Une nouvelle loi sur la protection de la vie privée entrera bientôt en vigueur le 1er janvier 2020 pour être exact et tout le monde fait des pieds et des mains pour s’y conformer. Ça vous rappelle quelque chose ? Si vous avez une impression de déjà-vu, ne vous inquiétez pas, nous nous souvenons aussi du RGPD.

Alors que le RGPD était une loi générale visant à protéger le droit à la vie privée des citoyens de l’Union européenne, cette nouvelle loi concerne le droit à la vie privée des résidents de la Californie. Permettez-nous de vous présenter la California Consumer Protection Act de 2018 (CCPA), une loi visant à donner aux Californiens un plus grand contrôle sur leurs renseignements personnels.

Dans ce guide, nous vous guiderons sur les points suivants :

Veuillez noter que ce guide est à titre d’information seulement et ne doit pas être considéré comme un avis juridique.

Qu’est-ce que la CCPA ?

La CCPA est une loi sur la protection de la vie privée qui a été adoptée le 28 juin 2018. Une version de cette loi était initialement présentée comme une initiative pour le scrutin de novembre 2017 à l’échelle de l’État par un promoteur immobilier. Le promoteur a offert à l’assemblée législative de la Californie de retirer son bulletin de vote (ce qui était assez dur pour les entreprises) si une loi similaire sur la protection de la vie privée était adoptée.

L’assemblée législative a présenté, modifié et adopté sa version de la CCPA en sept jours au total. La loi a depuis été modifiée à quelques reprises et le procureur général de la Californie a également publié des dispositions visant à clarifier les exigences de cette nouvelle loi. Vous pouvez trouver le texte complet de la CCPA, avec les amendements adoptés ici, et les dispositions proposées ici.

Selon le législateur, la CCPA a été adoptée parce que :

  1. La croissance de la technologie a limité la capacité des Californiens à correctement protéger leur vie privée
  2. La loi californienne n’a pas suivi le rythme du fait que les consommateurs partagent de plus en plus de renseignements personnels avec les entreprises
  3. La divulgation non autorisée de renseignements personnels et la perte de la vie privée peuvent avoir des effets dévastateurs sur les gens
  4. Le scandale de Cambridge Analytica a accru le désir de contrôle de la confidentialité et de transparence dans les pratiques de données.

Enfin, il est clair que les gens souhaitent la protection de la vie privée et un plus grand contrôle sur leurs renseignements, et la CCPA a été adoptée pour répondre à ce désir. Tout comme le RGPD, la CCPA répond à ce désir en accordant certains droits aux consommateurs ou, dans ce cas, aux résidents de la Californie. Ces droits sont les suivants :

  1. Le droit de savoir quels renseignements personnels sont recueillis à leur sujet
  2. Le droit de savoir si leurs renseignements personnels sont vendus ou divulgués et à qui
  3. Le droit de dire non à la vente de leurs renseignements personnels
  4. Le droit de demander la suppression de leurs renseignements personnels
  5. Le droit d’accès à leurs renseignements personnels
  6. Le droit à un service et à un prix égal, même s’ils exercent leur droit à la vie privée

À qui la CCPA s’adresse-t-elle ?

La partie la plus délicate et parfois la plus déroutante des lois sur la protection de la vie privée est de savoir si elles s’appliquent à votre entreprise. Les lois sur la protection de la vie privée sont créées pour protéger les renseignements personnels des résidents ou des citoyens d’un État ou d’un pays en particulier, et non les entreprises.

Cela signifie que les entreprises situées en dehors de la Californie peuvent toujours être soumises à cette loi. La CCPA s’applique aux « entreprises », qui sont définies comme des entités juridiques à but lucratif, qui font des affaires en Californie et qui répondent à l’un des seuils suivants :

  1. À un revenu annuel brut de plus de 25 000 000 $.
  2. Achète ou reçoit annuellement, à des fins commerciales, vend ou partage les renseignements personnels de 50 000 consommateurs, ménages ou appareils californiens ou plus
  3. Tire 50 % ou plus de ses revenus annuels de la vente des renseignements personnels des consommateurs californiens.

Si vous pensez que la CCPA ne s’applique techniquement qu’aux grandes entreprises, vous avez partiellement raison. En raison de la définition très large de la vente de renseignements personnels, une grande partie de la conformité de la CCPA est la gestion des vendeurs.

Cela signifie que si vous faites affaire avec de grandes entreprises ou si vous agissez à titre de vendeur de ces dernières, elles peuvent vous obliger à vous conformer à la CCPA par contrat. Donc, si vous êtes une petite entreprise qui n’atteint pas les seuils ci-dessus, vous devrez peut-être quand même prêter attention à ces exigences et vous y conformer.

De plus, si vous concevez des sites Web pour des entreprises de grande taille qui doivent se conformer à la Loi sur la protection des renseignements personnels, vous devrez y prêter attention, et cette loi aura une incidence sur la façon dont vous concevez ces sites Web.

Quelles sont les Conséquences de la Non-Conformité à la CCPA ?

La CCPA sera généralement appliquée par le procureur général de la Californie. Les amendes pour non-conformité sont de 2 500 $ par infraction ou de 7 500 $ par infraction intentionnelle. Par « violation », on entend généralement toute personne dont vous avez violé les droits à la vie privée.

Donc, si vous avez 100 visiteurs de Californie sur le site Web et que vous n’avez pas de politique de confidentialité conforme, vos amendes peuvent s’élever à 250 000 $. Il est facile de voir comment cela peut devenir un très gros chiffre.

Si vous devez vous conformer à la CCPA uniquement par contrat, une conséquence de la non-conformité pourrait être la perte de ce client ou de la relation d’affaires. Si vous devez construire un site Web conforme aux normes de la CCPA, les conséquences de la non-conformité peuvent se traduire par une amende pour votre client et une poursuite contre vous en retour ou de mauvaises critiques qui nuisent à votre entreprise de conception de sites Web.

Comment Préparer Votre Site Web WordPress pour la CCPA

Si vous avez un site sur WordPress qui doit être conforme à la CCPA, nous vous indiquerons quelques mesures que vous pouvez prendre pour vous assurer que vous êtes conforme à la CCPA. Les étapes à suivre pour vous préparer à la CCPA peuvent comprendre

Si tout cela semble être beaucoup de travail, ça l’est. Ne vous inquiétez pas, nous vous fournirons également certains de nos outils et ressources préférés que vous pourrez utiliser pour vous aider à vous préparer.

Embaucher un Avocat Spécialisé dans la Protection de la vie Privée

Comme vous le verrez bientôt, il y a beaucoup de choses à faire pour se conformer à la CCPA. La loi et les règlements peuvent être difficiles à interpréter, c’est le moins qu’on puisse dire.

Si vous n’êtes pas certain de la voie à suivre, vous devriez engager un avocat spécialisé dans le domaine de la protection de la vie privée, car il sera en mesure de vous orienter dans la bonne direction et de vous donner de précieux conseils adaptés à votre situation.

Si vous n’êtes pas sûr de l’avocat à choisir, consultez la liste des cabinets d’avocats qui travaillent dans le domaine de la protection de la vie privée sur le site Web de l’International Association of Privacy Professionals.

Comprendre quels sont les Renseignements Personnels que Vous Recueillez

La CCPA vous demande d’indiquer aux consommateurs les catégories de renseignements personnels que vous recueillez. Vous devriez parcourir votre site Web et créer une liste.

Jetez un coup d’œil à toutes vos pages et à tous les formulaires que vous utilisez, y compris formulaires de contact, formulaires d’inscription à la newsletter, formulaires de création de compte, les formulaires d’envoi de commentaires, et tout autre que vous pouvez utiliser et les extensions associées.

Par exemple, comme indiqué ci-dessous, le formulaire par défaut dans WordPress qui est utilisé pour fournir des commentaires sur les articles de blog recueille le nom et l’e-mail :

Formulaire de commentaires sur Kinsta
Formulaire de commentaires sur Kinsta

De plus, dressez une liste des renseignements personnels que vous recueillez de toute autre source. Pensez aux logiciels de suivi, Hotjar, aux informations sur une page de paiement de commerce électronique ou la page d’enregistrement de WordPress, et d’autres similaires.

Ensuite, placez les renseignements personnels que vous recueillez à partir de ces formulaires dans des catégories qui permettent au consommateur de comprendre facilement quels renseignements personnels vous recueillez. Voici des exemples de catégories de renseignements personnels :

  1. Informations d’identification
  2. Informations financières
  3. Informations commerciales
  4. Information biométrique
  5. Informations sur les activités sur Internet
  6. Information de géolocalisation

Comprendre de Quelles Sources Vous Recueillez ces Renseignements Personnels

La CCPA exige que vous divulguiez les sources à partir desquelles vous recueillez des renseignements personnels. Les exemples de sources peuvent inclure :

  1. Directement du consommateur
  2. Enquêtes
  3. Pixels de suivi
  4. L’observation et l’enregistrement d’activités telles que l’utilisation de cookies
  5. Revendeurs de données

Comprendre si Vous Divulguez des Renseignements Personnels à des Tiers

La CCPA exige que vous divulguiez si vous communiquez des renseignements personnels à des tiers. Lorsqu’on leur demande s’ils partagent des données, la réponse initiale de la plupart des gens est un « non » légèrement offusqué.

Prenez le temps de réfléchir aux intégrations que vous avez faites avec votre site Web.

Les abonnements à la newsletter vont directement dans un outil d’e-mail marketing tel que MailChimp ?

Est-ce que les envois de formulaires sont connectées à un outil de gestion de la relation client tel que HubSpot ?

Est-ce que votre développeur web recevoir une alerte chaque fois que vous recevez un envoi de formulaire ?

Si c’est le cas, vous partagez des données avec des tiers et vous devez les divulguer.

Créer une Page Ne pas Vendre mes Informations Personnelles

Si vous vendez les renseignements personnels des consommateurs californiens, vous devez avoir une page Web intitulée « Ne pas vendre mes renseignements personnels » ou « Ne pas vendre mes renseignements ». Cette page Web doit contenir les informations suivantes :

  1. Une description du droit du consommateur de refuser la vente de ses renseignements personnels
  2. Un formulaire web par lequel le consommateur peut envoyer sa demande de refus
  3. Instructions relatives à toute autre méthode par laquelle le consommateur peut présenter sa demande de non-participation
  4. Un lien vers votre politique de confidentialité
  5. N’importe quelle preuve nécessaire quand un consommateur veut désigner un agent autorisé pour présenter une demande de retrait en son nom

Ci-dessous, vous pouvez voir un exemple de pied de page d’un site Web qui comprend un hyperlien vers la page « Ne pas vendre mes renseignements personnels ».

Exemple d'une page « Ne pas vendre mes informations personnelles »
Exemple d’une page « Ne pas vendre mes informations personnelles »

Créer une Notice de Confidentialité

La CCPA exige que vous fournissiez aux consommateurs californiens un avis de confidentialité au moment de la collecte des renseignements personnels.

Il est à noter que la CCPA n’exige pas qu’un consommateur donne son consentement à la collecte de renseignements personnels, ce qui est tout à fait différent des exigences que nous avons vues dans le RGPD.

Un avis de confidentialité est comme une mini-politique de confidentialité : il fournit une explication rapide et condensée des renseignements personnels qui sont recueillis, de leur utilisation et des autres divulgations.

L’avis doit être conçu et présenté au consommateur d’une manière qui soit facile à lire et à comprendre pour la personne moyenne. L’avis doit :

  1. Utiliser un langage simple et direct et évitez le jargon technique ou juridique
  2. Utiliser un format qui attire l’attention des consommateurs sur l’avis et qui rend l’avis lisible, y compris sur des écrans plus petits
  3. Être disponible dans les langues dans lesquelles vous fournissez des contrats, des avis de non-responsabilité, des annonces de promotions ou d’autres informations aux consommateurs
  4. Être accessible aux consommateurs handicapés

Votre avis de confidentialité doit inclure les informations suivantes :

  1. Une liste des catégories de renseignements personnels que vous recueillez auprès des consommateurs. Chaque catégorie que vous énumérez doit permettre au consommateur de bien comprendre les renseignements personnels recueillis
  2. Pour chaque catégorie de renseignements, la ou les fins commerciales ou d’affaires pour lesquelles ils seront utilisés
  3. Si vous vendez des renseignements personnels, un lien intitulé « Ne pas vendre mes renseignements personnels » ou « Ne pas vendre mes renseignements ». Ce lien devrait conduire à une page web où les consommateurs peuvent exercer leur droit de refuser la vente de leurs informations personnelles

Si vous ne souhaitez pas créer un avis de confidentialité, vous pouvez simplement fournir aux consommateurs un lien vers votre politique de confidentialité au moment de la collecte des renseignements personnels. Vous trouverez ci-dessous un exemple d’avis de confidentialité spécifique à la Californie.

Avis de confidentialité spécifique à la Californie
Avis de confidentialité spécifique à la Californie

Créer une Politique de Confidentialité

La CCPA exige également que vous ayez une politique de confidentialité. Le but de la politique de confidentialité est de fournir au consommateur une description complète de vos pratiques concernant la collecte, l’utilisation, la divulgation et la vente de renseignements personnels et des droits à la vie privée que les consommateurs reçoivent en vertu de la CCPA.

La politique de confidentialité doit répondre aux mêmes exigences de lisibilité, de format, de disponibilité et d’accessibilité que l’avis de confidentialité.

Toutefois, la politique de confidentialité doit également être disponible dans un format supplémentaire qui permet au consommateur de l’imprimer facilement. La politique de confidentialité doit être affichée sur votre site Web au moyen d’un lien bien visible utilisant le mot « confidentialité » sur la page d’accueil de votre site Web.

Votre politique de confidentialité doit contenir les informations suivantes :

  1. Une description des droits des consommateurs californiens en vertu de la CCPA
  2. Une ou plusieurs méthodes par lesquelles les consommateurs peuvent envoyer des demandes pour exercer leurs droits. Si vous vendez des renseignements personnels, un lien vers votre page « Ne pas vendre mes renseignements personnels » ou « Ne pas vendre mes renseignements » où le consommateur peut exercer son droit de dire non à la vente de ses renseignements personnels
  3. Une liste des catégories de renseignements personnels que vous avez recueillis au cours des 12 derniers mois
  4. Une liste des catégories de sources à partir desquelles vous recueillez les renseignements personnels
  5. Les buts commerciaux ou d’affaires pour lesquels vous utilisez les renseignements personnels
  6. Une liste des catégories de renseignements personnels que vous avez vendus au cours des 12 derniers mois et une liste des catégories de tiers à qui vous avez vendu ces renseignements personnels. Si vous n’avez pas vendu de renseignements personnels, vous devez le divulguer
  7. Une liste des catégories de renseignements personnels que vous avez divulgués au cours des 12 derniers mois et une liste des catégories de tiers à qui vous avez divulgué ces renseignements personnels. Si vous n’avez pas divulgué de renseignements personnels, vous devez le faire savoir
  8. Comment un consommateur peut désigner un agent autorisé à présenter des demandes pour exercer son droit à la vie privée en son nom ;
  9. Un contact qu’un consommateur peut joindre pour toute question ou préoccupation
  10. La date de la dernière mise à jour de la politique de confidentialité
  11. Si vous vendez les renseignements personnels de 4 000 000 de consommateurs californiens ou plus par année, vous devrez également inclure des divulgations supplémentaires

Outils et Ressources qui Peuvent Vous Aider à Vous Conformer à la CCPA

Toutes ces exigences de conformité et de divulgation peuvent sembler décourageantes. Heureusement, il existe un certain nombre d’outils utiles que vous pouvez utiliser pour préparer votre site Web et votre entreprise :

Termageddon

termageddon
Termageddon

Termageddon : un logiciel en tant que service qui génère des politiques de confidentialité personnalisées pour votre entreprise. Nous mettons à jour les politiques de confidentialité de nos clients chaque fois que les lois changent, en nous assurant que vos politiques restent toujours à jour.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Tool Free : la CCPA exige de certaines entreprises qu’elles fournissent un numéro de téléphone sans frais comme l’une des méthodes que les consommateurs peuvent utiliser pour exercer leur droit à la vie privée. CCPA Tool Free vous aide à répondre à cette exigence.

Orrick’s CCPA Readiness Assessment

Évaluation de l'état de préparation de la CCPA
Évaluation de l’état de préparation de la CCPA

L’évaluation de l’état de préparation à la CCPA d’Orrick : cet outil vous aide à comprendre dans quelle mesure vous êtes bien préparé à la CCPA en vous posant des questions simples de type « oui » ou « non ». Vous pouvez également utiliser cet outil comme une sorte de liste de contrôle pour la préparation.

CCPA Opt-Out par CookiePro

Extension WordPress Opt-out CCPA
Extension WordPress Opt-out CCPA

CCPA Opt-Out : cette extension vous permet de personnaliser et d’ajouter un bouton « Ne pas vendre » à votre site web.

IAPP

IAPP
IAPP

IAPP : l’International Association of Privacy Professionals est le plus grand groupe de protection de la vie privée au monde. Consultez leur site Web pour obtenir une liste constamment mise à jour des nouvelles, des ressources et des vendeurs en matière de confidentialité.

Kinsta et la CCPA

Kinsta s’engage à respecter la confidentialité et la sécurité des données, et nous sommes heureux d’affirmer que nous ne vendons pas les informations personnelles des consommateurs de Californie à des tiers. Veuillez consulter notre Politique de confidentialité et la section 15 de nos Conditions d’utilisation pour plus d’informations.

Résumé

Bien que la CCPA n’ait pas une application aussi large que la RGPD, elle est encore très importante et ne doit pas être prise à la légère.

La CCPA est vraiment une première du genre aux États-Unis et d’autres États suivent maintenant l’exemple de la Californie. En fait, à la fin de 2019, neuf États ont proposé leurs propres projets de loi sur la protection de la vie privée.

Ces projets de loi citent la CCPA comme source d’inspiration ou sont des copies pratiquement complètes de la CCPA. Il est clair que la CCPA a ouvert la voie à d’autres règlements sur la protection de la vie privée et que les exigences de conformité en matière de protection de la vie privée en ligne ne disparaîtront pas de sitôt.

Maintenant, c’est à votre tour : que pensez-vous de la CCPA ? Préparez-vous votre site pour cela ? Faites-le nous savoir dans les commentaires !

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.