Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Guide de conformité avec la loi California Consumer Privacy Act (CCPA)

❗️ Important

Une nouvelle loi californienne sur les droits en matière de vie privée est venue modifier la loi CCPA. Il s’agit du California Privacy Rights Act (CPRA), qui est désormais en vigueur. Consultez notre guide CPRA : présentation du CCPA 2.0 et de son impact pour tout connaitre de vos obligations et comprendre les conséquences de ces modifications sur votre activité.

Les informations ci-dessous portent sur la loi CCPA et ne sont plus tout à fait à jour.

Mise à jour

Le California Privacy Rights Act (CPRA) vient compléter le California Consumer Privacy Act (CCPA) en renforçant la protection de la vie privée des consommateurs. La loi CPRA n’a ni remplacé ni abrogé le cadre juridique mis en place par la loi CCPA.

La loi CCPA accorde différents droits aux résidents de Californie et réglemente les agissements des entreprises qui recueillent ou vendent des informations personnelles. Toutefois, elle laisse planer une certaine ambiguïté sur les conséquences des traitements de données de consommateurs réalisés par des tiers. C’est pour lever cette ambiguïté que la loi CCPA a fait l’objet d’une modification, connue sous le nom de California Privacy Rights Act (CPRA).

La loi CPRA, entrée en vigueur en janvier 2023, est venue compléter quelques éléments clés de la loi CCPA. On peut la considérer comme une version plus exhaustive de cette loi.

💡 Nos produits ont été mis à jour conformément aux dernières modifications introduites par la loi CPRA. Pour obtenir des informations complètes sur la manière de vous y conformer, cliquez ici.

Quand la loi CCPA s’applique-t-elle ?

En général, la loi CCPA s’applique lorsque les DEUX conditions suivantes sont réunies :

  • vous avez une entreprise, et
  • vous ciblez des consommateurs californiens.

Définitions essentielles

Consommateur

En vertu de la loi CCPA, un « consommateur » est une personne physique qui réside en Californie.

Entreprise

La loi de la Californie sur la vie privée des consommateurs définit une « entreprise » comme une organisation à but lucratif qui recueille les informations personnelles de consommateurs, qui détermine les finalités et les méthodes de leur traitement, qui cible des résidents de Californie (même lorsque l’entreprise n’est pas établie en Californie) et qui répond au moins à l’un des critères suivants :

  • son chiffre d’affaires brut annuel est supérieur à vingt-cinq millions de dollars américains (25 000 000 $) ;
  • au moins 50 pour cent de son chiffre d’affaires annuel proviennent de la vente d’informations personnelles de consommateurs ; ou
  • elle achète, reçoit, vend ou partage chaque année les informations personnelles d’au moins 50 000 consommateurs à des fins commerciales. Les adresses IP sont considérées comme des données personnelles, et les « fins commerciales » désignent simplement la poursuite d’intérêts commerciaux ou économiques. Il est donc probable que tout site Web qui reçoit chaque année au moins 50 000 visites uniques depuis la Californie soit concerné.

Informations personnelles

La loi de la Californie sur la vie privée des consommateurs définit les « informations personnelles » comme des « informations qui, directement ou indirectement, permettent d’identifier un consommateur ou un foyer précis, s’y rapportent, le décrivent, peuvent lui être associées ou pourraient lui être légitimement reliées. »

La loi CCPA détaille davantage les informations personnelles en précisant qu’elles incluent notamment :

  • les identifiants tels que le nom réel, le pseudonyme, l’adresse postale, l’identifiant personnel unique, l’adresse IP identifiant en ligne, l’adresse e-mail, le nom de compte, le numéro de sécurité sociale, le numéro de permis de conduire, le numéro de passeport et autres identifiants similaires ;
  • les informations commerciales, y compris les informations relatives aux biens personnels, produits et services achetés, obtenus ou envisagés, et les informations relatives aux historiques ou tendances d’achat ou de consommation ;
  • les informations biométriques ;
  • les informations relatives à l’activité sur Internet ou tout autre réseau électronique, y compris l’historique de navigation, l’historique de recherche et les informations relatives aux interactions avec les sites Web, les applications ou les publicités ;
  • les données de géolocalisation ;
  • les informations auditives, électroniques, visuelles, thermiques ou olfactives et autres informations similaires ;
  • les informations professionnelles ou relatives à l’emploi ;
  • les informations relatives à l’éducation, en dehors des informations accessibles publiquement tel que défini ici ; ou
  • toute déduction tirée de telles informations et utilisée pour créer un profil qui reflète les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, l’attitude, l’intelligence, les capacités et les aptitudes d’un consommateur.

Vente

Dans le cadre de la loi CCPA, la vente est définie comme « la vente, la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou toute autre communication, notamment orale, écrite ou électronique, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers en échange d’une contrepartie à titre onéreux, et notamment monétaire ».

Contrepartie à titre onéreux

Bien que la loi CCPA ne comporte pas actuellement de définition explicite de la « contrepartie à titre onéreux », le droit des contrats californien la définit comme suit : « [a]tout avantage accordé ou devant être accordé au promettant par toute autre personne avec son accord (excepté lorsque le promettant y a déjà droit en vertu de la loi), ou tout autre préjudice subi ou devant être subi par cette autre personne avec son accord (excepté lorsque cette dernière est déjà tenue de le subir en vertu de la loi au moment de l’accord), à titre d’avantage incitatif pour le promettant, est une contrepartie valable à une promesse. » (Code civil de la Californie, paragraphe 1605).

Dans ce cadre, une « contrepartie à titre onéreux » peut être interprétée au sens large pour désigner tout accord relatif à l’échange d’informations personnelles par lequel l’entité à l’origine du transfert reçoit tout avantage auquel la loi ne lui donnerait pas droit en l’absence de cet accord.

Important

La loi de la Californie sur la protection de la vie privée en ligne, le California Online Privacy Protection Act (CalOPPA), n’a pas été abrogée par la loi CCPA et s’applique toujours. Il est important d’en tenir compte, car il est possible que vous soyez tenu de vous conformer à la loi CalOPPA même lorsque vous ne répondez pas aux critères de la définition d’une « entreprise » (définie ci-dessus) en vertu de la loi CCPA, ou que ces deux lois vous soient applicables. Pour en savoir plus sur la loi CalOPPA, cliquez ici

Droits du consommateur en vertu de la loi CCPA

Quelles sont exactement les exigences de la loi CCPA ?

Le droit à l’information

En vertu de la loi CCPA, les consommateurs disposent du droit d’être informés avant la collecte ou lors de celle-ci de la façon dont leurs informations seront traitées.

En vertu de la loi de la Californie sur la vie privée des consommateurs, vous devez divulguer :

  • les catégories d’informations personnelles que l’entreprise recueille, vend ou partage ;
  • les catégories de tiers avec lesquels l’entreprise partage des informations personnelles ;
  • les catégories de sources auprès desquelles ces informations sont recueillies ;
  • les finalités commerciales ou professionnelles de la collecte ou de la vente des informations personnelles des consommateurs ;
  • les droits des consommateurs et la façon de les exercer ; et
  • la façon dont le consommateur peut s’opposer à la vente de ses données, par le biais d’un lien « Ne pas vendre mes Informations Personnelles » (lorsque les données sont vendues).

Le droit d’accès

En vertu de la loi CCPA, les consommateurs disposent d’un droit d’accès à leurs informations personnelles qu’ils peuvent exercer en soumettant une demande vérifiable*.

En particulier, les consommateurs peuvent accéder :

  • aux catégories d’informations personnelles recueillies à leur sujet au cours des 12 derniers mois ;
  • aux informations spécifiques recueillies à leur sujet ;
  • aux catégories de sources auprès desquelles l’entreprise a recueilli ces informations ;
  • aux finalités de la collecte ou de la vente de ces informations ;
  • aux catégories de tiers avec lesquels les informations personnelles sont partagées ;
  • aux catégories d’informations personnelles vendues et aux catégories de tiers auxquels les informations personnelles ont été vendues ;
  • aux catégories d’informations personnelles divulguées à des fins commerciales.

* Une demande vérifiable d’un consommateur désigne une demande effectuée par un consommateur pour son propre compte ou pour celui de son enfant mineur, ou par une personne physique ou une personne inscrite auprès du Secrétaire d’État de Californie que le consommateur a autorisée à agir pour son compte, et dont l’entreprise peut vérifier par des moyens raisonnables … qu’il s’agit bien du consommateur dont l’entreprise a recueilli des informations personnelles. Code civil de la Californie, paragraphe 1798.140(y)

Vous devez fournir aux consommateurs au moins deux moyens de soumettre leurs demandes d’accès, dont au moins un numéro de téléphone gratuit et, lorsque l’entreprise en dispose, l’adresse d’un site Web. Vous devez également employer des efforts raisonnables pour vérifier que l’auteur de la demande est soit le consommateur auquel se rapportent les informations recueillies, soit une personne autorisée à demander ces informations pour le compte de ce consommateur, comme indiqué ci-dessus.

Le droit à la portabilité

En vertu du paragraphe 1798.100 (d) de la loi de la Californie sur la vie privée des consommateurs, le droit à la portabilité des données est intégré au droit d’accès.

Lorsqu’une entreprise répond à une demande d’accès « par voie électronique », elle doit également fournir les informations au consommateur dans « un format portable et, lorsque cela est techniquement possible, prêt à être utilisé, qui permet au consommateur de transmettre ces informations à une autre entité sans obstacle ».

Les demandes d’informations doivent être satisfaites gratuitement au plus tard 45 jours à compter de la demande vérifiable du consommateur. Ce délai de 45 jours peut être renouvelé une fois, lorsque cela est légitimement nécessaire, et à condition que le consommateur soit avisé de cette prolongation au cours de la première période de 45 jours.

Les divulgations effectuées en réponse à la demande doivent couvrir la période de 12 mois qui précède la réception de la demande.

Format de livraison

Les entreprises doivent répondre soit par courrier postal, soit par voie électronique (p.ex. par e-mail ou fichier à télécharger). En cas de réponse par voie électronique, la loi exige que les informations soient « portables », c’est-à-dire livrées dans un format facile à utiliser qui ne présente aucun obstacle au transfert des informations à une autre entité.

Exceptions et limites

  • Les consommateurs peuvent présenter au maximum deux demandes par période de 12 mois.
  • Les traitements réalisés une seule fois échappent à cette obligation, à condition que les informations ne soient ni vendues ou conservées par l’entreprise ni utilisées pour ré-identifier la personne.
  • Aucune réponse n’est nécessaire lorsque l’entreprise n’a pas réellement recueilli des informations sur le consommateur concerné.

Le droit à la suppression

La loi CCPA accorde aux consommateurs le droit de demander la suppression de toute information personnelle recueillie à leur sujet. En cas de demande de suppression vérifiable d’un consommateur, vous devez supprimer les informations personnelles de ce consommateur de votre registre et demander à tout prestataire de services tiers de supprimer à son tour les informations personnelles de ce consommateur de son registre.

Vous devez fournir aux consommateurs au moins deux moyens de soumettre leurs demandes, dont au moins un numéro de téléphone gratuit et, lorsque l’entreprise en dispose, l’adresse d’un site Web. Vous devez également employer des efforts raisonnables pour vérifier que l’auteur de la demande est soit le consommateur auquel se rapportent les informations recueillies, soit une personne autorisée à demander ces informations pour le compte de ce consommateur, comme indiqué ci-dessus.

Cette demande doit être satisfaite gratuitement, au plus tard 45 jours à compter de la demande vérifiable du consommateur. Ce délai de 45 jours peut être renouvelé une fois, lorsque cela est légitimement nécessaire, et à condition que le consommateur soit avisé de cette prolongation au cours de la première période de 45 jours.

Exceptions et limites

Les entreprises ne sont pas tenues de satisfaire les demandes de suppression lorsque les informations personnelles sont nécessaires à :

  • l’exécution de la transaction aux fins de laquelle elles ont été recueillies ;
  • la fourniture d’un bien ou service demandé par le consommateur ou l’exécution d’un contrat conclu entre l’entreprise et le consommateur ;
  • la détection des incidents de sécurité, la protection contre les activités malveillantes, trompeuses, frauduleuses ou illégales, ou la poursuite des responsables de telles activités ;
  • le débogage visant à identifier et corriger les erreurs ;
  • l’exercice de la liberté d’expression de l’auteur de la demande ou d’un autre consommateur ;
  • la conformité avec la loi de la Californie sur la confidentialité des communications électroniques, la California Electronic Communications Privacy Act (CalECPA) ;
  • la recherche scientifique, historique ou statistique effectuée dans l’intérêt public, qu’elle soit publique ou vérifiée par des pairs ;
  • la conformité avec une obligation légale ;
  • un usage strictement interne auquel le consommateur pourrait légitimement s’attendre au vu de sa relation avec l’entreprise ;
  • un usage strictement interne licite et compatible avec le cadre dans lequel le consommateur a fourni ces informations.

Le droit d’opposition (le droit de refuser la vente de ses données)

En vertu de la loi CCPA, un consommateur peut à tout moment exercer son droit de demander à une entreprise qui vend ses informations personnelles à des tiers de mettre fin à cette vente.

Qu’est-ce qu’une vente au sens de la loi de la Californie sur la vie privée des consommateurs et comment « vend-on » des informations personnelles ?

Comme nous l’avons mentionné plus haut, en vertu de la loi CCPA, la « vente » est définie comme la vente, la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou toute autre communication orale, écrite ou électronique, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers, en échange d’une contrepartie à titre onéreux, et notamment monétaire.

Voici deux exemples moins évidents d’activités qui pourraient* être considérées comme des « ventes » en vertu de la loi CCPA :

  • le partage de données utilisateur avec des réseaux publicitaires et d’autres tiers à des fins d’affichage de publicité ciblée en vue d’en retirer un profit, y compris financier ; ou
  • l’utilisation d’un programme d’analyse tiers à des fins de reciblage ou de génération d’un profil utilisateur en vue de vendre quelque chose au consommateur.

* Gardez à l’esprit qu’à ce stade de la mise en œuvre de cette loi, certains facteurs sont susceptibles d’évoluer à mesure de son amélioration.

Lorsque vous « vendez » les informations personnelles de consommateurs à des tiers, vous devez le faire savoir aux consommateurs et les informer de leur droit d’opposition à la vente de leurs informations personnelles (conformément au « Droit à l’information » décrit ci-dessus).

Vous ne pouvez pas demander à un consommateur de créer un compte pour exercer son droit d’opposition. À la place, vous devez faciliter ce processus en affichant un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) sur votre site Web ou dans votre déclaration de confidentialité.

Lorsqu’un consommateur demande à une entreprise de ne pas vendre ses informations personnelles, l’entreprise n’a pas le droit de vendre les informations personnelles de ce consommateur, excepté lorsque ce dernier autorise explicitement par la suite la vente de ses informations personnelles (consentement).

Les entreprises ne peuvent demander l’autorisation d’un consommateur qu’une fois de plus, et seulement 12 mois après l’opposition du consommateur.

Le droit de consentement (préalable, dans le cas des mineurs)

Il est interdit aux entreprises de vendre les informations personnelles de consommateurs dont elles savent qu’ils ont moins de 16 ans. Dans de tels cas, les entreprises ne peuvent vendre ces informations que lorsque :

  • le consommateur a entre 13 et 16 ans et y a consenti ; ou
  • le consommateur a moins de 13 ans et son parent ou tuteur y a consenti pour le compte de ce consommateur.

Le droit de ne pas faire l’objet d’une discrimination (même lorsque le consommateur exerce ses droits en matière de vie privée)

La loi CCPA interdit aux entreprises de faire preuve de discrimination à l’encontre des consommateurs lorsque ces derniers exercent les droits que leur accorde la loi. Les formes de discrimination interdites incluent :

  • le refus de biens ou services au consommateur ;
  • l’application de prix ou taux différents lors de la vente de biens ou services, y compris par le biais de remises ou d’autres avantages, ou encore de pénalités ;
  • la fourniture au consommateur de biens ou services d’une qualité ou d’un niveau différent, lorsque le consommateur exerce les droits que lui accorde la loi ;
  • le fait de suggérer que le consommateur se verra appliquer un prix ou taux différent pour les biens ou services, ou encore qu’il recevra des biens ou services d’une qualité ou d’un niveau différent.

Exceptions et limites

  • Une entreprise ne peut facturer ou proposer un prix, un taux, une qualité ou un niveau différent lors de la vente de biens ou services que lorsque cette différence se justifie par la valeur que les données du consommateur apportent à ce dernier.

    Prenons pour exemple une entreprise qui, lorsqu’un consommateur achète un produit, lui propose un mois plus tard une remise standard de 30 % sur ce même produit pour l’inciter à l’acheter de nouveau. Durant cette période, un consommateur exerce son droit à la suppression et demande la suppression de ses informations personnelles. Dans ce cas, l’entreprise ne dispose plus des données relatives à ce consommateur qui auraient montré que ce consommateur avait acheté ce produit ; elle ne peut donc plus proposer légitimement la remise standard de 30 % à ce consommateur.

  • Une entreprise peut proposer aux consommateurs des mesures financières incitatives, y compris des paiements à titre de rémunération, pour la collecte, la vente ou la suppression d’informations personnelles. Dans de tels cas, ces mesures financières incitatives doivent être divulguées aux utilisateurs sur la page d’accueil de votre site Web et dans votre politique de confidentialité.

    Il est interdit aux entreprises d’employer des mesures financières incitatives « de nature injuste, déraisonnable, coercitive ou usuraire ».

Aperçu des différences entre la loi CCPA et le RGPD

La loi CCPA est parfois qualifiée de « RGPD californien », mais qu’en est-il réellement ? Voici une comparaison de ces deux lois sur la protection de la vie privée :

CCPA RGPD
Quel est l’organe chargé de son application ? Le procureur général de l’État de Californie, aux États-Unis. Les agences nationales (des pays membres de l’UE) chargées de la protection des données.
Qui doit s’y conformer ? Toute entreprise à but lucratif qui cible des consommateurs californiens et qui remplit l’un des critères suivants :
  • qui traite les données personnelles d’au moins 50 000 consommateurs californiens (les adresses IP étant considérées comme des données personnelles, de sorte que tout site Web qui reçoit au moins 50 000 visites de consommateurs californiens serait concerné) ;
  • dont au moins 50 % du chiffre d’affaires proviennent du partage des données de consommateurs californiens à titre lucratif ; ou
  • dont le chiffre d’affaires annuel est supérieur à 25 millions de dollars américains.
Toute entité (à but lucratif ou non, y compris toute ONG, personne physique ou entité publique) qui cible des consommateurs de l’UE ou qui est établie dans l’UE.
Quels sont les types de données protégés ? Toute donnée qui se rapporte ou qui peut être reliée à un consommateur ou un foyer précis, à l’exception des registres gouvernementaux publics. Toute donnée qui peut permettre l’identification d’une personne physique.
Les adresses IP sont-elles considérées comme des données personnelles ?
Le consentement doit-il être obtenu avant le traitement ? Seulement dans le cas des mineurs ou en cas d’opposition antérieure. Oui, excepté en présence d’une autre base juridique légitime.
Les entreprises doivent-elles donner aux consommateurs la possibilité de refuser ou retirer leur consentement ? Oui, elles doivent fournir un lien DNSMPI et honorer les demandes d’opposition. Les utilisateurs disposent à la fois du droit de retirer leur consentement et du droit de s’opposer au traitement (qui peut même s’appliquer lorsque le traitement est justifié par une base juridique autre que le consentement).
Les mesures de protection s’appliquent-elles également aux interactions entre entreprises (B2B) ? Non, les mesures de protection prévues par la loi CCPA s’appliquent uniquement aux consommateurs. Le RGPD ne fait aucune différence entre les interactions entre entreprises (B2B) et celles entre entreprises et consommateurs (B2C), mais prévoit simplement des mesures de protection applicables aux « personnes concernées », qui sont définies comme les « personnes physiques identifiables » qui résident dans l’UE.
Quelles sont les exigences en matière de sécurité ? La loi CCPA ne prévoit aucune exigence spécifique en matière de sécurité, mais accorde explicitement aux consommateurs le droit d’intenter une action en justice pour obtenir réparation de tout préjudice résultant de mesures de sécurité inadéquates. Le RGPD impose à la fois au responsable du traitement et au sous-traitant de mettre en œuvre des mesures de sécurité adéquates au regard du risque inhérent. Ces mesures de sécurité doivent « tenir compte de l’état des connaissances », ce qui implique qu’elles devraient être au même niveau que les dernières normes.
Quelles sont les pénalités en cas de violation ? Les amendes peuvent s’élever jusqu’à 7500 dollars américains par violation. La loi CCPA accorde également aux consommateurs le droit d’intenter une action en justice pour obtenir réparation de tout préjudice. Les amendes peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les entreprises s’exposent également à des audits et des sanctions. Le RGPD accorde également aux personnes concernées le droit d’intenter une action en justice en cas de violation de leurs droits.
Aperçu des droits accordés aux utilisateurs
Le droit à l’information
Le droit d’accès
Le droit à la portabilité
Le droit de rectification ×
Le droit à la suppression
Le droit d’opposition Quelque peu prévu par le droit d’opposition

Conséquences en cas de violation

Les consommateurs ont le droit d’intenter une action en justice* à l’encontre des entreprises qui violent la loi. Les amendes connexes vont de 100 à 750 dollars américains, et peuvent atteindre des montants plus importants afin de réparer les préjudices réels (lorsque ces derniers sont plus importants, preuves à l’appui).
* Ce droit s’exerce uniquement à l’encontre des entreprises elles-mêmes, et non des « prestataires de services » qui agissent pour le compte des entreprises.

L’État peut condamner les entreprises qui ont violé la loi CCPA par inadvertance à des amendes pouvant s’élever jusqu’à 2500 dollars américains par violation, et les entreprises qui ont commis des violations délibérées à des amendes pouvant s’élever jusqu’à 7500 dollars américains par violation.

Bien que ces amendes paraissent peu élevées par rapport aux autres lois sur la protection de la vie privée, gardez à l’esprit que ces amendes s’appliquent par violation et par consommateur. Même pour une entreprise qui n’a que quelques clients, ces amendes peuvent se cumuler pour atteindre des sommes importantes.

Comment se conformer à la loi CCPA

La conformité avec la loi CCPA, tout comme la conformité avec d’autres lois sur la protection de la vie privée, est un processus aux multiples facettes qui implique un examen honnête, une planification, ainsi qu’une mise en œuvre technique et juridique. La plupart du temps, c’est toutefois cette mise en œuvre qui demande le plus d’efforts.

C’est là que iubenda entre en scène. La mise en œuvre peut être compliquée. Nous vous soulageons d’un poids en vous proposant de puissantes solutions logicielles — qui s’appuient sur l’expertise de notre équipe juridique internationale — pour vous permettre de vous mettre en conformité en seulement quelques clics même dans les situations les plus complexes et de personnaliser entièrement vos outils juridiques en cas de besoin (pour en savoir plus sur nos solutions et la façon dont elles peuvent vous aider, cliquez ici).

Quelle que soit l’approche choisie pour effectuer ce processus, vous devrez suivre quelques étapes élémentaires avant de passer à la phase de mise en œuvre. Nous allons ci-après nous intéresser à ces étapes ainsi qu’au reste du processus de mise en œuvre.

Procédez à une évaluation et un examen

L’une des étapes les plus importantes est peut-être l’examen et l’évaluation honnêtes de vos propres processus et systèmes.

Voici quelques questions à vous poser :

  • Quelles sont les catégories de données personnelles que je recueille et les catégories de tiers avec lesquels je partage ces données ?
  • Quelles sont les sources auprès desquelles je recueille ces informations et à quelles catégories appartiennent-elles (p.ex. analyse) ?
  • Quelles sont les raisons ou les finalités de ma collecte de données ?
  • De quels droits les consommateurs disposent-ils en vertu de la loi CCPA à l’égard de mes activités de traitement ?
  • Suis-je équipé sur le plan technique pour répondre aux demandes relatives aux droits des consommateurs telles que les demandes de suppression ou d’accès ?
    • Comment assurer le suivi de ces demandes une fois que je les ai honorées ?
    • Est-ce que j’assure le suivi de tous les prestataires de services qui accèdent aux informations personnelles des consommateurs pour mon compte ?
    • Puis-je contacter ces tiers et compter sur eux pour honorer par exemple les demandes de suppression ?
    • Est-ce que je tiens un registre fiable des informations et des catégories d’informations personnelles que je recueille auprès de chaque consommateur ?
  • Ai-je mis à disposition sur mon site Web les documents nécessaires à la communication des informations exigées par la loi ?
  • En toute honnêteté, quelles exceptions s’appliquent légitimement à ma situation ?

Communiquez les informations exigées

À partir de vos réponses aux questions ci-dessus, rédigez des déclarations pertinentes et intégrez-les à votre politique de confidentialité. Affichez-les également à l’endroit où a lieu la collecte de données (p.ex. un formulaire de contact) le cas échéant.

Pensez bien à inclure :

  • les catégories d’informations personnelles que vous avez recueillies, vendues ou partagées au cours des 12 derniers mois ;
  • les catégories de tiers avec lesquels vous avez partagé ou êtes susceptible de partager les informations personnelles ;
  • les catégories de sources auprès desquelles vous recueillez les informations personnelles des consommateurs ;
  • les finalités commerciales ou professionnelles de la collecte ou de la vente des informations personnelles des consommateurs ;
  • les droits applicables des consommateurs et la façon de les exercer.

Honorez les demandes d’exercice des droits des consommateurs

Vous devez honorer les demandes d’accès, de portabilité et de suppression, gratuitement pour le consommateur, au plus tard 45 jours à compter de la réception d’une demande vérifiable. Cette période de 45 jours peut être renouvelée (une seule fois) lorsque nécessaire, à condition d’en informer le consommateur au préalable.

Lorsque vous honorez une demande d’accès ou de portabilité, les informations restituées au consommateur doivent lui être fournies dans un format qui lui permet de les utiliser et de les transmettre facilement.

Lorsqu’un consommateur exerce son droit d’opposition (son droit de refuser la vente de ses informations personnelles), vous devez honorer sa demande dès réception.

Dans les cas où vous savez que le consommateur est un mineur de moins de 16 ans, vous ne devez pas vendre ses informations sans y être explicitement autorisé par un parent ou tuteur (dans le cas des mineurs de moins de 13 ans) ou par le consommateur mineur (lorsqu’il a entre 13 et 16 ans).

Affichez une notification de vente et un lien DNSMPI sur votre site Web

Le droit d’opposition du consommateur vous impose d’afficher un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) facile d’accès, clair et visible sur la page d’accueil de votre site Web et dans votre politique de confidentialité (en fournissant des informations adéquates sur le droit du consommateur à cet égard).

Ce lien doit conduire l’utilisateur à une page sur laquelle il peut s’opposer à la vente de ses informations personnelles.

Lorsque cela est techniquement possible, vous êtes en droit de mettre en ligne une page d’accueil distincte sur laquelle figure le lien DNSMPI visible et de rediriger les résidents de Californie vers cette dernière.

Ne faites preuve d’aucune discrimination à l’encontre des consommateurs qui exercent leurs droits

Le service, la qualité, le niveau ou encore le prix que vous proposez aux consommateurs ne doit ni être influencé par leur décision d’exercer leurs droits ni en dépendre. Les seules exceptions à cette règle sont les cas où la valeur du service ou produit proposé dépend de la collecte de données sur le consommateur (voir l’exemple ci-dessus).

Vous pouvez proposer des mesures financières incitatives (y compris des paiements) aux consommateurs en échange de l’accès à leurs informations personnelles ; toutefois, vous ne pouvez employer que des mesures financières incitatives justes, raisonnables, non coercitives et non usuraires. Dans de tels cas, les consommateurs doivent au préalable être informés de ces mesures incitatives sur la page d’accueil de votre site Web.

Examinez régulièrement vos processus

Tout comme les personnes, les besoins et les idées qu’elles servent, les lois sont souvent « vivantes » et dynamiques. De la même façon, vos finalités commerciales, vos partenaires et vos processus peuvent évoluer au fil du temps.

C’est pourquoi il est essentiel d’examiner et d’évaluer régulièrement vos processus internes, vos capacités techniques et vos documents juridiques, et de les tenir à jour au regard des exigences légales.

En quoi iubenda peut vous aider à vous mettre en conformité avec la loi CCPA

La conformité, de façon générale, peut être compliquée. Trouver la bonne façon d’appliquer la loi et de faire fonctionner les spécifications techniques pour votre site et votre entreprise peut représenter un défi de taille.

Nos solutions éliminent le côté aléatoire de la mise en conformité et accomplissent tout le travail technique et juridique pour vous permettre de vous concentrer sur la croissance de votre entreprise.

Générateur de Politique de Confidentialité et de Cookies conforme à la loi CCPA

Toutes les politiques de confidentialité générées avec iubenda vous permettent de vous mettre en conformité avec la loi CCPA, car elles vous donnent la possibilité d’appliquer facilement les normes juridiques prévues par la loi CCPA aux utilisateurs californiens.

Grâce à notre solution, vous pouvez facilement respecter des exigences accrues grâce à :

  • l’affichage des informations, conditions et instructions exigées par la loi CCPA ;
  • l’indication des services actifs sur votre site qui sont susceptibles de constituer une « vente » au sens de la loi CCPA (tel que l’exige la loi) ; et
  • la mise à jour automatique de la politique de confidentialité intégrée à votre site au regard de la loi CCPA une fois que vous l’avez activée dans le générateur, vous n’avez pas besoin d’intégrer de nouveau le code à votre site !

Privacy Controls and Cookie Solution pour la loi CCPA : affichage de la notification de collecte et du lien « Ne pas vendre mes Informations Personnelles »

Notre solution vous aide à vous conformer à l’exigence de la loi CCPA qui vous impose d’informer les utilisateurs californiens de votre activité de vente lors de leur visite sur le site et de leur permettre de s’y opposer (tel que l’exige la loi).

Plus précisément, le produit Privacy Controls and Cookie Solution permet :

  • l’affichage d’une notification de collecte conformément à la loi CCPA ;
  • l’affichage d’un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) dans la déclaration de collecte (tel que l’exige la loi) et sur votre site pour faciliter l’accès des utilisateurs à la page correspondante (tel que l’exige la loi) et leur permettre de s’opposer à la vente de leurs informations personnelles ;
  • l’application automatique des normes adéquates (parmi plusieurs normes) en fonction de l’emplacement détecté. Notre solution vous permet d’appliquer à la fois les normes de la loi CCPA et celles du RGPD aux mêmes utilisateurs lorsque vous êtes tenu de le faire ;
  • la compatibilité avec le CCPA Compliance Framework de l’IAB (Interactive Advertising Bureau), qui établit un processus permettant aux éditeurs et à leurs partenaires de se conformer aux nouveaux règlements relatifs à la vente des données de consommateurs à des sociétés technologiques ;
  • le blocage manuel des scripts non conformes au CCPA Compliance Framework de l’IAB. Notre solution bloque automatiquement les scripts balisés (manuellement) lorsqu’un utilisateur s’oppose à la vente de ses informations personnelles.

La Consent Database et le Registre des activités de traitement des données

Comme nous l’avons mentionné plus haut, la loi CCPA accorde aux consommateurs un droit d’opposition. Lorsque le traitement est quelque peu manuel (soit lorsqu’il n’est pas lié à des scripts présents sur le site, comme dans le cas du marketing direct par courriel), les entreprises peuvent avoir besoin d’honorer manuellement la demande d’opposition.

Par ailleurs, la loi CCPA interdit de contacter les utilisateurs qui ont exercé leur droit d’opposition pendant une période d’au moins 12 mois à compter de leur demande. C’est pourquoi il est prudent de tenir un registre des demandes d’opposition qui indique l’utilisateur concerné, la date de sa demande ainsi que les sous-traitants à aviser en cas de demande.

Consent Database

Notre  Consent Database se connecte à vos formulaires Web pour vous permettre de transmettre automatiquement les préférences des consommateurs (telles que l’opposition à la vente de leurs informations personnelles) par le biais d’une API vers un tableau de bord visuel dont la gestion est centralisée.

Vous pouvez enregistrer toutes les informations pertinentes, y compris la date et l’heure de l’opposition, la version de la politique de confidentialité présentée à l’utilisateur au moment de l’opposition, l’identifiant de l’utilisateur, son adresse e-mail et même son adresse IP pour vous aider à vérifier sa demande.

💡 Pour en savoir plus sur la Consent Database, cliquez ici.

Registre des activités de traitement des données

Notre Registre des activités de traitement des données vous permet d’enregistrer avec exactitude les informations pertinentes nécessaires pour honorer les demandes des consommateurs avec précision.

Cette solution enregistre :

  • les informations relatives à la sécurité, comme les membres de votre organisation qui ont accès aux données utilisateur ;
  • tout sous-traitant enregistré qui traite des données pour votre compte ;
  • les finalités du traitement ajoutées manuellement ;
  • les moyens de la collecte de données, et plus encore.

Voir aussi