CCPA : comment ajouter une notification de collecte et un lien « Ne pas vendre mes Informations Personnelles »

Dans ce guide, découvrez comment vous conformer à vos obligations de notification de la collecte et d’opposition à la collecte imposées par la loi de la Californie sur la vie privée des consommateurs (CCPA) à l’aide de notre Cookie Solution.

Notre solution vous permet de vous conformer à ces obligations de trois façons :

Fonctionnalité de la solution (comment elle vous aide à vous mettre en conformité)

Affichage de la notification de collecte exigée par la loi CCPA

Notre solution vous permet d’afficher une notification pour informer les consommateurs californiens de la possibilité que leurs données soient collectées et de leur droit d’opposition. Cette notification affiche également un lien « Ne pas vendre mes Informations Personnelles » comme l’exige la loi.

Affichage d’un lien « Ne pas vendre mes Informations Personnelles »

Notre solution affiche un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) dans la notification de collecte (tel que l’exige la loi) et vous permet d’ajouter ce lien sur votre site pour faciliter l’accès des utilisateurs à la page correspondante (tel que l’exige la loi).

Exercice du droit d’opposition

La loi CCPA vous impose également de faciliter les demandes d’opposition des consommateurs. Notre solution répond à cette exigence par les moyens suivants :

• la notification du statut d’opposition aux tiers qui ont intégré le CCPA Compliance Framework de l’IAB. Notre solution intègre la compatibilité avec le CCPA Compliance Framework de l’IAB à sa fonctionnalité CCPA, qui vous permet de transmettre le statut d’opposition d’un consommateur à l’ensemble du réseau des partenaires de l’IAB (dont la liste inclut des partenaires comme Google et AdRoll) qui ont intégré le CCPA Compliance Framework ;
• le blocage manuel des scripts non conformes au CCPA Compliance Framework de l’IAB. Notre solution bloque automatiquement les scripts balisés (manuellement) lorsqu’un utilisateur s’oppose à la vente de ses informations personnelles.

Détection et application automatiques des normes adéquates (même lorsqu’il y en a plusieurs) en fonction de la localisation détectée

Notre solution vous permet d’appliquer automatiquement les normes de la loi CCPA, celles du RGPD ou les deux aux mêmes utilisateurs lorsque vous êtes légalement tenu de le faire.

Compatibilité avec l’Utilisation limitée des données de Facebook

La nouvelle fonctionnalité d’Utilisation limitée des données (LDU) de Facebook permet aux propriétaires de site auxquels la loi CCPA s’applique, et qui utilisent les services de Facebook à des fins de publicité ou sur leur site, de demander à Facebook de limiter le traitement des données des résidents de Californie.

D’après Facebook :

« Si nous recevons un paramètre pour une personne résidant en Californie, nous traiterons ses données conformément aux dispositions s’appliquant au fournisseur de services et limiterons leur utilisation en vertu de nos Conditions spécifiques aux États. La fonctionnalité LDU ne concerne que les utilisateurs basés en Californie. Si les entreprises ne spécifient pas les États-Unis ni la Californie dans les paramètres, nous nous chargerons de déterminer si une personne réside ou non en Californie. Les entreprises pourront constater une incidence sur les performances et l’efficacité de leur campagne, et les fonctions de reciblage et de mesure seront limitées. »

De façon générale, Facebook a deux moyens de déterminer si ces paramètres doivent s’appliquer :

• Facebook détecte les consommateurs californiens pour votre compte et applique largement les paramètres LDU.
• Vous détectez les consommateurs californiens par le biais de la plateforme de gestion du consentement (CMP) intégrée à votre site et transmettez ces données via le pixel Facebook, ce qui vous permet de définir les paramètres LDU afin qu’ils ne s’appliquent qu’aux utilisateurs californiens qui ont déjà exercé leur droit d’opposition par le biais de votre déclaration relative aux cookies.

Bien entendu, la seconde approche est généralement préférable et vous donne plus de contrôle.

Nous sommes ravis d’annoncer que la Cookie Solution de iubenda est compatible avec l’Utilisation limitée des données de Facebook.

Si vous vous demandez comment configurer votre Cookie Solution pour transmettre à Facebook les données pertinentes sur les paramètres LDU, consultez l’exemple de code ci-dessous.

Consultez l’exemple Facebook Limited Data Use de iubenda (@iubenda) sur CodePen.

Cette configuration vous permet de transmettre les bonnes variables lorsque vos utilisateurs exercent leur droit d’opposition en vertu de la loi CCPA.

Comment activer la fonctionnalité CCPA

Les scénarios suivants et les instructions dont ils s’accompagnent vous permettront :

• d’afficher la notification exigée par la loi CCPA ;
• d’afficher un lien « Ne pas vendre mes Informations Personnelles » dans cette notification ;
• d’assurer la compatibilité avec le CCPA Compliance Framework de l’IAB.

Si vous souhaitez assurer la compatibilité avec le CCPA Compliance Framework de l’IAB (recommandé)

Ajoutez <script src="//cdn.iubenda.com/cs/ccpa/stub.js"></script> avant le code d’intégration de votre Cookie Solution en veillant bien à ce que ces deux codes soient les tous premiers scripts de la page (p.ex. juste après la balise ouvrante <head>).

Scénario 1 : Vous souhaitez appliquer les normes de la loi CCPA, mais pas celles du RGPD

Par exemple, votre entreprise est établie hors de l’UE et vous avez des utilisateurs en Californie, mais aucun dans l’UE.
Dans ce scénario précis, vous avez en fait deux possibilités :

a) Vous souhaitez appliquer les normes de la loi CCPA à tous vos utilisateurs.
Si vous souhaitez appliquer les normes de la loi CCPA à tous vos utilisateurs et n’appliquer celles du RGPD à aucun d’eux, sélectionnez « CCPA » uniquement :

Code :

"enableCcpa": true,
"ccpaApplies": true,
"enableGdpr": false,
"gdprApplies": false,
"gdprAppliesGlobally": false,

b) Vous souhaitez appliquer les normes de la loi CCPA uniquement à vos utilisateurs californiens.
Si vous souhaitez appliquer les normes de la loi CCPA uniquement à vos utilisateurs californiens en détectant automatiquement les utilisateurs qui se connectent depuis la Californie et en n’appliquant les normes de la loi CCPA qu’à ceux-ci, sélectionnez « CCPA » puis dans « Modifier », sélectionnez « Aux utilisateurs de Californie » :

Code :

"enableCcpa": true,
"countryDetection": true,
"enableGdpr": false,

Consultez le code du scénario 1 ci-dessous :

Voir sur CodePen

Scénario 2 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et les normes du RGPD aux utilisateurs de l’UE.

Par exemple, votre entreprise est établie hors de l’UE et vous avez à la fois des utilisateurs dans l’UE et en Californie.

Grâce à la détection du pays, nous appliquerons les normes de la loi CCPA lorsque nous détecterons que l’utilisateur se connecte depuis la Californie et celles du RGPD lorsque l’utilisateur se connectera depuis l’UE. Sélectionnez « CCPA » et « RGPD », puis :

Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Seulement aux utilisateurs de l’UE » :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez «  Aux utilisateurs de Californie » :

Code :

"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": false,
"countryDetection": true,

Scénario 3 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et celles du RGPD dans le monde entier

Par exemple, votre entreprise est établie dans l’UE et vous avez des utilisateurs californiens.

Important : n’oubliez pas que si vous êtes établi dans l’UE, vous êtes tenu d’appliquer les mesures de protection prévues par le RGPD dans le monde entier.

Sélectionnez « CCPA » et « RGPD », puis :

Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Dans le monde entier » :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez «  Aux utilisateurs de Californie » :

Code :

"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": true,
"countryDetection": true,

Dans ce scénario, nous afficherons aux utilisateurs californiens une déclaration conforme à la fois aux exigences du RGPD et à celles de la loi CCPA, tandis que les utilisateurs se trouvant hors de la Californie verront uniquement une déclaration conforme au RGPD.

Consultez le code des scénarios 2 et 3 ci-dessous :

Les exemples ci-dessous illustrent à la fois les scénarios 2 et 3 : C’est pourquoi nous vous recommandons d’ouvrir ces exemples dans CodePen pour consulter la description complète.

Activation de la conformité avec la loi CCPA et le RGPD :

Voir sur CodePen

Activation de la conformité avec la loi CCPA et le RGPD et de la compatibilité avec le TCF :

Voir sur CodePen

Scénario 4 : Vous souhaitez appliquer les normes du RGPD, mais pas celles de la loi CCPA

Par exemple, votre entreprise est établie dans l’UE et vous n’avez aucun utilisateur californien.

Sélectionnez « RGPD », sans sélectionner « CCPA ».

Si la loi CCPA ne vous est pas applicable, vous pouvez utiliser le code par défaut de la Cookie Solution.

Comment vous assurer que les demandes « Ne pas vendre mes Informations Personnelles » soient honorées

Si l’utilisateur décide de s’opposer à la vente de ses données, cette décision doit être honorée. Vous avez trois moyens de vous en assurer.

Si la vente est effectuée par un service ou un partenaire qui a intégré le CCPA Compliance Framework

Dans ce cas, notre intégration avec le CCPA Compliance Framework se charge de notifier aux partenaires l’opposition à la vente.

Si la vente est effectuée par un service ou un partenaire qui prévoit une configuration précise pour signaler l’opposition de l’utilisateur

C’est par exemple le cas de Google, qui vous permet d’envoyer un signal précis dès qu’un utilisateur exerce son droit d’opposition. Vous trouverez dans cet article des instructions valables pour Google Ads et Google Analytics.

Il est possible que d’autres prestataires prévoient des instructions similaires.

Si la vente est effectuée par un service ou un partenaire qui n’a pas intégré le CCPA Compliance Framework et qui ne prévoit aucun moyen de signaler l’opposition

Dans ce cas, vous devrez ajouter la classe _iub_cs_activate à la balise script de chacun de ces services, remplacer la valeur de l’attribut type text/javascript par text/plain et ajouter l’attribut data-iub-blockifccpaoptout :

<script class="_iub_cs_activate" type="text/plain" data-iub-blockifccpaoptout src="...">
...
</script>

Vous pouvez réaliser ces modifications manuellement ou via un gestionnaire de balises comme Google Tag Manager.

Exemple avec balisage via Google Tag Manager (GTM)

Cet exemple disponible sur CodePen montre comment gérer les scripts pour vous conformer à la loi CCPA (et au RGPD) à l’aide de Google Tag Manager.

Lien « Ne pas vendre mes Informations Personnelles »

Le droit d’opposition du consommateur vous impose d’afficher un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) facile d’accès, clair et visible sur votre site Web.

En suivant les instructions ci-dessus, vous afficherez un lien DNSMPI dans la notification exigée par la loi CCPA. Nous vous donnons également la possibilité d’ajouter un lien indépendant, grâce à la classe iubenda-ccpa-opt-out. Nous vous recommandons d’ajouter un lien facile d’accès quelque part sur votre site (généralement dans le pied de page) pour permettre à vos utilisateurs, s’ils le souhaitent, d’exercer leur droit d’opposition même après la fermeture de la déclaration (comme l’exige la loi).

Par exemple, vous pourriez ajouter à votre pied de page le lien suivant :

<a href="javascript:void(0)" class="iubenda-ccpa-opt-out">Do Not Sell My Personal Information</a>

Lorsqu’un utilisateur cliquera sur ce lien, il verra s’afficher une boîte de dialogue qui lui permettra de confirmer son intention de s’opposer à la vente de ses informations personnelles.

Ne pas afficher de notification relative à la loi CCPA

Si vous préférez ne pas afficher de bandeau contenant des informations sur la loi CCPA, vous pouvez utiliser les paramètres suivants :

ccpaNoticeDisplay: false

Cette option est également disponible par le biais du configurateur (« Ajouter seulement un lien vers la politique de confidentialité dans chaque page »).

Signal « déclaration affichée »

Vous avez trois possibilités :

• afficher un bandeau et n’envoyer le signal « déclaration affichée » que lorsque l’utilisateur ferme explicitement le bandeau (avec ccpaAcknowledgeOnDisplay: false, valeur par défaut) ;
• afficher un bandeau et envoyer le signal « déclaration affichée » une fois le bandeau chargé, sans action de l’utilisateur (avec ccpaAcknowledgeOnDisplay: true) ; ou
• n’afficher aucun bandeau, mais ajouter un lien sur toutes les pages, et envoyer le signal « déclaration affichée » une fois la page chargée.

Ces paramètres sont également disponibles dans le configurateur.

Autres paramètres

ccpaCookie: { expireAfter: 365 } : vous permet de personnaliser la durée du cookie qui enregistre la prise de connaissance de la notification exigée par la loi CCPA.

privacyPolicyUrl: "https://votresite.com/politiquedeconfidentialite" : vous permet de personnaliser l’URL de la politique de confidentialité utilisée.

ccpaLspa: true / false / undefined (par défaut) : vous permet de préciser si la transaction doit être effectuée en vertu de l’Accord de prestation de services limités (LSPA) de l’IAB.

Fonctions de rappel

onCcpaAcknowledged : appelée après la prise de connaissance de la notification exigée par la loi CCPA.

onCcpaFirstAcknowledged : appelée uniquement après la première prise de connaissance de la notification exigée par la loi CCPA.

onCcpaOptOut : appelée lorsque l’utilisateur s’est opposé à la vente de ses informations personnelles.

onCcpaFirstOptOut : appelée uniquement la première fois que l’utilisateur s’oppose à la vente de ses informations personnelles.

Méthodes

_iub.cs.api.ccpaApplies() : indique si les mesures de protection prévues par la loi CCPA sont appliquées à l’utilisateur actuel.

_iub.cs.api.askCcpaOptOut() : affiche une boîte de dialogue qui demande à l’utilisateur de confirmer son opposition à la vente de ses informations personnelles.

_iub.cs.api.isCcpaAcknowledged() : indique si l’utilisateur a pris connaissance de la notification exigée par la loi CCPA.

_iub.cs.api.isCcpaOptedOut() : indique si l’utilisateur s’est opposé à la vente de ses informations personnelles.

Voir aussi

• Guide consacré à la loi CCPA
• Comment appliquer les normes de la loi CCPA pour les consommateurs californiens depuis le générateur