou service destiné aux consommateurs qui sont résidents de l’Utah ;
- Génère un revenu annuel de 25 000 000 $ ou plus ; et
- Répond à un ou plusieurs des seuils suivants :
- Au cours d’une année civile, contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus ; ou
- Tire de la vente de données à caractère personnel plus de 50 % du revenu brut de l’entité, et contrôle ou traite les données à caractère personnel de 25 000 consommateurs ou plus.
TDPSA
Le Texas Data Privacy and Security Act (TDPSA), également connu sous le nom de H.B. 4, a été promulgué le 18 juin par le gouverneur Greg Abbott et est entré en vigueur le 1er juillet 2024.
La loi concerne les entreprises :
- Exerçant des activités au Texas ;
- Fournissant des produits ou des services aux résidents du Texas ;
- Traitant ou vendant des données à caractère personnel ; et
- N’étant pas considérées comme des petites entreprises au sens des lignes directrices de la U.S Small Business Administration.
MTCDPA
Le Texas Data Privacy and Security Act (TDPSA), également connu sous le nom de H.B. 4, a été promulgué le 18 juin par le gouverneur Greg Abbott et est entré en vigueur le 1er juillet 2024.
La loi concerne les entreprises :
- Exerçant des activités au Texas ;
- Fournissant des produits ou des services aux résidents du Texas ;
- Traitant ou vendant des données à caractère personnel ; et
- N’étant pas considérées comme des petites entreprises au sens des lignes directrices de la U.S Small Business Administration.
Calendrier d’application des lois d’États américains
-
La loi de la Californie sur la vie privée des consommateurs (CCPA) entre en vigueur, avec un délai de grâce de six mois.
Le bureau du procureur général de l’État de Californie effectue désormais un suivi actif de la conformité avec la loi CCPA et fait appliquer cette loi. Il émet des avis de non conformité, accorde aux auteurs de violations un délai de 30 jours pour y remédier et prononce des amendes lorsque ceux-ci n’y remédient pas dans les temps.
-
La période rétrospective de douze mois prévue par la loi de la Californie sur les droits en matière de vie privée (CPRA) commence. Les sociétés doivent désormais tenir compte des informations personnelles recueillies et traitées sur une période de douze mois précédant toute demande d’un consommateur.
-
En Californie, la loi CPRA vient modifier la loi CCPA et entre en vigueur. Le délai de 30 jours pour remédier aux violations n’est plus accordé.
Pour respecter la loi CPRA, vous devez peut-être prendre les mesures suivantes :
Important : les mesures à prendre pour vous mettre en conformité dépendent de la nature de votre activité et du type d’informations personnelles que vous recueillez et traitez. Découvrez si votre activité est concernée en répondant à ce quiz d’une minute
Pour obtenir des informations précises sur la manière de respecter les exigences ci-dessus, découvrez comment vous préparer à la loi CPRA.La loi de la Virginie sur la protection des données de consommateurs (VCDPA) entre en vigueur et en application.
Pour respecter la loi VCDPA, vous devez peut-être prendre les mesures suivantes :
Important : les mesures précises que vous devez prendre pour vous mettre en conformité dépendent de plusieurs facteurs, comme la nature de votre activité ou le type d’informations personnelles que vous recueillez et traitez.
Pour des informations précises sur la manière de respecter les exigences ci-dessus, découvrez comment iubenda peut vous aider à vous conformer à la loi VCDPA.En Californie, la loi CPRA entre en application.
L’agence de protection de la vie privée de l’État de Californie (CPPA) effectue désormais un suivi actif de la conformité avec la loi CPRA et fait appliquer cette loi. Elle prononce des amendes ou des sanctions en cas de non conformité.
Note : par décision du Tribunal supérieur du comté de Sacramento, l’application de la réglementation finale émise par l’agence de protection de la vie privée de l’État de Californie a été reportée au 29 mars 2024. Toutefois, cette décision n’affecte pas les exigences de la loi CPRA, en application depuis le 1er juillet 2023.La loi du Colorado sur la vie privée (CPA) entre en vigueur.
Pour respecter la loi CPA, vous devez peut-être prendre les mesures suivantes :
Pour obtenir des informations précises sur la manière de respecter les exigences ci-dessus, découvrez comment iubenda peut vous aider à vous conformer à la loi CPA.
La loi du Connecticut sur la confidentialité des données (CTDPA) entre en vigueur.
Pour respecter la loi CTDPA, vous devez peut-être prendre les mesures suivantes :
Pour plus d’informations sur la manière de respecter les exigences ci-dessus, cliquez ici.
La loi de l’Utah sur la vie privée des consommateurs (UCPA) entre en vigueur.
Pour respecter la loi UCPA, vous devez peut-être prendre les mesures suivantes :
Pour plus d’informations sur la manière de respecter les exigences ci-dessus, cliquez ici.
-
L’exigence de prise en compte des demandes d’opposition des consommateurs soumises par le biais d’un mécanisme d’opposition universel prévue par la loi CPA est désormais en vigueur.
La loi de l’Oregon sur la protection de la vie privée des consommateurs (OCPA) est désormais en vigueur.
Veuillez noter que les organisations à but non lucratif disposent d’une année supplémentaire, jusqu’au 1er juillet 2025, pour se conformer à cette loi.
Le Texas Data Privacy and Security Act (TDPSA) est désormais en vigueur.
La loi du Montana sur la protection des données des consommateurs (MTCDPA) est désormais en vigueur.
Veuillez noter que les organisations à but non lucratif et certaines autres entités sont exemptées de cette loi.
-
La loi du Montana sur la confidentialité des données des consommateurs exige désormais que les entreprises reconnaissent et honorent les signaux d’opposition universels des consommateurs qui choisissent de s’opposer à la vente de leurs données à caractère personnel ou à la publicité ciblée.
-
La loi de l’Oregon sur la protection de la vie privée des consommateurs exige désormais que les entreprises reconnaissent les signaux « Global Privacy Control » émis par des navigateurs comme Chrome, qui permettent aux utilisateurs de refuser la vente de données ou les publicités ciblées.
Quelles sont les exigences liées à la conformité aux États-Unis ?
Du fait que les réglementations diffèrent légèrement d'un État à un autre, gérer chaque potentiel scénario peut être complexe. Les solutions iubenda appliquent les normes les plus strictes pour vous aider à vous conformer facilement. Il vous suffit de sélectionner Lois d’États américains dans votre générateur pour vous conformer aux principales lois à travers les États-Unis.
Disposer d'une politique de confidentialité détaillée
Obligatoire (USA)Les entreprises doivent inclure des informations spécifiques dans leur politique de confidentialité. Ces informations comprennent une description des droits des consommateurs, les tiers, les finalités, les sources d'où proviennent ces données, etc. Ces informations doivent être complètes, à jour, et facilement accessibles depuis l'ensemble du site web ou application.
Les politiques ne sont pas valables si des informations nécessaires sont manquantes
Pour être conforme, votre politique doit au minimum contenir :
- Indiquez les catégories de renseignements personnels que votre entreprise a vendus ou partagés avec des tiers au cours des 12 derniers mois, une liste de tiers pertinents et votre finalité commerciale. Vous devez également divulguer si vous n’avez pas vendu ou partagé les informations personnelles des utilisateurs au cours des 12 derniers mois.
- Ajouter une déclaration indiquant si votre entreprise vend ou partage sciemment les renseignements personnels des utilisateurs de moins de 16 ans.
- Indiquez les catégories de renseignements personnels que votre entreprise a divulgués (à des fins commerciales) à des tiers au cours des 12 derniers mois, une liste de tiers pertinents et la finalité de votre entreprise. Vous devez également indiquer si vous n’avez pas divulgué les renseignements personnels des consommateurs au cours des 12 mois précédents.
- Indiquez si votre entreprise utilise ou communique des informations personnelles sensibles à des finalités autres que celles précisées dans la loi.
- Fournissez des liens vers des formulaires de demande ou des portails en ligne afin que vos utilisateurs puissent faire des demandes concernant la collecte, la communication ou la vente de leurs renseignements personnels.
Voici la liste complète des informations que vous devez inclure dans votre politique de confidentialité selon les exigences de la CPRA.
- Indiquez les catégories de données personnelles traitées par votre organisation.
- Indiquez la finalité du traitement des données personnelles de votre organisation.
- Informez vos utilisateurs de la manière dont ils peuvent exercer leurs droits (voir ci-dessous), y compris la manière dont ils peuvent faire appel d'une décision portant sur leurs demandes. Vous devez fournir une ou plusieurs méthodes aux utilisateurs pour soumettre une demande.
- Indiquez les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant.
- Indiquez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant.
Plus précisément, la CPA exige que vous fournissiez un avis de confidentialité comprenant les renseignements suivants :
- Catégories de données personnelles collectées ou traitées.
- Finalités pour lesquelles les catégories de données personnelles sont traitées.
- Comment et où les consommateurs peuvent exercer leurs droits, y compris les coordonnées et la façon de faire appel des actions d’un responsable à l’égard de la demande d’un consommateur.
- Catégories de données personnelles qui sont partagées avec des tiers, le cas échéant;
- Catégories de tiers avec lesquels les données personnelles sont partagées, le cas échéant.
Plus de détails ici →
La nouvelle loi sur la protection de la vie privée de Connecticut exige que vous fournissiez aux consommateurs un avis de confidentialité clair et significatif qui soit raisonnablement accessible. Voici une liste de contrôle de ce qui doit être inclus dans votre politique de confidentialité pour se conformer à la nouvelle loi:
- Catégories de données personnelles : Votre politique de confidentialité doit inclure une liste des catégories de données personnelles que vous traitez.
- Finalités du traitement: Votre politique de confidentialité doit indiquer clairement les finalités du traitement des données personnelles. Cela inclut toute raison pour laquelle vous collectez et utilisez des données personnelles, par exemple pour exécuter un contrat ou fournir un service.
- Droits des consommateurs : Votre politique de confidentialité doit expliquer comment les consommateurs peuvent exercer leurs droits en vertu de la loi. Cela inclut la manière dont un consommateur peut accéder à ses données personnelles, les corriger, les supprimer ou en restreindre le traitement. Vous devez également inclure des informations sur la manière dont un consommateur peut faire appel d'une décision liée à sa demande.
- Partage par des tiers : Si vous partagez des données personnelles avec des tiers, votre politique de confidentialité doit spécifier les catégories de données personnelles que vous partagez.
- Catégories de tiers: Votre politique de confidentialité doit également préciser les catégories de tiers avec lesquels vous partagez des données personnelles.
- Coordonnées Votre politique de confidentialité doit fournir une adresse électronique active ou un autre mécanisme en ligne que les consommateurs peuvent utiliser pour vous contacter pour toute question ou préoccupation concernant leurs données personnelles.
- Vente ou publicité ciblée : Si vous traitez des données personnelles à des finalités de vente ou Publicité ciblée, votre politique de confidentialité doit le révéler clairement et de manière visible. Vous devez également fournir des informations sur la manière dont les consommateurs peuvent exercer leur droit de refuser un tel traitement.
Plus de détails ici →
Si vous êtes concerné par la Consumer Privacy Act (UCPA) de l’Utah, vous devez fournir aux consommateurs une politique de confidentialité raisonnablement accessible et claire. Votre politique de confidentialité devrait inclure les éléments suivants:
- Catégories de données personnelles traitées: Identifiez les types de données personnelles que votre organisation collecte et traite, telles que les noms, adresses e-mail et informations de paiement.
- Finalités du traitement des données personnelles : Décrivez les raisons pour lesquelles votre organisation collecte et traite des données personnelles, par exemple pour exécuter des commandes, fournir un service client ou améliorer ses produits ou services.
- Droits des consommateurs : Expliquer comment les consommateurs peuvent exercer leurs droits, comme celui d'accéder à leurs données personnelles et de les supprimer. Notez que l'UCPA n'accorde pas aux consommateurs le droit de demander la rectification de données personnelles inexactes.
- Partage de données personnelles : Divulguer les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant. Par exemple, vous pouvez partager des informations de paiement avec un sous-traitant ou des adresses postales avec un fournisseur d'expédition.
- Tiers: Identifiez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant. Il peut s’agir de fournisseurs, prestataires de services ou partenaires marketing.
Plus de détails ici →
La loi texane sur la confidentialité et la sécurité des données exige des responsables du traitement qu’ils fournissent aux consommateurs un avis de confidentialité raisonnablement accessible et clair, décrivant notamment :
- les catégories de données à caractère personnel, y compris les données sensibles, le cas échéant, qui sont traitées et les finalités du traitement ;
- comment les consommateurs peuvent exercer leurs droits ; et
- les catégories de données à caractère personnel partagées avec des tiers et les catégories de tiers avec lesquels les informations sont partagées.
Si les responsables du traitement procèdent à la vente de données sensibles, ils sont tenus d’en informer les consommateurs de manière appropriée. Pour certains types de traitement de données, les responsables du traitement doivent effectuer des évaluations de la protection des données.
Fournissez un avis clair sur la protection de la vie privée qui indiquent :
- les catégories de données à caractère personnel traitées ;
- les finalités du traitement ;
- le partage des pratiques ;
- les coordonnées ; et
- la manière d’exercer les droits des consommateurs.
L’OCDPA impose aux responsables du traitement de fournir aux consommateurs un avis clair, accessible et pertinent en matière de protection de la vie privée. Cet avis doit comprendre :
- Les catégories de données à caractère personnel (y compris les données sensibles) traitées par le responsable du traitement et les finalités du traitement.
- Les catégories de données à caractère personnel partagées avec des tiers et l’identité de ces tiers.
- Le détail des activités de traitement liées à la publicité ciblée.
- Des instructions sur la manière dont les consommateurs peuvent contacter le responsable du traitement et exercer leurs droits en matière de protection de la vie privée, y compris la procédure de recours.
Générateur de Politique de Confidentialité et de Cookies
Personnalisable grâce à +2000 clauses, disponible en 14 langues et mis à jour automatiquement en cas de changements dans la loi, notre générateur vous permet de créer un document juridique en peu de temps et de l'intégrer facilement à votre site web ou application.
Afficher un avis et permettre le droit d'opposition
Le CPRA (venu modifier le CCPA) requiert l'affichage, lors de la collecte ou avant, d'un avis informant les consommateurs des catégories d'informations personnelles qui seront collectées et à quelles fins. Les consommateur doivent également être autorisés à s’opposer à ce traitement. En tant qu'entreprise, vous êtes donc responsable d'informer les consommateurs de cette option et de fournir les moyens réels d'opposition.
En particulier, vous devez:
- Détectez si un consommateur est basé en Californie et s’il a visité votre site Web avant
- Faciliter les demandes d'opposition via un lien DNSMPI
- Demander aux tiers concernés de cesser de traiter les informations du consommateur lorsqu'une demande d'opposition est reçue.
- Leur signifier un avis à la première visite des lieux contenant les divulgations nécessaires
Veuillez noter que la VCDPA n’exige pas de liens d’opposition permettant aux utilisateurs de refuser le traitement des données personnelles à certaines finalités.
En fait, les dispositions de la VCDPA traitent les droits d’opposition des utilisateurs de la même manière que les autres droits des utilisateurs accordés en vertu de la Loi.
Votre entreprise doit répondre aux demandes des utilisateurs comme suit:
- Vous devez accéder à la demande dans les 45 jours. Le délai de réponse peut être prolongé une fois de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire, pour autant que vous informiez votre utilisateur de toute prolongation dans le délai de réponse initial de 45 jours, avec la raison de la prolongation;
- Si vous refusez de prendre des mesures concernant la demande de vos utilisateurs, informez l’utilisateur de ce Refus dans les 45 jours, en indiquant la justification pertinente et les instructions sur la façon de faire appel de la décision;
- Si vous n'êtes pas en mesure d'authentifier une demande par des efforts commercialement raisonnables, vous n'êtes pas tenu d'accéder à la demande, et vous pouvez demander des informations supplémentaires, qui sont raisonnablement nécessaires pour authentifier l'utilisateur et sa demande.
Veuillez noter qu’en vertu de la LPC, rien n’indique que des liens d’opposition permettant aux consommateurs de refuser le traitement des données personnelles à certaines finalités soient requis. Toutefois, si vous traitez des données personnelles pour Publicité ciblée ou vente, vous devez fournir aux consommateurs une méthode claire et visible pour exercer leur droit de refus.
Cette méthode doit être décrite clairement et bien en vue dans l'avis de confidentialité et doit être facilement accessible en dehors de l'avis de confidentialité.
Vous devez également autoriser les consommateurs à refuser le traitement de leurs données personnelles à des fins de Publicité ciblée ou de vente par le biais d’un signal d’opposition envoyé via une plateforme, une technologie ou un mécanisme, avec le consentement du consommateur.
Ce mécanisme doit:
- ne pas désavantager injustement les autres responsables,
- exiger du consommateur un choix affirmatif et sans ambiguïté,
- être facile à utiliser,
- être aussi compatible que possible avec d'autres mécanismes similaires exigés par les lois ou règlements fédéraux ou des États, et
- permettre au responsable de déterminer si le consommateur est un résident du Connecticut et a fait une demande d'opposition légitime.
En vertu de l'Utah Consumer Privacy Act (UCPA), les consommateurs ont le droit de refuser le traitement de leurs données personnelles à des finalités de publicité ciblée ou de vente de leurs données personnelles à des tiers. Toutefois, la loi ne contient pas de directives précises sur la façon dont vous devriez permettre aux consommateurs d’exercer ce droit.
Pour vous conformer à la UCPA, vous devez:
- fournir aux consommateurs un moyen de présenter des demandes d'opposition;
- préciser le droit qu'ils entendent exercer.
Il est important de noter que, dans le cadre de l’UCPA, les liens d’opposition entrent en ligne de compte uniquement dans le cadre du droit des consommateurs de s’opposer au traitement des données sensibles.
Le TDPSA exige le consentement explicite de l’utilisateur dans les cas suivants :
- Consentement explicite au traitement des données sensibles : Les responsables du traitement ne peuvent pas traiter de données sensibles sans le consentement explicite de l’utilisateur. Lorsqu’ils traitent des données sensibles à caractère personnel relatives aux enfants, les responsables du traitement doivent également se conformer à la loi de 1998 sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act).
- Consentement explicite au traitement des données relatives aux enfants : Aux fins de cette loi, les enfants sont définis comme des mineurs âgés de moins de 13 ans.
Les entreprises peuvent généralement traiter les données des consommateurs sans leur consentement si les finalités du traitement sont les mêmes que celles initialement stipulées. Pour les finalités qui ne sont pas raisonnablement nécessaires et compatibles avec celles indiquées initialement dans la politique de confidentialité, il est nécessaire d’obtenir le consentement de l’utilisateur.
Les entreprises doivent obtenir le consentement des consommateurs pour les raisons suivantes :
- Le traitement des données sensibles.
- Le traitement des données à caractère personnel relatives aux enfants âgés de 13 à 16 ans à des fins de vente et de publicité ciblée, si l’entreprise a connaissance de leur âge.
Fournissez aux consommateurs d’une méthode facile pour retirer leur consentement. Lorsqu’un consommateur révoque son consentement, mettez fin au traitement de ses données à caractère personnel dans un délai de 45 jours.
Mécanismes d’opposition
- Indiquer si les données à caractère personnel seront vendues ou utilisées à des fins de publicité ciblée.
- Fournir des méthodes permettant aux consommateurs de s’opposer à la vente de données, à la publicité ciblée et au profilage.
- Reconnaître les signaux d’opposition vérifiables provenant d’agents autorisés, y compris les mécanismes d’opposition globaux.
D’ici le 1er janvier 2025, les entreprises devront permettre aux consommateurs de refuser la publicité ciblée et la vente de leurs données à caractère personnel à l’aide de signaux d’opposition.
Pour traiter des données à caractère personnel au-delà de ce qui est raisonnablement nécessaire aux fins initialement stipulées aux consommateurs, les entités doivent obtenir le consentement actif et explicite des consommateurs. Les mêmes règles de consentement s’appliquent à la collecte et au traitement des informations sensibles.
L’OCPA stipule des obligations claires en matière de consentement :
- Les consommateurs doivent prendre des mesures claires et positives.
- Le consentement doit être sans ambiguïté et éclairé.
- Le mécanisme de consentement ne peut pas occulter, ébranler ou compromettre la prise de décision des consommateurs.
- Les consommateurs doivent disposer d’un moyen simple et similaire de retirer leur consentement à tout moment.
- L’inaction du consommateur ne constitue pas un consentement.
En outre, le consentement actif d’un tuteur est nécessaire pour traiter les données relatives aux enfants âgés de moins de 13 ans, y compris pour la publicité ciblée ou la vente de leurs informations.
Privacy Controls and Cookie Solution pour le CCPA
Avertissez les consommateurs et gérez les demandes d'opposition (opt-out). Compatible avec le cadre de conformité au CCPA de l'IAB.
Notre solution vous permet de :
Afficher un lien « Ne pas vendre mes informations personnelles » (DNSMPI) dans l'avis et ailleurs sur votre site web ou application, facilitant ainsi l'opposition à la vente
Détecter et appliquer automatiquement les bons critères (même s'il y en a plusieurs) en fonction de la localisation de l'utilisateur. Notre solution vous permet d'appliquer à la fois les standards du CPRA (anciennement CCPA) et ceux du RGPD, aux mêmes utilisateurs
Enregistrer les préférences des utilisateurs (ex. l'opt-out) et les transférer aux partenaires publicitaires qui font partie du cadre de conformité au CCPA de l'IAB (comme Google et AdRoll)
Maintenir un registre à jour des actions d'opt-out réalisées manuellement
Obligatoire (USA)Comme mentionné précédemment, similairement au CPRA (anciennement CCPA), la plupart des lois de ces États donnent aux utilisateurs le droit d’opposition. Dans les cas où le traitement des données est plutôt manuel (ex. non lié à des scripts du site web, comme pour le marketing direct par e-mail), les entreprises doivent parfois gérer manuellement les demandes d'opt-out.
De plus, des lois comme le CPRA exigent que les utilisateurs ayant exercé leur droit d'opposition ne soient pas contactés pour un minimum de 12 mois après la demande. Pour cette raison, il est plus prudent de conserver les détails de l'opt-out incluant l'utilisateur concerné, la date et les sous-traitants à informer en cas de demande.
Consent Database
Registre des activités de traitement des données
Notre Registre des activités de traitement des données vous permet d'enregistrer avec précision tous les détails pertinents et nécessaires pour satisfaire les demandes des consommateurs.
La solution conserve :
- les détails sur la sécurité comme la liste des membres de votre organisation qui ont accès aux données des utilisateurs ;
- les éventuels sous-traitants qui traitent des données personnelles en votre nom ;
- les finalités du traitement ajoutées manuellement ;
- les méthodes de collecte de données et plus encore.
Sanctions et amendes pour non-conformité
Pénalité civile de
2 500 dollars par infraction ou
de 7 500 dollars par infraction si elle est intentionnelle ou si elle implique les informations personnelles d'un enfant.
Pénalité civile pouvant aller jusqu'à 7 500 dollars pour chaque infraction.
Bien que ces amendes puissent sembler peu élevées par rapport à d'autres lois sur la confidentialité, il faut savoir que ces amendes sont calculées par infraction et par consommateur. Pour une entreprise qui n'a que quelques clients, ces amendes peuvent représenter une somme importante.
Globalement, quelles sont les principales obligations des propriétaires de sites web et d'applications ?
Partage et profilage
Si vous avez des utilisateurs des États-Unis, vous devrez probablement vous conformer à des lois telles que le CPRA et le VCDPA lors du profilage ou du partage d’informations d’utilisateurs. Cela signifie que vous devez informer les utilisateurs du traitement de leurs données et leur donner la possibilité de s’opposer à ce partage (opt-out).
Registre des consentements
Vous êtes tenu par certaines régions comme l'Europe et le Brésil à conserver les preuves de consentement (également appelées registres de consentement). Dans de nombreux cas, sans ces registres, les consentements que vous collectez peuvent être considérés comme non valables, ce qui vous place en infraction de la loi.
Exigences inter-régionales
Si vous avez des utilisateurs de différentes régions (par exemple, en Europe et aux États-Unis), vous devrez probablement vous conformer simultanément aux lois de plusieurs régions, comme le CPRA de Californie ou le RGPD européen. Cela signifie que vos documents de confidentialité doivent, entre autres, contenir des informations spécifiques à chaque région.
Déjà 130 000 clients dans plus de 100 pays nous font confiance
« Si, comme moi, vous faites partie d'une équipe constamment à la recherche de nouvelles astuces et détestez mettre à jour votre politique de confidentialité à chaque fois que vous ajoutez du code sur votre site web, alors les solutions iubenda sont faites pour vous. Elles sont vraiment abordables et faciles à utiliser. »
Créer un avis de collecte de données CCPA
ESSAYEZ AVANT D'ACHETER ou UTILISEZ LA VERSION GRATUITE
3039354 documents déjà générés
FAQ
Comment se préparer au CPRA ?
Le CPRA entre en vigueur le 1er janvier 2023 et sera en application à partir du 1er juillet 2023.
Chez iubenda, comme toujours, nous surveillons de près les dernières actualités et nous assurons que tous nos documents et produits soient adaptés à temps pour rester conformes.
Si vous avez déjà mis en place des procédures dans le cadre du CCPA, il est recommandé de commencer à revoir vos processus et à prendre note de ces éléments :
L’essentiel pour se préparer au VCDPA
Les États-Unis se dotent d’une nouvelle réglementation en matière de protection des données grâce au « Virginia Data Protection Act » (VCDPA).
Le VCDPA prendra effet le 1er janvier 2023.
Si votre organisation entre dans le champ d’application de la loi VCDPA, vous devriez commencer à chercher des solutions qui soient fiables et rédigées par des avocats.
Alors, si vous n’avez pas encore de solution pour cela, commencez la mise en place avec iubenda, et nous vous informerons lorsque les clauses relatives seront disponibles !
En savoir plus sur le « Virginia Consumer Data Protection Act » (VCDPA)
Documentation et guides
Besoin d'aide pour démarrer ?
Consultez notre guide d'introduction
Parlez en direct sur notre chat ou contactez notre service client
Inscrivez-vous à notre prochain webinar pour obtenir un aperçu des obligations légales et poser vos questions en direct
Une solution à 360° pour la mise en conformité de vos sites web et applications
Conformité pour vos sites web et applications
Générateur de Politique de Confidentialité et de Cookies
Créez votre politique de confidentialité et de cookies en quelques minutes.
Personnalisable grâce à +2000 clauses, disponible en 14 langues et mis à jour automatiquement en cas de changements dans la loi, notre générateur vous permet de créer un document juridique en peu de temps et de l'intégrer facilement à votre site web ou application.
Privacy Controls and Cookie Solution
Gérez les préférences de consentement conformément à la directive ePrivacy, le RGPD, la loi CPRA (venue modifier la loi CCPA) et la LGPD. Compatible avec le TCF de l'IAB et avec le cadre de conformité à la loi CCPA.
Notre solution vous permet de générer un bandeau cookies/bannière de consentement complètement personnalisable, de collecter le consentement aux cookies, configurer le blocage préalable (dont le blocage automatique), définir les préférences publicitaires, et plus encore.
Conformité pour votre organisation
Consent Database
Adaptez vos documents au RGPD et à la LGPD : collectez une preuve de consentement et documentez l'opt-in et l'opt-out.
Notre solution s'intègre facilement à vos formulaires de collecte de données, se synchronise à vos documents juridiques et inclut un tableau de bord intuitif qui vous permet à tout moment de récupérer les consentements obtenus.
Registre des activités de traitement des données
Documentez toutes les activités de traitement de données réalisées au sein de votre organisation.
Pour la mise en conformité aux lois sur la confidentialité et en particulier au RGPD, les entreprises doivent tenir un registre des modalités de stockage et d'utilisation des données de leurs utilisateurs. Notre solution vous permet de documenter facilement toutes les activités de traitement en place au sein de votre organisation.