CCPA Update Q1 2020 : Clarification des règles, points de repère et actualités du CCPA

Publié: 2020-03-04

Le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020, établissant de nouveaux droits pour les résidents de Californie concernant l'accès personnel, les options de suppression de données et le partage de données commerciales. Près de deux mois après le début du CCPA, il y a de nouvelles clarifications de règles, des demandes de retard de la phase d'application, de nouvelles lois potentielles sur la confidentialité passant par la législation californienne et quelques premiers critères de conformité. L'application commence le 1er juillet 2020, à moins que le règlement final ne soit publié plus tôt. (Lien : règlement proposé, modifications publiées le 7 février)

Si vous êtes un éditeur souhaitant commencer à proposer l'option de désactivation des données personnelles requise par le CCPA, Admiral peut vous aider avec une solution à une balise facile à installer. Contactez-nous pour en savoir plus.

29 janvier 2020 : cinq associations commerciales publicitaires demandent un report de la date limite d'application

Les leaders de l'industrie de la publicité ont envoyé une lettre le 29 janvier au procureur général de Californie, Xavier Becerra, demandant un report de l'application de la CCPA afin de donner aux entreprises le temps d'examiner et de mettre en œuvre la réglementation finale.

La demande a été transmise par 4A (American Association of Advertising Agencies), American Advertising Federation (AAF), Association of National Advertisers (ANA), Interactive Advertising Bureau (IAB) et Network Advertising Initiative (NAI). Il a souligné l'absence de réglementation finale, la complexité et les impacts étendus de la loi, et le fait que les règles telles qu'elles sont actuellement rédigées pourraient encore subir des modifications avec moins de 6 mois pour que les entreprises se préparent. La lettre demande un délai de 6 mois à compter de la finalisation des règles par le bureau du procureur général de Californie.

7 février 2020 : Nouvelles clarifications des règles du CCPA du procureur général de Californie

Début février, le bureau du procureur général de Californie (CAG) a publié un avis et une mise à jour des modifications apportées à la loi CCPA. Bien que les règlements définitifs soient encore à venir, cet avis apporte des éclaircissements aux entreprises concernées. Certains des domaines avec de nouveaux ajouts ou clarifications incluent :

Définition des « renseignements personnels » : une nouvelle section intitulée « Conseils concernant l'interprétation des définitions du CCPA » a été ajoutée. Le premier ajout à cette nouvelle section porte sur les définitions des « renseignements personnels ».

"les informations qui identifient, se rapportent à, décrivent, sont susceptibles d'être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier."
Les exemples fournis comprenaient (mais sans s'y limiter) le nom, l'adresse postale, l'adresse IP, l'adresse e-mail, le numéro de sécurité sociale. Ils ont également répertorié des catégories de données, notamment les données de géolocalisation, l'historique du navigateur et les cookies, ainsi que des classifications protégées telles que la race ou le sexe. Il existe des précisions supplémentaires pour différencier les données qui pourraient techniquement être considérées comme des PI, mais lorsque l'entreprise ne peut pas et ne relie pas ces informations à d'autres données, elles peuvent ne pas être considérées comme des informations personnelles en vertu du CCPA.

Clarification de la demande de données sur les consommateurs : une modification de la section (999.312) sur la soumission de demandes d'informations ajoute qu'au moins une méthode proposée doit refléter la manière dont l'entreprise interagit principalement avec le consommateur.

Exclusion pour répondre à une demande d'information : une exclusion existe désormais lorsque l'IP et l'utilisation commerciale relèvent d'un ensemble particulier de circonstances. À savoir que les PI ne sont ni vendus ni utilisés à des fins commerciales, mais simplement conservés à des fins légales ou de conformité et non conservés dans un format facilement accessible. L'entreprise devra alors informer les consommateurs de ces raisons lorsqu'elle répondra à une demande de données d'un consommateur.

Clarification pour les fournisseurs de services utilisateurs de PI : l'article 999.314 fournit plus de détails sur les circonstances dans lesquelles les fournisseurs de services peuvent conserver et gérer des données personnelles sans être soumis aux réglementations CCPA.

Demandes de désinscription : des éclaircissements ont été apportés sur plusieurs aspects de la désinscription, notamment en veillant à ce que le processus de désinscription de la CCPA soit "facile à exécuter pour les consommateurs et nécessite des étapes minimales pour permettre au consommateur de se désinscrire". Un libellé supplémentaire interdit les méthodes visant à entraver la décision d'un consommateur de se retirer. Des précisions supplémentaires ont été fournies sur les contrôles de confidentialité mondiaux, tels que les paramètres du navigateur, et sur la manière dont les entreprises doivent répondre aux demandes de désinscription via ces contrôles.

" Les contrôles de confidentialité globaux activés par l'utilisateur, tels qu'un plug-in de navigateur ou un paramètre de confidentialité, un paramètre d'appareil ou un autre mécanisme, qui communiquent ou signalent le choix du consommateur de refuser la vente de ses informations personnelles doivent être considérés comme une demande émanant directement du consommateur »

Les entreprises ont 15 jours pour répondre aux demandes de retrait. De plus amples détails sont ajoutés concernant la notification aux tiers de la demande de désinscription d'un consommateur.

Programme de fidélité vs suppression de données : le nouveau libellé précise qu'il est légal, en vertu du CCPA, pour l'entreprise de refuser la demande de suppression des informations nécessaires pour maintenir l'inscription et les avantages du programme de fidélité.

Modifications supplémentaires : le nouveau langage du CAG couvre des aspects supplémentaires tels que : les boutons Ne pas vendre, les notifications mobiles, la définition du foyer , les courtiers en données, l'avis de confidentialité des employés et les divulgations de la politique de confidentialité.

Adlawaccess a un examen plus détaillé des modifications, et voici les modifications CCPA publiées le 7 février par le bureau du procureur général de Californie.

Références pour la conformité CCPA de PWC

PWC, le poids lourd du conseil, suit plus de 1000 lois et réglementations sur la confidentialité, y compris le CCPA. Récemment, ils ont analysé l'état de préparation du CCPA sur les sites Web des 600 plus grandes sociétés cotées en bourse et des 100 plus grandes sociétés privées. Quelques conclusions 6 semaines après le règlement CCPA :

  • Dans l'ensemble, 16 % des entreprises suivies proposent un lien Ne pas vendre.
  • 29 % des entreprises du marché grand public évaluées disposaient d'un lien DNS.
  • Plus de 25% des entreprises de télécoms, médias et technologies proposent le lien DNS
  • Sur les 600 plus grandes entreprises, 40 % d'entre elles ont créé un portail de droits CCPA.
  • La plupart des entreprises de tous les secteurs, qui disposaient d'un portail de droits CCPA, limitaient ces droits aux seuls Californiens.
  • 33 % des entreprises évaluées disposaient d'un portail de droits CCPA et étendaient les droits à tous les consommateurs.

Modifications continues de la réglementation sur la confidentialité à l'échelle nationale

En plus du libellé final du règlement CCPA à venir et de la période d'application qui doit commencer le 1er juillet ou plus tôt, le même groupe qui a fait pression pour le CCPA fait maintenant pression pour une initiative de vote baptisée CCPA 2.0. Officiellement intitulé The California Privacy Rights Act of 2020 (CPRA), il pourrait être voté en 2020 et pourrait entraîner une refonte du CCPA avec des mises à jour importantes, selon cet article de NatLawReview.

La loi californienne sur les droits à la vie privée élargit le champ d'application de la CCPA pour offrir davantage de protections et de conseils concernant les informations personnelles sensibles, le droit des consommateurs de faire corriger les données, des protections supplémentaires pour les mineurs, des modifications de la disposition sur la responsabilité en cas de violation de données et la création d'un organisme d'application.

La loi californienne n'est que la pointe des changements en matière de respect de la vie privée, alors que le Nebraska, New York et une poignée d'autres États proposent leurs propres réglementations en matière de confidentialité.

Les mises à jour ci-dessus sont toutes référencées dans la Megalist of CCPA Resources and Checklists. Si vous recherchez une liste de contrôle CCPA ou des informations sur les outils ou logiciels de conformité CCPA, consultez la publication sur les ressources CCPA.

Mise à jour juin 2020 : California Privacy Rights Act (CPRA), l'extension prévue du CCPA, devrait être votée en Californie en novembre. En savoir plus sur les différences entre l'ACPL et l'ACCP.

Offrez la désactivation des données aux résidents de Californie dès aujourd'hui


Dans le cadre de notre solution de balise unique, Admiral offre aux éditeurs un accès à notre module de désactivation CCPA. Le module est conçu pour offrir aux éditeurs :

  • Détection : identification des visiteurs du site provenant d'adresses IP CA
  • Fournir à ces visiteurs une interface utilisateur pour se retirer des ventes de données
  • L'accès à l'interface utilisateur/API d'Admiral est compatible avec le cadre de l'IAB pour la communication des informations de désactivation aux fournisseurs en aval

Pour plus d'informations sur l'activation du module de désactivation CCPA d'Admiral, contactez-nous et un spécialiste produit vous contactera pour vous aider à démarrer.