La California Consumer Privacy Act (CCPA) vise à donner aux consommateurs un plus grand contrôle sur les informations personnelles collectées à leur sujet. Une partie importante de cela est de pouvoir refuser ou refuser l’autorisation que les données personnelles soient utilisées de manière particulière.
Quels droits de retrait les consommateurs devraient-ils avoir en vertu de la CCPA, et que devez-vous faire pour vous assurer de vous conformer à la législation?
Éléments clés des exigences de retrait de l’ACCP
CCPA stipule que les consommateurs ont « le droit, à tout moment, de diriger une entreprise qui vend ou partage des informations personnelles sur le consommateur à des tiers de ne pas vendre ou partager les informations personnelles du consommateur ».
Les règles s’appliquent aux entreprises à but lucratif qui traitent les informations personnelles des résidents de Californie (voir ici pour en savoir plus sur les organisations auxquelles le CCPA s’applique et le type de données qu’il couvre).
Les entreprises sont tenues d’afficher un lien « Ne pas vendre mes renseignements personnels » sur leur page d’accueil et sur toute autre page Web qui recueille des données. Le lien de désinscription doit fournir des informations complètes sur les droits des consommateurs et leur permettre de refuser que leurs informations soient vendues. Pouvoir refuser la vente de leurs informations personnelles est un droit fondamental du CCPA.
En plus de ce lien de désinscription, le CCPA exige que les entreprises offrent au moins deux autres méthodes de demande de désinscription. Cela peut inclure une ligne téléphonique gratuite, un centre de préférences avec des contrôles de confidentialité, un formulaire en ligne ou une adresse e-mail dédiée.
La California Privacy Rights Act (CPRA) a développé davantage les droits de retrait, les étendant au partage ainsi qu’à la vente d’informations personnelles. L’ACPL est entrée en vigueur le 1er janvier 2023.
L’ACPL donne également aux consommateurs le droit de limiter l’utilisation de renseignements personnels sensibles – par exemple, les numéros de sécurité sociale, les détails de carte de paiement, la géolocalisation précise, l’origine raciale, l’appartenance religieuse, l’appartenance syndicale, les données génétiques ou les renseignements biométriques.
Les consommateurs ne doivent pas être lésés ou traités différemment parce qu’ils exercent leur droit de refuser la vente de leurs renseignements personnels.
L’ACPL exige :
– Les clients doivent être informés qu’une entreprise vend des informations personnelles à des tiers et qu’ils ont le droit de se retirer
– Un lien « Ne pas vendre ou partager mes informations personnelles » doit être ajouté à la page d’accueil et à toute autre page qui recueille des informations personnelles – il devrait également y avoir un lien « limiter l’utilisation des informations personnelles sensibles »
– Les consommateurs doivent être autorisés à refuser la vente ou le partage de renseignements personnels ou à limiter l’utilisation de renseignements personnels sensibles sans avoir à créer de compte
– Une politique de confidentialité en ligne doit énoncer les droits de ne pas vendre/partager et le droit de limiter l’utilisation des informations personnelles sensibles
– Lorsqu’un consommateur choisit de ne pas vendre ou partager des informations ou d’utiliser des informations personnelles sensibles, cette décision devrait s’appliquer pendant au moins 12 mois avant qu’on ne lui demande à nouveau.
– Il doit y avoir une formation adéquate des travailleurs qui traitent les demandes de renseignements sur le droit à la vie privée des consommateurs et les demandes de retrait afin d’assurer la conformité légale
Mise en œuvre de l’exigence de retrait du CCPA
Quelle est la meilleure façon de mettre en œuvre les exigences du CCPA en matière de bannières de cookies ? Ce n’est qu’un élément de l’approche de votre entreprise en matière de protection de la vie privée. Il est crucial de disposer d’un système solide de gestion des données; Par exemple, avoir un inventaire de données qui enregistre les choix des consommateurs et la politique de confidentialité qui était en place au moment où le choix a été fait.
Il existe différentes approches pour mettre en œuvre le consentement aux cookies sur votre site Web – CookieHub peut vous aider avec tout ce que vous choisissez. La décision entre les différentes approches repose vraiment sur le temps et l’expertise dont vous disposez pour gérer le système.
Une option consiste à utiliser Google Tag Manager pour suivre les données et gérer les consentements. Vous pouvez le faire sans avoir à écrire ou à modifier du code vous-même. L’inconvénient est que la configuration de vos balises, déclencheurs et variables peut être complexe – CookieHub peut vous aider à vous guider tout au long du processus.
Si vous en savez un peu plus sur le code, vous pouvez choisir de gérer votre système manuellement. Cela évite d’avoir Google Tag Manager en arrière-plan; Il vous suffit d’insérer du code dans le code de votre site. CookieHub peut vous aider à fournir le code dont vous avez besoin.
Le scanner de CookieHub peut lire votre site et analyser automatiquement les cookies que vous utilisez, les catégoriser et générer une déclaration indiquant ce que fait un cookie. Cela permet de donner aux clients des informations sur les données collectées et à quelles fins et vous donne un aperçu du fonctionnement de votre site.
Étapes pour assurer la conformité aux exigences de retrait
Bien que les exigences de retrait de l’ACCP visent principalement à fournir aux consommateurs la possibilité de refuser la vente de leurs informations personnelles. Suivez ces étapes pour aider votre entreprise à se conformer à ces exigences :
1. Vérifiez si votre entreprise relève du CCPA.
2. Mettez à jour votre politique de confidentialité pour inclure des informations de désinscription.
3. Mettre en œuvre un lien ou un mécanisme « Ne pas vendre mes renseignements personnels » sur votre site Web.
4. Établir un processus pour recevoir les demandes de retrait et y répondre.
5. Fournissez aux consommateurs plusieurs méthodes pour soumettre des demandes de retrait.
6. Offrez un opt-out pour les mineurs et obtenez un consentement opt-in pour vendre leurs informations.
7. Conserver les dossiers des demandes de retrait pendant au moins 24 mois.
8. Garantir la non-discrimination à l’encontre des consommateurs qui optent out.
Consultez notre liste de contrôle détaillée de conformité à l’ACCP qui peut vous aider à vous assurer que vous avez été couvert.
Sanctions possibles en cas de non-conformité
Il est important de se rappeler pourquoi la conformité au CCPA est importante. Tout d’abord, être prudent avec vos données clients est une partie essentielle de votre relation avec eux, et toute violation pourrait voir votre réputation en souffrir, ce qui entraînerait une réduction rapide de votre clientèle.
Une violation des exigences de retrait de l’ACCP pourrait entraîner une pénalité considérable. Vous pouvez être facturé 2 500 $ pour les violations non intentionnelles ou 7 500 $ pour les violations intentionnelles par violation – sans plafond sur le montant maximum que vous pouvez être invité à payer. Dans certains cas, les consommateurs peuvent également demander des dommages-intérêts pour infraction.
Pourquoi ne pas contacter CookieHub pour obtenir de l’aide afin de vous assurer que votre site Web respecte les meilleures pratiques en matière de conformité CCPA ?