CCPA : comment ajouter une notification de collecte et un lien « Ne pas vendre mes Informations Personnelles »

💡 Un peu perdu face Ă  la loi CCPA ? Suivez notre plan d’attaque :

  1. Vérifiez si la loi CCPA vous concerne grùce à notre quiz
  2. Consultez notre guide complet sur la loi CCPA pour comprendre de quoi il retourne
  3. Créez ou mettez à jour votre politique de confidentialité pour y intégrer toutes les informations exigées par la loi CCPA
  4. Ajoutez une notification de collecte et un lien « Ne pas vendre mes Informations Personnelles Â» sur toutes vos pages (ce guide)

Dans ce guide, dĂ©couvrez comment vous conformer Ă  vos obligations de notification de la collecte et d’opposition Ă  la collecte imposĂ©es par la loi de la Californie sur la vie privĂ©e des consommateurs (CCPA) Ă  l’aide de notre Cookie Solution.

Notre solution vous permet de vous conformer Ă  ces obligations de trois façons :

Fonctionnalité de la solution (comment elle vous aide à vous mettre en conformité)

Affichage de la notification de collecte exigée par la loi CCPA

Notre solution vous permet d’afficher une notification pour informer les consommateurs californiens de la possibilitĂ© que leurs donnĂ©es soient collectĂ©es et de leur droit d’opposition. Cette notification affiche Ă©galement un lien « Ne pas vendre mes Informations Personnelles Â» comme l’exige la loi.

Affichage d’un lien « Ne pas vendre mes Informations Personnelles Â»

Notre solution affiche un lien « Ne pas vendre mes Informations Personnelles Â» (DNSMPI) dans la notification de collecte (tel que l’exige la loi) et vous permet d’ajouter ce lien sur votre site pour faciliter l’accĂšs des utilisateurs Ă  la page correspondante (tel que l’exige la loi).

Exercice du droit d’opposition

La loi CCPA vous impose Ă©galement de faciliter les demandes d’opposition des consommateurs. Notre solution rĂ©pond Ă  cette exigence par les moyens suivants :

  • la notification du statut d’opposition aux tiers qui ont intĂ©grĂ© le CCPA Compliance Framework de l’IAB. Notre solution intĂšgre la compatibilitĂ© avec le CCPA Compliance Framework de l’IAB Ă  sa fonctionnalitĂ© CCPA, qui vous permet de transmettre le statut d’opposition d’un consommateur Ă  l’ensemble du rĂ©seau des partenaires de l’IAB (dont la liste inclut des partenaires comme Google et AdRoll) qui ont intĂ©grĂ© le CCPA Compliance Framework ;
  • le blocage manuel des scripts non conformes au CCPA Compliance Framework de l’IAB. Notre solution bloque automatiquement les scripts balisĂ©s (manuellement) lorsqu’un utilisateur s’oppose Ă  la vente de ses informations personnelles.
 

DĂ©tection et application automatiques des normes adĂ©quates (mĂȘme lorsqu’il y en a plusieurs) en fonction de la localisation dĂ©tectĂ©e

Notre solution vous permet d’appliquer automatiquement les normes de la loi CCPA, celles du RGPD ou les deux aux mĂȘmes utilisateurs lorsque vous ĂȘtes lĂ©galement tenu de le faire.

CompatibilitĂ© avec l’Utilisation limitĂ©e des donnĂ©es de Facebook

La nouvelle fonctionnalitĂ© d’Utilisation limitĂ©e des donnĂ©es (LDU) de Facebook permet aux propriĂ©taires de site auxquels la loi CCPA s’applique, et qui utilisent les services de Facebook Ă  des fins de publicitĂ© ou sur leur site, de demander Ă  Facebook de limiter le traitement des donnĂ©es des rĂ©sidents de Californie.

D’aprĂšs Facebook :

« Si nous recevons un paramĂštre pour une personne rĂ©sidant en Californie, nous traiterons ses donnĂ©es conformĂ©ment aux dispositions s’appliquant au fournisseur de services et limiterons leur utilisation en vertu de nos Conditions spĂ©cifiques aux États. La fonctionnalitĂ© LDU ne concerne que les utilisateurs basĂ©s en Californie. Si les entreprises ne spĂ©cifient pas les États-Unis ni la Californie dans les paramĂštres, nous nous chargerons de dĂ©terminer si une personne rĂ©side ou non en Californie. Les entreprises pourront constater une incidence sur les performances et l’efficacitĂ© de leur campagne, et les fonctions de reciblage et de mesure seront limitĂ©es. Â»

De façon gĂ©nĂ©rale, Facebook a deux moyens de dĂ©terminer si ces paramĂštres doivent s’appliquer :

  • Facebook dĂ©tecte les consommateurs californiens pour votre compte et applique largement les paramĂštres LDU.
  • Vous dĂ©tectez les consommateurs californiens par le biais de la plateforme de gestion du consentement (CMP) intĂ©grĂ©e Ă  votre site et transmettez ces donnĂ©es via le pixel Facebook, ce qui vous permet de dĂ©finir les paramĂštres LDU afin qu’ils ne s’appliquent qu’aux utilisateurs californiens qui ont dĂ©jĂ  exercĂ© leur droit d’opposition par le biais de votre dĂ©claration relative aux cookies.

Bien entendu, la seconde approche est généralement préférable et vous donne plus de contrÎle.

Nous sommes ravis d’annoncer que la Cookie Solution de iubenda est compatible avec l’Utilisation limitĂ©e des donnĂ©es de Facebook.

Si vous vous demandez comment configurer votre Cookie Solution pour transmettre Ă  Facebook les donnĂ©es pertinentes sur les paramĂštres LDU, consultez l’exemple de code ci-dessous.

Consultez l’exemple Facebook Limited Data Use de iubenda (@iubenda) sur CodePen.

Cette configuration vous permet de transmettre les bonnes variables lorsque vos utilisateurs exercent leur droit d’opposition en vertu de la loi CCPA.

Comment activer la fonctionnalité CCPA

Les scĂ©narios suivants et les instructions dont ils s’accompagnent vous permettront :

  • d’afficher la notification exigĂ©e par la loi CCPA ;
  • d’afficher un lien « Ne pas vendre mes Informations Personnelles Â» dans cette notification ;
  • d’assurer la compatibilitĂ© avec le CCPA Compliance Framework de l’IAB.

Si vous souhaitez assurer la compatibilitĂ© avec le CCPA Compliance Framework de l’IAB (recommandĂ©)

Ajoutez <script src="//cdn.iubenda.com/cs/ccpa/stub.js"></script> avant le code d’intĂ©gration de votre Cookie Solution en veillant bien Ă  ce que ces deux codes soient les tous premiers scripts de la page (p.ex. juste aprĂšs la balise ouvrante <head>).

ScĂ©nario 1 : Vous souhaitez appliquer les normes de la loi CCPA, mais pas celles du RGPD

Par exemple, votre entreprise est Ă©tablie hors de l’UE et vous avez des utilisateurs en Californie, mais aucun dans l’UE.
Dans ce scĂ©nario prĂ©cis, vous avez en fait deux possibilitĂ©s :

a) Vous souhaitez appliquer les normes de la loi CCPA Ă  tous vos utilisateurs.
Si vous souhaitez appliquer les normes de la loi CCPA Ă  tous vos utilisateurs et n’appliquer celles du RGPD Ă  aucun d’eux, sĂ©lectionnez « CCPA Â» uniquement :

Code :

"enableCcpa": true,
"ccpaApplies": true,
"enableGdpr": false,
"gdprApplies": false,
"gdprAppliesGlobally": false,

b) Vous souhaitez appliquer les normes de la loi CCPA uniquement Ă  vos utilisateurs californiens.
Si vous souhaitez appliquer les normes de la loi CCPA uniquement Ă  vos utilisateurs californiens en dĂ©tectant automatiquement les utilisateurs qui se connectent depuis la Californie et en n’appliquant les normes de la loi CCPA qu’à ceux-ci, sĂ©lectionnez « CCPA Â» puis dans « Modifier Â», sĂ©lectionnez « Aux utilisateurs de Californie Â» :

Code :

"enableCcpa": true,
"countryDetection": true,
"enableGdpr": false,

Consultez le code du scĂ©nario 1 ci-dessous :

Voir sur CodePen

ScĂ©nario 2 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et les normes du RGPD aux utilisateurs de l’UE.

Par exemple, votre entreprise est Ă©tablie hors de l’UE et vous avez Ă  la fois des utilisateurs dans l’UE et en Californie.

GrĂące Ă  la dĂ©tection du pays, nous appliquerons les normes de la loi CCPA lorsque nous dĂ©tecterons que l’utilisateur se connecte depuis la Californie et celles du RGPD lorsque l’utilisateur se connectera depuis l’UE. SĂ©lectionnez « CCPA Â» et « RGPD Â», puis :

Cliquez sur le bouton « Modifier Â» de l’option RGPD et choisissez « Seulement aux utilisateurs de l’UE Â» :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier Â» de l’option CCPA et choisissez «  Aux utilisateurs de Californie Â» :

Code :

"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": false,
"countryDetection": true,

ScĂ©nario 3 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et celles du RGPD dans le monde entier

Par exemple, votre entreprise est Ă©tablie dans l’UE et vous avez des utilisateurs californiens.

Important : n’oubliez pas que si vous ĂȘtes Ă©tabli dans l’UE, vous ĂȘtes tenu d’appliquer les mesures de protection prĂ©vues par le RGPD dans le monde entier.

SĂ©lectionnez « CCPA Â» et « RGPD Â», puis :

Cliquez sur le bouton « Modifier Â» de l’option RGPD et choisissez « Dans le monde entier Â» :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier Â» de l’option CCPA et choisissez «  Aux utilisateurs de Californie Â» :

Code :

"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": true,
"countryDetection": true,

Dans ce scénario, nous afficherons aux utilisateurs californiens une déclaration conforme à la fois aux exigences du RGPD et à celles de la loi CCPA, tandis que les utilisateurs se trouvant hors de la Californie verront uniquement une déclaration conforme au RGPD.

Consultez le code des scĂ©narios 2 et 3 ci-dessous :

Les exemples ci-dessous illustrent Ă  la fois les scĂ©narios 2 et 3 : C’est pourquoi nous vous recommandons d’ouvrir ces exemples dans CodePen pour consulter la description complĂšte.

Activation de la conformitĂ© avec la loi CCPA et le RGPD :

Voir sur CodePen

Activation de la conformitĂ© avec la loi CCPA et le RGPD et de la compatibilitĂ© avec le TCF :

Voir sur CodePen

ScĂ©nario 4 : Vous souhaitez appliquer les normes du RGPD, mais pas celles de la loi CCPA

Par exemple, votre entreprise est Ă©tablie dans l’UE et vous n’avez aucun utilisateur californien.

SĂ©lectionnez « RGPD Â», sans sĂ©lectionner « CCPA Â».

Si la loi CCPA ne vous est pas applicable, vous pouvez utiliser le code par défaut de la Cookie Solution.

Comment vous assurer que les demandes « Ne pas vendre mes Informations Personnelles Â» soient honorĂ©es

Si l’utilisateur dĂ©cide de s’opposer Ă  la vente de ses donnĂ©es, cette dĂ©cision doit ĂȘtre honorĂ©e. Vous avez trois moyens de vous en assurer.

Si la vente est effectuée par un service ou un partenaire qui a intégré le CCPA Compliance Framework

Dans ce cas, notre intĂ©gration avec le CCPA Compliance Framework se charge de notifier aux partenaires l’opposition Ă  la vente.

Si la vente est effectuĂ©e par un service ou un partenaire qui prĂ©voit une configuration prĂ©cise pour signaler l’opposition de l’utilisateur

C’est par exemple le cas de Google, qui vous permet d’envoyer un signal prĂ©cis dĂšs qu’un utilisateur exerce son droit d’opposition. Vous trouverez dans cet article des instructions valables pour Google Ads et Google Analytics.

Il est possible que d’autres prestataires prĂ©voient des instructions similaires.

Si la vente est effectuĂ©e par un service ou un partenaire qui n’a pas intĂ©grĂ© le CCPA Compliance Framework et qui ne prĂ©voit aucun moyen de signaler l’opposition

Dans ce cas, vous devrez ajouter la classe _iub_cs_activate Ă  la balise script de chacun de ces services, remplacer la valeur de l’attribut type text/javascript par text/plain et ajouter l’attribut data-iub-blockifccpaoptout :

<script class="_iub_cs_activate" type="text/plain" data-iub-blockifccpaoptout src="...">
...
</script>

Vous pouvez réaliser ces modifications manuellement ou via un gestionnaire de balises comme Google Tag Manager.

Exemple avec balisage via Google Tag Manager (GTM)

Cet exemple disponible sur CodePen montre comment gĂ©rer les scripts pour vous conformer Ă  la loi CCPA (et au RGPD) Ă  l’aide de Google Tag Manager.

Lien « Ne pas vendre mes Informations Personnelles Â»

Le droit d’opposition du consommateur vous impose d’afficher un lien « Ne pas vendre mes Informations Personnelles Â» (DNSMPI) facile d’accĂšs, clair et visible sur votre site Web.

En suivant les instructions ci-dessus, vous afficherez un lien DNSMPI dans la notification exigĂ©e par la loi CCPA. Nous vous donnons Ă©galement la possibilitĂ© d’ajouter un lien indĂ©pendant, grĂące Ă  la classe iubenda-ccpa-opt-out. Nous vous recommandons d’ajouter un lien facile d’accĂšs quelque part sur votre site (gĂ©nĂ©ralement dans le pied de page) pour permettre Ă  vos utilisateurs, s’ils le souhaitent, d’exercer leur droit d’opposition mĂȘme aprĂšs la fermeture de la dĂ©claration (comme l’exige la loi).

Par exemple, vous pourriez ajouter Ă  votre pied de page le lien suivant :

<a href="javascript:void(0)" class="iubenda-ccpa-opt-out">Do Not Sell My Personal Information</a>

Lorsqu’un utilisateur cliquera sur ce lien, il verra s’afficher une boüte de dialogue qui lui permettra de confirmer son intention de s’opposer à la vente de ses informations personnelles.

Ne pas afficher de notification relative Ă  la loi CCPA

Si vous prĂ©fĂ©rez ne pas afficher de bandeau contenant des informations sur la loi CCPA, vous pouvez utiliser les paramĂštres suivants :

ccpaNoticeDisplay: false

Cette option est Ă©galement disponible par le biais du configurateur (« Ajouter seulement un lien vers la politique de confidentialitĂ© dans chaque page Â»).

Signal « dĂ©claration affichĂ©e Â»

Vous avez trois possibilitĂ©s :

  • afficher un bandeau et n’envoyer le signal « dĂ©claration affichĂ©e Â» que lorsque l’utilisateur ferme explicitement le bandeau (avec ccpaAcknowledgeOnDisplay: false, valeur par dĂ©faut) ;
  • afficher un bandeau et envoyer le signal « dĂ©claration affichĂ©e Â» une fois le bandeau chargĂ©, sans action de l’utilisateur (avec ccpaAcknowledgeOnDisplay: true) ; ou
  • n’afficher aucun bandeau, mais ajouter un lien sur toutes les pages, et envoyer le signal « dĂ©claration affichĂ©e Â» une fois la page chargĂ©e.

Ces paramÚtres sont également disponibles dans le configurateur.

Autres paramĂštres

ccpaCookie: { expireAfter: 365 } : vous permet de personnaliser la durĂ©e du cookie qui enregistre la prise de connaissance de la notification exigĂ©e par la loi CCPA.

privacyPolicyUrl: "https://votresite.com/politiquedeconfidentialite" : vous permet de personnaliser l’URL de la politique de confidentialitĂ© utilisĂ©e.

ccpaLspa: true / false / undefined (par dĂ©faut) : vous permet de prĂ©ciser si la transaction doit ĂȘtre effectuĂ©e en vertu de l’Accord de prestation de services limitĂ©s (LSPA) de l’IAB.

Fonctions de rappel

onCcpaAcknowledged : appelĂ©e aprĂšs la prise de connaissance de la notification exigĂ©e par la loi CCPA.

onCcpaFirstAcknowledged : appelĂ©e uniquement aprĂšs la premiĂšre prise de connaissance de la notification exigĂ©e par la loi CCPA.

onCcpaOptOut : appelĂ©e lorsque l’utilisateur s’est opposĂ© Ă  la vente de ses informations personnelles.

onCcpaFirstOptOut : appelĂ©e uniquement la premiĂšre fois que l’utilisateur s’oppose Ă  la vente de ses informations personnelles.

Méthodes

_iub.cs.api.ccpaApplies() : indique si les mesures de protection prĂ©vues par la loi CCPA sont appliquĂ©es Ă  l’utilisateur actuel.

_iub.cs.api.askCcpaOptOut() : affiche une boĂźte de dialogue qui demande Ă  l’utilisateur de confirmer son opposition Ă  la vente de ses informations personnelles.

_iub.cs.api.isCcpaAcknowledged() : indique si l’utilisateur a pris connaissance de la notification exigĂ©e par la loi CCPA.

_iub.cs.api.isCcpaOptedOut() : indique si l’utilisateur s’est opposĂ© Ă  la vente de ses informations personnelles.

Voir aussi