Si vous êtes soumis au CCPA (vous pouvez vérifier rapidement ici s’il vous est applicable), vous pouvez utiliser la check-list ci-dessous pour vérifier votre conformité à cette réglementation.
Tout d’abord, un petit récapitulatif : qu’est-ce que le CCPA ? Le California Consumer Privacy Act (CCPA) est la nouvelle loi californienne sur la protection de la vie privée. Elle vise à améliorer les droits des consommateurs résidents de la Californie (États-Unis) en matière de vie privée. Le CCPA définit de nouvelles exigences concernant le traitement des informations permettant d’identifier des personnes et accorde aux consommateurs californiens des droits supplémentaires.
En matière de conformité, il est primordial d’examiner honnêtement vos processus et vos systèmes.
Voici quelques questions pour vous mettre sur la bonne voie. Cochez-les à mesure que vous y répondez.
Quelles sont les catégories de données personnelles que je recueille et les catégories de tiers avec lesquels je partage ces données ?
Quelles sont les sources auprès desquelles je recueille ces informations et à quelles catégories appartiennent-elles (p. ex. analyses) ?
Quelles sont les raisons ou les finalités de ma collecte de données ?
Quels droits des consommateurs prévus par le CCPA (le cas échéant) ne s’appliquent pas à mes activités de traitement ?
En toute honnêteté, quelles exceptions s’appliquent légitimement à ma situation ?
Ai-je bien connaissance de tous les prestataires de services* qui accèdent aux informations personnelles des consommateurs pour mon compte ?
Puis-je contacter ces tiers et compter sur eux pour honorer, par exemple, les demandes de suppression ?
Tiens-je un registre fiable des informations et des catégories d’informations personnelles que je recueille auprès de chaque consommateur ?
Ai-je mis à disposition sur mon site Web les documents nécessaires (tels que la politique de confidentialité ou les conditions générales) à la communication des informations exigées par la loi ?
*Les prestataires de services sont des entités qui collectent des informations personnelles pour le compte de l’entreprise et non pour leur propre compte — ils sont comparables aux Sous-traitants au titre du RGPD. Vous trouverez la définition complète et les exceptions prévues sur le site https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf (p.14)
Tenez des registres internes des types de traitement que vous effectuez (notamment la liste de vos prestataires de services), afin de pouvoir inclure les détails correspondants dans votre politique de confidentialité, mais aussi au moment de la collecte des données (p. ex. dans un formulaire de contact) si nécessaire.
Insérez dans votre politique de confidentialité des clauses rédigées suivant les normes du CCPA (éléments de langage, informations et instructions spécifiques)
Mettez à jour tous les ans votre politique de confidentialité
Prévoyez un moyen de récupérer les informations traitées concernant certains consommateurs. Vous pouvez le faire simplement en vous tenant informé des traitements généralement appliqués à certains groupes d’utilisateurs ou à certaines transactions. Vous pouvez ensuite les croiser avec votre politique interne, vos tableaux de vente, vos bases de données ou vos registres des consentements pour récupérer l’information concernée.
Assurez-vous de pouvoir satisfaire les demandes d’accès par courrier postal ou de manière électronique (par e-mail ou par téléchargement de fichiers, par exemple) et dans un format facile à utiliser et à transmettre à une autre personne ou entreprise.
Affichez une notification de collecte conformément au CCPA ;
Affichez un lien « Ne pas vendre mes informations personnelles » (DNSMPI) permettant au consommateur de s’opposer.
Facilitez réellement l’acte d’opposition à la vente de ces informations pour le consommateur particulier
Assurez-vous, dans les cas où vous savez que le consommateur est un mineur de moins de 16 ans, que vous ne vendez pas ses informations sans y être explicitement autorisé par un parent ou un tuteur (dans le cas des mineurs de moins de 13 ans) ou par le consommateur mineur (lorsqu’il a entre 13 et 16 ans).
Ne faites preuve d’aucune discrimination à l’encontre des consommateurs qui exercent leurs droits.