Choses clés que chaque marque devrait savoir sur le CCPA

Publié: 2019-12-21

En 2018, l'application du Règlement général européen sur la protection des données (RGPD) a refaçonné le paysage de la confidentialité des données pour les entreprises en Europe et dans le monde, et a fait de la confidentialité et de la sécurité des données des consommateurs un sujet essentiel pour quiconque se soucie de l'engagement client.

Avec l'entrée en vigueur de la California Consumer Privacy Act (CCPA) le 1er janvier 2020, la révolution de la confidentialité lancée par le RGPD est revenue à la maison pour les entreprises américaines. Cette nouvelle législation est un sujet important, et elle peut être effrayante pour les marques, en particulier celles qui n'ont pas commencé le travail pour se mettre en conformité. Bien que Braze ne puisse pas fournir de conseils juridiques à nos clients ou à quiconque, nous pouvons vous expliquer certaines des principales choses auxquelles vous devez penser en ce qui concerne le CCPA et la confidentialité des données en général. Lisez la suite pour vous mettre au courant :

Les bases

Qu'est-ce que le CCPA ?

CCPA signifie California Consumer Privacy Act, initialement adopté par le gouvernement de l'État de Californie en juin 2018. La loi crée de nouvelles protections de la vie privée et des consommateurs pour les personnes résidant en Californie. L'application du CCPA commencera le 1er janvier 2020.

Pourquoi la Californie a-t-elle adopté le CCPA ?

En 2018, à la suite d'une série d'incidents liés à la confidentialité des données, y compris le scandale de Cambridge Analytica, un groupe de défense appelé "Californians for Consumer Privacy" a proposé une initiative de vote d'État qui aurait institué une nouvelle loi extrêmement stricte sur la confidentialité des consommateurs si elle avait été adoptée par les électeurs.

Pour anticiper cet effort, la législature californienne a introduit et adopté le CCPA, ce qui a conduit les Californians for Consumer Privacy à retirer leur initiative. Bien que la CCPA soit considérée comme une innovation en matière de droits à la confidentialité des données des consommateurs aux États-Unis, elle comporte des exigences moins strictes que l'initiative proposée.

Quels droits les résidents de Californie ont-ils en vertu du CCPA ?

En vertu de la CCPA, les résidents de Californie ont le droit de savoir qui collecte leurs informations personnelles (PI) et ce qui est fait de ces informations, et ils ont le droit d'accéder aux informations, de les faire supprimer, de se retirer de la "vente ” de leurs informations personnelles, et d'exercer tous ces droits sans discrimination, c'est-à-dire qu'ils ne peuvent pas se voir refuser les avantages ou les droits accordés aux personnes qui ne se désengagent pas.

Le CCPA s'applique-t-il aux organisations basées en dehors de la Californie ?

La loi s'applique à toute organisation qui fait des affaires en Californie avec un chiffre d'affaires de 25 millions de dollars ou plus, ainsi qu'aux entreprises qui collectent des données auprès de 50 000 résidents californiens ou plus ou qui tirent au moins 50 % de leurs revenus de la « vente » d'informations personnelles. Cela inclut probablement la plupart des entreprises basées dans l'État, ainsi que de nombreuses organisations américaines et internationales dont le public comprend des résidents de Californie.

L'ACCP et les données

Quelles données sont réglementées par le CCPA ?

Le CCPA ne couvre que la collecte, la vente et la divulgation de «renseignements personnels» dans le cadre d'un objectif commercial. Cependant, comme il a été adopté dans le but de cibler les vastes quantités de données traitées par les sociétés de médias sociaux, les courtiers en données et les annonceurs comportementaux en ligne, il comporte un certain nombre d'exigences strictes qui lui confèrent un impact considérable.

Sous CCPA, PI inclut tout ce qui peut identifier un individu - nom, adresse, e-mail, numéro de compte bancaire, date de naissance, informations biométriques, empreintes digitales, etc. - ainsi que des données sur le ménage, des informations audio, thermiques et olfactives. En tant que telle, la définition de PI en vertu du CCPA en fait sans doute l'une des lois les plus larges au monde en matière de droits à la vie privée.

Quelles informations les marques doivent-elles divulguer aux clients en vertu du CCPA ?

Le CCPA comprend des exigences de divulgation détaillées qui doivent être mises à jour chaque année ; Les entreprises doivent divulguer les IP qu'elles ont collectées, «vendues» et divulguées à des fins commerciales au cours des 12 derniers mois, et s'assurer que les résidents de Californie disposent de droits de divulgation, d'accès et de retrait en ce qui concerne leurs informations personnelles. Les organisations sont également tenues d'expliquer les catégories d'IP qu'elles collectent et le but de la collecte de ces informations, et elles doivent le faire au point de collecte, qu'il s'agisse d'un site Web, d'un événement ou autre chose.

Comment le CCPA définit-il « vendre » ?

Le CCPA définit la « vente » de manière très large, couvrant des activités que peu de gens associeraient à la vente de données. En vertu du CCPA, la vente ne fait pas seulement référence au transfert d'informations personnelles en échange d'argent - la loi considère également que la vente inclut « la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou la communication orale, par écrit, ou par des moyens électroniques ou autres, les informations personnelles d'un consommateur par l'entreprise à une autre entreprise ou à un tiers moyennant une contrepartie monétaire ou autre contrepartie de valeur ."

Étant donné que la loi ne définit pas « autre contrepartie de valeur » et que la définition de « vente » inclut le partage de données, de nombreuses marques qui ne vendent pas de données (au sens vernaculaire du terme) peuvent être tenues d'agir en tant que bien qu'ils le fassent pour se conformer à la loi. « Autre considération de valeur » signifie n'importe quelle valeur, donc si des données personnelles sont partagées avec un tiers et qu'il y a une valeur à le faire pour l'une ou l'autre des parties, il s'agit potentiellement d'une « vente » en vertu du CCPA - et c'est l'une des raisons pour lesquelles la CCPA est considérée comme l'une des lois sur la protection de la vie privée les plus larges au monde.

Existe-t-il des exigences particulières pour les marques qui sont réputées « vendre » des informations personnelles en vertu du CCPA ?

Si une entreprise « vend » les IP d'un résident californien en vertu du CCPA, cette organisation est tenue d'inclure un lien bien visible « Ne pas vendre mes informations personnelles » sur son site Web qui permettra aux individus de refuser la « vente » de leurs informations personnelles. informations. Les marques qui ne le font pas s'exposent à des amendes potentielles et à d'autres sanctions.

L'ACCP a-t-elle des règles sur la collecte d'informations auprès de mineurs ?

Le CCPA permet aux adultes de refuser la collecte de données et interdit aux entreprises de demander à nouveau l'autorisation de collecter leurs données pendant au moins 12 mois après cette désactivation. Cependant, pour les enfants de moins de 16 ans, les règles sont nettement plus strictes et nécessitent un consentement pour la collecte de leurs informations personnelles. Et pour les enfants de moins de 12 ans, aucun PI ne peut être collecté sans le consentement parental (par exemple, le parent ou autre tuteur doit s'inscrire pour l'enfant).

Le CCPA s'applique-t-il aux données collectées avant l'adoption de la loi ?

Si une entreprise soumise au CCPA collecte des informations personnelles, cette entreprise doit se conformer aux exigences du CCPA, même si les données ont été collectées avant la date du 1er janvier 2020 pour l'application du CCPA. Cela signifie qu'un consommateur résidant en Californie peut exercer tous ses droits en ce qui concerne ses informations personnelles - par exemple, ce consommateur peut demander à votre marque de supprimer les données que vous avez collectées à son sujet il y a cinq ans, et en vertu du CCPA, votre marque serait obligée de faites-le.

Application de la loi CCPA

Quelle est la date limite d'application du CCPA ?

Bien que le CCPA ait été initialement adopté en juin 2018, les organisations avaient jusqu'au 1er janvier 2020 avant d'être tenues de se conformer à la loi.

Quelles sont les sanctions en cas de non-respect du CCPA ?

Le procureur général de Californie est autorisé à infliger une amende pouvant aller jusqu'à 2 500 $ aux organisations pour violation du CCPA ; cependant, ces organisations auront 30 jours pour répondre à un avis de non-conformité et ne seront pas condamnées à une amende si elles règlent le problème pendant ce délai. Une chose clé à comprendre : ces amendes sont pour chaque violation individuelle, donc si 100 personnes sont affectées par la violation, l'amende potentielle serait de 250 000 $, au lieu de 2 500 $. De plus, si la non-conformité s'avère intentionnelle, les amendes peuvent totaliser jusqu'à 7 500 $ par violation, ce qui augmente encore plus le potentiel d'impact financier significatif pour les marques.

Le CCPA permet également aux résidents californiens individuels de déposer des plaintes contre des organisations qu'ils pensent être en violation de la loi, avec des paiements potentiels allant jusqu'à 750 $ par personne.

De plus, il existe un droit privé d'action en vertu du CCPA, ce qui signifie qu'un individu peut intenter une action en justice s'il estime qu'une entreprise ne s'est pas conformée aux exigences de sécurité du CCPA et qu'il y a eu une violation de données concernant les informations personnelles de cette personne. Ce droit d'action individuel peut conduire à des recours collectifs, une possibilité particulièrement inquiétante dans l'environnement litigieux de la Californie, où il y a théoriquement un certain nombre d'avocats des plaignants qui attendent avec impatience l'opportunité de déposer ces types de poursuites, et de récupérer d'énormes récompenses sur au nom de larges catégories de demandeurs. Les indemnités peuvent dépasser les dommages réels subis, ce qui rend cette possibilité particulièrement effrayante pour les entreprises soumises au CCPA. En outre, les réglementations proposées en cours d'examen envisagent de mettre en œuvre un droit d'action privé pour toutes les violations de la CCPA, au lieu de simplement les autoriser en cas de violation des exigences de sécurité de la loi.

Par où les organisations devraient-elles commencer en matière de conformité au CCPA ?

Les organisations doivent s'assurer qu'elles incluent les divulgations appropriées sur leur site Web et à tous les points de collecte des informations personnelles des résidents de Californie. Ils doivent être en mesure de se conformer à toutes les demandes du CCPA et s'ils sont réputés « vendre » les informations personnelles des résidents de la Californie, ils doivent inclure en évidence un bouton « Ne pas vendre mes données » sur leur site Web.

Les organisations qui sont déjà conformes au RGPD sont sur la bonne voie pour se conformer au CCPA, mais les exigences des deux lois ne sont pas identiques, et les entreprises sont encouragées à demander l'avis de leurs conseillers de confiance pour s'assurer qu'elles ont fait tout le nécessaire pour s'assurer qu'elles sont conformes aux exigences du CCPA avant le 1er janvier 2020.

CCPA et RGPD

En quoi le CCPA et le RGPD diffèrent-ils ?

Le règlement général sur la protection des données (RGPD) de l'Union européenne a été adopté en 2016 et s'inspire de la conviction implicite dans une grande partie de l'Europe que les individus y possèdent un droit fondamental de contrôler leurs propres données personnelles. Le CCPA, d'autre part, découlait de la conviction que l'État de Californie avait pris du retard dans la protection de la vie privée de ses résidents et dans sa protection contre l'utilisation abusive des informations personnelles (y compris le vol d'identité, la fraude financière, les atteintes à la réputation, le harcèlement, etc.) .

Compte tenu de ces différences, alors que le RGPD se concentrait principalement sur la garantie de la propriété et du contrôle des données personnelles par chaque individu concerné, le CCPA s'est concentré sur le ciblage de la capacité des entreprises en ligne à effectuer des transactions impliquant de grandes quantités d'informations personnelles à l'insu et sans le consentement des résidents californiens. À savoir, le RGPD s'applique à toutes les activités impliquées dans le traitement des données personnelles, y compris le stockage, l'accès et le transfert de données. Cependant, le CCPA ne s'applique qu'à la collecte, à la « vente » et à la divulgation de renseignements personnels à des fins commerciales.

En quoi le CCPA et le RGPD se complètent-ils ?

Le CCPA et le RGPD exigent tous deux des organisations qui collectent des informations personnelles auprès d'individus qu'elles divulguent ce qu'elles vont faire de ces informations personnelles et les deux lois accordent un certain nombre de droits similaires aux tiers en ce qui concerne leurs propres informations personnelles. De plus, les deux lois exigent le consentement, la transparence et le contrôle des individus sur leurs propres informations personnelles, et les deux lois imposent des amendes pour non-respect de leurs exigences.

Les différences dans les environnements réglementaires entre l'UE et la Californie devraient-elles avoir un impact sur l'application du CCPA et du RGPD, respectivement ?

Étant donné que la Californie est un environnement beaucoup plus litigieux que l'Union européenne et que l'on s'attend à ce que les régulateurs californiens cherchent à appliquer strictement la loi à partir de la nouvelle année, il est probable que nous verrons davantage d'organisations condamnées à une amende pour non-respect du CCPA. que nous ne l'avons fait lorsque l'application du RGPD a commencé. Compte tenu de cela, les organisations qui choisissent d'attendre et de voir plutôt que de rechercher agressivement la conformité au CCPA prennent probablement un risque sérieux.