💡 Un peu perdu face à la loi CCPA ? Suivez notre plan d’attaque :
Dans ce guide, découvrez comment vous conformer à vos obligations de notification de la collecte et d’opposition à la collecte imposées par la loi de la Californie sur la vie privée des consommateurs (CCPA) à l’aide de notre Cookie Solution.
Notre solution vous permet de vous conformer à ces obligations de trois façons :
Notre solution vous permet d’afficher une notification pour informer les consommateurs californiens de la possibilité que leurs données soient collectées et de leur droit d’opposition. Cette notification affiche également un lien « Ne pas vendre mes Informations Personnelles » comme l’exige la loi.
Notre solution affiche un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) dans la notification de collecte (tel que l’exige la loi) et vous permet d’ajouter ce lien sur votre site pour faciliter l’accès des utilisateurs à la page correspondante (tel que l’exige la loi).
La loi CCPA vous impose également de faciliter les demandes d’opposition des consommateurs. Notre solution répond à cette exigence par les moyens suivants :
Notre solution vous permet d’appliquer automatiquement les normes de la loi CCPA, celles du RGPD ou les deux aux mêmes utilisateurs lorsque vous êtes légalement tenu de le faire.
La nouvelle fonctionnalité d’Utilisation limitée des données (LDU) de Facebook permet aux propriétaires de site auxquels la loi CCPA s’applique, et qui utilisent les services de Facebook à des fins de publicité ou sur leur site, de demander à Facebook de limiter le traitement des données des résidents de Californie.
D’après Facebook :
« Si nous recevons un paramètre pour une personne résidant en Californie, nous traiterons ses données conformément aux dispositions s’appliquant au fournisseur de services et limiterons leur utilisation en vertu de nos Conditions spécifiques aux États. La fonctionnalité LDU ne concerne que les utilisateurs basés en Californie. Si les entreprises ne spécifient pas les États-Unis ni la Californie dans les paramètres, nous nous chargerons de déterminer si une personne réside ou non en Californie. Les entreprises pourront constater une incidence sur les performances et l’efficacité de leur campagne, et les fonctions de reciblage et de mesure seront limitées. »
De façon générale, Facebook a deux moyens de déterminer si ces paramètres doivent s’appliquer :
Bien entendu, la seconde approche est généralement préférable et vous donne plus de contrôle.
Nous sommes ravis d’annoncer que la Cookie Solution de iubenda est compatible avec l’Utilisation limitée des données de Facebook.
Si vous vous demandez comment configurer votre Cookie Solution pour transmettre à Facebook les données pertinentes sur les paramètres LDU, consultez l’exemple de code ci-dessous.
Consultez l’exemple Facebook Limited Data Use de iubenda (@iubenda) sur CodePen.
Cette configuration vous permet de transmettre les bonnes variables lorsque vos utilisateurs exercent leur droit d’opposition en vertu de la loi CCPA.
Les scénarios suivants et les instructions dont ils s’accompagnent vous permettront :
Ajoutez <script src="//cdn.iubenda.com/cs/ccpa/stub.js"></script>
avant le code d’intégration de votre Cookie Solution en veillant bien à ce que ces deux codes soient les tous premiers scripts de la page (p.ex. juste après la balise ouvrante <head>).
Par exemple, votre entreprise est établie hors de l’UE et vous avez des utilisateurs en Californie, mais aucun dans l’UE.
Dans ce scénario précis, vous avez en fait deux possibilités :
a) Vous souhaitez appliquer les normes de la loi CCPA à tous vos utilisateurs.
Si vous souhaitez appliquer les normes de la loi CCPA à tous vos utilisateurs et n’appliquer celles du RGPD à aucun d’eux, sélectionnez « CCPA » uniquement :
Code :
"enableCcpa": true,
"ccpaApplies": true,
"enableGdpr": false,
"gdprApplies": false,
"gdprAppliesGlobally": false,
b) Vous souhaitez appliquer les normes de la loi CCPA uniquement à vos utilisateurs californiens.
Si vous souhaitez appliquer les normes de la loi CCPA uniquement à vos utilisateurs californiens en détectant automatiquement les utilisateurs qui se connectent depuis la Californie et en n’appliquant les normes de la loi CCPA qu’à ceux-ci, sélectionnez « CCPA » puis dans « Modifier », sélectionnez « Aux utilisateurs de Californie » :
Code :
"enableCcpa": true,
"countryDetection": true,
"enableGdpr": false,
Voir sur CodePen
Par exemple, votre entreprise est établie hors de l’UE et vous avez à la fois des utilisateurs dans l’UE et en Californie.
Grâce à la détection du pays, nous appliquerons les normes de la loi CCPA lorsque nous détecterons que l’utilisateur se connecte depuis la Californie et celles du RGPD lorsque l’utilisateur se connectera depuis l’UE. Sélectionnez « CCPA » et « RGPD », puis :
Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Seulement aux utilisateurs de l’UE » :
Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez « Aux utilisateurs de Californie » :
Code :
"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": false,
"countryDetection": true,
Par exemple, votre entreprise est établie dans l’UE et vous avez des utilisateurs californiens.
Important : n’oubliez pas que si vous êtes établi dans l’UE, vous êtes tenu d’appliquer les mesures de protection prévues par le RGPD dans le monde entier.
Sélectionnez « CCPA » et « RGPD », puis :
Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Dans le monde entier » :
Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez « Aux utilisateurs de Californie » :
Code :
"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": true,
"countryDetection": true,
Dans ce scénario, nous afficherons aux utilisateurs californiens une déclaration conforme à la fois aux exigences du RGPD et à celles de la loi CCPA, tandis que les utilisateurs se trouvant hors de la Californie verront uniquement une déclaration conforme au RGPD.
Les exemples ci-dessous illustrent à la fois les scénarios 2 et 3 : C’est pourquoi nous vous recommandons d’ouvrir ces exemples dans CodePen pour consulter la description complète.
Activation de la conformité avec la loi CCPA et le RGPD :
Voir sur CodePen
Activation de la conformité avec la loi CCPA et le RGPD et de la compatibilité avec le TCF :
Voir sur CodePen
Par exemple, votre entreprise est établie dans l’UE et vous n’avez aucun utilisateur californien.
Sélectionnez « RGPD », sans sélectionner « CCPA ».
Si la loi CCPA ne vous est pas applicable, vous pouvez utiliser le code par défaut de la Cookie Solution.
Si l’utilisateur décide de s’opposer à la vente de ses données, cette décision doit être honorée. Vous avez trois moyens de vous en assurer.
Dans ce cas, notre intégration avec le CCPA Compliance Framework se charge de notifier aux partenaires l’opposition à la vente.
C’est par exemple le cas de Google, qui vous permet d’envoyer un signal précis dès qu’un utilisateur exerce son droit d’opposition. Vous trouverez dans cet article des instructions valables pour Google Ads et Google Analytics.
Il est possible que d’autres prestataires prévoient des instructions similaires.
Dans ce cas, vous devrez ajouter la classe _iub_cs_activate
à la balise script
de chacun de ces services, remplacer la valeur de l’attribut type text/javascript
par text/plain
et ajouter l’attribut data-iub-blockifccpaoptout
:
<script class="_iub_cs_activate" type="text/plain" data-iub-blockifccpaoptout src="...">
...
</script>
Vous pouvez réaliser ces modifications manuellement ou via un gestionnaire de balises comme Google Tag Manager.
Cet exemple disponible sur CodePen montre comment gérer les scripts pour vous conformer à la loi CCPA (et au RGPD) à l’aide de Google Tag Manager.
Le droit d’opposition du consommateur vous impose d’afficher un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) facile d’accès, clair et visible sur votre site Web.
En suivant les instructions ci-dessus, vous afficherez un lien DNSMPI dans la notification exigée par la loi CCPA. Nous vous donnons également la possibilité d’ajouter un lien indépendant, grâce à la classe iubenda-ccpa-opt-out
. Nous vous recommandons d’ajouter un lien facile d’accès quelque part sur votre site (généralement dans le pied de page) pour permettre à vos utilisateurs, s’ils le souhaitent, d’exercer leur droit d’opposition même après la fermeture de la déclaration (comme l’exige la loi).
Par exemple, vous pourriez ajouter à votre pied de page le lien suivant :
<a href="javascript:void(0)" class="iubenda-ccpa-opt-out">Do Not Sell My Personal Information</a>
Lorsqu’un utilisateur cliquera sur ce lien, il verra s’afficher une boîte de dialogue qui lui permettra de confirmer son intention de s’opposer à la vente de ses informations personnelles.
Si vous préférez ne pas afficher de bandeau contenant des informations sur la loi CCPA, vous pouvez utiliser les paramètres suivants :
ccpaNoticeDisplay: false
Cette option est également disponible par le biais du configurateur (« Ajouter seulement un lien vers la politique de confidentialité dans chaque page »).
Vous avez trois possibilités :
ccpaAcknowledgeOnDisplay: false
, valeur par défaut) ;ccpaAcknowledgeOnDisplay: true
) ; ouCes paramètres sont également disponibles dans le configurateur.
ccpaCookie: { expireAfter: 365 }
: vous permet de personnaliser la durée du cookie qui enregistre la prise de connaissance de la notification exigée par la loi CCPA.
privacyPolicyUrl: "https://votresite.com/politiquedeconfidentialite"
: vous permet de personnaliser l’URL de la politique de confidentialité utilisée.
ccpaLspa: true / false / undefined
(par défaut) : vous permet de préciser si la transaction doit être effectuée en vertu de l’Accord de prestation de services limités (LSPA) de l’IAB.
onCcpaAcknowledged
: appelée après la prise de connaissance de la notification exigée par la loi CCPA.
onCcpaFirstAcknowledged
: appelée uniquement après la première prise de connaissance de la notification exigée par la loi CCPA.
onCcpaOptOut
: appelée lorsque l’utilisateur s’est opposé à la vente de ses informations personnelles.
onCcpaFirstOptOut
: appelée uniquement la première fois que l’utilisateur s’oppose à la vente de ses informations personnelles.
_iub.cs.api.ccpaApplies()
: indique si les mesures de protection prévues par la loi CCPA sont appliquées à l’utilisateur actuel.
_iub.cs.api.askCcpaOptOut()
: affiche une boîte de dialogue qui demande à l’utilisateur de confirmer son opposition à la vente de ses informations personnelles.
_iub.cs.api.isCcpaAcknowledged()
: indique si l’utilisateur a pris connaissance de la notification exigée par la loi CCPA.
_iub.cs.api.isCcpaOptedOut()
: indique si l’utilisateur s’est opposé à la vente de ses informations personnelles.