đĄ Un peu perdu face Ă la loi CCPA ? Suivez notre plan dâattaque :
- Vérifiez si la loi CCPA vous concerne grùce à notre quiz
- Consultez notre guide complet sur la loi CCPA pour comprendre de quoi il retourne
- Créez ou mettez à jour votre politique de confidentialité pour y intégrer toutes les informations exigées par la loi CCPA
- Ajoutez une notification de collecte et un lien « Ne pas vendre mes Informations Personnelles » sur toutes vos pages (ce guide)
Dans ce guide, dĂ©couvrez comment vous conformer Ă vos obligations de notification de la collecte et dâopposition Ă la collecte imposĂ©es par la loi de la Californie sur la vie privĂ©e des consommateurs (CCPA) Ă lâaide de notre Cookie Solution.
Notre solution vous permet de vous conformer à ces obligations de trois façons :
Fonctionnalité de la solution (comment elle vous aide à vous mettre en conformité)
Affichage de la notification de collecte exigée par la loi CCPA
Notre solution vous permet dâafficher une notification pour informer les consommateurs californiens de la possibilitĂ© que leurs donnĂ©es soient collectĂ©es et de leur droit dâopposition. Cette notification affiche Ă©galement un lien « Ne pas vendre mes Informations Personnelles » comme lâexige la loi.
Affichage dâun lien « Ne pas vendre mes Informations Personnelles »
Notre solution affiche un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) dans la notification de collecte (tel que lâexige la loi) et vous permet dâajouter ce lien sur votre site pour faciliter lâaccĂšs des utilisateurs Ă la page correspondante (tel que lâexige la loi).
Exercice du droit dâopposition
La loi CCPA vous impose Ă©galement de faciliter les demandes dâopposition des consommateurs. Notre solution rĂ©pond Ă cette exigence par les moyens suivants :
- la notification du statut dâopposition aux tiers qui ont intĂ©grĂ© le CCPA Compliance Framework de lâIAB. Notre solution intĂšgre la compatibilitĂ© avec le CCPA Compliance Framework de lâIAB Ă sa fonctionnalitĂ© CCPA, qui vous permet de transmettre le statut dâopposition dâun consommateur Ă lâensemble du rĂ©seau des partenaires de lâIAB (dont la liste inclut des partenaires comme Google et AdRoll) qui ont intĂ©grĂ© le CCPA Compliance Framework ;
- le blocage manuel des scripts non conformes au CCPA Compliance Framework de lâIAB. Notre solution bloque automatiquement les scripts balisĂ©s (manuellement) lorsquâun utilisateur sâoppose Ă la vente de ses informations personnelles.
DĂ©tection et application automatiques des normes adĂ©quates (mĂȘme lorsquâil y en a plusieurs) en fonction de la localisation dĂ©tectĂ©e
Notre solution vous permet dâappliquer automatiquement les normes de la loi CCPA, celles du RGPD ou les deux aux mĂȘmes utilisateurs lorsque vous ĂȘtes lĂ©galement tenu de le faire.
CompatibilitĂ© avec lâUtilisation limitĂ©e des donnĂ©es de Facebook
La nouvelle fonctionnalitĂ© dâUtilisation limitĂ©e des donnĂ©es (LDU) de Facebook permet aux propriĂ©taires de site auxquels la loi CCPA sâapplique, et qui utilisent les services de Facebook Ă des fins de publicitĂ© ou sur leur site, de demander Ă Facebook de limiter le traitement des donnĂ©es des rĂ©sidents de Californie.
DâaprĂšs Facebook :
« Si nous recevons un paramĂštre pour une personne rĂ©sidant en Californie, nous traiterons ses donnĂ©es conformĂ©ment aux dispositions sâappliquant au fournisseur de services et limiterons leur utilisation en vertu de nos Conditions spĂ©cifiques aux Ătats. La fonctionnalitĂ© LDU ne concerne que les utilisateurs basĂ©s en Californie. Si les entreprises ne spĂ©cifient pas les Ătats-Unis ni la Californie dans les paramĂštres, nous nous chargerons de dĂ©terminer si une personne rĂ©side ou non en Californie. Les entreprises pourront constater une incidence sur les performances et lâefficacitĂ© de leur campagne, et les fonctions de reciblage et de mesure seront limitĂ©es. »
De façon gĂ©nĂ©rale, Facebook a deux moyens de dĂ©terminer si ces paramĂštres doivent sâappliquer :
- Facebook détecte les consommateurs californiens pour votre compte et applique largement les paramÚtres LDU.
- Vous dĂ©tectez les consommateurs californiens par le biais de la plateforme de gestion du consentement (CMP) intĂ©grĂ©e Ă votre site et transmettez ces donnĂ©es via le pixel Facebook, ce qui vous permet de dĂ©finir les paramĂštres LDU afin quâils ne sâappliquent quâaux utilisateurs californiens qui ont dĂ©jĂ exercĂ© leur droit dâopposition par le biais de votre dĂ©claration relative aux cookies.
Bien entendu, la seconde approche est généralement préférable et vous donne plus de contrÎle.
Nous sommes ravis dâannoncer que la Cookie Solution de iubenda est compatible avec lâUtilisation limitĂ©e des donnĂ©es de Facebook.
Si vous vous demandez comment configurer votre Cookie Solution pour transmettre Ă Facebook les donnĂ©es pertinentes sur les paramĂštres LDU, consultez lâexemple de code ci-dessous.
Consultez lâexemple Facebook Limited Data Use de iubenda (@iubenda) sur CodePen.
Cette configuration vous permet de transmettre les bonnes variables lorsque vos utilisateurs exercent leur droit dâopposition en vertu de la loi CCPA.
Comment activer la fonctionnalité CCPA
Les scĂ©narios suivants et les instructions dont ils sâaccompagnent vous permettront :
- dâafficher la notification exigĂ©e par la loi CCPA ;
- dâafficher un lien « Ne pas vendre mes Informations Personnelles » dans cette notification ;
- dâassurer la compatibilitĂ© avec le CCPA Compliance Framework de lâIAB.
Si vous souhaitez assurer la compatibilitĂ© avec le CCPA Compliance Framework de lâIAB (recommandĂ©)
Ajoutez <script src="//cdn.iubenda.com/cs/ccpa/stub.js"></script>
avant le code dâintĂ©gration de votre Cookie Solution en veillant bien Ă ce que ces deux codes soient les tous premiers scripts de la page (p.ex. juste aprĂšs la balise ouvrante <head>).
Scénario 1 : Vous souhaitez appliquer les normes de la loi CCPA, mais pas celles du RGPD
Par exemple, votre entreprise est Ă©tablie hors de lâUE et vous avez des utilisateurs en Californie, mais aucun dans lâUE.
Dans ce scénario précis, vous avez en fait deux possibilités :
a) Vous souhaitez appliquer les normes de la loi CCPA Ă tous vos utilisateurs.
Si vous souhaitez appliquer les normes de la loi CCPA Ă tous vos utilisateurs et nâappliquer celles du RGPD Ă aucun dâeux, sĂ©lectionnez « CCPA » uniquement :

Code :
"enableCcpa": true,
"ccpaApplies": true,
"enableGdpr": false,
"gdprApplies": false,
"gdprAppliesGlobally": false,
b) Vous souhaitez appliquer les normes de la loi CCPA uniquement Ă vos utilisateurs californiens.
Si vous souhaitez appliquer les normes de la loi CCPA uniquement Ă vos utilisateurs californiens en dĂ©tectant automatiquement les utilisateurs qui se connectent depuis la Californie et en nâappliquant les normes de la loi CCPA quâĂ ceux-ci, sĂ©lectionnez « CCPA » puis dans « Modifier », sĂ©lectionnez « Aux utilisateurs de Californie » :

Code :
"enableCcpa": true,
"countryDetection": true,
"enableGdpr": false,
Consultez le code du scénario 1 ci-dessous :
Voir sur CodePen
ScĂ©nario 2 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et les normes du RGPD aux utilisateurs de lâUE.
Par exemple, votre entreprise est Ă©tablie hors de lâUE et vous avez Ă la fois des utilisateurs dans lâUE et en Californie.
GrĂące Ă la dĂ©tection du pays, nous appliquerons les normes de la loi CCPA lorsque nous dĂ©tecterons que lâutilisateur se connecte depuis la Californie et celles du RGPD lorsque lâutilisateur se connectera depuis lâUE. SĂ©lectionnez « CCPA » et « RGPD », puis :

Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Seulement aux utilisateurs de l’UE » :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez « Aux utilisateurs de Californie » :

Code :
"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": false,
"countryDetection": true,
Scénario 3 : Vous souhaitez appliquer les normes de la loi CCPA aux utilisateurs californiens et celles du RGPD dans le monde entier
Par exemple, votre entreprise est Ă©tablie dans lâUE et vous avez des utilisateurs californiens.
Important : nâoubliez pas que si vous ĂȘtes Ă©tabli dans lâUE, vous ĂȘtes tenu dâappliquer les mesures de protection prĂ©vues par le RGPD dans le monde entier.
Sélectionnez « CCPA » et « RGPD », puis :
Cliquez sur le bouton « Modifier » de l’option RGPD et choisissez « Dans le monde entier » :

Revenez ensuite sur le menu principal et cliquez sur le bouton « Modifier » de l’option CCPA et choisissez « Aux utilisateurs de Californie » :

Code :
"enableGdpr": true, //true by default, so it's not strictly needed
"enableCcpa": true,
"gdprAppliesGlobally": true,
"countryDetection": true,
Dans ce scénario, nous afficherons aux utilisateurs californiens une déclaration conforme à la fois aux exigences du RGPD et à celles de la loi CCPA, tandis que les utilisateurs se trouvant hors de la Californie verront uniquement une déclaration conforme au RGPD.
Consultez le code des scénarios 2 et 3 ci-dessous :
Les exemples ci-dessous illustrent Ă la fois les scĂ©narios 2 et 3 : Câest pourquoi nous vous recommandons dâouvrir ces exemples dans CodePen pour consulter la description complĂšte.
Activation de la conformité avec la loi CCPA et le RGPD :
Voir sur CodePen
Activation de la conformité avec la loi CCPA et le RGPD et de la compatibilité avec le TCF :
Voir sur CodePen
Scénario 4 : Vous souhaitez appliquer les normes du RGPD, mais pas celles de la loi CCPA
Par exemple, votre entreprise est Ă©tablie dans lâUE et vous nâavez aucun utilisateur californien.
Sélectionnez « RGPD », sans sélectionner « CCPA ».

Si la loi CCPA ne vous est pas applicable, vous pouvez utiliser le code par défaut de la Cookie Solution.
Comment vous assurer que les demandes « Ne pas vendre mes Informations Personnelles » soient honorées
Si lâutilisateur dĂ©cide de sâopposer Ă la vente de ses donnĂ©es, cette dĂ©cision doit ĂȘtre honorĂ©e. Vous avez trois moyens de vous en assurer.
Si la vente est effectuée par un service ou un partenaire qui a intégré le CCPA Compliance Framework
Dans ce cas, notre intĂ©gration avec le CCPA Compliance Framework se charge de notifier aux partenaires lâopposition Ă la vente.
Si la vente est effectuĂ©e par un service ou un partenaire qui prĂ©voit une configuration prĂ©cise pour signaler lâopposition de lâutilisateur
Câest par exemple le cas de Google, qui vous permet dâenvoyer un signal prĂ©cis dĂšs quâun utilisateur exerce son droit dâopposition. Vous trouverez dans cet article des instructions valables pour Google Ads et Google Analytics.
Il est possible que dâautres prestataires prĂ©voient des instructions similaires.
Si la vente est effectuĂ©e par un service ou un partenaire qui nâa pas intĂ©grĂ© le CCPA Compliance Framework et qui ne prĂ©voit aucun moyen de signaler lâopposition
Dans ce cas, vous devrez ajouter la classe _iub_cs_activate
Ă la balise script
de chacun de ces services, remplacer la valeur de lâattribut type text/javascript
par text/plain
et ajouter lâattribut data-iub-blockifccpaoptout
:
<script class="_iub_cs_activate" type="text/plain" data-iub-blockifccpaoptout src="...">
...
</script>
Vous pouvez réaliser ces modifications manuellement ou via un gestionnaire de balises comme Google Tag Manager.
Exemple avec balisage via Google Tag Manager (GTM)
Cet exemple disponible sur CodePen montre comment gĂ©rer les scripts pour vous conformer Ă la loi CCPA (et au RGPD) Ă lâaide de Google Tag Manager.
Lien « Ne pas vendre mes Informations Personnelles »
Le droit dâopposition du consommateur vous impose dâafficher un lien « Ne pas vendre mes Informations Personnelles » (DNSMPI) facile dâaccĂšs, clair et visible sur votre site Web.
En suivant les instructions ci-dessus, vous afficherez un lien DNSMPI dans la notification exigĂ©e par la loi CCPA. Nous vous donnons Ă©galement la possibilitĂ© dâajouter un lien indĂ©pendant, grĂące Ă la classe iubenda-ccpa-opt-out
. Nous vous recommandons dâajouter un lien facile dâaccĂšs quelque part sur votre site (gĂ©nĂ©ralement dans le pied de page) pour permettre Ă vos utilisateurs, sâils le souhaitent, dâexercer leur droit dâopposition mĂȘme aprĂšs la fermeture de la dĂ©claration (comme lâexige la loi).
Par exemple, vous pourriez ajouter Ă votre pied de page le lien suivant :
<a href="javascript:void(0)" class="iubenda-ccpa-opt-out">Do Not Sell My Personal Information</a>
Lorsquâun utilisateur cliquera sur ce lien, il verra sâafficher une boĂźte de dialogue qui lui permettra de confirmer son intention de sâopposer Ă la vente de ses informations personnelles.
Ne pas afficher de notification relative Ă la loi CCPA
Si vous préférez ne pas afficher de bandeau contenant des informations sur la loi CCPA, vous pouvez utiliser les paramÚtres suivants :
ccpaNoticeDisplay: false
Cette option est également disponible par le biais du configurateur (« Ajouter seulement un lien vers la politique de confidentialité dans chaque page »).
Signal « déclaration affichée »
Vous avez trois possibilités :
- afficher un bandeau et nâenvoyer le signal « dĂ©claration affichĂ©e » que lorsque lâutilisateur ferme explicitement le bandeau (avec
ccpaAcknowledgeOnDisplay: false
, valeur par dĂ©faut) ; - afficher un bandeau et envoyer le signal « dĂ©claration affichĂ©e » une fois le bandeau chargĂ©, sans action de lâutilisateur (avec
ccpaAcknowledgeOnDisplay: true
) ; ou - nâafficher aucun bandeau, mais ajouter un lien sur toutes les pages, et envoyer le signal « dĂ©claration affichĂ©e » une fois la page chargĂ©e.
Ces paramÚtres sont également disponibles dans le configurateur.

Autres paramĂštres
ccpaCookie: { expireAfter: 365 }
: vous permet de personnaliser la durée du cookie qui enregistre la prise de connaissance de la notification exigée par la loi CCPA.
privacyPolicyUrl: "https://votresite.com/politiquedeconfidentialite"
: vous permet de personnaliser lâURL de la politique de confidentialitĂ© utilisĂ©e.
ccpaLspa: true / false / undefined
(par dĂ©faut) : vous permet de prĂ©ciser si la transaction doit ĂȘtre effectuĂ©e en vertu de lâAccord de prestation de services limitĂ©s (LSPA) de lâIAB.
Fonctions de rappel
onCcpaAcknowledged
: appelée aprÚs la prise de connaissance de la notification exigée par la loi CCPA.
onCcpaFirstAcknowledged
: appelée uniquement aprÚs la premiÚre prise de connaissance de la notification exigée par la loi CCPA.
onCcpaOptOut
: appelĂ©e lorsque lâutilisateur sâest opposĂ© Ă la vente de ses informations personnelles.
onCcpaFirstOptOut
: appelĂ©e uniquement la premiĂšre fois que lâutilisateur sâoppose Ă la vente de ses informations personnelles.
Méthodes
_iub.cs.api.ccpaApplies()
: indique si les mesures de protection prĂ©vues par la loi CCPA sont appliquĂ©es Ă lâutilisateur actuel.
_iub.cs.api.askCcpaOptOut()
: affiche une boĂźte de dialogue qui demande Ă lâutilisateur de confirmer son opposition Ă la vente de ses informations personnelles.
_iub.cs.api.isCcpaAcknowledged()
: indique si lâutilisateur a pris connaissance de la notification exigĂ©e par la loi CCPA.
_iub.cs.api.isCcpaOptedOut()
: indique si lâutilisateur sâest opposĂ© Ă la vente de ses informations personnelles.