Le CCPA est une loi bien connue et influente dans le paysage de la protection des données. Il est facile de comprendre pourquoi : de nombreuses entreprises technologiques axées sur les données sont basées dans la Silicon Valley, notamment des géants comme Apple, Google et Meta. La CCPA est donc de loin la loi nationale la plus importante pour l'économie numérique. Découvrons-en plus sur la CCPA et sur la manière dont elle influence la protection des données à l'intérieur et à l'extérieur de la Californie !
- Qu'est-ce que la CCPA ?
- Qu'est-ce qu'une information personnelle au sens de la CCPA ?
- Comment la CCPA s'applique-t-elle aux cookies ?
- Quel est l'impact de la CCPA sur le marketing direct ?
- Quel est l'impact de la loi sur la protection des données sur l'utilisation d'informations sensibles ?
- La CCPA en action : l'affaire Sephora
- Au-delà de la CCPA : La loi californienne sur la protection de la vie privée
- L'avenir de la protection des données dans le cadre de la CCPA
Qu'est-ce que la CCPA ?
Le CCPA est la loi californienne de 2018 sur la protection de la vie privée des consommateurs. Cette loi donne aux résidents californiens certains droits, tels que l'effacement de leurs informations personnelles et le refus de la vente de leurs données.
Le CCPA a été amendé à plusieurs reprises et a subi d'importantes modifications en 2020 avec le CPRA (California Privacy Rights Act). La CCPA est appliquée par le procureur général de Californie et l'Agence californienne de protection de la vie privée (CPPA).
Le CCPA ne donne des droits qu'aux résidents californiens, mais il s'applique également aux organisations situées en dehors de la Californie, et même en dehors des États-Unis. La loi ne s'applique qu'aux grandes entreprises et à celles qui contrôlent de grandes quantités d'informations personnelles concernant les résidents de Californie. Elle ne s'applique pas aux agences gouvernementales et aux organisations à but non lucratif, à l'exception de quelques rares exceptions pour les organisations à but non lucratif liées à des entreprises.
Qu'est-ce qu'une information personnelle au sens de la CCPA ?
La CCPA définit les informations personnelles comme "des informations qui identifient, concernent, décrivent, sont susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier".
Il s'agit d'une définition large qui ne se limite pas aux identifiants directs tels que les noms, les adresses et les codes de sécurité sociale. Par exemple, les identifiants uniques** tels que ceux que l'on trouve dans les cookies sont des informations personnelles au sens de la loi sur la protection des données, car ils peuvent raisonnablement être associés à un appareil, et donc à son utilisateur.
En résumé : ne vous avisez pas trop vite de supposer que votre entreprise ne contrôle pas d'informations personnelles !
Comment la CCPA s'applique-t-elle aux cookies ?
La CCPA ne prévoit pas de règles pour les cookies, mais ses règles sur le partage de données avec des tiers ont une incidence sur l'analyse du web.
En vertu de la loi, les résidents de Californie ont le droit de refuser la vente de leurs informations personnelles. La définition du terme "vente" dans la CCPA a toujours été large et l'est devenue encore plus avec la CPRA. Par conséquent, le partage d'informations personnelles avec Google Analytics ou d'autres fournisseurs de services d'analyse du web peut constituer une vente au sens de la loi. En pratique, cela signifie que les résidents californiens ont le droit d'être informés et doivent avoir la possibilité de se désengager.
Ainsi, les entreprises couvertes par la CCPA doivent fournir des fenêtres contextuelles d'information concernant les cookies d'analyse et de marketing sur leurs sites web et offrir une option de refus bien visible sous la forme d'un bouton ou d'un lien.
En outre, la CCPA exige un consentement explicite pour la vente de données à caractère personnel concernant des mineurs. Les entreprises sont tenues de recueillir le consentement des mineurs de 16 ans avant de vendre sciemment leurs données personnelles.
La CCPA exige également des entreprises qu'elles respectent le contrôle mondial de la protection de la vie privée (GPC). Il s'agit d'une norme technique par laquelle les navigateurs exigent des sites web qu'ils ne vendent ni ne partagent leurs données. En d'autres termes, le CPG permet aux navigateurs d'envoyer des demandes d'exclusion automatisées afin que les utilisateurs n'aient pas à refuser manuellement la vente de données pour chaque site web qu'ils visitent.
Quel est l'impact de la CCPA sur le marketing direct ?
La loi sur la protection des données ne traite pas spécifiquement du marketing direct, mais certaines de ses règles ont une incidence sur le marketing direct.
Les règles relatives à la vente et au partage de données à caractère personnel ne s'appliquent pas au marketing direct en tant que tel, mais elles peuvent restreindre la disponibilité des données de tiers pour le marketing direct. La loi sur la suppression des données personnelles restreindra probablement davantage la disponibilité des données, ce qui est une mauvaise nouvelle pour de nombreuses sociétés de marketing qui s'appuient sur des données de tiers et pour toute société qui enrichit ses bases de données à l'aide de données de tiers.
En outre, les consommateurs qui reçoivent des messages de marketing direct ont le droit de savoir quelles informations personnelles sont traitées. Les entreprises qui pratiquent le marketing direct doivent mettre en place des procédures efficaces pour traiter ces demandes. Idéalement, elles devraient conserver un registre de leurs opérations afin d'être en mesure de dire aux consommateurs quelles sont les données dont elles disposent, d'où elles proviennent et si elles ont été reçues de tiers ou partagées avec eux.
Il n'est pas certain que le droit de suppression prévu par la loi sur la protection des données s'applique également aux données de tiers. L'application future de la loi clarifiera probablement ce point. En attendant, les sociétés de marketing devraient faire preuve de prudence et honorer les demandes de suppression des données de tiers.
Quel est l'impact de la loi sur la protection des données sur l'utilisation d'informations sensibles ?
Les informations sensibles sont des informations personnelles telles que la vie sexuelle et l'orientation sexuelle, les données génétiques, les données ethniques, etc. Les numéros de sécurité sociale, les informations relatives aux cartes de crédit/débit, les courriers électroniques et les données de géolocalisation précises sont également des informations sensibles au sens de la CCPA (pour une liste plus précise et plus complète, veuillez consulter le site web du bureau du procureur général de Californie).
En vertu de la CCPA, les consommateurs ont le droit de limiter l'utilisation et le partage de leurs informations sensibles à ce qui est strictement nécessaire (par exemple, pour fournir un service).
Dans une certaine mesure, ce droit recoupe le droit de refuser la vente d'informations personnelles. Mais il est également plus large, car il couvre l'utilisation de données par des tiers et les cas de partage de données qui ne relèvent pas de la définition de la vente ou du partage.
La CCPA en action : l'affaire Sephora
L'application de la CCPA rattrape les entreprises, et l'affaire Sephora est un très bon exemple de ce qu'il ne faut pas faire.
La société française Sephora est une multinationale de vente au détail de produits de beauté. Elle a eu des problèmes avec le procureur général pour une longue liste d'infractions à la loi sur la protection de la vie privée liées à son système d'analyse du web. L'entreprise n'a pas divulgué qu'elle vendait des informations personnelles, n'a pas honoré les demandes des utilisateurs de se retirer d'une vente et n'a pas remédié à ses violations dans le délai de 30 jours autorisé par la loi.
L'affaire s'est terminée par un règlement de ** 1,2 million de dollars** entre l'entreprise et le procureur général. Dans la pratique, il est fréquent que les infractions à la loi sur la protection des consommateurs se terminent par un règlement. Une amende aurait probablement été beaucoup plus coûteuse.
Il est intéressant de noter que Sephora ne vendait pas d'informations personnelles à des courtiers en données ou autres. Comme d'innombrables autres entreprises, la société Sephora effectuait des opérations de marketing et d'analyse sur le web par l'intermédiaire d'un fournisseur d'analyses web populaire (le nom du fournisseur n'a pas été divulgué).
Ainsi, même le marketing en ligne et le reciblage peuvent constituer une vente au sens de la loi sur la protection des données. Il s'agit là d'un point très important à souligner : de nombreuses entreprises pensent qu'elles ne vendent pas les données des consommateurs, mais elles le font, et elles peuvent être tenues pour responsables si elles ne respectent pas les obligations qui découlent de la vente.
Il convient également de noter que l'avocat général a appliqué la règle du contrôle mondial de la protection de la vie privée à l'encontre de Sephora. Seul l'avenir nous dira quel rôle le contrôle mondial de la protection de la vie privée jouera dans la pratique, mais l'application des règles relatives au contrôle mondial de la protection de la vie privée dans cette affaire constitue un précédent prometteur.
Au-delà de la CCPA : La loi californienne sur la protection de la vie privée
Outre la CCPA, la législation californienne présente d'autres développements prometteurs.
Nous avons déjà mentionné le Delete Act. Cette loi permet aux résidents d'exiger de tous les courtiers en données qu'ils suppriment leurs informations personnelles en déposant une demande unique. En d'autres termes, il s'agit en quelque sorte d'un système de guichet unique.
Si elle est strictement appliquée, la loi sur la suppression des données pourrait faire respecter efficacement les droits à la vie privée contre les courtiers en données et limiter la quantité d'informations personnelles disponibles pour la publicité basée sur la surveillance et l'enrichissement des données par des tiers. Il convient également de noter que l'enregistrement des courtiers en données est obligatoire en vertu de la loi californienne, ce qui pourrait faciliter l'application de la loi Delete Act.
Il convient également de noter que la loi californienne sur la protection de la vie privée limite les recherches par mots-clés inversés et le "geofencing".
Le geofencing est l'utilisation de données de localisation pour créer une frontière virtuelle autour d'un lieu et enregistrer toutes les personnes qui s'y trouvent. Les recherches par mots-clés inversés sont un type d'ordonnance judiciaire souvent utilisé par les forces de l'ordre.
Le geofencing et les recherches par mots-clés inversés sont fréquemment utilisés pour surveiller et poursuivre les femmes qui cherchent à obtenir des soins de santé génésique depuis l'arrêt Dobbs v. Jackson de la Cour suprême des États-Unis (c'est une longue histoire, nous avons écrit à ce sujet ici).
L'État de Washington a été le premier à limiter le geofencing et les recherches par mots-clés inversés avec la loi My Health My Data Act, au nom évocateur. La Californie, qui est depuis longtemps un État sanctuaire pour les soins de santé génésique, a rapidement suivi le mouvement.
L'avenir de la protection des données dans le cadre de la CCPA
La CCPA a déjà eu un impact tangible sur la vie privée numérique à l'intérieur et à l'extérieur de la Californie. Son impact futur dépendra de l'application de la loi et des réglementations à venir de la CPPA. Mais la variable la plus importante pour l'avenir de la législation californienne en matière de protection de la vie privée est, bien entendu, l'avenir de la législation américaine en matière de protection de la vie privée dans son ensemble.
LesÉtats-Unis n'ont pas de loi fédérale sur la protection de la vie privée. La première loi fédérale sur la protection des données (ADPPA) est en cours d'élaboration, mais les négociations sont au point mort au Congrès. Des secteurs spécifiques, tels que les soins de santé et la finance, disposent de leurs propres règles en matière de protection de la vie privée, mais il n'existe pas de loi fédérale globale et générale sur la protection de la vie privée en ligne.
Leslois des États, telles que la CCPA, tentent de combler ce vide. Mais si ces lois offrent d'importantes protections aux résidents de certains États, elles créent également un paysage juridique fragmenté sur l'ensemble du territoire américain. À l'heure actuelle, les entreprises doivent comprendre la législation de chaque État et s'y conformer pour pouvoir exercer leurs activités à l'échelle nationale.
Cette fragmentation juridique est également un obstacle au processus législatif qui sous-tend l'ADPPA. Les États dotés de lois sur la protection de la vie privée ne veulent pas que l'ADPPA porte atteinte aux droits dont jouissent déjà leurs citoyens en matière de protection de la vie privée, et certains d'entre eux se sont opposés à des projets d'ADPPA qui préempteraient leur propre législation.
En résumé, il est difficile de dire si le projet d'ADPPA deviendra un jour une loi et quel rôle les lois nationales telles que la CCPA joueront dans ce scénario.
Nous nous soucions de la protection de la vie privée. C'est pourquoi nous faisons de notre mieux pour fournir à notre public des informations de qualité, sans jargon, sur l'actualité de la protection de la vie privée.
Notre passion pour la protection de la vie privée est au cœur de Simple Analytics. Notre produit donne aux organisations toutes les informations dont elles ont besoin, sans collecter la moindre donnée personnelle. Si vous êtes à la recherche d'un outil d'analyse web puissant, éthique et respectueux de la vie privée, n'hésitez pas à essayer Simple Analytics !