Le guide ultime de la conformité à la California Consumer Privacy Act (CCPA)

Publié: 2019-12-23

Le California Consumer Privacy Act de 2018 (CCPA) est une loi adoptée par la Californie pour protéger les données et la vie privée de ses résidents. Le CCPA ne remplace pas les lois californiennes actuelles sur la confidentialité, mais fonctionnera plutôt à leurs côtés.

Selon le CCPA, les entreprises doivent être plus directes quant à ce qu'elles collectent et à la façon dont elles sont utilisées. Ils doivent également obtenir le consentement des mineurs avant de vendre leurs informations. De plus, les utilisateurs peuvent désormais empêcher les entreprises de vendre leurs données.

Cependant, CCPA ne signifie pas que vous ne pouvez plus vendre les informations utilisateur que vous collectez. Cependant, en ce qui concerne les résidents californiens, vous devrez franchir quelques étapes supplémentaires.

Le CCPA entre en vigueur le 1er janvier 2020, mais les entreprises ont jusqu'au 1er juillet 2020 pour s'y conformer pleinement. Ce n'est pas une excuse pour reporter ça. Cependant, étant donné que les mesures d'application ne commenceront pas avant quelques mois, les entreprises ont le temps d'adapter leurs politiques, leurs processus et leur site Web.

Que considère-t-il comme « données personnelles » ?

Les données personnelles sont tout ce qui décrit ou identifie une personne ou qui est lié d'une manière ou d'une autre à un individu ou à un ménage. Qui comprend:

  • Adresses mail
  • Information d'emploi
  • Géolocalisations
  • Adresses IP
  • Noms

Techniquement, les informations accessibles au public ne sont pas considérées comme des données personnelles par l'ACCP. C'est une zone tellement grise, cependant, et il est préférable de pécher par excès de conformité totale plutôt que de le risquer. De plus, même si les données personnelles d'un utilisateur sont accessibles au public, cela ne s'applique pas à tous vos autres utilisateurs. Vous devez toujours être conforme à tous les niveaux.

Le CCPA affecte-t-il votre entreprise ?

Le CCPA a un impact sur votre entreprise si vous collectez et traitez des données de résidents californiens. Votre entreprise, ou une société mère ou une filiale, doit également répondre à un ou plusieurs des éléments suivants :

  • Votre revenu brut annuel est de 25 millions de dollars ou plus
  • Chaque année, vous achetez, recevez ou vendez des données personnelles de 50 000 appareils, ménages ou résidents californiens ou plus
  • Un minimum de 50% de vos revenus annuels provient de la vente des données personnelles des résidents californiens

Vous n'avez pas besoin d'avoir une entreprise basée en Californie pour atteindre ces seuils. Les résidents californiens peuvent visiter votre site Web, quel que soit le pays d'où opère votre entreprise. Les entreprises d'autres États américains, ainsi que les entreprises du monde entier, doivent tenir compte du CCPA.

La taille de votre entreprise n'a pas d'importance non plus, à part la référence aux seuils. Même les entreprises individuelles et les petites entreprises doivent s'aligner sur le CCPA. Cependant, les entreprises qui traitent les données de 4 millions de consommateurs ou plus doivent répondre à des exigences supplémentaires. Par exemple, ils ont des directives plus strictes en matière de tenue de dossiers.

Si vous atteignez un seuil mais que vous ne collectez pas de données (vous n'avez aucun type d'outil de suivi sur votre site Web), vous êtes techniquement conforme à la CCPA. D'un autre côté, si vous collectez des informations auprès de clients californiens mais que vous n'atteignez pas encore les seuils, cela vaut toujours la peine de se préparer au CCPA. Si votre entreprise se développe rapidement, vous pourriez accidentellement dépasser 25 millions de dollars de revenus ou 50 000 résidents californiens avant d'être conforme à la CCPA.

Comment est défini un résident californien ?

Selon la loi californienne, un résident est une personne qui :

  • Est en Californie pour autre chose qu'une raison temporaire ou transitoire
  • Vit en Californie, même s'il ne se trouve pas actuellement dans l'État pour une raison temporaire ou transitoire

Une personne peut vivre en Californie et ne pas être résidente ou vivre en dehors de la Californie et toujours être résidente. Pour vous protéger, respectez le CCPA si vous avez des raisons de penser qu'une grande partie de votre entreprise provient de résidents californiens.

Comment rendre votre entreprise conforme au CCPA

Pour répondre aux exigences du CCPA, votre entreprise doit prendre plusieurs mesures, dont beaucoup nécessiteront de modifier les politiques et les processus. Voici comment rendre votre entreprise conforme au CCPA :

Mettez à jour votre politique de confidentialité pour clarifier la façon dont vous collectez, utilisez et modifiez les données

Il y a de fortes chances que vous ayez déjà une politique de confidentialité, mais il faudra du travail pour la rendre conforme à la CCPA. Fondamentalement, votre politique de confidentialité indique aux utilisateurs quelles données vous collectez et ce que vous en faites. Pour CCPA, vous devrez être plus transparent qu'avant sur vos pratiques en matière de données. Voici les ajouts que vous devez apporter à votre politique de confidentialité :

  • Quoi, pourquoi et comment vous collectez et traitez les informations personnelles
  • Comment les utilisateurs peuvent accéder, modifier ou supprimer leurs données personnelles que vous avez collectées
  • Votre méthode pour vérifier l'identité d'un utilisateur qui fait l'une de ces demandes
  • Comment les données personnelles sont vendues et comment un utilisateur peut refuser la vente de ses données personnelles

Gardez à l'esprit qu'il s'agit des exigences minimales du CCPA. Si vous pensez qu'il y a plus dans votre processus de collecte de données que les utilisateurs veulent savoir, ajoutez-le.

Obtenir le consentement des mineurs

Vous devrez obtenir le consentement des mineurs âgés de 13 à 16 ans ou des parents d'enfants de moins de 13 ans. Vous pouvez soit demander le consentement dès qu'ils accèdent à votre site Web, soit avant de vendre leurs données. Dans tous les cas, vous ne pouvez pas vendre leurs données avant d'avoir obtenu leur consentement. Stockez toutes les réponses que vous recevez, même si l'utilisateur a refusé le consentement. Hormis les mineurs, vous n'avez pas besoin du consentement de l'utilisateur avant de collecter et d'utiliser des données.

Autoriser les utilisateurs à modifier leurs informations

Une partie du CCPA donne aux utilisateurs californiens la possibilité d'accéder, de modifier, de déplacer ou de supprimer leurs données personnelles. Vous devez créer une méthode permettant aux utilisateurs de soumettre ces types de demandes, et l'une de ces méthodes doit être un numéro sans frais. Vous pouvez ensuite ajouter un formulaire de contact à votre site Web ou fournir une adresse e-mail ou postale.

Vérifier l'identité de l'utilisateur lorsqu'il fait une demande

Une fois que les utilisateurs vous contactent pour modifier leurs informations, vous avez besoin d'un moyen de vérifier qu'ils sont bien ceux qu'ils prétendent être. Vous ne pouvez pas demander une preuve d'identité via un document délivré par le gouvernement, comme un permis de conduire. Au lieu de cela, vous pouvez utiliser le même type d'authentification que vous avez utilisé lorsque la personne a soumis ses données. Vous pouvez également essayer de vérifier leur identité en leur demandant de confirmer les informations qu'ils ont fournies dans le passé.

Si l'entreprise ne peut pas vérifier l'identité de l'utilisateur, elle doit s'y conformer du mieux qu'elle peut. Par exemple, supposons qu'un utilisateur souhaite supprimer ses informations, mais que l'entreprise ne peut pas vérifier l'identité de l'utilisateur. Au lieu de supprimer leurs informations, ils les conservent mais laissent l'utilisateur refuser que leurs informations soient vendues. S'il n'y a aucun moyen de se conformer, l'entreprise peut refuser la demande.

Ajoutez un lien "Ne pas vendre mes informations personnelles" à votre page d'accueil

Vous devrez placer un lien « Ne pas vendre mes informations personnelles » à un endroit visible sur la page d'accueil de votre site Web. Il s'agit pour les utilisateurs de cliquer s'ils souhaitent vous empêcher de vendre leurs données personnelles. Le processus de retrait de la vente des données des utilisateurs doit être aussi simple et facile que possible. L'entreprise doit également répondre aux demandes de retrait. Selon la fiche d'information officielle du CCPA, « ... les entreprises doivent traiter les paramètres de confidentialité activés par l'utilisateur qui signalent le choix d'un consommateur de se désinscrire comme une demande de désinscription valablement soumise. »

De plus, vous ne pouvez pas obliger les gens à créer un compte pour qu'ils puissent se désinscrire. Alors que certaines entreprises peuvent vouloir exiger un compte comme moyen d'identifier l'utilisateur, le CCPA empêche cela comme condition préalable à la désinscription. Si l'utilisateur a déjà un compte et que c'est ainsi que vous pouvez vérifier son identité, ce n'est pas un problème.

Tenir des registres des échanges avec les clients

Les entreprises doivent conserver des enregistrements de toutes les demandes des utilisateurs, et elles doivent également enregistrer et sauvegarder leurs réponses aux utilisateurs. Conservez vos dossiers pendant au moins 24 mois; pour plus de sécurité, gardez-les indéfiniment.

Ne pas discriminer en fonction des demandes de confidentialité

Le CCPA affirme que les entreprises ne peuvent pas discriminer les utilisateurs s'ils exercent leurs droits à la vie privée. Cela signifie que si un utilisateur dit que vous ne pouvez pas vendre ses données, vous ne pouvez pas lui refuser des services ou ajuster son prix en représailles.

Il est possible qu'une entreprise offre un incitatif aux personnes qui autorisent la vente de leurs données. Dans ce cas, vous devez divulguer les détails de l'incitation, y compris la façon dont vous calculez la valeur des données personnelles.

Pénalités pour non-respect de la CCPA

Si vous n'êtes pas en conformité avec la CCPA d'ici le 1er juillet 2020, le procureur général vous en informera. Vous aurez 30 jours pour répondre et vous mettre au courant de la conformité. Si vous ne vous conformez pas dans ces 30 jours, vous pourriez être poursuivi au civil. À partir de là, vous pourriez être condamné à une amende de 7 500 $ par violation , ce qui signifie par utilisateur californien. Par exemple, si vous collectez des données auprès de 2 000 résidents californiens, vous risquez une amende de 7 500 $ x 2 000, ce qui représente un total de 15 000 000 $. C'est un projet de loi que vous voudrez certainement éviter!

Les différences entre CCPA et GDPR

Bien que les directives du CCPA ressemblent à celles du RGPD, les deux présentent des différences clés. Même si votre entreprise est actuellement conforme au RGPD, cela ne signifie pas qu'elle sera automatiquement conforme au CCPA. Vous pouvez répondre à certaines directives du CCPA, mais pas à toutes. Certaines des directives du CCPA qui peuvent dépasser le RGPD sont :

  • Ajout d'un lien "Ne pas vendre mes informations personnelles" sur la page d'accueil
  • Création d'une méthode permettant aux utilisateurs de demander des modifications ou la suppression de leurs informations
  • Identifier l'identité de la personne lorsqu'elle fait ce type de demande
  • Obtenir le consentement des mineurs avant de vendre leurs informations

Bien que vous ayez peut-être déjà mis en place une partie du processus pour le RGPD, vous voudrez vérifier que vos méthodes sont également conformes au CCPA. Il existe des différences minimes mais importantes entre les deux. Par exemple, sous CCPA, vous devez afficher les catégories d'informations personnelles que vous avez vendues sur une période de 12 mois ; ce n'est pas une exigence du RGPD. D'un autre côté, CCPA n'a pas l'exigence de consentement aux cookies que le RGPD a.

Dernières pensées

Votre première étape consiste à évaluer si votre entreprise doit être conforme à la CCPA à compter du 1er janvier 2020. Vous pouvez également déterminer si votre entreprise se développera au point où elle devra être conforme à l'avenir. Si c'est le cas, il est préférable de tout mettre en place maintenant afin que vous n'ayez pas à vous démener plus tard et à risquer une amende. La manière exacte dont vous configurez votre site Web pour vous conformer à la CCPA dépend de vos processus actuels et de votre personnel. Vous pouvez automatiser autant que possible ou, si vous ne vous attendez pas à trop de changements ou de demandes de suppression, vous pouvez avoir quelques employés qui répondent directement aux utilisateurs.

Si vous n'avez pas encore de politique de confidentialité, c'est une excellente occasion d'en rédiger une, que vous soyez concerné ou non par le CCPA. Consultez notre article sur Comment créer une politique de confidentialité pour votre site Web.

Image en vedette via Sammby / shutterstock.com