Qu'est-ce que la loi californienne sur les droits à la vie privée (CPRA) ?

Publié: 2020-06-25

Avant même que le California Consumer Privacy Act (CCPA) n'entame la phase d'application, les défenseurs de la vie privée avaient déjà proposé de le rendre plus sévère avec des sanctions plus strictes. La California Privacy Rights and Enforcement Act de 2020 a été déposée pour créer une initiative de vote à l'échelle de l'État à l'automne.

Mise à jour du 28 septembre 2021 - La California Privacy Protection Agency sollicite des commentaires sur l'ACPL, en particulier sur les 8 points abordés dans cet article de l'ACPL.

 >>> Prochain webinaire IAB sur une boîte à outils pour la conformité et la préparation CPRA. La boîte à outils de l'ACPL comprend une liste de contrôle des éléments d'action, le langage contractuel de l'ACPL, et plus encore.

Qu'est-ce que le CPRA ?

Le CPRA (California Privacy Rights Act) est une extension du CCPA (California Consumer Privacy Act) mis en œuvre le 1er janvier 2020. Le CPRA cherche à protéger davantage de types d'informations confidentielles, à fournir des droits supplémentaires aux consommateurs, à établir une entité de surveillance et à détailler les droits. spécifiques aux mineurs.

Le même groupe qui a fait avancer l'agenda du CCPA, Californians for Consumer Privacy, a soumis plus de 900 000 signatures pour qualifier le CPRA pour le scrutin de novembre 2020.

Qu'est-ce que le CCPA ?

Le CCPA accorde aux consommateurs californiens des droits spécifiques concernant la collecte, l'utilisation, le stockage et la vente de données personnelles par les entreprises. Il s'agit de l'ensemble de règles de confidentialité le plus strict à ce jour aux États-Unis. L'application du CCPA par la California AG a commencé le 1er juillet 2020. Elle accorde aux utilisateurs en ligne ces six droits clés :

  • Le droit de savoir quelles informations personnelles sont collectées
  • Le droit de savoir si (et comment) leurs informations personnelles sont partagées ou vendues
  • Le droit de refuser la vente d'informations personnelles
  • Le droit d'accéder à leurs informations
  • Le droit de faire supprimer leurs informations personnelles (sauf exceptions)
  • Le droit de ne pas être discriminé pour l'exercice de ses droits

En vertu de la Loi, une vente ne se limite pas à des transactions strictement financières. Le CCPA accorde aux consommateurs des droits sur toutes les données utilisées pour ce qu'il appelle une contrepartie valable. Le California AG a statué que cela inclut des éléments tels que l'échange de données pour le ciblage ou la diffusion d'annonces.

En vertu du CCPA, les informations personnelles vont bien au-delà d'éléments tels que le nom, l'adresse, le numéro de téléphone d'un utilisateur ou des données biométriques telles que les empreintes digitales. Cela inclut également les cookies et l'historique de navigation, les adresses IP, les identifiants publicitaires mobiles (MAIDS), les données de géolocalisation, les identifiants d'appareils ou d'autres interactions avec les publicités, les sites Web ou les applications.

Pour plus d'informations sur le CCPA, visitez la mégaliste des ressources, listes de contrôle et conseils du CCPA.

En quoi l'ACRP est-elle différente de l'ACCP ?

L'ACPL contient six extensions clés du CCPA, allant plus loin à la fois dans les droits des consommateurs et les limitations commerciales :

  • L'ACPL établit une nouvelle catégorie de renseignements personnels sensibles (SPI)
  • Ajoute des limitations sur le suivi
  • Établit des droits de recours juridiques plus larges pour les consommateurs
  • Ajoute des protections spécifiques pour les mineurs
  • Fournit aux consommateurs un « droit de rectification » pour les données personnelles
  • Établit la California Privacy Protection Agency

Droits supplémentaires des consommateurs en vertu de l'ACRP

Nouvelle catégorie d'informations personnelles sensibles (SPI)

  • Numéro de sécurité sociale
  • Permis de conduire
  • Passeports
  • La religion
  • Course
  • Adhésion syndicale
  • Communication personnelle
  • Données génétiques et autres informations sur la santé
  • Informations sur la vie sexuelle ou l'orientation sexuelle

Limitations du suivi

L'ACPL renforce également le langage sur la géolocalisation. Cela donnerait aux consommateurs la possibilité d'empêcher les entreprises de suivre la géolocalisation d'un consommateur à la plupart des fins - y compris la publicité - dans un rayon d'environ 250 acres.

Droits légaux plus larges

Il donne également des droits légaux plus larges aux consommateurs. Outre les sanctions d'application par l'État, cela donnerait aux consommateurs le droit de poursuivre les entreprises pour violation de données par négligence sans avoir à prouver une perte financière réelle. En vertu de la CPRA, si une entreprise fait preuve de négligence dans la protection proactive de votre SPI ou d'éléments tels que votre mot de passe de messagerie, vous pouvez être en mesure d'intenter une action en justice.

Protections supplémentaires pour les mineurs

Le CCPA interdit la vente de toute donnée personnelle de toute personne de moins de 17 ans sans consentement exprès. Pour les enfants de moins de 13 ans, une autorisation parentale est nécessaire. En vertu de la California Privacy Rights Act, les sites sont tenus de demander l'âge de l'utilisateur, exigent que le consentement soit opt-in (plutôt que opt-out) et triple les amendes en cas de violation.

Droit de rectification

Le CCPA permet aux consommateurs de demander la suppression des données personnelles et de refuser aux entreprises de vendre des données personnelles, mais n'autorise pas les corrections. L'ACPL permettrait aux consommateurs de demander des corrections aux données stockées si elles sont inexactes.

L'Agence californienne de protection de la vie privée

Un locataire clé de la CPRA est la création de la California Privacy Protection Agency pour superviser la confidentialité et agir en tant que défenseur des consommateurs. L'initiative de vote demande 10 millions de dollars du fonds général de l'État. "Ce financement", propose l'initiative, "équivaudrait à peu près au même nombre d'agents chargés de l'application de la vie privée que la FTC (Federal Trade Commission) doit surveiller dans tout le pays".

À qui s'adresse le CPRA?

Les organisations n'ont pas besoin d'être situées en Californie pour être impactées. Le CCPA et le CPRA s'appliqueraient aux entreprises faisant des affaires avec des résidents de Californie.

Quelles sont les dates clés pour l'ACPL ?

En supposant que l'initiative passe le processus de vérification des signatures, le CPRA serait soumis à un scrutin à l'échelle de l'État le 3 novembre 2020. Il peut être promulgué à la majorité simple des électeurs californiens.

Si elles sont adoptées, plusieurs dispositions entrent en vigueur immédiatement, notamment la création et le financement de la California Privacy Protection Agency. Ceux-ci incluent les sections suivantes :

  • 1798.145(m) et (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

Vous pouvez lire les détails ici.

La majorité de la loi n'entrerait pas en vigueur avant le 1er janvier 2023.

Autres dates clés

  • 1er juillet 2021 : la date de début du processus d'élaboration des règles
  • 1er janvier 2022 : un processus de « retour en arrière » de 12 mois commence. Bien que la CPRA n'entre pleinement en vigueur que le 1er janvier 2023, elle s'appliquerait aux renseignements personnels recueillis à partir de janvier 2022, à quelques exceptions près, comme le droit d'accès et de rectification.
  • 1er juillet 2022 : la date limite d'adoption des règlements
  • 1er janvier 2023 : Date d'entrée en vigueur et expiration de certaines exemptions

L'idée derrière ce calendrier complexe est de donner aux législateurs et aux administrateurs le temps de finaliser les lignes directrices. Cela donne également aux organisations le temps de se conformer.

Même après l'adoption de la CCPA originale, elle a été modifiée à plusieurs reprises et des parties spécifiques ont été modifiées, telles que ce qui était qualifié de «renseignements personnels». Le California Consumer Privacy Act (CCPA) a été promulgué le 28 juin 2018. Les entreprises ont eu jusqu'en janvier 2020 pour s'y conformer et se sont vu accorder un « délai de grâce » de 6 mois avant d'être appliquées. À compter du 1er juillet 2020, l'application pourrait commencer.

Un processus similaire sera adopté par l'ACPL.

Que doivent savoir les éditeurs sur le CRPA ?

Tout comme avec le CCPA, l'ACPL prendra des mesures importantes pour se conformer. Les renseignements personnels ne pourront être conservés et utilisés qu'aux fins précises et limitées permises par les lois. Il élargira ce qui est considéré comme des informations personnelles et exigera des avis explicites pour la diffusion de publicité si les éditeurs choisissent de vendre les informations ou de les utiliser pour cibler ou diffuser de la publicité numérique.

La liste de contrôle pour la conformité à la CCPA devra être modifiée pour inclure les règlements améliorés si la CPRA devient loi. Même s'il est adopté, il y aura des lignes directrices et des détails qui seront inclus dans la future réglementation qui ne sont pas disponibles aujourd'hui.

En tant que plateforme de gestion du consentement (CMP), Admiral surveille les réglementations en matière de consentement à la vie privée affectant les éditeurs en ligne aux États-Unis et dans le monde. Pour toute question sur les CMP, consultez la FAQ : Gestion du consentement.

D'autres lois sur la protection des données arrivent

Alors que les informations sur les violations de données, l'utilisation abusive des données des consommateurs et la confidentialité continuent de devenir des préoccupations publiques, elles ont rehaussé le profil de la confidentialité des données pour les consommateurs. 84% des personnes ayant participé à une étude de Cisco ont déclaré vouloir plus de contrôle sur les données et leur utilisation.

Pour les éditeurs, ce n'est que le début. Une douzaine d'États ont récemment introduit une législation sur la protection des données et la confidentialité, notamment l'Illinois, le Maine, le Massachusetts, le Nevada, le New Jersey et la Pennsylvanie. Il y a également une pression pour créer des réglementations nationales sur la protection des données et la formation d'une agence de protection des données.

Se conformer à CPRA, CCPA et GDPR

Se tenir au courant de toutes les réglementations en matière de confidentialité et des nuances du RGPD, du CCPA et de l'adoption potentielle du CPRA peut être un cauchemar pour les éditeurs. C'est pourquoi tant d'éditeurs se sont tournés vers l'aide extérieure d'Admiral pour gérer la confidentialité et le consentement de leurs visiteurs. Admiral, l'une des premières plates-formes de gestion de contenu (CMP) conformes à l'IAB, identifie automatiquement les visiteurs du site provenant d'adresses IP californiennes, fournit aux visiteurs une interface utilisateur pour refuser la vente de données et est compatible avec le cadre IAB pour l'envoi d'informations de désinscription à vendeurs en aval.

Admiral peut être installé avec une simple balise et permet aux éditeurs de commencer à gérer la confidentialité des visiteurs et les paramètres de consentement avec cinq minutes d'inscription.

Contactez Admiral pour une démonstration dès aujourd'hui.