Liste de contrôle de la conformité au CCPA en 7 étapes pour les sites web et les applications

Vous souhaitez mettre votre site web ou votre application en conformité avec la loi californienne sur la protection de la vie privée des consommateurs(CCPA), récemment amendée ?

Vous trouverez ci-dessous une liste de contrôle facile à suivre et des conseils pour simplifier la mise en conformité avec l'une des lois les plus strictes des États-Unis en matière de protection de la vie privée.

Table des matières

1. Liste de contrôle de la conformité à l'ACCP (mise à jour avec les exigences de l'ACPR)
2. Explication des exigences de la liste de contrôle de l'ACCP
3. Conseils pour se conformer à la CCPA et à la CPRA
4. Sanctions en cas de non-respect de la loi sur la protection des consommateurs
5. FAQ sur la conformité à la CCPA
6. Comment Termly aide votre entreprise à se conformer à la CCPA
7. Résumé

Liste de contrôle de la conformité à l'ACCP (mise à jour avec les exigences de l'ACPR)

Vous trouverez ci-dessous une liste de contrôle facile à suivre couvrant tous les aspects de la conformité au CCPA pour les entreprises applicables aux sites web et aux applications, avec tous les amendements de l'ACPR inclus.

Partie 1 - Audit de votre site web ou de votre application Solution : Contrôlez manuellement les informations que vous recueillez et utilisez notre site web. Analyseur de cookies pour savoir quels cookies vous utilisez.	Source
Effectuer un audit de la protection de la vie privée : Déterminez les informations personnelles collectées par votre plateforme en effectuant un audit du site web ou de l'application. Veillez à inclure les cookies ou autres traceurs.	Les inexactitudes dans la collecte des données peuvent entraîner des amendes pour non-conformité.
Partie 2 - Ce que vous DEVEZ divulguer avant ou au moment de la collecte des données Solution : Créez un site politique de confidentialité conforme à l'ACCP et incluez...	Source
Les catégories d'informations personnelles collectées, les raisons pour lesquelles elles sont collectées ou utilisées, et si vous partagez ou vendez ces informations. Si vous recueillez des informations sensibles, indiquez les catégories d'informations collectées, les objectifs de la collecte et de l'utilisation, et si ces informations sont partagées ou vendues. La durée pendant laquelle vous avez l'intention de conserver chaque catégorie d'informations personnelles et sensibles ou les critères utilisés pour déterminer que la période pendant laquelle vous les conservez est nécessaire.	1798.100 (a)
Informer les consommateurs de leur droit de demander la suppression de toute information personnelle et leur expliquer comment ils peuvent le faire en soumettant une demande vérifiable.	1798.105 (b)
Informer les consommateurs de leur droit de demander la rectification de leurs données à caractère personnel et leur expliquer comment ils peuvent le faire en soumettant une demande vérifiable.	1798.106 (b)
Divulguez les catégories d'informations personnelles que vous avez collectées sur les consommateurs. Divulguer les catégories de sources à partir desquelles les informations personnelles sont collectées. divulguer l'objectif professionnel ou commercial de la collecte, de la vente ou du partage des informations. Divulguer les catégories de tiers ayant accès à l'information. Informez les consommateurs qu'ils ont le droit de demander les éléments spécifiques des informations personnelles que vous collectez à leur sujet.	1798.110 (c) (1-5)
Ne collecter, utiliser, conserver et partager les données que d'une manière raisonnablement nécessaire pour atteindre les objectifs que vous avez initialement indiqués.	1798.100 (c)
Partie 3 - Obligations contractuelles pour le partage ou la vente d'informations à caractère personnel Solution : Créez un accord sur le traitement des données(DPA) que vous et le tiers devez signer et qui stipule ce qui suit :	Source
Préciser quelles informations personnelles sont vendues ou divulguées pour une durée limitée et à des fins spécifiques. Obliger l'autre entité à se conformer aux obligations applicables et à fournir le même niveau de sécurité et de protection des données que celui prévu par la CCPA. Accorder à votre entreprise le droit de prendre des mesures raisonnables et appropriées pour s'assurer que l'entité tierce utilise les informations personnelles d'une manière compatible avec les obligations de l'entreprise en vertu de la CCPA. Exiger de l'entité tierce qu'elle informe votre entreprise si elle détermine qu'elle ne peut plus remplir ses obligations dans le cadre du contrat défini par la CCPA. Accorder à votre entreprise le droit de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée de données à caractère personnel et y remédier.	1798.100 (d)
Partie 4 - Droits de retrait des consommateurs, limitation de la vente et du partage des informations personnelles et non-discrimination Solution : Utilisez des liens conformes à la loi, respectez les préférences de consentement du navigateur et publiez un formulaire DSAR ou SAR.	Source
Si vous partagez ou vendez des informations personnelles, informez les consommateurs qu'ils ont le droit de refuser le partage ou la vente de leurs informations personnelles et : Fournir un lien conforme "Ne pas vendre ou partager mes informations personnelles" sur votre site web ou votre application ou respecter les paramètres de navigation de leur préférence de consentement.	1798.120 (a - d)
Si vous recueillez des informations personnelles sensibles, informez les consommateurs de leur droit de limiter l'utilisation de ces informations à ce qui est nécessaire pour fournir des services ou des biens de manière raisonnable et raisonnable : Fournir un lien conforme "Limiter l'utilisation de mes informations personnelles sensibles" sur votre site web ou votre application ou respecter les paramètres de navigation de leur préférence de consentement.	1798.121 (a - d)
Veillez à ce que votre entreprise n'exerce pas de discrimination à l'encontre d'un consommateur qui exerce ses droits en matière de protection de la vie privée, notamment en mettant en œuvre l'un des éléments suivants : NE PAS refuser des biens ou des services. NE PAS appliquer des prix ou des taux différents, y compris par le biais de remises ou d'autres avantages impliquant des pénalités. NE PAS fournir un niveau de service ou une qualité de produits différents. NE PAS suggèrent que les consommateurs recevront un prix ou un taux différent pour les biens et les services ou un niveau de qualité différent pour les biens et les services. NE PAS exercer des représailles à l'encontre d'un employé, d'un candidat ou d'un contractant pour avoir exercé ses droits. VOUS POUVEZ facturer un prix ou un taux différent ou un niveau de qualité ou de service différent si vos services sont raisonnablement liés à la valeur fournie par leurs informations personnelles. VOUS POUVEZ proposer des programmes de fidélisation, de récompenses, d'avantages, de remises ou de cartes de club.	1798.125 (1) (a-e), (2), & (3)
Partie 5 - Demandes vérifiables des consommateurs et obligations de votre entreprise Solution : Proposer aux utilisateurs des options telles qu'un formulaire DSAR, une adresse électronique spécifique et honorer les contrôles globaux de confidentialité (CGP).	Source
Vous MUST fournir aux consommateurs deux méthodes ou plus pour demander l'accès à leurs informations personnelles.	1798.130(a)(1)(A)
Vous MUST divulguer et fournir les informations demandées gratuitement et dans un délai de 45 jours à compter de la réception d'une demande vérifiable du consommateur.	1798.130(1)(2)(A)
Partie 6 - Exigences relatives aux procédures et pratiques de sécurité Solution : Mettre en œuvre des protocoles de sécurité raisonnables en fonction de la nature des informations collectées.	Source
Mettre en œuvre des procédures et des pratiques de sécurité raisonnables en fonction de la nature des informations à caractère personnel afin de les protéger contre tout accès, destruction, utilisation, modification et divulgation non autorisés ou illégaux.	1798.100 (e)
Partie 7 - Afficher votre politique de confidentialité Solution : Mettez votre site politique de confidentialité en évidence pour les utilisateurs.	Source
Affichez votre site politique de confidentialité bien en évidence sur chaque page de votre site web et partout où votre application peut être téléchargée. Ajoutez également un lien vers le menu de votre application.	1798.100 (b)

Explication des exigences de la liste de contrôle de l'ACCP

Ensuite, j'explique plus en détail les exigences mentionnées dans la liste de contrôle de l'ACCP susmentionnée.

Qu'est-ce qui constitue une information personnelle au sens de la CCPA ?

La section 1798.140(v)(1) de la CCPA modifiée définit les informations personnelles, en partie, comme suit :

"... des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménageparticulier ..."

La loi maintient cette définition large pour tenir compte des technologies actuelles et futures.

Vous trouverez ci-dessous une liste de toutes les informations personnelles actuellement énumérées dans le texte de la CCPA :

Toutefois, le texte surligné dans la capture d'écran ci-dessous montre ce qui n'est pas considéré comme une information personnelle selon cette loi :

La définition légale de l'information publique désigne tout ce qui est légalement mis à disposition à partir des archives du gouvernement fédéral, de l'État ou des collectivités locales. Elle couvre également les informations que les consommateurs choisissent de mettre à disposition, à condition qu'ils ne limitent pas les données à un public spécifique.

Informations personnelles sensibles

Les amendements de l'ACPR à la CCPA ont introduit la catégorie des informations personnelles sensibles dans la loi :

Les consommateurs ont le droit de limiter à tout moment l'utilisation de leurs informations sensibles et peuvent demander à ce qu'elles ne soient traitées que pour ce qui est raisonnablement nécessaire à l'exécution des services ou à la fourniture des biens.

Conformément à la section 1798.121, vous devez honorer les demandes de ne pas utiliser ou divulguer leurs données sensibles, et tout fournisseur de services ou sous-traitant qui vous assiste doit faire de même.

Comment la CCPA définit-elle le partage ?

En vertu de la CCPA modifiée, les consommateurs ont le droit de refuser la vente et le partage de leurs informations personnelles.

Il est important de comprendre comment la loi définit le partage et sa relation avec la vente lorsque vous remplissez votre liste de contrôle CCPA, car les définitions légales ne correspondent pas à l'usage que nous faisons de ces termes dans les conversations de tous les jours.

Le partage, selon la section 1798.140 (ah), signifie prendre l'une des mesures suivantes concernant les informations personnelles des consommateurs :

• Partage
• Location
• Libération
• Divulgation
• Diffusion
• Mise à disposition
• Transfert
• Communiquer autrement, oralement, par écrit ou par des moyens électroniques

La CCPA ne se préoccupe pas de savoir si une transaction monétaire a lieu entre votre entreprise et un tiers lors de l'échange d'informations personnelles.

Il n'est pas nécessaire qu'il y ait un quelconque échange de valeur. Un utilisateur peut toujours refuser l'utilisation de ses données à des fins de publicité comportementale inter-contexte, même s'il n'y a pas d'échange d'argent.

Informations sur les évaluations des risques conformes à la CCPA

Si vous traitez des informations susceptibles de présenter un risque important pour la vie privée ou la sécurité des consommateurs, vous devez effectuer régulièrement des audits de cybersécurité et soumettre des évaluations des risques à l'Agence californienne de protection de la vie privée(CPPA).

Les modifications apportées par l'ACPR à cette loi ont fait de l'ACPR l'agence administrative chargée de l'application de la loi, en remplacement de ce qui relevait auparavant du bureau du procureur général de Californie.

Dans le cadre de l'évaluation des risques, vous devez

• Inclure si vous traitez des informations personnelles sensibles
• Identifier et évaluer les avantages résultant du traitement de l'information pour votre entreprise, le consommateur, les autres parties prenantes et le public.
• Comparer les avantages et les risques pour les droits du consommateur concernant le traitement de l'information
• Maintenir l'objectif de restreindre et d'interdire le traitement de l'information si les risques l'emportent sur les avantages

L'ACPP est chargée de fournir au public un rapport résumant toutes les évaluations de risques déposées auprès de l'agence.

Exigences de sécurité de l'ACCP

La Californie a introduit la section 1798.81.5 du code civil pour fournir des conseils sur la manière dont les entreprises peuvent mettre en œuvre des mesures de sécurité raisonnables concernant les informations personnelles collectées.

Conformément à la section 1798.150 de la loi modifiée sur la protection des données, il vous incombe de protéger les informations personnelles de vos utilisateurs, faute de quoi ces derniers peuvent intenter une action civile contre vous :

• Leurs données personnelles non cryptées et non expurgées sont consultées ou exfiltrées sans autorisation, volées ou divulguées en raison de mauvais protocoles de sécurité.
• Leur adresse électronique - en combinaison avec leur mot de passe, les réponses aux questions de sécurité ou toute autre réponse permettant d'accéder à un compte - est consultée ou exfiltrée sans autorisation, est volée ou divulguée à la suite de mauvaises pratiques de sécurité.

Vous devez mettre en œuvre des mesures de sécurité raisonnables et appropriées pour empêcher l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés de toute information personnelle du consommateur.

Conseils pour se conformer à la CCPA et à la CPRA

Pour que votre entreprise soit en conformité avec la CCPA et l'ACPR, je vous recommande de suivre les conseils suivants.

Conseil 1

Publier un site politique de confidentialité conforme à la CCPA expliquant quelles informations personnelles et sensibles vous collectez, utilisez, partagez ou vendez et informant les consommateurs de leurs différents droits en matière de confidentialité des données.

Conseil 2

Afficher un lien vers votre site politique de confidentialité à un endroit bien visible sur la page d'accueil de votre site web ou de votre application, ou divulguer cette information au moment de la collecte des données ou avant.

Conseil 3

Utilisez un plateforme de gestion du consentement qui permet à vos consommateurs californiens d'exercer tous leurs droits de retrait.

Conseil 4

Utilisez un DPA conforme pour respecter les obligations contractuelles avec tout tiers avec lequel vous travaillez et qui a accès aux informations personnelles de vos consommateurs.

Conseil 5

Affichez un lien "Ne pas vendre ou partager mes informations personnelles", un lien "Limiter l'utilisation de mes informations personnelles sensibles", et veillez à respecter les paramètres de préférence de consentement des utilisateurs en fonction de leur navigateur.

Conseil 6

Publier un formulaire de demande d'accès de la personne concernée(DSAR ou SAR) pour permettre aux utilisateurs de faire valoir facilement leurs droits d'accès, de suppression ou de correction de leurs informations personnelles.

Conseil 7

Mettre en œuvre des procédures et des pratiques de sécurité raisonnables en fonction de la nature des données que vous collectez.

Sanctions en cas de non-respect de la loi sur la protection des consommateurs

Le non-respect de la loi, même par erreur, est passible de sanctions :

• 2 500 $ par infraction non intentionnelle
• 7 500 $ par infraction intentionnelle ou pour toute infraction impliquant un mineur de moins de 16 ans

Il n'y a plus de délai de grâce pour remédier aux violations de la loi sur la protection des consommateurs depuis que les amendements de l'ACPR sont entrés en vigueur.

En revanche, l'Agence californienne de protection de la vie privée(CPPA) décide au cas par cas du temps dont dispose chaque entreprise pour corriger ses erreurs et examine si l'entreprise.. :

• Violation intentionnelle de la CCPA
• s'est efforcé de remédier à la violation alléguée

Les consommateurs peuvent également intenter une action privée contre les entreprises dans les cas suivants :

• Les informations personnelles non cryptées et non expurgées sont compromises.
• Leur adresse électronique, associée à un mot de passe ou à d'autres informations permettant d'accéder à un compte, a fait l'objet d'une intrusion.

FAQ sur la conformité à la CCPA

Vous souhaitez en savoir plus sur le respect de la loi sur la protection des données ? Vous trouverez ci-dessous les questions les plus fréquentes que nous recevons sur cette loi relative à la protection de la vie privée.

Qu'est-ce que l'ACCP ?

La CCPA est une loi adoptée en Californie qui définit les obligations des entreprises qui collectent et traitent les informations personnelles des utilisateurs et décrit les droits des citoyens.

Quand l'ACCP est-elle devenue active ?

Elle est entrée en vigueur le 1er janvier 2020 et a été modifiée par la loi sur les droits des consommateurs en matière de protection de la vie privée (CPRA) à partir du 1er janvier 2023.

Les parties de la CCPA non affectées par les amendements de l'ACPR restent en place.

Qui la CCPA protège-t-elle ?

La CCPA ne protège que les personnes physiques résidant en Californie. Si vous ne résidez pas en Californie, vous ne bénéficiez pas des droits relatifs à la confidentialité des données énoncés par la CCPA.

À qui s'applique le CCPA ?

La CCPA s'applique aux entités qui font des affaires en Californie et qui répondent à l'un des seuils suivants :

• Avoir réalisé un chiffre d'affaires annuel brut de 25 millions de dollars au 1er janvier de l'année civile précédente.
• achète, vend ou partage annuellement les informations personnelles de 100 000 consommateurs ou ménages californiens ou plus
• 50 % ou plus de votre revenu annuel brut provient de la vente ou de l'échange d'informations personnelles

Quelle est la différence entre l'ACCP et l'ACPR ?

L'ACPR est une série d'amendements rédigés pour adapter et mettre à jour certaines parties du CCPA. Ces deux textes sont désormais en vigueur et sont désignés collectivement par les termes "CCPA", "CCPA amendé" ou "CCPA tel qu'amendé".

Comment Termly aide votre entreprise à se conformer à la CCPA

Nos outils, générateurs et solutions de consentement juridiquement étayés peuvent aider votre entreprise à se conformer pleinement à toutes les facettes de la loi sur la protection des consommateurs et des amendements de l'ACPR.

Nous offrons toutes les ressources nécessaires aux entreprises :

• Générateur de politique de confidentialité
• Modèle de politique de confidentialité
• plateforme de gestion du consentement (CMP)
• Formulaires de demande d'accès de la personne concernée (DSAR ou SAR)
• Lien "Ne pas vendre ou partager mes informations personnelles".
• Lien "Limiter l'utilisation de mes informations personnelles".

Je vous expliquerai ensuite comment vous pouvez vous appuyer sur chacun de ces outils pour vous conformer pleinement à la loi sur la protection des consommateurs.

Générateurs et modèles de politiques

Vous pouvez utiliser notre Générateur de politique de confidentialité et notre modèle gratuit pour créer une politique de confidentialité conforme à la CCPA en quelques minutes.

Grâce à notre équipe juridique et à nos experts en matière de protection des données, nos solutions incluent les clauses et les informations requises par les récents amendements de l'ACPR.

Ils couvrent également les éléments suivants :

• Règlement général sur la protection des données (RGPD)
• Le RGPD britannique
• Loi californienne sur la protection de la vie privée en ligne(CalOPPA)
• Loi de Virginie sur la protection des données des consommateurs(CDPA)
• Loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE)

Avec notre site Générateur de politique de confidentialité, il vous suffit de répondre à quelques questions simples sur votre entreprise et nos outils créent pour vous une police conforme et facile à lire.

Pas de tracas, pas de stress, juste de la facilité.

Vous trouverez ci-dessous une capture d'écran de notre générateur conforme à la CCPA.

Vous pouvez également télécharger et personnaliser notre modèle gratuit et remplacer simplement les sections vierges du document par des informations sur votre entreprise.

Vous trouverez ci-dessous un exemple de ce à quoi ressemble notre modèle de politique de confidentialité ci-dessous.

Quelle que soit la solution que vous choisissez, vous pouvez être sûr que notre équipe juridique et nos experts en confidentialité des données ont vérifié tous nos générateurs et modèles. Ainsi, vous pouvez dormir sur vos deux oreilles en sachant que votre entreprise est prête à se conformer aux règles de protection de la vie privée.

Plateforme de gestion du consentement (CMP)

Notre plateforme de gestion du consentementNotre système de gestion des données, soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, peut facilement être configuré pour se conformer à toutes les exigences de la CCPA en matière de consentement.

Selon la loi, les consommateurs ont le droit de refuser certains types de traitement de données, et notre centre de préférence accessible répond à cette exigence légale.

De plus, vous pouvez personnaliser une page bannière de cookies et créer une page politique de cookies précise afin de tenir vos consommateurs californiens correctement informés.

Vous trouverez ci-dessous un exemple de nos outils CMP.

N'oubliez pas que les cookies et autres traceurs sont considérés comme des informations personnelles au sens de la CCPA et que les consommateurs ont le droit de savoir quelles sont les informations que vous suivez. Utilisez notre outil Analyseur de cookies pour auditer votre site web et localiser tous les cookies qu'il utilise actuellement.

Formulaires de demande d'accès de la personne concernée (DSAR ou SAR)

Dans le cadre de notre CMP, vous aurez accès à un formulaire DSAR ou SAR afin que vos consommateurs puissent facilement faire valoir leurs droits d'accès, de rectification ou de suppression de leurs données personnelles.

"Liens "Ne pas vendre ou partager mes informations personnelles" et "Limiter l'utilisation de mes informations personnelles

Notre site plateforme de gestion du consentement vous fournit également la mention "Ne pas vendre ou partager mes informations personnelles", que vous pouvez intégrer dans le pied de page de votre site web ou de votre application afin de satisfaire aux exigences de la section 1798.135(a)(3) de la loi, comme le montre la capture d'écran ci-dessous.

Afin de simplifier la procédure permettant à vos utilisateurs de faire valoir leurs droits en matière de protection de la vie privée, la CCPA stipule que vous pouvez combiner ce lien avec le lien "Limiter l'utilisation de mes informations personnelles sensibles", pour autant que les deux fonctions soient disponibles pour les consommateurs.

Résumé

Vous pouvez utiliser notre liste de contrôle pour mettre votre entreprise en conformité avec la loi sur la protection des consommateurs.

N'oubliez pas que vous aurez besoin d'une charte de confidentialité et d'un site politique de cookies, d'un site plateforme de gestion du consentement conforme, d'un formulaire DSAR ou d'un autre moyen permettant aux utilisateurs de faire valoir leurs droits, ainsi que des autorités de protection des données pour certains types de traitement.

Vous pouvez rédiger ces politiques vous-même, utiliser des modèles ou rendre le processus encore plus facile en accédant à notre gamme complète de générateurs de politiques de site web et de solutions de consentement conformes à la CCPA.

Écrit par Natasha Piirainen

Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

Lire tous les articles de Natasha Piirainen

Révisé par Josh Langeland, CIPM

Josh Langeland est ingénieur en protection de la vie privée et titulaire d'une licence en informatique de l'université du Minnesota. Il se passionne pour l'utilisation de la technologie au service du respect de la vie privée des utilisateurs et s'épanouit à la croisée des technologies complexes et des lois en constante évolution en matière de protection de la vie privée.

Lire tous les articles révisés par Josh Langeland, CIPM