Une nouvelle loi californienne sur les droits en matière de vie privée est venue modifier la loi CCPA. Il s’agit du California Privacy Rights Act (CPRA), qui est désormais en vigueur. Consultez notre guide CPRA : présentation du CCPA 2.0 et de son impact pour tout connaitre de vos obligations et comprendre les conséquences de ces modifications sur votre activité.
Les informations ci-dessous portent sur la loi CCPA et ne sont plus tout à fait à jour.
Le California Privacy Rights Act (CPRA) vient compléter le California Consumer Privacy Act (CCPA) en renforçant la protection de la vie privée des consommateurs. La loi CPRA n’a ni remplacé ni abrogé le cadre juridique mis en place par la loi CCPA.
La loi CCPA accorde différents droits aux résidents de Californie et réglemente les agissements des entreprises qui recueillent ou vendent des informations personnelles. Toutefois, elle laisse planer une certaine ambiguïté sur les conséquences des traitements de données de consommateurs réalisés par des tiers. C’est pour lever cette ambiguïté que la loi CCPA a fait l’objet d’une modification, connue sous le nom de California Privacy Rights Act (CPRA).
La loi CPRA, entrée en vigueur en janvier 2023, est venue compléter quelques éléments clés de la loi CCPA. On peut la considérer comme une version plus exhaustive de cette loi.
💡 Nos produits ont été mis à jour conformément aux dernières modifications introduites par la loi CPRA. Pour obtenir des informations complètes sur la manière de vous y conformer, cliquez ici.
En général, la loi CCPA s’applique lorsque les DEUX conditions suivantes sont réunies :
En vertu de la loi CCPA, un « consommateur » est une personne physique qui réside en Californie.
La loi de la Californie sur la vie privée des consommateurs définit une « entreprise » comme une organisation à but lucratif qui recueille les informations personnelles de consommateurs, qui détermine les finalités et les méthodes de leur traitement, qui cible des résidents de Californie (même lorsque l’entreprise n’est pas établie en Californie) et qui répond au moins à l’un des critères suivants :
La loi de la Californie sur la vie privée des consommateurs définit les « informations personnelles » comme des « informations qui, directement ou indirectement, permettent d’identifier un consommateur ou un foyer précis, s’y rapportent, le décrivent, peuvent lui être associées ou pourraient lui être légitimement reliées. »
La loi CCPA détaille davantage les informations personnelles en précisant qu’elles incluent notamment :
Dans le cadre de la loi CCPA, la vente est définie comme « la vente, la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou toute autre communication, notamment orale, écrite ou électronique, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers en échange d’une contrepartie à titre onéreux, et notamment monétaire ».
Bien que la loi CCPA ne comporte pas actuellement de définition explicite de la « contrepartie à titre onéreux », le droit des contrats californien la définit comme suit : « [a]tout avantage accordé ou devant être accordé au promettant par toute autre personne avec son accord (excepté lorsque le promettant y a déjà droit en vertu de la loi), ou tout autre préjudice subi ou devant être subi par cette autre personne avec son accord (excepté lorsque cette dernière est déjà tenue de le subir en vertu de la loi au moment de l’accord), à titre d’avantage incitatif pour le promettant, est une contrepartie valable à une promesse. » (Code civil de la Californie, paragraphe 1605).
Dans ce cadre, une « contrepartie à titre onéreux » peut être interprétée au sens large pour désigner tout accord relatif à l’échange d’informations personnelles par lequel l’entité à l’origine du transfert reçoit tout avantage auquel la loi ne lui donnerait pas droit en l’absence de cet accord.
La loi de la Californie sur la protection de la vie privée en ligne, le California Online Privacy Protection Act (CalOPPA), n’a pas été abrogée par la loi CCPA et s’applique toujours. Il est important d’en tenir compte, car il est possible que vous soyez tenu de vous conformer à la loi CalOPPA même lorsque vous ne répondez pas aux critères de la définition d’une « entreprise » (définie ci-dessus) en vertu de la loi CCPA, ou que ces deux lois vous soient applicables. Pour en savoir plus sur la loi CalOPPA, cliquez ici
Quelles sont exactement les exigences de la loi CCPA ?
En vertu de la loi CCPA, les consommateurs disposent du droit d’être informés avant la collecte ou lors de celle-ci de la façon dont leurs informations seront traitées.
En vertu de la loi de la Californie sur la vie privée des consommateurs, vous devez divulguer :
En vertu de la loi CCPA, les consommateurs disposent d’un droit d’accès à leurs informations personnelles qu’ils peuvent exercer en soumettant une demande vérifiable*.
En particulier, les consommateurs peuvent accéder :
* Une demande vérifiable d’un consommateur désigne une demande effectuée par un consommateur pour son propre compte ou pour celui de son enfant mineur, ou par une personne physique ou une personne inscrite auprès du Secrétaire d’État de Californie que le consommateur a autorisée à agir pour son compte, et dont l’entreprise peut vérifier par des moyens raisonnables … qu’il s’agit bien du consommateur dont l’entreprise a recueilli des informations personnelles. Code civil de la Californie, paragraphe 1798.140(y)
Vous devez fournir aux consommateurs au moins deux moyens de soumettre leurs demandes d’accès, dont au moins un numéro de téléphone gratuit et, lorsque l’entreprise en dispose, l’adresse d’un site Web. Vous devez également employer des efforts raisonnables pour vérifier que l’auteur de la demande est soit le consommateur auquel se rapportent les informations recueillies, soit une personne autorisée à demander ces informations pour le compte de ce consommateur, comme indiqué ci-dessus.
En vertu du paragraphe 1798.100 (d) de la loi de la Californie sur la vie privée des consommateurs, le droit à la portabilité des données est intégré au droit d’accès.
Lorsqu’une entreprise répond à une demande d’accès « par voie électronique », elle doit également fournir les informations au consommateur dans « un format portable et, lorsque cela est techniquement possible, prêt à être utilisé, qui permet au consommateur de transmettre ces informations à une autre entité sans obstacle ».
Les demandes d’informations doivent être satisfaites gratuitement au plus tard 45 jours à compter de la demande vérifiable du consommateur. Ce délai de 45 jours peut être renouvelé une fois, lorsque cela est légitimement nécessaire, et à condition que le consommateur soit avisé de cette prolongation au cours de la première période de 45 jours.
Les divulgations effectuées en réponse à la demande doivent couvrir la période de 12 mois qui précède la réception de la demande.
Les entreprises doivent répondre soit par courrier postal, soit par voie électronique (p.ex. par e-mail ou fichier à télécharger). En cas de réponse par voie électronique, la loi exige que les informations soient « portables », c’est-à-dire livrées dans un format facile à utiliser qui ne présente aucun obstacle au transfert des informations à une autre entité.
La loi CCPA accorde aux consommateurs le droit de demander la suppression de toute information personnelle recueillie à leur sujet. En cas de demande de suppression vérifiable d’un consommateur, vous devez supprimer les informations personnelles de ce consommateur de votre registre et demander à tout prestataire de services tiers de supprimer à son tour les informations personnelles de ce consommateur de son registre.
Vous devez fournir aux consommateurs au moins deux moyens de soumettre leurs demandes, dont au moins un numéro de téléphone gratuit et, lorsque l’entreprise en dispose, l’adresse d’un site Web. Vous devez également employer des efforts raisonnables pour vérifier que l’auteur de la demande est soit le consommateur auquel se rapportent les informations recueillies, soit une personne autorisée à demander ces informations pour le compte de ce consommateur, comme indiqué ci-dessus.
Cette demande doit être satisfaite gratuitement, au plus tard 45 jours à compter de la demande vérifiable du consommateur. Ce délai de 45 jours peut être renouvelé une fois, lorsque cela est légitimement nécessaire, et à condition que le consommateur soit avisé de cette prolongation au cours de la première période de 45 jours.
Les entreprises ne sont pas tenues de satisfaire les demandes de suppression lorsque les informations personnelles sont nécessaires à :
En vertu de la loi CCPA, un consommateur peut à tout moment exercer son droit de demander à une entreprise qui vend ses informations personnelles à des tiers de mettre fin à cette vente.
Comme nous l’avons mentionné plus haut, en vertu de la loi CCPA, la « vente » est définie comme la vente, la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou toute autre communication orale, écrite ou électronique, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers, en échange d’une contrepartie à titre onéreux, et notamment monétaire.
Voici deux exemples moins évidents d’activités qui pourraient* être considérées comme des « ventes » en vertu de la loi CCPA :
* Gardez à l’esprit qu’à ce stade de la mise en œuvre de cette loi, certains facteurs sont susceptibles d’évoluer à mesure de son amélioration.
Lorsque vous « vendez » les informations personnelles de consommateurs à des tiers, vous devez le faire savoir aux consommateurs et les informer de leur droit d’opposition à la vente de leurs informations personnelles (conformément au « Droit à l’information » décrit ci-dessus).
Vous ne pouvez pas demander à un consommateur de créer un compte pour exercer son droit d’opposition. À la place, vous devez faciliter ce processus en affichant un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) sur votre site Web ou dans votre déclaration de confidentialité.
Lorsqu’un consommateur demande à une entreprise de ne pas vendre ses informations personnelles, l’entreprise n’a pas le droit de vendre les informations personnelles de ce consommateur, excepté lorsque ce dernier autorise explicitement par la suite la vente de ses informations personnelles (consentement).
Les entreprises ne peuvent demander l’autorisation d’un consommateur qu’une fois de plus, et seulement 12 mois après l’opposition du consommateur.
Il est interdit aux entreprises de vendre les informations personnelles de consommateurs dont elles savent qu’ils ont moins de 16 ans. Dans de tels cas, les entreprises ne peuvent vendre ces informations que lorsque :
La loi CCPA interdit aux entreprises de faire preuve de discrimination à l’encontre des consommateurs lorsque ces derniers exercent les droits que leur accorde la loi. Les formes de discrimination interdites incluent :
Une entreprise ne peut facturer ou proposer un prix, un taux, une qualité ou un niveau différent lors de la vente de biens ou services que lorsque cette différence se justifie par la valeur que les données du consommateur apportent à ce dernier.
Prenons pour exemple une entreprise qui, lorsqu’un consommateur achète un produit, lui propose un mois plus tard une remise standard de 30 % sur ce même produit pour l’inciter à l’acheter de nouveau. Durant cette période, un consommateur exerce son droit à la suppression et demande la suppression de ses informations personnelles. Dans ce cas, l’entreprise ne dispose plus des données relatives à ce consommateur qui auraient montré que ce consommateur avait acheté ce produit ; elle ne peut donc plus proposer légitimement la remise standard de 30 % à ce consommateur.
Une entreprise peut proposer aux consommateurs des mesures financières incitatives, y compris des paiements à titre de rémunération, pour la collecte, la vente ou la suppression d’informations personnelles. Dans de tels cas, ces mesures financières incitatives doivent être divulguées aux utilisateurs sur la page d’accueil de votre site Web et dans votre politique de confidentialité.
Il est interdit aux entreprises d’employer des mesures financières incitatives « de nature injuste, déraisonnable, coercitive ou usuraire ».
La loi CCPA est parfois qualifiée de « RGPD californien », mais qu’en est-il réellement ? Voici une comparaison de ces deux lois sur la protection de la vie privée :
| CCPA | RGPD | |
|---|---|---|
| Quel est l’organe chargé de son application ? | Le procureur général de l’État de Californie, aux États-Unis. | Les agences nationales (des pays membres de l’UE) chargées de la protection des données. |
| Qui doit s’y conformer ? | Toute entreprise à but lucratif qui cible des consommateurs californiens et qui remplit l’un des critères suivants :
|
Toute entité (à but lucratif ou non, y compris toute ONG, personne physique ou entité publique) qui cible des consommateurs de l’UE ou qui est établie dans l’UE. |
| Quels sont les types de données protégés ? | Toute donnée qui se rapporte ou qui peut être reliée à un consommateur ou un foyer précis, à l’exception des registres gouvernementaux publics. | Toute donnée qui peut permettre l’identification d’une personne physique. |
| Les adresses IP sont-elles considérées comme des données personnelles ? | ||
| Le consentement doit-il être obtenu avant le traitement ? | Seulement dans le cas des mineurs ou en cas d’opposition antérieure. | Oui, excepté en présence d’une autre base juridique légitime. |
| Les entreprises doivent-elles donner aux consommateurs la possibilité de refuser ou retirer leur consentement ? | Oui, elles doivent fournir un lien DNSMPI et honorer les demandes d’opposition. | Les utilisateurs disposent à la fois du droit de retirer leur consentement et du droit de s’opposer au traitement (qui peut même s’appliquer lorsque le traitement est justifié par une base juridique autre que le consentement). |
| Les mesures de protection s’appliquent-elles également aux interactions entre entreprises (B2B) ? | Non, les mesures de protection prévues par la loi CCPA s’appliquent uniquement aux consommateurs. | Le RGPD ne fait aucune différence entre les interactions entre entreprises (B2B) et celles entre entreprises et consommateurs (B2C), mais prévoit simplement des mesures de protection applicables aux « personnes concernées », qui sont définies comme les « personnes physiques identifiables » qui résident dans l’UE. |
| Quelles sont les exigences en matière de sécurité ? | La loi CCPA ne prévoit aucune exigence spécifique en matière de sécurité, mais accorde explicitement aux consommateurs le droit d’intenter une action en justice pour obtenir réparation de tout préjudice résultant de mesures de sécurité inadéquates. | Le RGPD impose à la fois au responsable du traitement et au sous-traitant de mettre en œuvre des mesures de sécurité adéquates au regard du risque inhérent. Ces mesures de sécurité doivent « tenir compte de l’état des connaissances », ce qui implique qu’elles devraient être au même niveau que les dernières normes. |
| Quelles sont les pénalités en cas de violation ? | Les amendes peuvent s’élever jusqu’à 7500 dollars américains par violation. La loi CCPA accorde également aux consommateurs le droit d’intenter une action en justice pour obtenir réparation de tout préjudice. | Les amendes peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les entreprises s’exposent également à des audits et des sanctions. Le RGPD accorde également aux personnes concernées le droit d’intenter une action en justice en cas de violation de leurs droits. |
| Aperçu des droits accordés aux utilisateurs | ||
| Le droit à l’information | ||
| Le droit d’accès | ||
| Le droit à la portabilité | ||
| Le droit de rectification | × | |
| Le droit à la suppression | ||
| Le droit d’opposition | Quelque peu prévu par le droit d’opposition | |
Les consommateurs ont le droit d’intenter une action en justice* à l’encontre des entreprises qui violent la loi. Les amendes connexes vont de 100 à 750 dollars américains, et peuvent atteindre des montants plus importants afin de réparer les préjudices réels (lorsque ces derniers sont plus importants, preuves à l’appui).
* Ce droit s’exerce uniquement à l’encontre des entreprises elles-mêmes, et non des « prestataires de services » qui agissent pour le compte des entreprises.
L’État peut condamner les entreprises qui ont violé la loi CCPA par inadvertance à des amendes pouvant s’élever jusqu’à 2500 dollars américains par violation, et les entreprises qui ont commis des violations délibérées à des amendes pouvant s’élever jusqu’à 7500 dollars américains par violation.
Bien que ces amendes paraissent peu élevées par rapport aux autres lois sur la protection de la vie privée, gardez à l’esprit que ces amendes s’appliquent par violation et par consommateur. Même pour une entreprise qui n’a que quelques clients, ces amendes peuvent se cumuler pour atteindre des sommes importantes.
La conformité avec la loi CCPA, tout comme la conformité avec d’autres lois sur la protection de la vie privée, est un processus aux multiples facettes qui implique un examen honnête, une planification, ainsi qu’une mise en œuvre technique et juridique. La plupart du temps, c’est toutefois cette mise en œuvre qui demande le plus d’efforts.
C’est là que iubenda entre en scène. La mise en œuvre peut être compliquée. Nous vous soulageons d’un poids en vous proposant de puissantes solutions logicielles — qui s’appuient sur l’expertise de notre équipe juridique internationale — pour vous permettre de vous mettre en conformité en seulement quelques clics même dans les situations les plus complexes et de personnaliser entièrement vos outils juridiques en cas de besoin (pour en savoir plus sur nos solutions et la façon dont elles peuvent vous aider, cliquez ici).
Quelle que soit l’approche choisie pour effectuer ce processus, vous devrez suivre quelques étapes élémentaires avant de passer à la phase de mise en œuvre. Nous allons ci-après nous intéresser à ces étapes ainsi qu’au reste du processus de mise en œuvre.
L’une des étapes les plus importantes est peut-être l’examen et l’évaluation honnêtes de vos propres processus et systèmes.
Voici quelques questions à vous poser :
À partir de vos réponses aux questions ci-dessus, rédigez des déclarations pertinentes et intégrez-les à votre politique de confidentialité. Affichez-les également à l’endroit où a lieu la collecte de données (p.ex. un formulaire de contact) le cas échéant.
Pensez bien à inclure :
Vous devez honorer les demandes d’accès, de portabilité et de suppression, gratuitement pour le consommateur, au plus tard 45 jours à compter de la réception d’une demande vérifiable. Cette période de 45 jours peut être renouvelée (une seule fois) lorsque nécessaire, à condition d’en informer le consommateur au préalable.
Lorsque vous honorez une demande d’accès ou de portabilité, les informations restituées au consommateur doivent lui être fournies dans un format qui lui permet de les utiliser et de les transmettre facilement.
Lorsqu’un consommateur exerce son droit d’opposition (son droit de refuser la vente de ses informations personnelles), vous devez honorer sa demande dès réception.
Dans les cas où vous savez que le consommateur est un mineur de moins de 16 ans, vous ne devez pas vendre ses informations sans y être explicitement autorisé par un parent ou tuteur (dans le cas des mineurs de moins de 13 ans) ou par le consommateur mineur (lorsqu’il a entre 13 et 16 ans).
Le droit d’opposition du consommateur vous impose d’afficher un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) facile d’accès, clair et visible sur la page d’accueil de votre site Web et dans votre politique de confidentialité (en fournissant des informations adéquates sur le droit du consommateur à cet égard).
Ce lien doit conduire l’utilisateur à une page sur laquelle il peut s’opposer à la vente de ses informations personnelles.
Lorsque cela est techniquement possible, vous êtes en droit de mettre en ligne une page d’accueil distincte sur laquelle figure le lien DNSMPI visible et de rediriger les résidents de Californie vers cette dernière.
Le service, la qualité, le niveau ou encore le prix que vous proposez aux consommateurs ne doit ni être influencé par leur décision d’exercer leurs droits ni en dépendre. Les seules exceptions à cette règle sont les cas où la valeur du service ou produit proposé dépend de la collecte de données sur le consommateur (voir l’exemple ci-dessus).
Vous pouvez proposer des mesures financières incitatives (y compris des paiements) aux consommateurs en échange de l’accès à leurs informations personnelles ; toutefois, vous ne pouvez employer que des mesures financières incitatives justes, raisonnables, non coercitives et non usuraires. Dans de tels cas, les consommateurs doivent au préalable être informés de ces mesures incitatives sur la page d’accueil de votre site Web.
Tout comme les personnes, les besoins et les idées qu’elles servent, les lois sont souvent « vivantes » et dynamiques. De la même façon, vos finalités commerciales, vos partenaires et vos processus peuvent évoluer au fil du temps.
C’est pourquoi il est essentiel d’examiner et d’évaluer régulièrement vos processus internes, vos capacités techniques et vos documents juridiques, et de les tenir à jour au regard des exigences légales.
La conformité, de façon générale, peut être compliquée. Trouver la bonne façon d’appliquer la loi et de faire fonctionner les spécifications techniques pour votre site et votre entreprise peut représenter un défi de taille.
Nos solutions éliminent le côté aléatoire de la mise en conformité et accomplissent tout le travail technique et juridique pour vous permettre de vous concentrer sur la croissance de votre entreprise.
Toutes les politiques de confidentialité générées avec iubenda vous permettent de vous mettre en conformité avec la loi CCPA, car elles vous donnent la possibilité d’appliquer facilement les normes juridiques prévues par la loi CCPA aux utilisateurs californiens.
Grâce à notre solution, vous pouvez facilement respecter des exigences accrues grâce à :
💡 Pour en savoir plus sur notre Générateur de Politique de Confidentialité et de Cookies, cliquez ici.
Notre solution vous aide à vous conformer à l’exigence de la loi CCPA qui vous impose d’informer les utilisateurs californiens de votre activité de vente lors de leur visite sur le site et de leur permettre de s’y opposer (tel que l’exige la loi).
Plus précisément, le produit Privacy Controls and Cookie Solution permet :
💡 Pour en savoir plus sur la façon d’activer ces fonctionnalités, cliquez ici.
Comme nous l’avons mentionné plus haut, la loi CCPA accorde aux consommateurs un droit d’opposition. Lorsque le traitement est quelque peu manuel (soit lorsqu’il n’est pas lié à des scripts présents sur le site, comme dans le cas du marketing direct par courriel), les entreprises peuvent avoir besoin d’honorer manuellement la demande d’opposition.
Par ailleurs, la loi CCPA interdit de contacter les utilisateurs qui ont exercé leur droit d’opposition pendant une période d’au moins 12 mois à compter de leur demande. C’est pourquoi il est prudent de tenir un registre des demandes d’opposition qui indique l’utilisateur concerné, la date de sa demande ainsi que les sous-traitants à aviser en cas de demande.
Notre Consent Database se connecte à vos formulaires Web pour vous permettre de transmettre automatiquement les préférences des consommateurs (telles que l’opposition à la vente de leurs informations personnelles) par le biais d’une API vers un tableau de bord visuel dont la gestion est centralisée.
Vous pouvez enregistrer toutes les informations pertinentes, y compris la date et l’heure de l’opposition, la version de la politique de confidentialité présentée à l’utilisateur au moment de l’opposition, l’identifiant de l’utilisateur, son adresse e-mail et même son adresse IP pour vous aider à vérifier sa demande.
💡 Pour en savoir plus sur la Consent Database, cliquez ici.
Notre Registre des activités de traitement des données vous permet d’enregistrer avec exactitude les informations pertinentes nécessaires pour honorer les demandes des consommateurs avec précision.
Cette solution enregistre :
💡 Pour en savoir plus sur notre Registre des activités de traitement des données, cliquez ici.
