CPRA : présentation du CCPA 2.0 et de son impact. En 2020, le « California Consumer Protection Act » ou CCPA a été adopté pour faire face aux inquiétudes grandissantes à propos de la vente et de la collecte d’informations personnelles en Californie.
Le CCPA actuel accorde divers droits aux résidents de Californie et réglemente les opérations d’entreprises qui vendent ou collectent des informations personnelles. En revanche, les conséquences d’un traitement de données consommateur par un tiers sont quelque peu laissées à libre interprétation. Cela a donné lieu à une modification du CCPA, qui est désormais connu sous le nom de « California Privacy Rights Act » (CPRA).
💡 Le CPRA se base sur les dispositions existantes du CCPA, établit de nouveaux droits pour les consommateurs et inclut de nouvelles exigences pour les entreprises qui collectent les données de résidents californiens.
📌 Modifications apportées à la définition d’une société d’après le CPRA
Les critères qui qualifient une société ont été revus ; répondez aux questions ci-dessous afin d’évaluer si vous êtes considéré comme société d’après la définition :
Êtes-vous une entité juridique à but lucratif ?
Collectez-vous des informations personnelles de consommateurs californiens ?
Déterminez-vous les finalités et moyens de traitement des informations personnelles ?
Votre organisation répond-elle à l’une des conditions suivantes ?
(A) Possède un chiffre d’affaires brut de plus de 25 millions de dollars au cours de l’année civile précédente.
(B) Achète, vend ou commercialise les informations personnelles de 100 000 consommateurs/ménages ou plus chaque année, par elle-même ou en association.
(C) Obtient 50% ou plus de son chiffre d’affaires annuel de la vente ou du partage d’informations personnelles à propos de clients.
Si votre réponse est oui, cela signifie qu’en vertu du CPRA votre organisation pourrait être considérée comme une société.
Qu’est-ce que cela signifie pour mon entreprise ?
Comme des modifications ont été apportées aux différents critères, les entités sujettes au CPRA peuvent être différentes de celles étant visées par les critères du CCPA.
📌 Informations personnelles sensibles d’après le CPRA
Le CPRA a présenté une autre catégorie de données protégées : les informations personnelles sensibles (« SPI » pour « Sensitive Personal Information » en anglais). Ce concept est assez similaire à l’article 9 du Règlement général sur la protection des données (RGPD), qui exige un niveau plus élevé de protection des données en fonction de la sensibilité des informations personnelles.
Qu’est-ce qui est considéré comme une donnée personnelle sensible d’après le CPRA ? Cliquez ici pour la liste complète (révision de 2020). Les SPI qui sont « accessibles au public » ne peuvent être considérées comme des informations personnelles sensibles ou des informations personnelles.
Le CPRA impose des normes et des limites spécifiques aux SPI, offrant ainsi aux consommateurs un plus grand contrôle sur la façon dont les organisations utilisent leurs informations personnelles.
Parmi les nouvelles exigences figurent :
Obligations d’information révisées – votre entreprise doit fournir aux consommateurs les informations suivantes concernant les SPI dans une politique de confidentialité : si les informations seront vendues ou partagées et la durée de conservation.
Limitation de la finalité – vous devez mentionner la finalité supplémentaire et spécifique pour laquelle les informations personnelles sensibles peuvent être utilisées ou divulguées à des tiers.
Limitation de l’utilisation et devoir d’information – vous devez fournir un lien clair et visible, « Limiter l’utilisation de mes informations personnelles sensibles », sur votre page d’accueil et unavis qui informe du droit de limiter l’utilisation/divulgation des informations personnelles sensibles. Toutefois, il existe des cas où une entreprise n’est pas tenue de donner aux consommateurs un droit de limiter l’utilisation des SPI ou d’afficher un avis à ce propos. C’est le cas lorsque ces informations personnelles sensibles sont traitées pour :
exécuter des services ou fournir des biens (uniquement pour une utilisation raisonnablement attendue par un consommateur moyen) ;
to prévenir, détecter et enquêter sur les incidents de sécurité qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité des informations personnelles stockées ou transmises ;
to résister aux actions malveillantes, trompeuses, frauduleuses ou illégales dirigées contre l’entreprise et poursuivre les responsables de ces actions ;
assurer la sécurité physique des personnes physiques ;
une utilisation transitoire à court terme, y compris, mais sans s’y limiter, la publicité non personnalisée diffusée dans le cadre de l’interaction d’un consommateur avec l’entreprise, à condition que les informations personnelles ne soient pas divulguées à un autre tiers et ne soient pas utilisées pour établir un profil du consommateur ou modifier de quelque manière que ce soit l’expérience du consommateur en dehors de cette interaction avec l’entreprise ;
fournir des services au nom de l’entreprise (par exemple, service à la clientèle, traitement ou exécution de commandes et de transactions, traitement des paiements, etc.) ;
vérifier ou maintenir la qualité ou la sécurité d’un produit, d’un service ou d’un dispositif appartenant à l’entreprise, fabriqué pour l’entreprise ou contrôlé par celle-ci, et améliorer, mettre à niveau ou renforcer le service ou le dispositif qui appartient à, qui est fabriqué par, qui est fabriqué pour, ou qui est contrôlé par l’entreprise ; et
à des fins qui ne déduisent pas de caractéristiques sur le consommateur.
Veuillez vérifier si vos activités de traitement des informations personnelles sensibles entrent dans le cadre de ces exceptions.
Qu’est-ce que cela signifie pour mon entreprise ?
Avec la mise en place du concept d’informations personnelles sensibles, les sociétés (selon la définition du CPRA), doivent redoubler de prudence afin de protéger au mieux ce type de données et répondre de manière appropriée lorsqu’un client décide de retirer son consentement. Des normes supplémentaires doivent être établies dans le cas où une société décide de gérer des données sensibles de consommateurs. Les entreprises qui conservent ce type d’informations, par exemple, doivent disposer d’un lien clair et visible sur leur site web appelé « Limit the Use of My Sensitive Personal Information » (= limiter l’utilisation de mes informations personnelles sensibles) permettant aux clients de limiter le traitement de leurs données sensibles.
🚀
Le Générateur de Politique de Confidentialité et de Cookies iubenda est là pour vous aider à démêler ce casse-tête !
Nous ajouterons automatiquement à vos documents les informations nécessaires à tout traitement d’informations personnelles sensibles, ceci en fonction des services que vous ajoutez. Il vous suffit de cliquer sur Activer les clauses pour les utilisateurs résidant aux États-Unis depuis le générateur.
Vous souhaitez découvrir comment iubenda peut vous aider à vous conformer en toute simplicité ? Cliquez ici →
📌 Renforcement des droits en matière de confidentialité du consommateur
Ci-dessous sont listés 5 droits à la vie privée repris du CCPA et modifiés par le CPRA.
Droit de s’opposer au partage et à la vente à des tiers (« Right to Opt-Out of Third-Party Sales and Sharing ») :
CCPA – En vertu du CCPA, les clients ont le droit de s’opposer aux entreprises qui vendent des données personnelles.
CPRA – En plus de la vente, le CPRA accroît ce droit en incluant également le partage d’informations personnelles.
Droit de savoir (« Right to know ») :
CCPA – En vertu du CCPA, les entreprises doivent répondre aux demandes des consommateurs concernant les informations personnelles obtenues durant les 12 derniers mois.
CPRA – Sous certaines conditions, le CPRA élargit cette durée, permettant aux consommateurs de solliciter des informations personnelles datant de plus de 12 mois. Les entreprises doivent informer les consommateurs de leur droit de savoir quelles informations personnelles sont vendues ou partagées à/avec qui.
Droit de suppression ( « Right to delete »)
CCPA – Les résidents californiens peuvent demander qu’une entreprise supprime leurs données personnelles si elles ne sont plus requises pour satisfaire l’un des objectifs spécifiés dans Cal. Civ. Code Sec. 1798.105.
CPRA – Les entreprises doivent informer les consommateurs de leur droit de demander la suppression de leurs informations personnelles et doivent par ailleurs donner lieu à ces demandes, sauf si les informations sont raisonnablement nécessaires à l’entreprise pour mener à bien la transaction, remplir une garantie, rappeler un produit ou assurer un niveau de sécurité et d’intégrité.
Droit au transfert de données (« Right to data transfer »)
CCPA – Contient un droit d’information, qui implique que les clients ont le droit de recevoir une copie de leurs informations personnelles par courrier ou en ligne.
CPRA – Un client peut désormais demander qu’une entreprise transfert certaines informations personnelles à une autre organisation.
Maintenant que nous avons passé en revue les 4 changements apportés aux droits des consommateurs par le CCPA, voyons les 4 droits supplémentaires ajoutés par le CPRA : (non inclus dans le CCPA)
Droit à la correction des informations (« Right to Correct Information ») : un consommateur a le droit de demander la correction de toute information personnelle erronée fournie par une entreprise.
Droit de restreindre l’utilisation et la divulgation de données personnelles sensibles (« Right to Restrict Use and Disclosure of Sensitive Personal Information ») : un consommateur a le droit de limiter l’utilisation et la divulgation de ses données sensibles à une simple utilisation nécessaire pour fournir les services ou délivrer les produits attendus par un consommateur ordinaire qui exige ces biens ou services.
Accès aux informations relatives à la prise de décision automatisée (« Access to Information On Automated Decision Making ») : un consommateur a le droit d’obtenir des informations pertinentes à propos de la logique derrière de tels processus décisionnels, ainsi qu’une description du résultat attendu par rapport au consommateur.
Droit de retirer son consentement aux technologies de prise de décision automatisée (Right to Opt-Out of Automated Decision-Making Technology) : un consommateur a le droit de retirer son consentement pour ce type de technologie.
Qu’est-ce que cela signifie pour mon entreprise ?
Les entreprises doivent s’assurer d’être prêtes à se conformer aux nouveaux droits renforcés en matière de vie privée pour les consommateurs prévus par le CPRA.
Elles devront mettre en place des systèmes et des contrôles concrets pour montrer qu’elles sont en capacité et prêtes à répondre rapidement aux demandes des clients. Pour établir un plan d’attaque autour de la conformité au CPRA, plusieurs sociétés devront apporter des modifications majeures à leurs mesures de sécurité et de confidentialité existantes, recruter de nouveaux employés, ou utiliser des services tiers.
👉 Veuillez noter qu’en vertu du CPRA, les entreprises sont tenues d’attendre 12 mois après qu’un consommateur a refusé de vendre ou de partager ses informations personnelles avant de solliciter le consentement des utilisateurs à nouveau.
👉 De plus, en tant qu’entreprise, vous devez fournir aux consommateurs au moins deux méthodes ou plus afin de soumettre leurs demandes. Ces méthodes varient d’une entreprise à l’autre, mais doivent inclure, au minimum, un numéro gratuit (« toll-free number ») et, si l’entreprise possède un site web, l’adresse de ce site web. Cependant, le numéro gratuit n’est pas requis dans les cas où l’entreprise : « opère exclusivement sur Internet » ; et si elle a un « lien direct avec un consommateur dont elle collecte les informations personnelles ».
Par conséquent, si votre entreprise vend ou partage des informations personnelles de consommateurs :
pour les enfants de moins de 13 ans, votre entreprise doit obtenir et conserver des documents attestant que le consentement à la vente ou au partage des informations personnelles des enfants provient de leurs parents ou tuteurs.
pour les enfants âgés de 13 à 16 ans, votre entreprise doit offrir aux utilisateurs la possibilité d’accepter (opt-in) la vente ou le partage de leurs informations personnelles et conserver des preuves de cette acceptation. Lorsque votre entreprise reçoit une demande d’opt-in, vous êtes tenu d’informer l’utilisateur de son droit d’opt-out (de retirer son consentement).
📌 Incorporation des principes du RGPD
Les concepts suivants ne font pas partie du CCPA, mais ils sont maintenant codifiés dans le cadre du CPRA :
minimisation des données ;
limitation de la finalité ;
limitation de la conservation.
Qu’est-ce que cela signifie pour mon entreprise ?
En codifiant explicitement ces principes dans le CPRA, la Californie a donné à l’organisme de réglementation de l’État le pouvoir de faire respecter et de sanctionner potentiellement les entreprises qui manquent à :
limiter raisonnablement la collecte d’informations personnelles à ce qui est nécessaire et aux fins pour lesquelles ces données ont été collectées initialement, et ;
choisir la durée de conservation des informations personnelles la plus courte, permettant au nécessaire d’honorer la fin à laquelle elles ont été collectées.
En conséquence de ces principes, le CPRA inclut une nouvelle exigence. Un demande de consentir (opt-in) est requise à la suite d’une décision antérieure de refus (opt-out). Vos entreprises doivent permettre aux consommateurs :
de consentir à la vente/le partage de leurs informations personnelles après avoir retiré leur consentement (opt-out), et ;
avertir les consommateurs qui ont choisi de ne pas consentir à la vente/partage d’informations personnelles chaque fois qu’ils effectuent une transaction ou tentent d’utiliser un produit impliquant la vente ou le partage d’informations personnelles, que cette action nécessite la vente/partage d’informations personnelles, et leur fournir des instructions sur la manière d’y consentir (opt-in).
📌 Élargissement du groupe des personnes concernées par une action en justice en cas d’infraction
CCPA – Dans le cas d’une violation de données, les consommateurs ont le droit d’intenter une action en justice si leurs informations personnelles non cryptées ou non expurgées sont divulguées en raison de l’incapacité d’une entreprise à mettre en place des mesures et des pratiques de sécurité adéquates compte tenu de la nature des informations traitées.
CPRA – Le droit en lui-même ne change pas. Sont ajoutés les mots de passe de connexion des consommateurs à la liste de catégories d’informations personnelles qui peuvent être l’objet d’une poursuite en justice en vertu de cette loi.
Qu’est-ce que cela signifie pour mon entreprise ?
L’élargissement du champ d’application du CPRA pour inclure les identifiants de connexion comme infraction à la sécurité pouvant donner lieu à une action en justice, est possiblement une réaction à la vague actuelle d’attaques visant les dispositifs d’authentification et affectant donc les consommateurs. De nombreuses entreprises peuvent choisir de rendre obligatoire l’authentification multifacteur comme protection supplémentaire, en plus des niveaux plus avancés de cryptage des données.
📌 Obligations légales liées à l’opt-out
En vertu de la CPRA, il convient de noter que les entreprises doivent également autoriser et traiter les préférences de refus exprimées par les consommateurs.
💡 Le signal de préférence opt-out est un signal envoyé par une plateforme, une technologie ou un mécanisme, au nom du consommateur, qui communique son choix d’exclusion de la vente et du partage d’informations personnelles. Ce signal permet de refuser automatiquement les activités de l’ensemble des sites web que l’utilisateur visite sans qu’il ait à faire de demande à chaque fois.
📌 Politique de confidentialité
Le CPRA complète les exigences du CCPA. Voici la liste complète des informations que vous devez inclure dans votre politique de confidentialité (en anglais).
Privacy Policy Checklist 👇
Include the categories of personal information that your business has sold or shared with third parties in the last 12 months, a list of relevant third parties, and your business’s purpose. You also need to disclose if you have not sold or shared users’ personal information within the last 12 months.
Add a statement regarding whether or not your business knows it sells or shares the personal information of users under the age of 16.
Include the categories of personal information that your business has disclosed (for business purposes) to third parties in the last 12 months, a list of relevant third parties, and your business’s purpose. You shall also disclose if you have not disclosed consumers’ personal information in the preceding 12 months.
State whether or not your business uses or discloses sensitive personal information for purposes other than those specified in the act.
Provide any links to online request forms or portals so your users can make requests regarding their personal information being collected, disclosed, or sold.
Provide means for users to request the correction of inaccurate personal information.
Include, if your business uses or discloses sensitive personal information for reasons other than those mentioned in the act, information on consumers’ right to limit the use or disclosure of their sensitive personal information and how to exercise it.
Provide information on users’ right to non-discrimination for the exercise of their privacy rights.
Add a general description of the process your business implements to verify users’ requests to know, delete, and correct, when applicable, including any information the user must provide.
Explain how an opt-out preference signal will be processed for the user (i.e., whether the signal applies to the device, browser, consumer account, and/or offline sales, and in what circumstances) and how the user can use an opt-out preference signal.
Provide additional reporting requirements (section 7102 of the regulations) if your business collects large amounts of personal information.
Comment se préparer au CPRA ?
Le CPRA entre en vigueur le 1er janvier 2023 et sera en application à partir du 1er juillet 2023.
Chez iubenda, comme toujours, nous surveillons de près les dernières actualités et nous assurons que tous nos documents et produits soient adaptés à temps pour rester conformes.
Si vous avez déjà mis en place des procédures dans le cadre du CCPA, il est recommandé de commencer à revoir vos processus et à prendre note de ces éléments :
définissez toute donnée que vous traitez et qui rentre dans la définition d’information personnelle du CPRA ;
évaluez votre mode de communication envers les utilisateurs lors de modifications de votre politique de confidentialité, assurez-vous d’avoir un système en place. Une fois la politique mise à jour, vous devrez alerter vos utilisateurs ;
si vous travaillez avec des sous-traitants ou avez des sous-traitants qui travaillent pour votre compte, vous devriez envisager de leur communiquer tout changement dans les obligations légales (surtout s’ils sont basés hors des États-Unis).
Comme pour toute nouvelle loi, il est bon de se tenir informé de ses évolutions afin de pouvoir prendre les mesures appropriées. Comme toujours, nous sommes là pour veiller au bon déroulement de ces changements et nous vous tiendrons informés au cours des prochains mois.
👋
Vous souhaitez vous mettre en conformité dès maintenant ?
Mieux encore, une fois que vous aurez créé vos politiques avec iubenda, toutes les mises à jour du CPRA seront insérées automatiquement par nos soins.
