Accueil ' Ressources ' Articles 'CCPA : California Consumer Privacy...

CCPA : Explication de la loi californienne sur la protection de la vie privée des consommateurs

Couvert par Termly

Par : Josh Langeland, CIPM Josh Langeland, CIPM | Mise à jour le : 14 novembre 2024

Solution gratuite de mise en conformité avec l'ACCP
CCPA-California-Consumer-Privacy-Act-Explained (en anglais)

Adoptée en 2018, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ) a été la première loi globale sur la protection de la vie privée des consommateurs à être adoptée au niveau de l'État aux États-Unis, et elle a inspiré plus de vingt-cinq autres États à adopter des textes législatifs similaires, et ce n'est pas fini.

La CCPA définit plusieurs lignes directrices que les entreprises doivent suivre pour collecter, traiter et utiliser les informations personnelles des résidents et des ménages californiens.

Je décris ci-dessous les obligations des entreprises définies par le CCPA, notamment qui doit s'y conformer, quelles sont les informations qu'il protège et quel est son impact sur les entreprises et les consommateurs.

Table des matières
  1. Qu'est-ce que la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ?
  2. Qui la CCPA protège-t-elle ?
  3. Qui doit se conformer à la CCPA ?
  4. Droits des consommateurs en matière de protection de la vie privée
  5. Exigences commerciales de l'ACCP
  6. Sanctions en cas de violation de la loi sur la protection des consommateurs
  7. Utilisation de Termly pour la conformité avec la CCPA
  8. Résumé

Qu'est-ce que la loi californienne sur la protection de la vie privée des consommateurs (CCPA) ?

La CCPA est la première et la plus stricte des lois nationales sur la confidentialité des données aux États-Unis.

Elle décrit les exigences et les lignes directrices relatives à la collecte, à l'utilisation et au traitement des données à caractère personnel des personnes en Californie.

Parfois appelée " GDPRcalifornien", cette loi nationale présente certaines similitudes avec le règlement général européen sur la protection des données, comme l'octroi de droits similaires aux consommateurs.

Mais son champ d'application n'est pas aussi large que celui du GDPR, et ses lignes directrices sont plus favorables aux entreprises.

Termes clés et définitions de l'ACCP

Pour vous aider à mieux comprendre la CCPA, je vous propose ci-dessous quelques termes clés et leurs définitions telles qu'elles apparaissent dans le texte de la loi.

Chaque fois que ces termes sont utilisés dans ce guide, c'est en gardant à l'esprit les définitions ci-dessus.

Dates importantes

Le CCPA est entré en vigueur le 1er janvier 2020.

Elle a été officiellement modifiée par le California Privacy Rights Act (CPRA) le 1er janvier 2023.

Les modifications de l'ACPR ont introduit de nouveaux droits pour les utilisateurs en ce qui concerne leurs données personnelles sensibles et ont augmenté le seuil de collecte de données prévu par la loi.

Elle a également introduit le concept de partage des données, que les utilisateurs ont le droit de refuser.

Qui la CCPA protège-t-elle ?

La CCPA protège les informations personnelles des personnes physiques qui sont des résidents californiens au sens de la section 17014 du titre 18 du code de réglementation californien.

Qui doit se conformer à la CCPA ?

Toute entreprise à but lucratif exerçant ses activités en Californie et répondant à l'un des critères suivants doit se conformer à la CCPA :

  • Avoir réalisé un chiffre d'affaires annuel brut de 25 000 000 $ au cours de l'année civile précédente,
  • achète, vend ou partage les informations personnelles de 100 000 consommateurs ou ménages californiens ou plus,
  • tire au moins 50 % de son chiffre d'affaires annuel de la vente ou de l'échange d'informations personnelles concernant des consommateurs californiens.

Droits des consommateurs en matière de protection de la vie privée

La CCPA donne aux consommateurs californiens les droits suivants sur leurs données personnelles :

  • Demande d'accès à toutes les données collectées par une entreprise à leur sujet
  • Demande de correction d' inexactitudes dans les données
  • Demande de suppression des données
  • refuser la vente ou le partage de leurs données
  • Refuser le traitement des données à des fins de publicité ciblée
  • Refuser le profilage
  • Non-discrimination pour avoir respecté leurs droits en matière de protection de la vie privée

Ils ont également le droit d'intenter une action civile contre une entreprise qui collecte leurs informations personnelles et dont les données font l'objet d'une fuite ou d'un accès illégal.

Exigences commerciales de l'ACCP

Je décris ci-dessous les principales exigences commerciales définies par l'ACCP.

politique de confidentialité Lignes directrices

La CCPA exige des entreprises concernées qu'elles présentent aux consommateurs un site politique de confidentialité contenant les informations suivantes :

  • Une description des droits du consommateur en matière de protection de la vie privée,
  • Deux ou plusieurs moyens pour les consommateurs de faire valoir leurs droits,
  • Une liste des catégories de données à caractère personnel que vous collectez,
  • L'objectif de la collecte, de la vente ou du partage des données des consommateurs,
  • les catégories de tiers avec lesquels les données sont partagées.
  • Date de la dernière mise à jour du site politique de confidentialité

Vous devez mettre à jour la police au moins une fois tous les 12 mois, c'est pourquoi la date de la dernière mise à jour doit figurer sur votre police.

Votre entreprise doit publier et tenir à jour le site politique de confidentialité par le biais d'un lien contenant le mot "privacy", tel que "politique de confidentialité".

Conservez les anciennes versions dans des archives en cas d'audit sur la protection de la vie privée.

Gestion des consentements

Les entreprises soumises à la CCPA doivent gérer les préférences de consentement des utilisateurs d'une manière conforme à la loi pour certains types de traitement de données.

Par exemple, la loi donne aux consommateurs le droit de.. :

  • refuser la vente ou le partage de leurs données
  • Refuser la publicité ciblée
  • Limiter l'utilisation de leurs informations personnelles sensibles

Vous devez présenter aux utilisateurs une bannière conforme à consentement aux cookies comportant un politique de cookies afin qu'ils puissent prendre connaissance des cookies déployés par votre site et choisir d'accepter ou non leur utilisation.

La loi exige également que les liens suivants figurent dans le pied de page de votre site et mènent à des pages spécifiques permettant aux Californiens de faire valoir leurs droits :

Vous êtes autorisé à utiliser un lien unique qui mène à un formulaire où les utilisateurs peuvent exercer leurs deux droits de retrait.

Obligations contractuelles

Les entreprises soumises à la CCPA doivent utiliser des accords conformes si elles concluent un contrat avec un tiers à des fins de traitement de données.

Le contrat doit être signé par les deux parties et comporter les dispositions suivantes :

  • Préciser que les données à caractère personnel ne sont vendues/divulguées que dans un but limité et spécifique,
  • Obliger le tiers à se conformer aux obligations et aux exigences de sécurité définies par la CCPA,
  • Accorder à l'entreprise le droit de prendre des mesures raisonnables pour s'assurer que le tiers utilise les données à caractère personnel d'une manière conforme aux exigences de la CCPA,
  • Exiger du tiers qu'il informe l'entreprise s'il détermine qu'il ne peut plus satisfaire aux exigences de la CCPA,
  • Accorder à l'entreprise le droit de prendre des mesures pour mettre fin à l'utilisation non autorisée des informations personnelles et y remédier,
  • Exiger du tiers qu'il mette en œuvre des procédures de sécurité raisonnables pour protéger les informations contre tout accès non autorisé.

Demandes vérifiables des consommateurs

Les entreprises doivent mettre en place une procédure de vérification des demandes des consommateurs afin de donner suite à leurs droits en matière de protection de la vie privée.

Techniquement, les consommateurs peuvent soumettre ces demandes par n'importe quel canal de leur choix, y compris :

  • Courriel
  • Un formulaire en ligne
  • Médias sociaux
  • Courrier
  • Téléphone

Pour vérifier leur identité, comparez les informations qu'ils vous fournissent à celles que vous avez déjà recueillies à leur sujet.

Vous ne devez demander des détails supplémentaires que si c'est absolument nécessaire.

Il est préférable de mettre en place un flux de travail pour la réception de ces demandes, car votre entreprise doit assurer le suivi des demandes traitées.

Cela rend également le processus plus simple pour vos consommateurs.

Contrôles globaux de confidentialité activés par l'utilisateur

En vertu de la loi sur la protection des consommateurs, les consommateurs sont autorisés à exercer leur droit de retrait par le biais de contrôles globaux de la protection de la vie privée activés par l'utilisateur, et les entreprises doivent honorer ces demandes.

Par exemple, ils peuvent utiliser les contrôles globaux de confidentialité (CGP) sur leurs navigateurs pour indiquer qu'ils souhaitent refuser la publicité ciblée.

Il envoie ensuite leur préférence de consentement à votre site web plateforme de gestion du consentement, en respectant automatiquement leur choix et en empêchant les cookies associés de se déployer.

Pour en savoir plus, vous pouvez consulter les notes d'orientation de la CCPA fournies par le bureau du procureur général de Californie.

Lignes directrices sur la sécurité des données

La CCPA exige des entreprises qu'elles protègent toutes les données personnelles collectées contre les accès illégaux ou non autorisés, les fuites, les violations ou d'autres types de pertes.

Les utilisateurs californiens peuvent intenter une action civile contre votre entreprise si leurs données sont violées alors qu'elles sont en votre possession.

La loi n'impose pas la manière dont vous devez protéger les données, mais les méthodes les plus courantes sont les suivantes :

  • Cryptage des données
  • Pare-feu
  • Limiter l'accès
  • S'assurer que les données sont protégées par un mot de passe grâce à une authentification multifactorielle.

Sanctions en cas de violation de la loi sur la protection des consommateurs

Une violation de l'ACCP peut entraîner les amendes suivantes :

  • 2 500 dollars par résident californien concerné en cas d'infraction involontaire
  • 7 500 dollars par résident californien concerné en cas de violation intentionnelle

Elle est appliquée par l'Agence californienne de protection de la vie privée (CPPA) et le bureau du procureur général de Californie.

Les consommateurs disposent également d'un droit d'action privé en vertu de la loi californienne sur la protection de la vie privée.

Ils peuvent intenter une action civile contre vous si certaines informations les concernant sont violées ou consultées sans autorisation.

Utilisation de Termly pour la conformité avec la CCPA

Termly propose des solutions de mise en conformité pour aider les entreprises à simplifier le respect des exigences définies par l'ACCP.

Notre Générateur de politique de confidentialité comprend tous les détails nécessaires, conformément à la loi. Il vous suffit de répondre à des questions simples sur votre entreprise, de préciser que vous souhaitez que votre police soit conforme à la CCPA et de répondre honnêtement aux questions.

Il élabore ensuite une politique unique basée sur votre réponse, que vous pouvez intégrer à votre site web.

gdpr

Générer une politique de confidentialité gratuitement

Nous fournissons également un plateforme de gestion du consentement qui peut être configuré pour répondre à toutes les exigences en matière de consentement définies par la CCPA. Il comporte même des paramètres d'assistance régionale spécifiques à vos utilisateurs californiens.

Il s'accompagne également d'un formulaire DSAR gratuit que vous pouvez intégrer à votre site web afin que vos utilisateurs puissent plus facilement soumettre des demandes vérifiables de respect de leurs droits en matière de protection de la vie privée.

Résumé

La CCPA est l'une des lois les plus strictes des États-Unis en matière de protection de la vie privée des consommateurs.

Les entreprises soumises à cette loi doivent s'assurer qu'elles disposent d'une politique de protection de la vie privée conforme et que le site plateforme de gestion du consentement est configuré de manière à répondre aux exigences de refus décrites par la loi.

C'est également une bonne pratique que d'ajouter un formulaire DSAR à votre site web pour aider les utilisateurs à faire valoir plus facilement leurs droits en matière de protection de la vie privée.

Pour simplifier la mise en conformité avec la CCPA, inscrivez-vous à la suite complète de solutions de protection de la vie privée de Termly.

Josh Langeland, CIPM
En savoir plus sur l'auteur

Écrit par Josh Langeland, CIPM

Bonjour, je m'appelle Josh ! Je suis un ingénieur spécialisé dans la protection de la vie privée, passionné par l'utilisation de la technologie pour respecter la vie privée des utilisateurs. Je m'épanouis à l'intersection d'une technologie complexe et d'une législation sur la protection de la vie privée en constante évolution. Si je ne suis pas en train de rédiger un examen de la conception ou de réarchitecturer un système, vous me trouverez peut-être en train de lire une biographie ou de faire de la randonnée dans le parc national le plus proche. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Se conformer à l'ACCP GRATUITEMENT

Termly générera une solution politique de confidentialité et de consentement conforme à la CCPA en quelques MINUTES !
Se conformer à l'ACCP dès maintenant

Articles connexes

  1. Politique de confidentialité pour les sites web des ONG-01
    Politique de confidentialité pour les sites web des ONG
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. 9-Les exigences légales pour les applications et les conseils pour les respecter-01
    9 exigences légales pour les applications et conseils pour les respecter
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Politique de protection de la vie privée - Drapeaux rouges-01
    Drapeaux rouges de la politique de protection de la vie privée : Comment repérer une mauvaise politique de confidentialité
    Articles

    3 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. Google-Ads-EU-User-Consent-Policy-Update-01 (en anglais)
    Mise à jour des règles de consentement des utilisateurs de Google Ads dans l'UE
    Articles

    2 juillet 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Termly
    Termly vs. Axeptio : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Termly
    Termly vs. Iubenda : Comparaison des fonctionnalités et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  7. Termly
    Termly vs Osano : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  8. Termly-vs-Usercentrics-01
    Termly vs Usercentrics : Comparaison des caractéristiques et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  9. Termly-vs-Termsfeed-01
    Termly vs. TermsFeed : Comparaison des fonctionnalités et des services
    Comparaisons

    30 juin 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM

Explorer d'autres ressources