Le California Consumer Privacy Act (CCPA), entré en vigueur le 1er janvier 2020 et considérablement étendu par le California Privacy Rights Act (CPRA) en 2023, est l’une des lois sur la protection de la vie privée les plus complètes au niveau des États-Unis. Tandis que le RGPD se concentre sur les résidents européens, le CCPA/CPRA donne aux consommateurs californiens des droits étendus sur leurs informations personnelles et impose des obligations strictes aux entreprises qui les collectent et les traitent.

Qu’est-ce que le CCPA/CPRA ?

Le CCPA (et son successeur, le CPRA) est une loi pionnière sur la protection de la vie privée qui accorde aux résidents de Californie (consommateurs) de nouveaux droits concernant leurs informations personnelles. Contrairement au RGPD, qui se concentre sur la base légale du traitement, le CCPA/CPRA est davantage axé sur le contrôle et la transparence pour le consommateur concernant la manière dont les entreprises gèrent leurs données.

Il s’applique généralement aux entreprises à but lucratif qui collectent des informations personnelles auprès de résidents californiens et qui remplissent un ou plusieurs des seuils suivants :

• A des revenus bruts annuels supérieurs à 25 millions de dollars.
• Achète, reçoit ou vend les informations personnelles de 100 000 consommateurs ou foyers californiens ou plus.
• Tire 50 % ou plus de ses revenus annuels de la vente ou du partage des informations personnelles de consommateurs californiens.

Les « informations personnelles » selon le CCPA/CPRA sont définies de manière très large, incluant tout ce qui identifie, se rapporte à, décrit, est raisonnablement susceptible d’être associé à, ou pourrait être raisonnablement lié, directement ou indirectement, à un consommateur ou un foyer particulier.

Droits Clés des Consommateurs en vertu du CCPA/CPRA

Le CCPA/CPRA accorde aux consommateurs californiens plusieurs droits puissants :

1. Droit de Savoir : Les consommateurs ont le droit de demander à une entreprise de divulguer les catégories et les éléments spécifiques d’informations personnelles qu’elle a collectées, les catégories de sources à partir desquelles les informations personnelles sont collectées, les finalités de la collecte ou de la vente d’informations personnelles, et les catégories de tiers avec lesquels l’entreprise partage des informations personnelles.
2. Droit de Suppression : Les consommateurs ont le droit de demander la suppression des informations personnelles collectées par l’entreprise.
3. Droit de Refuser la Vente/le Partage (Opt-Out) : C’est un pilier du CCPA/CPRA. Les consommateurs ont le droit d’ordonner à une entreprise qui vend ou « partage » (pour la publicité comportementale inter-contextuelle) des informations personnelles à des tiers de ne pas vendre ou partager leurs informations personnelles. Les entreprises doivent fournir un lien clair « Ne pas vendre ni partager mes informations personnelles » sur leur page d’accueil.
4. Droit de Rectification : Les consommateurs peuvent demander aux entreprises de corriger les informations personnelles inexactes.
5. Droit de Limiter l’Utilisation et la Divulgation des Informations Personnelles Sensibles : Les consommateurs peuvent ordonner aux entreprises de limiter l’utilisation et la divulgation de leurs « informations personnelles sensibles » (par exemple, géolocalisation précise, origine raciale ou ethnique, données de santé) à ce qui est nécessaire pour exécuter les services ou fournir les biens demandés.
6. Droit à la Non-Rétaliation : Les entreprises ne peuvent pas exercer de discrimination à l’encontre d’un consommateur pour avoir exercé ses droits CCPA/CPRA.

Implications pour les Entreprises

La conformité au CCPA/CPRA exige un changement significatif dans les pratiques de traitement des données pour de nombreuses entreprises. Les exigences clés incluent :

• Fournir des avis de confidentialité clairs et visibles détaillant la collecte et le traitement des données.
• Mettre en œuvre des mécanismes permettant aux consommateurs de soumettre des demandes d’accès des personnes concernées (DSAR) pour exercer leurs droits.
• Reconnaître et respecter les signaux de contrôle global de la vie privée, comme le signal de navigateur Global Privacy Control (GPC).
• S’assurer que les prestataires de services tiers et les sous-traitants respectent également les règles du CCPA/CPRA lors du traitement des données des consommateurs pour le compte de l’entreprise.

Le non-respect peut entraîner des pénalités importantes, y compris des dommages et intérêts légaux de 100 $à 750$ par consommateur par incident pour les violations intentionnelles ou pour le non-rétablissement des violations après notification, ainsi que des dommages réels pour les consommateurs. L’application est assurée par la California Privacy Protection Agency (CPPA) et le procureur général de Californie.

---

Le Rôle Crucial des Outils de Consentement et d’Opposition dans la Conformité Moderne au CCPA/CPRA

Naviguer dans la conformité au CCPA/CPRA, en particulier tout en maintenant un marketing numérique et une analyse efficaces, nécessite l’intégration transparente d’outils spécialisés : une Plateforme de Gestion du Consentement (CMP) robuste et la conformité avec les signaux des principales plateformes publicitaires.

1. La Plateforme de Gestion du Consentement (CMP) – ex. FitConsent

Une CMP comme FitConsent est essentielle pour mettre en œuvre les droits des consommateurs mandatés par le CCPA/CPRA. Ses fonctions principales comprennent :

• Faciliter les Opt-Outs (Droits d’Opposition) : Une CMP aide les entreprises à afficher le lien obligatoire « Ne pas vendre ni partager mes informations personnelles » et gère les mécanismes sous-jacents pour honorer ces demandes, garantissant que les données ne sont pas vendues ou partagées après un opt-out.
• Gestion des Préférences Utilisateur : Au-delà des simples opt-outs, une CMP permet un contrôle plus granulaire, en particulier pour limiter l’utilisation d’informations personnelles sensibles, en s’alignant sur les exigences élargies du CPRA.
• Réponse aux DSAR (Demandes d’Accès des Personnes Concernées) : Bien qu’elle n’exécute pas directement la suppression, une CMP peut simplifier le processus de réception et de gestion des Demandes d’Accès des Personnes Concernées (DSAR), fournissant les pistes d’audit nécessaires et aidant les entreprises à localiser les données pertinentes pour les demandes de suppression ou d’accès.
• Respect des Signaux GPC : Les CMP modernes sont conçues pour détecter et honorer automatiquement les signaux de Contrôle Global de la Vie Privée (GPC) envoyés par les navigateurs des utilisateurs, que le CCPA/CPRA mandate comme une demande d’opt-out valide.

2. Google Consent Mode V2

Bien que le CCPA/CPRA soit principalement un régime d’« opt-out » plutôt que d’« opt-in » pour de nombreuses utilisations de données (contrairement à l’accent fort du RGPD sur le consentement), le Google Consent Mode V2 joue toujours un rôle crucial pour les entreprises opérant à l’échelle mondiale ou celles ayant des besoins de conformité mixtes :

• Cadre de Conformité Global : Pour les entreprises servant à la fois des résidents californiens et européens, une CMP intégrée au Google Consent Mode V2 offre une approche unifiée. Même dans un contexte d’opt-out, elle peut aider à gérer les signaux vers les services Google, garantissant que les balises d’analyse et de publicité se comportent de manière appropriée en fonction des préférences de l’utilisateur (qu’il s’agisse d’« opt-in » pour le RGPD ou d’« opt-out » pour le CCPA).
• Adaptation du Comportement des Balises : Le Google Consent Mode V2 peut toujours modifier le comportement des balises Google en fonction des choix explicites ou des signaux d’opt-out implicites reçus, limitant la collecte de données à des fins publicitaires si nécessaire, soutenant ainsi les objectifs du CCPA/CPRA le cas échéant.

3. Microsoft UET Consent Mode

De même, pour les entreprises utilisant Microsoft Advertising (Bing Ads) et servant des résidents californiens :

• Respect des Opt-Outs : Le Microsoft UET Consent Mode permet à la balise Universal Event Tracking (UET) d’adapter ses pratiques de collecte de données en fonction des préférences de l’utilisateur ou des signaux d’opt-out. Cela garantit que les informations personnelles ne sont pas « vendues » ou « partagées » via la balise UET d’une manière qui violerait le CCPA/CPRA si un consommateur a exercé son droit d’opt-out.
• Maintien d’une Fonctionnalité Limitée : En ajustant le comportement des balises, le UET Consent Mode permet de poursuivre le suivi de base des conversions et la mesure des performances publicitaires de manière respectueuse de la vie privée, même lorsque le suivi complet n’est pas autorisé en raison des choix du consommateur.

Conclusion sur les Outils :

Pour les entreprises opérant sous l’ombre du CCPA/CPRA, l’intégration d’une CMP spécialisée comme FitConsent avec la signalisation flexible fournie par Google Consent Mode V2 et Microsoft UET Consent Mode est vitale. Ces outils garantissent non seulement la conformité légale avec les droits des consommateurs, mais permettent également la poursuite des activités essentielles de marketing et d’analyse d’une manière respectueuse de la vie privée et informée par les données.