Book a demo
Start for free

CPRA : présentation du CCPA 2.0 et de son impact

CPRA : prĂ©sentation du CCPA 2.0 et de son impact. En 2020, le « California Consumer Protection Act » ou CCPA a Ă©tĂ© adoptĂ© pour faire face aux inquiĂ©tudes grandissantes Ă  propos de la vente et de la collecte d’informations personnelles en Californie.

Le CCPA actuel accorde divers droits aux rĂ©sidents de Californie et rĂ©glemente les opĂ©rations d’entreprises qui vendent ou collectent des informations personnelles. En revanche, les consĂ©quences d’un traitement de donnĂ©es consommateur par un tiers sont quelque peu laissĂ©es Ă  libre interprĂ©tation. Cela a donnĂ© lieu Ă  une modification du CCPA, qui est dĂ©sormais connu sous le nom de « California Privacy Rights Act » (CPRA).

💡 Le CPRA se base sur les dispositions existantes du CCPA, établit de nouveaux droits pour les consommateurs et inclut de nouvelles exigences pour les entreprises qui collectent les données de résidents californiens.

En bref :

đź“Ś Modifications apportĂ©es Ă  la dĂ©finition d’une sociĂ©tĂ© d’après le CPRA

Les critères qui qualifient une sociĂ©tĂ© ont Ă©tĂ© revus ; rĂ©pondez aux questions ci-dessous afin d’Ă©valuer si vous ĂŞtes considĂ©rĂ© comme sociĂ©tĂ© d’après la dĂ©finition :

  1. Êtes-vous une entité juridique à but lucratif ?
  2. Collectez-vous des informations personnelles de consommateurs californiens ?
  3. Déterminez-vous les finalités et moyens de traitement des informations personnelles ?

Votre organisation rĂ©pond-elle Ă  l’une des conditions suivantes ?

(A) Possède un chiffre d’affaires brut de plus de 25 millions de dollars au cours de l’annĂ©e civile prĂ©cĂ©dente.

(B) Achète, vend ou commercialise les informations personnelles de 100 000 consommateurs/ménages ou plus chaque année, par elle-même ou en association.

(C) Obtient 50% ou plus de son chiffre d’affaires annuel de la vente ou du partage d’informations personnelles Ă  propos de clients.

Si votre rĂ©ponse est oui, cela signifie qu’en vertu du CPRA votre organisation pourrait ĂŞtre considĂ©rĂ©e comme une sociĂ©tĂ©.

Qu’est-ce que cela signifie pour mon entreprise ?

Comme des modifications ont été apportées aux différents critères, les entités sujettes au CPRA peuvent être différentes de celles étant visées par les critères du CCPA.

đź“Ś Informations personnelles sensibles d’après le CPRA

Le CPRA a prĂ©sentĂ© une autre catĂ©gorie de donnĂ©es protĂ©gĂ©es : les informations personnelles sensibles (« SPI » pour « Sensitive Personal Information » en anglais). Ce concept est assez similaire Ă  l’article 9 du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD), qui exige un niveau plus Ă©levĂ© de protection des donnĂ©es en fonction de la sensibilitĂ© des informations personnelles.

Qu’est-ce qui est considĂ©rĂ© comme une donnĂ©e personnelle sensible d’après le CPRA ? Cliquez ici pour la liste complète (rĂ©vision de 2020). Les SPI qui sont « accessibles au public » ne peuvent ĂŞtre considĂ©rĂ©es comme des informations personnelles sensibles ou des informations personnelles.

Le CPRA impose des normes et des limites spécifiques aux SPI, offrant ainsi aux consommateurs un plus grand contrôle sur la façon dont les organisations utilisent leurs informations personnelles.

  1. Obligations d’information rĂ©visĂ©es – votre entreprise doit fournir aux consommateurs les informations suivantes concernant les SPI dans une politique de confidentialitĂ© : si les informations seront vendues ou partagĂ©es et la durĂ©e de conservation.
  2. Limitation de la finalitĂ© – vous devez mentionner la finalitĂ© supplĂ©mentaire et spĂ©cifique pour laquelle les informations personnelles sensibles peuvent ĂŞtre utilisĂ©es ou divulguĂ©es Ă  des tiers.
  3. Limitation de l’utilisation et devoir d’information – vous devez fournir un lien clair et visible, « Limiter l’utilisation de mes informations personnelles sensibles », sur votre page d’accueil et unavis qui informe du droit de limiter l’utilisation/divulgation des informations personnelles sensibles. Toutefois, il existe des cas oĂą une entreprise n’est pas tenue de donner aux consommateurs un droit de limiter l’utilisation des SPI ou d’afficher un avis Ă  ce propos. C’est le cas lorsque ces informations personnelles sensibles sont traitĂ©es pour :
  • exĂ©cuter des services ou fournir des biens (uniquement pour une utilisation raisonnablement attendue par un consommateur moyen) ;
  • to prĂ©venir, dĂ©tecter et enquĂŞter sur les incidents de sĂ©curitĂ© qui compromettent la disponibilitĂ©, l’authenticitĂ©, l’intĂ©gritĂ© ou la confidentialitĂ© des informations personnelles stockĂ©es ou transmises ;
  • to rĂ©sister aux actions malveillantes, trompeuses, frauduleuses ou illĂ©gales dirigĂ©es contre l’entreprise et poursuivre les responsables de ces actions ;
  • assurer la sĂ©curitĂ© physique des personnes physiques ;
  • une utilisation transitoire Ă  court terme, y compris, mais sans s’y limiter, la publicitĂ© non personnalisĂ©e diffusĂ©e dans le cadre de l’interaction d’un consommateur avec l’entreprise, Ă  condition que les informations personnelles ne soient pas divulguĂ©es Ă  un autre tiers et ne soient pas utilisĂ©es pour Ă©tablir un profil du consommateur ou modifier de quelque manière que ce soit l’expĂ©rience du consommateur en dehors de cette interaction avec l’entreprise ;
  • fournir des services au nom de l’entreprise (par exemple, service Ă  la clientèle, traitement ou exĂ©cution de commandes et de transactions, traitement des paiements, etc.) ;
  • vĂ©rifier ou maintenir la qualitĂ© ou la sĂ©curitĂ© d’un produit, d’un service ou d’un dispositif appartenant Ă  l’entreprise, fabriquĂ© pour l’entreprise ou contrĂ´lĂ© par celle-ci, et amĂ©liorer, mettre Ă  niveau ou renforcer le service ou le dispositif qui appartient Ă , qui est fabriquĂ© par, qui est fabriquĂ© pour, ou qui est contrĂ´lĂ© par l’entreprise ; et
  • Ă  des fins qui ne dĂ©duisent pas de caractĂ©ristiques sur le consommateur.

Veuillez vérifier si vos activités de traitement des informations personnelles sensibles entrent dans le cadre de ces exceptions.

Qu’est-ce que cela signifie pour mon entreprise ?

Avec la mise en place du concept d’informations personnelles sensibles, les sociĂ©tĂ©s (selon la dĂ©finition du CPRA), doivent redoubler de prudence afin de protĂ©ger au mieux ce type de donnĂ©es et rĂ©pondre de manière appropriĂ©e lorsqu’un client dĂ©cide de retirer son consentement. Des normes supplĂ©mentaires doivent ĂŞtre Ă©tablies dans le cas oĂą une sociĂ©tĂ© dĂ©cide de gĂ©rer des donnĂ©es sensibles de consommateurs. Les entreprises qui conservent ce type d’informations, par exemple, doivent disposer d’un lien clair et visible sur leur site web appelĂ© « Limit the Use of My Sensitive Personal Information » (= limiter l’utilisation de mes informations personnelles sensibles) permettant aux clients de limiter le traitement de leurs donnĂ©es sensibles.

🚀
Le Générateur de Politique de Confidentialité et de Cookies iubenda est là pour vous aider à démêler ce casse-tête !

Nous ajouterons automatiquement Ă  vos documents les informations nĂ©cessaires Ă  tout traitement d’informations personnelles sensibles, ceci en fonction des services que vous ajoutez. Il vous suffit de cliquer sur Activer les clauses pour les utilisateurs rĂ©sidant aux États-Unis depuis le gĂ©nĂ©rateur.

Vous souhaitez découvrir comment iubenda peut vous aider à vous conformer en toute simplicité ? Cliquez ici →

📌 Renforcement des droits en matière de confidentialité du consommateur

Ci-dessous sont listés 5 droits à la vie privée repris du CCPA et modifiés par le CPRA.

  1. Droit de s’opposer au partage et Ă  la vente Ă  des tiers (« Right to Opt-Out of Third-Party Sales and Sharing ») :
    • CCPA – En vertu du CCPA, les clients ont le droit de s’opposer aux entreprises qui vendent des donnĂ©es personnelles.
    • CPRA – En plus de la vente, le CPRA accroĂ®t ce droit en incluant Ă©galement le partage d’informations personnelles.
  2. Droit de savoir (« Right to know ») :
    • CCPA – En vertu du CCPA, les entreprises doivent rĂ©pondre aux demandes des consommateurs concernant les informations personnelles obtenues durant les 12 derniers mois.
    • CPRA – Sous certaines conditions, le CPRA Ă©largit cette durĂ©e, permettant aux consommateurs de solliciter des informations personnelles datant de plus de 12 mois. Les entreprises doivent informer les consommateurs de leur droit de savoir quelles informations personnelles sont vendues ou partagĂ©es Ă /avec qui.
  3. Droit de suppression ( « Right to delete »)
    • CCPA – Les rĂ©sidents californiens peuvent demander qu’une entreprise supprime leurs donnĂ©es personnelles si elles ne sont plus requises pour satisfaire l’un des objectifs spĂ©cifiĂ©s dans Cal. Civ. Code Sec. 1798.105.
    • CPRA – Les entreprises doivent informer les consommateurs de leur droit de demander la suppression de leurs informations personnelles et doivent par ailleurs donner lieu Ă  ces demandes, sauf si les informations sont raisonnablement nĂ©cessaires Ă  l’entreprise pour mener Ă  bien la transaction, remplir une garantie, rappeler un produit ou assurer un niveau de sĂ©curitĂ© et d’intĂ©gritĂ©.
  4. Droit au transfert de données (« Right to data transfer »)
    • CCPA – Contient un droit d’information, qui implique que les clients ont le droit de recevoir une copie de leurs informations personnelles par courrier ou en ligne.
    • CPRA – Un client peut dĂ©sormais demander qu’une entreprise transfert certaines informations personnelles Ă  une autre organisation.

Maintenant que nous avons passé en revue les 4 changements apportés aux droits des consommateurs par le CCPA, voyons les 4 droits supplémentaires ajoutés par le CPRA : (non inclus dans le CCPA)

  1. Droit à la correction des informations (« Right to Correct Information ») : un consommateur a le droit de demander la correction de toute information personnelle erronée fournie par une entreprise.
  2. Droit de restreindre l’utilisation et la divulgation de donnĂ©es personnelles sensibles (« Right to Restrict Use and Disclosure of Sensitive Personal Information ») : un consommateur a le droit de limiter l’utilisation et la divulgation de ses donnĂ©es sensibles Ă  une simple utilisation nĂ©cessaire pour fournir les services ou dĂ©livrer les produits attendus par un consommateur ordinaire qui exige ces biens ou services.
  3. Accès aux informations relatives Ă  la prise de dĂ©cision automatisĂ©e (« Access to Information On Automated Decision Making ») : un consommateur a le droit d’obtenir des informations pertinentes Ă  propos de la logique derrière de tels processus dĂ©cisionnels, ainsi qu’une description du rĂ©sultat attendu par rapport au consommateur.
  4. Droit de retirer son consentement aux technologies de prise de décision automatisée (Right to Opt-Out of Automated Decision-Making Technology) : un consommateur a le droit de retirer son consentement pour ce type de technologie.
Qu’est-ce que cela signifie pour mon entreprise ?

Les entreprises doivent s’assurer d’ĂŞtre prĂŞtes Ă  se conformer aux nouveaux droits renforcĂ©s en matière de vie privĂ©e pour les consommateurs prĂ©vus par le CPRA.

Elles devront mettre en place des systèmes et des contrĂ´les concrets pour montrer qu’elles sont en capacitĂ© et prĂŞtes Ă  rĂ©pondre rapidement aux demandes des clients. Pour Ă©tablir un plan d’attaque autour de la conformitĂ© au CPRA, plusieurs sociĂ©tĂ©s devront apporter des modifications majeures Ă  leurs mesures de sĂ©curitĂ© et de confidentialitĂ© existantes, recruter de nouveaux employĂ©s, ou utiliser des services tiers.

👉 Veuillez noter qu’en vertu du CPRA, les entreprises sont tenues d’attendre 12 mois après qu’un consommateur a refusĂ© de vendre ou de partager ses informations personnelles avant de solliciter le consentement des utilisateurs Ă  nouveau.

👉 De plus, en tant qu’entreprise, vous devez fournir aux consommateurs au moins deux mĂ©thodes ou plus afin de soumettre leurs demandes. Ces mĂ©thodes varient d’une entreprise Ă  l’autre, mais doivent inclure, au minimum, un numĂ©ro gratuit (« toll-free number ») et, si l’entreprise possède un site web, l’adresse de ce site web. Cependant, le numĂ©ro gratuit n’est pas requis dans les cas oĂą l’entreprise : « opère exclusivement sur Internet » ; et si elle a un « lien direct avec un consommateur dont elle collecte les informations personnelles ».

đź“Ś Droits des mineurs

Vous êtes tenu par le CPRA de vous conformer à COPPA, qui régit les droits des enfants en matière de protection de la vie privée, avec une référence spécifique à la vente et au partage des informations personnelles des enfants.

Par conséquent, si votre entreprise vend ou partage des informations personnelles de consommateurs :

  • pour les enfants de moins de 13 ans, votre entreprise doit obtenir et conserver des documents attestant que le consentement Ă  la vente ou au partage des informations personnelles des enfants provient de leurs parents ou tuteurs.
  • pour les enfants âgĂ©s de 13 Ă  16 ans, votre entreprise doit offrir aux utilisateurs la possibilitĂ© d’accepter (opt-in) la vente ou le partage de leurs informations personnelles et conserver des preuves de cette acceptation. Lorsque votre entreprise reçoit une demande d’opt-in, vous ĂŞtes tenu d’informer l’utilisateur de son droit d’opt-out (de retirer son consentement).

đź“Ś Incorporation des principes du RGPD

Les concepts suivants ne font pas partie du CCPA, mais ils sont maintenant codifiés dans le cadre du CPRA :

  • minimisation des donnĂ©es ;
  • limitation de la finalitĂ© ;
  • limitation de la conservation.
Qu’est-ce que cela signifie pour mon entreprise ?

En codifiant explicitement ces principes dans le CPRA, la Californie a donnĂ© Ă  l’organisme de rĂ©glementation de l’État le pouvoir de faire respecter et de sanctionner potentiellement les entreprises qui manquent Ă  :

  1. limiter raisonnablement la collecte d’informations personnelles Ă  ce qui est nĂ©cessaire et aux fins pour lesquelles ces donnĂ©es ont Ă©tĂ© collectĂ©es initialement, et ;
  2. choisir la durĂ©e de conservation des informations personnelles la plus courte, permettant au nĂ©cessaire d’honorer la fin Ă  laquelle elles ont Ă©tĂ© collectĂ©es.

    3. En consĂ©quence de ces principes, le CPRA inclut une nouvelle exigence. Un demande de consentir (opt-in) est requise Ă  la suite d’une dĂ©cision antĂ©rieure de refus (opt-out). Vos entreprises doivent permettre aux consommateurs :

    1. de consentir à la vente/le partage de leurs informations personnelles après avoir retiré leur consentement (opt-out), et ;
    2. avertir les consommateurs qui ont choisi de ne pas consentir Ă  la vente/partage d’informations personnelles chaque fois qu’ils effectuent une transaction ou tentent d’utiliser un produit impliquant la vente ou le partage d’informations personnelles, que cette action nĂ©cessite la vente/partage d’informations personnelles, et leur fournir des instructions sur la manière d’y consentir (opt-in).

đź“Ś Élargissement du groupe des personnes concernĂ©es par une action en justice en cas d’infraction

CCPA – Dans le cas d’une violation de donnĂ©es, les consommateurs ont le droit d’intenter une action en justice si leurs informations personnelles non cryptĂ©es ou non expurgĂ©es sont divulguĂ©es en raison de l’incapacitĂ© d’une entreprise Ă  mettre en place des mesures et des pratiques de sĂ©curitĂ© adĂ©quates compte tenu de la nature des informations traitĂ©es.

CPRA – Le droit en lui-mĂŞme ne change pas. Sont ajoutĂ©s les mots de passe de connexion des consommateurs Ă  la liste de catĂ©gories d’informations personnelles qui peuvent ĂŞtre l’objet d’une poursuite en justice en vertu de cette loi.

Qu’est-ce que cela signifie pour mon entreprise ?

L’Ă©largissement du champ d’application du CPRA pour inclure les identifiants de connexion comme infraction Ă  la sĂ©curitĂ© pouvant donner lieu Ă  une action en justice, est possiblement une rĂ©action Ă  la vague actuelle d’attaques visant les dispositifs d’authentification et affectant donc les consommateurs. De nombreuses entreprises peuvent choisir de rendre obligatoire l’authentification multifacteur comme protection supplĂ©mentaire, en plus des niveaux plus avancĂ©s de cryptage des donnĂ©es.

đź“Ś Obligations lĂ©gales liĂ©es Ă  l’opt-out 

En vertu de la CPRA, il convient de noter que les entreprises doivent également autoriser et traiter les préférences de refus exprimées par les consommateurs.

đź’ˇ Le signal de prĂ©fĂ©rence opt-out est un signal envoyĂ© par une plateforme, une technologie ou un mĂ©canisme, au nom du consommateur, qui communique son choix d’exclusion de la vente et du partage d’informations personnelles. Ce signal permet de refuser automatiquement les activitĂ©s de l’ensemble des sites web que l’utilisateur visite sans qu’il ait Ă  faire de demande Ă  chaque fois.

📌 Politique de confidentialité

Le CPRA complète les exigences du CCPA. Voici la liste complète des informations que vous devez inclure dans votre politique de confidentialité (en anglais).

Include the categories of personal information that your business has sold or shared with third parties in the last 12 months, a list of relevant third parties, and your business’s purpose. You also need to disclose if you have not sold or shared users’ personal information within the last 12 months.
Add a statement regarding whether or not your business knows it sells or shares the personal information of users under the age of 16.
Include the categories of personal information that your business has disclosed (for business purposes) to third parties in the last 12 months, a list of relevant third parties, and your business’s purpose. You shall also disclose if you have not disclosed consumers’ personal information in the preceding 12 months.
State whether or not your business uses or discloses sensitive personal information for purposes other than those specified in the act.
Provide any links to online request forms or portals so your users can make requests regarding their personal information being collected, disclosed, or sold.
Provide means for users to request the correction of inaccurate personal information.
Include, if your business uses or discloses sensitive personal information for reasons other than those mentioned in the act, information on consumers’ right to limit the use or disclosure of their sensitive personal information and how to exercise it.
Provide information on users’ right to non-discrimination for the exercise of their privacy rights.
Add a general description of the process your business implements to verify users’ requests to know, delete, and correct, when applicable, including any information the user must provide.
Explain how an opt-out preference signal will be processed for the user (i.e., whether the signal applies to the device, browser, consumer account, and/or offline sales, and in what circumstances) and how the user can use an opt-out preference signal.
Provide additional reporting requirements (section 7102 of the regulations) if your business collects large amounts of personal information.

Comment se préparer au CPRA ?

Le CPRA entre en vigueur le 1er janvier 2023 et sera en application Ă  partir du 1er juillet 2023.

Chez iubenda, comme toujours, nous surveillons de près les dernières actualités et nous assurons que tous nos documents et produits soient adaptés à temps pour rester conformes.

Si vous avez déjà mis en place des procédures dans le cadre du CCPA, il est recommandé de commencer à revoir vos processus et à prendre note de ces éléments :

  1. dĂ©finissez toute donnĂ©e que vous traitez et qui rentre dans la dĂ©finition d’information personnelle du CPRA ;
  2. Ă©valuez votre mode de communication envers les utilisateurs lors de modifications de votre politique de confidentialitĂ©, assurez-vous d’avoir un système en place. Une fois la politique mise Ă  jour, vous devrez alerter vos utilisateurs ;
  3. si vous travaillez avec des sous-traitants ou avez des sous-traitants qui travaillent pour votre compte, vous devriez envisager de leur communiquer tout changement dans les obligations lĂ©gales (surtout s’ils sont basĂ©s hors des États-Unis).

Comme pour toute nouvelle loi, il est bon de se tenir informé de ses évolutions afin de pouvoir prendre les mesures appropriées. Comme toujours, nous sommes là pour veiller au bon déroulement de ces changements et nous vous tiendrons informés au cours des prochains mois.

đź‘‹
Vous souhaitez vous mettre en conformité dès maintenant ?

Mieux encore, une fois que vous aurez créé vos politiques avec iubenda, toutes les mises à jour du CPRA seront insérées automatiquement par nos soins.

Générer dès maintenant
Ce site est enregistré sur wpml.org en tant que site de développement. Passez à un site de production en utilisant la clé remove this banner.