CalOPPA : La loi californienne sur la protection de la vie privée en ligne expliquée

La Californie a été le premier État américain à adopter une loi sur la confidentialité des données en 2004, avec le California Online Privacy Protection Act(CalOPPA).

Dans ce guide, j'aide à simplifier la conformité à la CalOPPA pour votre entreprise en ligne en résumant les principales exigences légales et en présentant une liste de contrôle pour aider votre plateforme à se conformer à cette loi californienne sur la protection de la vie privée.

Qu'est-ce que la loi californienne sur la protection de la vie privée en ligne (CalOPPA) ?

La CalOPPA est une loi de l'État de Californie et a été l'une des premières réglementations sur la confidentialité des données mises en œuvre aux États-Unis - elle a été promulguée le 1er juillet 2004.

Elle impose à toutes les entreprises en ligne qui desservent des utilisateurs en Californie de publier une politique de protection de la vie privée sur leur site web et fixe des normes juridiques pour la présentation, la formulation et la mise en œuvre de cette politique.

Bien qu'il n'existe pas de loi fédérale américaine sur la protection des données personnelles, il existe plusieurs lois au niveau des États, que vous pouvez découvrir en consultant notre carte interactive des lois américaines sur la protection des données personnelles.

Termes clés et définitions de la CalOPPA

Pour comprendre comment se conformer à la CalOPPA, vous devez vous familiariser avec les termes clés suivants - j'ai fourni les définitions telles qu'elles apparaissent dans le texte de la loi:

Que couvre la loi californienne sur la protection de la vie privée en ligne ?

La CalOPPA couvre les droits à la vie privée des résidents de Californie en établissant les éléments essentiels qui doivent figurer dans une politique de protection de la vie privée.

Tout site web, application ou service en ligne destiné ou disponible pour les résidents de Californie doit être conforme à la loi.

Elle a donc un large champ d'application et permet à tous les consommateurs en ligne de se fier à une politique de protection de la vie privée affichée en ligne, en tenant les fournisseurs de services en ligne responsables de la langue qu'ils utilisent.

Exigences de la loi californienne sur la protection de la vie privée en ligne

La CalOPPA définit des exigences spécifiques concernant deux concepts clés :

1. Informations personnelles identifiables (IPI)
2. Demandes de "Do not track" (DNT)

Informations personnelles identifiables (IPI)

Les plateformes en ligne qualifiées qui collectent des informations personnelles identifiables doivent publier une politique de confidentialité conforme à la CalOPPA.

Les IIP comprennent toutes les données utilisateur permettant d'identifier une personne ou un ménage, et le texte de la loi CalOPPA énumère les éléments spécifiques suivants :

• Nom et prénom
• Adresse
• Adresse électronique
• Numéro de téléphone
• Numéro de sécurité sociale
• Adresses IP
• Détails physiques tels que la taille, le poids et la couleur des cheveux

Toute autre donnée ou information personnelle que quelqu'un pourrait utiliser en conjonction avec les éléments ci-dessus pour identifier des personnes (par exemple, la date de naissance) correspond également à la définition.

Le terme "IPI" est désormais considéré comme dépassé et a été remplacé par le terme " informations personnelles " afin de mieux tenir compte des lois supplémentaires sur la protection de la vie privée, telles que la loi californienne sur la protection de la vie privée des consommateurs(California Consumer Privacy Act- CCPA) et le règlement général sur la protection des données (GDPR).

Demandes "Do Not Track" (DNT)

La CalOPPA exige que les sites web et les applications expliquent clairement s'ils honorent les demandes de Do-Not-Track (DNT) dans leur politique de confidentialité. Elle n'exige pas qu'un site web ou une application honore ou non les demandes DNT, mais simplement qu'ils indiquent s'ils les honorent ou non.

Comme son nom l'indique, une demande de ne pas suivre est un mécanisme par lequel les utilisateurs d'un site web expriment leur préférence concernant le suivi de leurs activités de navigation en ligne par le site web.

Les utilisateurs d'Internet peuvent basculer un paramètre de leur navigateur web pour indiquer leur préférence pour les DNT.

Lois californiennes sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences

La CalOPPA est très différente des lois sur la protection de la vie privée des États américains énumérées ci-dessous, dont la plupart sont axées sur la protection des consommateurs :

• California Consumer Protection Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) - actuellement en vigueur
• Colorado Privacy Act (CPA) - actuellement en vigueur
• Loi du Connecticut sur la protection des données (CTDPA ) - actuellement en vigueur
• Delaware Personal Data Privacy Act (DPDPA) - entrée en vigueur le 1er janvier 2025
• Charte des droits numériques de Floride (FDBR ) - actuellement en vigueur
• Indiana Consumer Data Protection Act (Indiana CDPA) - entrée en vigueur le 1er janvier 2026
• Iowa Consumer Data Protection Act (Iowa CDPA) - entrée en vigueur le 1er janvier 2025
• Montana Consumer Data Privacy Act (MCDPA) - actuellement en vigueur
• Oregon Consumer Privacy Act (OCPA) - actuellement en vigueur
• Texas Data Privacy and Security Act (TDPSA ) - actuellement en vigueur
• Utah Consumer Privacy Act (UCPA) - actuellement en vigueur
• Virginia Consumer Data Protection Act (VCDPA) - actuellement en vigueur

Vous pouvez comparer ces lois à la CalOPPA dans le tableau ci-dessous.

Quel est l'impact de la CalOPPA sur les consommateurs ?

La CalOPPA a un impact sur les consommateurs californiens en leur fournissant des politiques de confidentialité transparentes afin qu'ils sachent quelles données un site web ou un service en ligne recueille auprès d'eux et si le site honore ou non les demandes DNT.

Elle permet également à ces personnes de demander plus facilement que les informations soient corrigées ou supprimées.

Mais les utilisateurs d'Internet en dehors de la Californie bénéficient également de la CalOPPA - la loi fait en sorte que presque tous les sites Web disposent d'une politique de confidentialité qui est beaucoup plus facile à lire et à trouver.

À qui s'applique la CalOPPA ?

La CalOPPA est une loi de l'État de Californie qui protège les droits à la vie privée des résidents californiens.

Les entreprises situées en Californie ou dont les services sont accessibles aux utilisateurs californiens doivent respecter les exigences de la CalOPPA.

Quel est l'impact de la CalOPPA sur les entreprises ?

La CalOPPA a un impact sur les entreprises en décrivant des lignes directrices pour l'élaboration d'une politique de protection de la vie privée conforme aux normes californiennes.

Quelle est l'incidence de la CalOPPA sur ma politique de protection de la vie privée ?

Les sites web et les applications qui relèvent de la CalOPPA doivent inclure les informations suivantes dans leur politique de confidentialité :

• La date d'entrée en vigueur,
• Une liste des types d'informations nominatives collectées et de la manière dont les utilisateurs peuvent refuser la collecte de données,
• Une explication de la manière dont les utilisateurs peuvent demander à consulter et à supprimer leurs IIP,
• Une explication des mises à jour et des modifications de la politique de confidentialité communiquées aux utilisateurs,
• Une déclaration indiquant si les IPI sont partagées avec des tiers (y compris Google Analytics, AdSense, les outils de chat en direct, les intégrations de connexion sociale, etc,)
• Indique si les demandes DNT sont honorées ou non.

La clause stipulant une explication sur la manière dont les entreprises traitent les demandes de ne pas suivre a été ajoutée à la CalOPPA par le biais d'un amendement en janvier 2014.

Notez que la CalOPPA n' exige pas que vous adhériez aux demandes DNT des utilisateurs - au lieu de cela, vous devez indiquer comment votre site web ou votre service en ligne traite ces demandes.

En outre, votre politique de protection de la vie privée doit répondre à plusieurs exigences en matière d'accessibilité, dont les suivantes :

Si votre entreprise répond aux critères de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act - CCPA), vous devez mettre en œuvre des exigences supplémentaires en matière de politique de protection de la vie privée.

Qui doit se conformer à la CalOPPA ?

Toute entreprise située en Californie ou qui sert des résidents californiens doit se conformer à la CalOPPA.

Les services en ligne étant par nature transnationaux, la CalOPPA s'applique même si votre entreprise ou vos serveurs ne sont pas physiquement situés en Californie ou même aux États-Unis.

Contrairement à la CCPA, il n'y a pas de seuil minimum de revenus ou de volume de clientèle - le seul critère est de savoir si vos services sont accessibles aux utilisateurs en Californie.

La loi a un seuil large et fait en sorte que même les blogueurs ayant des visiteurs potentiels en Californie doivent établir une politique de confidentialité pour leur blog.

Outre les sites web, la CalOPPA s'applique aux applications pour smartphones et tablettes.

En fait, en 2012, le bureau du procureur général de Californie a envoyé des notifications à près de 100 propriétaires d'applications qui ne respectaient pas les dispositions de la CalOPPA à l'époque.

"Nous avons travaillé dur pour faire en sorte que les développeurs d'applications soient conscients de leurs obligations légales en matière de respect de la vie privée des Californiens", a déclaré la ministre de la justice de l'époque, Kamala D. Harris, qui est devenue par la suite vice-présidente des États-Unis.

Elle a ajouté : "Il est essentiel que nous prenions toutes les mesures nécessaires pour faire respecter les lois californiennes sur la protection de la vie privée".

Qui est exempté de l'application de la loi CalOPPA ?

Les sites web non commerciaux qui ne collectent pas d'informations nominatives et les sites web ou autres services en ligne non disponibles en Californie sont exemptés de la CalOPPA.

Comment les entreprises peuvent-elles se conformer à la CalOPPA ?

Pour se conformer à la CalOPPA, les entreprises doivent placer un lien visible vers une politique de confidentialité sur tous les sites web, applications et services en ligne.

La politique de protection de la vie privée doit répondre aux exigences spécifiques de la loi en matière de format et d'information.

Comment la CalOPPA est-elle appliquée ?

Le bureau du procureur général de Californie peut faire appliquer les dispositions de la CalOPPA.

En outre, la Commission fédérale du commerce (FTC) peut intenter une action en justice contre vous au titre de la CalOPPA si vous ne respectez pas les exigences en matière de politique de confidentialité sur votre site web ou votre application.

Lorsque la non-conformité est constatée pour la première fois, vous disposez de 30 jours pour remédier à la situation.

N'oubliez pas d'inclure dans votre politique de confidentialité les données collectées par le biais des courriels de marketing.

Amendes et sanctions en vertu de la loi californienne sur la protection de la vie privée en ligne (California Online Privacy Protection Act)

Le non-respect des dispositions de la CalOPPA est traité par les dispositions de la loi californienne sur la concurrence déloyale.

Si vous ne vous mettez pas en conformité dans le délai de 30 jours, vous êtes passible d'une amende maximale de 2 500 dollars par infraction.

Vous pouvez penser que ces amendes sont mineures par rapport à des lois sur la protection de la vie privée telles que les suivantes :

• Règlement général sur la protection des donnéesGDPR amendesGDPR ) : 20 millions d'euros (22 millions de dollars) ou 4 % de votre revenu annuel brut, le montant le plus élevé étant retenu.
• Loi sur la protection de la vie privée des enfants en ligne (amendes COPPA) : Jusqu'à 40 000

Chaque visite sur votre site web, même si elle n'est pas conforme, peut être considérée comme une infraction, ce qui signifie que les amendes se multiplient rapidement.

CalOPPA et Delta

Le procès le plus médiatisé intenté en vertu de la loi CalOPPA l'a été en 2012 contre Delta Airlines, dont l'application mobile ne respectait pas les exigences de visibilité concernant l'emplacement de sa politique de confidentialité.

Delta Airlines disposait d'une politique de confidentialité conforme à la CalOPPA sur son site web principal, mais pas sur son application.

Cette affaire souligne l'importance de veiller à ce que des politiques de confidentialité complètes couvrent toutes vos plateformes, y compris les applications mobiles.

Finalement, l'action en justice a été rejetée en raison de la loi sur la déréglementation des compagnies aériennes (Airline Deregulation Act), qui exempte l'industrie du transport aérien de toute intervention gouvernementale spécifique.

Toutefois, si cela était arrivé à une entreprise opérant dans presque n'importe quel autre domaine, l'amende aurait pu atteindre 2,5 millions de dollars pour seulement 1 000 téléchargements d'applications.

CalOPPA et Google

Un autre indicateur de la forte influence de la CalOPPA est que Google a dû inclure un lien vers sa politique de confidentialité sur la page d'accueil de Google Search, ce qui s'est produit pour la première fois en 2007.

Anticipant une éventuelle action en justice, Google a répondu à plusieurs discussions en ligne sur son non-respect de la loi CalOPPA par un lien vers ses règles de confidentialité sur sa page d'accueil.

Comment Termly aide à la mise en conformité avec la loi CalOPPA

Termly's Générateur de politique de confidentialité peut aider votre entreprise à se conformer à la CalOPPA et à plusieurs autres lois sur la confidentialité des données.

Il est intuitif et facile à utiliser, éliminant les tracas et la confusion de votre parcours de conformité en matière de protection de la vie privée.

Il vous suffit de répondre à des questions simples sur votre entreprise et ses activités de traitement des données.

Le générateur élabore une politique de confidentialité unique sur la base de vos réponses, que vous pouvez intégrer à votre site web ou à votre application mobile - c'est aussi simple que cela !

Existe-t-il d'autres lois relatives à la protection de la vie privée en Californie ?

La Californie dispose de plusieurs autres lois relatives à la protection de la vie privée, dont les suivantes :

• Loi californienne sur la protection de la vie privée des consommateurs(CCPA): La première loi complète de protection de la vie privée des consommateurs aux États-Unis.
• Loi californienne sur les droits à la vie privée(CPRA): Modifie certaines parties de la CCPA.
• Loi "Shine the Light"(Faites briller la lumière) : Décrit les exigences relatives au partage des données à caractère personnel à des fins de marketing direct.
• Loi californienne sur les atteintes à la vie privée(CIPA): Protège les personnes utilisant des téléphones fixes ou mobiles.
• Loi sur la confidentialité des informations médicales(CMIA): Elle décrit les exigences en matière de confidentialité des dossiers médicaux et des informations.
• Loi sur l'accès des patients aux dossiers médicaux(PAHRA): Décrit les droits des consommateurs en matière d'accès à leurs dossiers médicaux et de santé.
• Loi californienne sur la confidentialité des informations financières(CALFIPA) : Limite et interdit la vente ou le partage des données financières des consommateurs sans leur consentement.
• Loi sur les droits à la vie privée des mineurs californiens dans le monde numérique(loi Eraser) : Protège les données des mineurs connus en Californie, en leur accordant le droit d'être oubliés.

Liste de contrôle CalOPPA

Voici une liste de contrôle simple et organisée pour aider vos sites web et vos applications à se conformer à la CalOPPA.

En suivant cette liste de contrôle, vous pourrez créer une politique de confidentialité complète qui expliquera en détail aux utilisateurs du site comment vous traitez leurs informations personnelles.

Résumé

Si vous possédez un site web ou une application accessible aux Californiens, il vous incombe d'élaborer une politique de confidentialité conforme à la CalOPPA.

Étant donné le champ d'application relativement étroit de la CalOPPA, il est assez simple de respecter toutes les lignes directrices.

Le respect de la CalOPPA est également un tremplin vers la satisfaction d'exigences beaucoup plus larges définies par des lois telles que la CCPA, la législation californienne stricte ayant des implications mondiales.

Épargnez-vous des pénalités légales aujourd'hui et à l'avenir. Commencez dès aujourd'hui vos efforts de mise en conformité avec la CalOPPA en utilisant le site Termly. Générateur de politique de confidentialité.

En savoir plus sur l'auteur

Écrit par Josh Langeland, CIPM

Bonjour, je m'appelle Josh ! Je suis un ingénieur spécialisé dans la protection de la vie privée, passionné par l'utilisation de la technologie pour respecter la vie privée des utilisateurs. Je m'épanouis à l'intersection d'une technologie complexe et d'une législation sur la protection de la vie privée en constante évolution. Si je ne suis pas en train de rédiger un examen de la conception ou de réarchitecturer un système, vous me trouverez peut-être en train de lire une biographie ou de faire de la randonnée dans le parc national le plus proche. En savoir plus sur l'auteur

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial