The California Consumer PrivacLa loi californienne sur la protection de la vie privée des consommateurs (CCPA) est en vigueur à partir d'aujourd'hui, le 1er janvier 2020 Act (CCPA) is in Effect Starting Today, January 1, 2020

La nouvelle loi aura forcément un impact sur la plupart des propriétaires et exploitants de sites web, comme cela s'est déjà produit avec le GDPR européen. Pourtant, à bien des égards, la CCPA n'est pas aussi stricte que la GDPR et vise plus explicitement les entreprises qui vendent des données personnelles de consommateurs.

Tout d'abord, les effets de la loi sont limités aux résidents de Californie. Toutefois, cela ne signifie pas que les entreprises situées en dehors de la Californie ne devront pas se conformer à la loi, si elles traitent avec des clients de cet État. Étant donné que les résidents de Californie peuvent accéder à n'importe quel site web, quel que soit l'endroit où il est exploité, cela signifie essentiellement que tous les propriétaires de sites web, aux États-Unis et à l'étranger, doivent prendre des mesures pour se mettre en conformité avec la CCPA.

Nous l'avons déjà vu avec la loi GDPR en Europe, qui s'adressait à toutes les entreprises traitant les informations personnelles des citoyens de l'UE. Au moment où la GDPR est entrée en vigueur, les propriétaires de sites web aux États-Unis et ailleurs se sont conformés à la GDPR pour tous leurs clients, ou ont décidé de simplement bloquer l'accès à leurs sites web si la visite était effectuée à partir d'un IP dans l'Union européenne.

Si vous gérez un site web dans l'un des autres États américains, vous pourriez être confronté à un choix similaire ici. Si vous pouvez vous permettre d'exclure vos clients vivant en Californie, vous avez la possibilité de bloquer les visites des sites Internet californiens. Toutefois, les lois sur la protection des données risquent de figurer à l'ordre du jour des législateurs à l'avenir également. Il n'est pas imprévisible que d'autres États, voire tous, adopteront des lois similaires à l'avenir. Ainsi, au lieu de bloquer progressivement les clients potentiels, il pourrait être plus sage de s'y conformer dès maintenant, quel que soit le lieu où se trouve votre entreprise.

Deuxièmement, contrairement à la GDPR, les effets de la loi sont quelque peu limités. L'ACCP ne concernera que les entreprises suivantes :

• ceux dont les revenus bruts sont d'au moins 25 millions de dollars
• ceux qui détiennent des informations personnelles sur au moins 50 000 résidents / ménages / appareils de Californie par an
• au moins 50 % de leur chiffre d'affaires annuel est généré par la vente de données personnelles de Californiens

Si votre site web collecte des informations personnelles, mais ne relève pas de l'une des catégories ci-dessus, vous êtes libre de faire comme si de rien n'était. Ces mises en garde montrent clairement que la loi n'a pas été conçue en fonction des propriétaires de petites entreprises, mais qu'elle vise plutôt les sociétés qui tirent profit de la vente d'un grand nombre d'informations personnelles. Toutefois, assurez-vous de vérifier le nombre de visiteurs uniques de Californie que vous avez sur votre site web. Si ce nombre dépasse 50 000 par an, vous devrez alors envisager de vous conformer à la loi de l'ACCP.

Il n'y a pas de grande différence avec ce que nous avons déjà abordé précédemment dans les sujets liés à la GDPR, car les données personnelles concernées sont à peu près les mêmes : noms, adresses électroniques, localisation, données biométriques, etc. La loi définit ces données comme toute information qui "identifie, concerne, décrit, est susceptible d'être associée ou pourrait raisonnablement être associée, directement ou indirectement, à un consommateur ou à un ménage particulier". Veuillez noter que les informations accessibles au public, ainsi que les informationsdésidentifiées ou agrégées sur les consommateurs ne sont pas considérées comme des informations personnelles au sens de la loi.

Vous pouvez toujours collecter et même vendre des informations personnelles, mais vous devez permettre aux utilisateurs de se retirer facilement de ce processus. La loi stipule explicitement que, si une entreprise vend les informations personnelles des utilisateurs, elle doit fournir un lien clair sur sa page d'accueil, intitulé "Ne pas vendre mes informations personnelles". Il est également illégal de proposer différents services ou fonctionnalités en fonction du choix d'acceptation ou de refus. Tous les clients doivent continuer à bénéficier des mêmes services.

Comme pour la GDPR, vous devez accorder aux clients le droit d'accéder aux données, de supprimer leurs données personnelles et de demander la divulgation de toutes les catégories de données personnelles collectées et vendues (si c'est le cas). Cela sera fait sur une base annuelle. Sur demande, vous devez fournir les données personnelles des 12 mois précédant la demande. En outre, le client ne peut déposer de telles demandes que deux fois par an au maximum.

Veillez également à inclure les éléments suivants dans votre politique de protection de la vie privée :

• toutes les catégories d'informations que vous collectez et traitez
• à quoi servent ces catégories d'informations
• comment les informations sont collectées
• quelle est la procédure pour demander l'accès, la modification, le déplacement ou la suppression de ses données personnelles
• comment l'identité de la personne qui présente une demande est vérifiée
• si des données à caractère personnel sont vendues, il faut le décrire ici
• la manière de refuser la vente de leurs données

Pas nécessairement, mais il y a de fortes chances que si vous avez pris des mesures pour vous conformer à la GDPR, vous soyez également en conformité avec la CCPA. Toutes les conditions ci-dessus se retrouvent également dans la GDPR, à l'exception des règles explicites concernant la vente de données personnelles.

Le principal risque auquel les propriétaires de sites web sont confrontés est celui d'une violation de données. Selon la loi, l'entreprise est responsable de la prévention de l'accès non autorisé et du vol des données des consommateurs. Si cela devait se produire, tout utilisateur dont les données ont été divulguées a le droit de demander des dommages-intérêts d'un montant compris entre 100 et 750 dollars. Une fuite de données importante, où les données de milliers d'utilisateurs sont volées, pourrait potentiellement conduire une entreprise à la faillite. Multipliez 1000 x 750 $ et vous obtiendrez une estimation de l'impact.

Toutefois, avant toute action civile, les entreprises disposent de 30 jours pour "remédier à la violation constatée", si cela est possible.

Comme les données désidentifiées, ainsi que les données agrégées, ne relèvent pas des règles de l'ACFPC, la plupart des outils d'analyse sont probablement conformes par défaut. Cependant, vous devez vous assurer de lire l'accord sur le traitement des données et les politiques de confidentialité de ces tiers, afin de vous assurer que vous disposez de toutes les informations sur l'utilisation des données personnelles. Dans le cadre des efforts déployés pour se conformer à la GDPR, Visitor Analytics est également devenu conforme à l'ACFPC. Notre société ne vend pas et ne partage pas de données avec d'autres. Les données que nous recueillons ne peuvent être reliées à l'identité d'un individu, d'un ménage ou d'un appareil.

Si vous souhaitez obtenir plus de détails sur la nouvelle loi sur la protection de la vie privée, vous pouvez lire le texte intégral de la loi 1.81.5. California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs) ici. Si vous souhaitez en savoir plus sur la manière dont Visitor Analytics se conforme aux lois sur la protection de la vie privée, veuillez lire notre politique de confidentialité et notre accord sur le traitement des données.