Le California Privacy Rights Act (CPRA) : Êtes-vous prêt pour le CCPA 2.0 ?

En mai 2020, le groupe de défense de la vie privée Californians for Consumer Privacy a annoncé qu'il avait recueilli 900 000 signatures pour ajouter le California Privacy Rights Act (également connu sous le nom de CPRA, CCPA 2.0, Proposition 24 ou Prop 24) au scrutin de novembre 2020.

Le 3 novembre, 56 % des Californiens ont voté en faveur de l'ACPL lors des élections générales. La loi vise à réviser et à succéder à la California Consumer Privacy Act (CCPA), une fois qu'elle entrera en vigueur le 1er janvier 2023.

En bref, la loi étend les droits de confidentialité des utilisateurs pour s'aligner sur le RGPD, impose des obligations supplémentaires aux entreprises et établit la première autorité gouvernementale dédiée à la mise en œuvre et à l'application de la confidentialité aux États-Unis, la California Privacy Protection Agency (CPPA) .

Le CCPA a déjà eu un impact significatif en dehors de la Californie, devenant la norme en matière de confidentialité des données aux États-Unis. C'est pourquoi ce projet de loi doit être surveillé de près – il pourrait avoir un impact sur les entreprises même si elles ne sont pas basées en Californie. Ci-dessous, nous avons décrit les points clés que les spécialistes du marketing doivent connaître pour commencer à se préparer aux nouvelles exigences de conformité.

Une nouvelle agence d'application de la vie privée

Lorsque le Règlement général sur la protection des données (RGPD) est entré en vigueur, l'UE a nommé l'Autorité de protection des données pour faire appliquer les lois. Les États-Unis n'ont pas d'autorité comparable pour imposer les nouveaux droits à la vie privée des consommateurs.

C'est là qu'intervient la California Privacy Protection Agency (CPPA). Son rôle est de clarifier les nouvelles directives, d'appliquer des amendes et de tenir des audiences sur les violations de la vie privée.

Nouveaux droits des consommateurs et concepts PII

Le CPRA introduit de nouveaux concepts (qui existent déjà dans l'UE grâce au RGPD) dans le paysage de la confidentialité des données en Californie.

En voici quelques-unes, expliquées :

• Droit de rectification - Accorder aux consommateurs le droit de corriger des informations personnelles inexactes.
• Droit à la restriction - Accorder aux consommateurs le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles.
• Informations personnellement identifiables "sensibles" - En vertu de la nouvelle loi, certains types d'informations, telles que les numéros de sécurité sociale, les numéros de passeport, l'emplacement géographique précis, les informations biométriques, etc., seront marqués comme "sensibles".

Qu'est-ce qui a changé ?

Nouvelle définition de la vente de renseignements personnels

L'ACPL définira ce que les entreprises peuvent faire avec les informations personnelles qu'elles recueillent auprès des résidents de Californie d'une nouvelle manière. En vertu du CCPA, une vente était définie comme "l'échange de données contre un certain type de contrepartie financière", une définition jugée trop vague par beaucoup. L'ACPL règle cette question en divisant le partage et la vente des renseignements personnels des gens en deux catégories différentes.

Qu'est-ce qui a changé ?

Plus de droits pour les enfants de moins de 16 ans

• Amendes administratives accrues pour partage illégal d'informations personnelles d'enfants : Toute violation impliquant les informations personnelles d'enfants de moins de 16 ans est passible d'une amende de 7 500 $ par violation. En vertu de la loi actuelle, cette peine n'était réservée qu'aux infractions intentionnelles. L'amende maximale de 2 500 $ pour tous les autres actes non intentionnels impliquant des personnes de 16 ans et plus reste la même.
• Exigences de consentement opt-in pour le partage des informations personnelles des enfants de moins de 16 ans : En vertu de la CPRA, les consommateurs peuvent non seulement refuser de vendre leurs PI, mais aussi refuser de les vendre à des tiers en particulier. De même, l'ADRC répond à la nécessité pour les entreprises de recueillir un consentement affirmatif pour partager ou vendre les IP des enfants de moins de 16 ans. consommateur, ou le parent ou le tuteur du consommateur, de préciser que le consommateur est âgé de moins de 13 ans ou d'au moins 13 ans et de moins de 16 ans.

Quoi de neuf pour les entrepreneurs ? Obligations contractuelles des prestataires de services

L'ACPL introduit le terme « sous-traitants » pour décrire ceux à qui une entreprise met à disposition les renseignements personnels d'un consommateur à des fins commerciales en vertu d'un contrat écrit (similaire aux « fournisseurs de services » du CCPA, où il faisait référence aux personnes qui traitent les renseignements personnels " pour le compte d'une entreprise).

Alors que le CCPA était ambigu dans ses définitions des fournisseurs de services et des sous-fournisseurs de services, le CPRA établit les nouvelles règles très clairement. Tout sous-traitant ou prestataire de services est tenu par un contrat écrit d'être transparent sur toute collaboration avec d'autres sous-traitants ultérieurs. Les fournisseurs de services ne peuvent pas ajouter ou détenir d'autres données sur les consommateurs, ce qui donne aux entreprises le droit de "prendre des mesures raisonnables et appropriées" pour s'assurer que les informations personnelles ne sont pas obtenues ou utilisées de manière contraire à l'éthique.

Ce que les spécialistes du marketing doivent savoir sur le CPRA

En 2023, les spécialistes du marketing doivent accorder une plus grande attention aux données qu'ils collectent et utilisent pour atteindre les consommateurs, qu'il s'agisse de données de première partie ou de tiers, telles que la création d'audience et les informations de ciblage utilisées par les annonceurs. Toute collecte de données, qu'elle soit directe ou par l'intermédiaire d'autres prestataires de services ou sous-traitants, nécessitera le consentement explicite du consommateur . Toute utilisation, partage ou vente ultérieure d'informations personnelles doit également être divulguée.

Voici ce que les spécialistes du marketing doivent faire pour se préparer au CPRA :

1. Privilégiez la transparence dans votre entreprise

Le CPRA indique clairement que les entreprises doivent être transparentes sur les données qu'elles collectent. Si vous faites déjà attention à la manière dont vous collectez les données, où vous les stockez, combien de temps vous les conservez et comment vous les gérez tout au long du cycle de vie, il est maintenant temps de partager toutes ces mesures avec vos utilisateurs. Dans le même ordre d'idées, en vertu de la CPRA, les entreprises seront limitées dans la manière dont elles utilisent les structures de consentement pour pousser les utilisateurs à effectuer certaines actions. Si c'est quelque chose que votre service marketing fait, commencez à analyser la façon dont vous recueillez le consentement pour éviter tout schéma sombre et consentement implicite.

2. Examiner les cookies et mettre à jour les politiques

Semblable au RGPD, le CPRA limite certaines fonctions de partage de données qui incluent l'utilisation de cookies. Commencez à répertorier les cookies qui existent sur votre site Web et mettez à jour vos politiques pour vous assurer qu'elles sont conformes aux dernières réglementations. Assurez-vous de mettre à jour votre verbiage pour inclure toutes les nouvelles clauses du CPRA – collectez-vous des PI « sensibles » ? Comment les utilisateurs peuvent-ils désactiver la technologie de prise de décision automatisée ? Assurez-vous que ces considérations sont claires pour les consommateurs.

3. Examiner tous les contrats avec les partenaires (y compris les éditeurs)

En tant qu'entreprise liée à l'ACPL, vous devez vous assurer que vos partenaires fournissent le même niveau de conformité aux lois sur la confidentialité que vous. Examinez attentivement tous vos contrats (impliquant des informations juridiques si nécessaire) pour vous assurer que toutes les données des utilisateurs sont obtenues avec un consentement explicite et gérées de manière éthique.

Le CPRA limite les pratiques de vente de données, notamment en matière de ciblage d'audience et de comportement. Assurez-vous d'examiner vos partenariats avec les éditeurs et de privilégier ceux qui utilisent des pools de données propriétaires et ont obtenu les données conformément à ces règles de confidentialité.

4. Travaillez avec un expert en confidentialité

Que vous embauchiez quelqu'un ou que vous travailliez avec un consultant ou une agence externe, vous avez besoin d'un spécialiste pour vous aider à rester au courant des dernières réglementations. CPRA n'est probablement pas la dernière loi sur la confidentialité des données qui aura un impact sur votre entreprise. En fait, la loi établit de nouvelles normes qui seront probablement adoptées à l'échelle nationale à l'avenir.

Es-tu prêt?

Maintenant que le projet de loi a été adopté, les entreprises doivent se familiariser avec les nouvelles exigences de conformité. La loi entre en vigueur le 1er janvier 2023 et devient exécutoire le 1er juillet 2023, mais elle pourrait déjà s'appliquer aux renseignements personnels recueillis par les entreprises dès le 1er janvier 2022.

Un délai aussi long pour s'adapter aux nouvelles réglementations en matière de confidentialité peut sembler excessif, mais les choses peuvent se compliquer rapidement dans les grandes organisations, surtout si vous travaillez avec de nombreux partenaires. C'est pourquoi nous vous recommandons de commencer tout de suite.

Avez-vous des questions? Convert est l'outil de test A/B le plus respectueux de la vie privée sur le marché. Nos experts connaissent tous les tenants et les aboutissants des réglementations en matière de confidentialité et ce qu'il faut pour s'y conformer pleinement. Envoyez-nous vos questions ici.