En-tête d'article de blog sur la conformité à la protection des données personnelles
En-tête d'article de blog sur la conformité à la protection des données personnelles

Pour l'ACCP, le nouveau règlement du GC est un manuel pratique

Stacey Garrett |

Oui, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) existe vraiment. À l'approche de la date d'entrée en vigueur de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), le 1er janvier 2020, de nombreuses entreprises se rendent compte que la loi ne disparaîtra pas.

En fait, c'est le contraire qui est vrai : la CCPA et les obligations qu'elle impose aux entreprises concernées viennent de devenir très, très réelles.

Les entreprises savent depuis plus d'un an que la CCPA donne aux consommateurs le droit de savoir quelles sont les informations personnelles que les entreprises collectent à leur sujet et comment ces informations sont utilisées. Le CCPA donne également aux consommateurs le droit de refuser la vente de leurs données personnelles à des tiers et le droit de demander aux entreprises de supprimer leurs données personnelles. Les entreprises couvertes par la CCPA savaient également que la CCPA les obligerait à faire quelque chose pour reconnaître ces nouveaux droits.

Mais de quoi s'agit-il exactement ? Le bureau du procureur général de Californie a tenté de répondre à cette question le 10 octobre 2019 en publiant un projet de règlement pour la mise en œuvre de la CCPA (disponible ici). (Le projet de règlement est soumis à une période de consultation publique qui se termine le 6 décembre 2019).

Bien que le projet de règlement ne résolve pas toutes les questions, il fournit des orientations spécifiques aux entreprises en ce qui concerne leurs obligations de conformité. En d'autres termes, il s'agit d'un manuel pratique pour la mise en place d'un programme de conformité.

eBook : Confidentialité des données : Pourquoi est-ce si important aujourd'hui ? Pourquoi les équipes juridiques doivent-elles s'en préoccuper ?

L'obligation de transparence : Les avis sont nécessaires

Le CCPA exige que les entreprises informent les consommateurs des informations qu'elles collectent, de la manière dont elles utilisent ces informations et du fait qu'elles les partagent ou les vendent à des tiers. La loi exige également que les entreprises informent les consommateurs de l'existence de leurs droits en vertu de la loi et de la manière de les exercer. La CCPA atteint ces objectifs en exigeant des entreprises qu'elles fournissent aux consommateurs plusieurs notifications écrites :

  • Bien que les avis aient chacun un objectif différent, ils doivent tous être rédigés dans un langage clair et simple et éviter tout jargon technique ou juridique.
  • Ils doivent également être présentés dans un format qui attire l'attention du consommateur et rend les avis lisibles, y compris sur les petits écrans.
  • Les avis doivent être disponibles dans la ou les langues dans lesquelles l'entreprise fournit, dans le cadre de ses activités normales, des contrats, des clauses de non-responsabilité, des annonces de vente et d'autres informations aux consommateurs.
  • Les avis doivent être accessibles aux consommateurs handicapés ou, au minimum, fournir des informations sur la manière dont un consommateur handicapé peut accéder à l'avis dans un format alternatif. (Les Web Content Accessibility Guidelines [WCAG] 2.0 constituent la norme généralement reconnue pour déterminer l'accessibilité d'un site web).

Votre entreprise est-elle soumise à la CCPA ?

Toutes les organisations ne sont pas tenues de se conformer à la CCPA. La CCPA s'applique aux organisations à but lucratif qui font des affaires en Californie, qui collectent des informations personnelles sur les consommateurs, qui déterminent comment ces informations sont utilisées et qui atteignent l'un des trois seuils suivants : (1) avoir des revenus bruts annuels supérieurs à 25 millions de dollars ; (2) seules ou en combinaison, acheter, recevoir, vendre ou partager annuellement, à des fins commerciales, les informations personnelles de 50 000 consommateurs ou plus ; ou (3) tirer 50 % ou plus de leurs revenus annuels de la vente d'informations personnelles sur les consommateurs.

Trois avis requis par l'ACCP

La CCPA exige que les entreprises fournissent trois avis aux consommateurs: (1) un avis de collecte d'informations personnelles, (2) un avis de droit de refus de vente d'informations personnelles, et (3) un avis d'incitations financières.

1 - Avis lors de la collecte d'informations personnelles

L'objectif d'une notification au moment de la collecte est d'informer les consommateurs des catégories d'informations personnelles que l'entreprise collectera auprès d'eux et de la ou des raisons pour lesquelles ces informations seront utilisées. La notification au moment de la collecte doit être remise au consommateur avant ou au moment où l'entreprise collecte des informations personnelles.

L'avis de recouvrement doit contenir

(1) Une liste des catégories d'informations à caractère personnel concernant les consommateurs à collecter ;

(2) Pour chaque catégorie d'informations à caractère personnel, la ou les finalités professionnelles ou commerciales pour lesquelles les informations seront utilisées ;

(3) Si l'entreprise vend des informations personnelles, un lien intitulé "Ne pas vendre mes informations personnelles" ou, dans les avis hors ligne, l'adresse web où se trouve le lien "Ne pas vendre" ; et

(4) Un lien vers la politique de confidentialité de l'entreprise.

L'avis au moment de la collecte doit être visible ou accessible de manière à ce que les consommateurs puissent le voir avant que des informations à caractère personnel ne soient collectées. Lorsqu'une entreprise collecte des informations personnelles en ligne, elle peut afficher ostensiblement un lien vers l'Avis lors de la collecte sur la page d'accueil de son site web ou sur la page de téléchargement de l'application mobile, ou sur toutes les pages web où des informations personnelles sont collectées.

Lorsqu'une entreprise collecte des données à caractère personnel de consommateurs hors ligne, elle peut inclure l'avis sur les formulaires imprimés qui collectent les informations, fournir au consommateur une version papier de l'avis lors de la collecte, ou afficher des panneaux bien visibles dirigeant les consommateurs vers l'adresse web où l'avis peut être trouvé.

CCPA Cybersecurity GRC Sign

La notification au moment de la collecte joue un rôle important, car la CCPA interdit aux entreprises de collecter des catégories d'informations personnelles autres que celles qui sont divulguées dans la notification au moment de la collecte. Si l'entreprise a l'intention de collecter d'autres catégories de données à caractère personnel, la CCPA exige qu'elle fournisse un nouvel avis au moment de la collecte ou avant de collecter les données supplémentaires.

Si une entreprise ne donne pas aux consommateurs un avis au moment de la collecte comme l'exige la CCPA, il lui est interdit de collecter des informations personnelles auprès du consommateur. Il est important de noter que, comme nous l' avonsindiqué dans le dernier article decette série, les candidats à l'emploi, les salariés, les entrepreneurs indépendants et les travailleurs temporaires ont tous le droit de recevoir une notification au moment de la collecte.

2 - Avis de droit d'opposition à la vente d'informations personnelles

La notification du droit de refuser la vente d'informations personnelles a pour but d'informer les consommateurs de leur droit d'ordonner à une entreprise qui vend (ou pourrait vendre à l'avenir) leurs informations personnelles de cesser de les vendre et de s'abstenir de les vendre à l'avenir.

L'avis de droit de retrait doit contenir :

(1) Une description du droit du consommateur de refuser la vente de ses données à caractère personnel ;

(2) Le formulaire web par lequel le consommateur peut soumettre sa demande de non-participation en ligne ou, si l'entreprise n'exploite pas de site web, la méthode hors ligne par laquelle le consommateur peut soumettre sa demande de non-participation ;

(3) les instructions relatives à toute autre méthode par laquelle le consommateur peut soumettre sa demande de non-participation ;

(4) Toute preuve requise lorsqu'un consommateur fait appel à un agent autorisé pour exercer son droit de retrait ; et

(5) Un lien ou l'URL vers la politique de confidentialité de l'entreprise, ou la page web où les consommateurs peuvent accéder à la politique de confidentialité.

Les entreprises concernées qui vendent des informations personnelles aux Californiens doivent fournir un lien clair et visible sur leur page d'accueil Internet, intitulé "Ne pas vendre mes informations personnelles", qui permet au consommateur de refuser la vente de ses informations personnelles. Le bureau du procureur général de Californie travaille à la création d'un bouton ou d'un logo de refus uniforme que les entreprises pourraient utiliser.

3 - Avis d'incitation financière

L'objectif de la notification de l'incitation financière est d'expliquer au consommateur chaque incitation financière ou différence de prix ou de service qu'une entreprise peut offrir en échange de la conservation ou de la vente des informations personnelles d'un consommateur, afin que ce dernier puisse décider en connaissance de cause de participer ou non à l'opération.

L' avis d'incitation financière doit contenir :

(1) Un résumé succinct de l'incitation financière ou de la différence de prix du service offert ;

(2) Une description des conditions matérielles de l'incitation tarifaire, y compris les catégories de données à caractère personnel concernées par l'incitation financière ou la différence de prix ou de service ;

(3) Comment le consommateur peut accepter l'incitation financière ou la différence de prix ou de service ;

(4) la notification du droit du consommateur de renoncer à tout moment à l'incitation financière et de la manière dont il peut exercer ce droit ; et

(5) Une explication de la raison pour laquelle l'incitation financière ou la différence de prix ou de service est autorisée par la CCPA, y compris :

  • une estimation de bonne foi de la valeur des données du consommateur qui constituent la base de l'incitation financière ou de la différence de prix ou de service ; et
  • Une description de la méthode utilisée par l'entreprise pour calculer la valeur des données du consommateur.

La notification de l'incitation financière doit être disponible en ligne ou dans un autre lieu physique où les consommateurs la verront avant de souscrire à l'incitation financière, à la différence de prix ou de service. Si l'entreprise propose l'incitation financière en ligne, l'avis d'incitation financière peut être donné en fournissant un lien vers la section de la politique de confidentialité de l'entreprise qui contient les informations requises.

[bctt tweet="Le bureau du procureur général de Californie travaille à l'élaboration d'un bouton ou d'un logo uniforme de retrait de la CCPA que les entreprises pourront utiliser sur leurs sites web." via="yes"]

À suivre : Politiques de protection de la vie privée de la CCPA

Le train de la transparence continue à rouler dans notre prochain article, où nous aborderons les nouvelles, nombreuses, uniques et très spécifiques divulgations requises pour les politiques de protection de la vie privée conformes à la CCPA.

(Alerte au spoiler : il n'y a pas de "taille unique").