ArticleUn guide de conformité du site Web de l'ACCP
Publié: 2022-08-12Obtenez des instructions étape par étape pour rendre votre site Web conforme au CCPA dans ce méga-guide de la California Consumer Privacy Act. Cela couvre :
- Qu'est-ce que le CCPA
- Exigences du site Web de l'ACCP pour les entreprises
- Comment rendre votre site Web conforme au CCPA
- Comment mettre à jour votre politique de confidentialité pour être conforme au CCPA
- Amendes et pénalités CCPA
Qu'est-ce que la California Consumer Privacy Act ?
Le 1er janvier 2020, la California Consumer Privacy Act est entrée en vigueur après la signature du projet de loi le 28 juin 2018 par le gouverneur Brown.
L'objectif était de renforcer le droit à la vie privée et la protection des consommateurs. Plus précisément, les résidents de Californie doivent être en mesure de :
- Savoir quelles données personnelles sont collectées à leur sujet.
- Savoir si leurs données personnelles sont vendues ou divulguées et à qui.
- Dites non à la vente de données personnelles.
- Accéder à leurs données personnelles.
- Demander à une entreprise de supprimer toute information personnelle sur un consommateur recueillie auprès de ce consommateur.
- Ne pas faire l'objet de discrimination pour avoir exercé leurs droits à la vie privée.
Désormais, les entreprises qui collectent des informations personnelles auprès des résidents de Californie doivent se conformer aux nouvelles lois sur la confidentialité. Même si votre entreprise n'opère pas en Californie, votre site Web doit toujours être conforme au CCPA si vous collectez des données personnelles sur les résidents de Californie. Cela inclut de nombreuses entreprises aux États-Unis.
Nous devrions clarifier – ces « données personnelles » sont en réalité des données d'utilisateur – il peut s'agir d'un nom, d'un e-mail ou d'un numéro de téléphone, d'une géo-région ou d'un comportement en ligne.
Donc, s'il y a une chance que votre entreprise collecte les données des résidents de Californie et que vous respectiez les directives spécifiées dans la section suivante, vous voudrez vous assurer de la conformité.
CCPA et RGPD
"Mais attendez, nous sommes déjà conformes au RGPD - n'est-ce pas la même chose ?"
Malheureusement non.
Le RGPD est similaire mais différent, et vous devez toujours respecter les lois du CCPA.
Et bien que cette loi ne couvre que la Californie, ce n'est que le premier État à promulguer une telle loi sur la confidentialité. À l'avenir, je m'attends à ce que la plupart des États adoptent un niveau de protection comme celui-ci, il est donc bon d'aller de l'avant maintenant.
Alors, quels types d'entreprises et de sites Web doivent se conformer au CCPA ?
Quels sites Web doivent être conformes au CCPA ?
Le CCPA s'applique à toute entreprise à but lucratif qui collecte et traite les données personnelles des consommateurs, qui fait des affaires en Californie et satisfait à au moins l'un des seuils suivants :
- A des revenus bruts annuels supérieurs à 25 millions de dollars.
- Achète ou vend les informations personnelles de 50 000 consommateurs ou ménages ou plus.
- Tire plus de la moitié de son chiffre d'affaires annuel de la vente des informations personnelles des consommateurs.
Les organisations sont tenues de « mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables » pour protéger les données des consommateurs.
Un résident californien est défini par la loi de l'État comme toute personne qui :
- Est en Californie à des fins autres que temporaires ou transitoires.
- Est domicilié en Californie, mais se trouve en dehors de l'État à des fins temporaires ou transitoires.
Comment rendre votre site Web conforme au CCPA
Voici l'essentiel de l'article - une présentation étape par étape des exigences du site Web de l'ACCP. Avant d'entrer dans les détails, voici votre aperçu de haut niveau des mises à jour nécessaires du site Web.
- Ajoutez un lien hypertexte sur votre page d'accueil indiquant "Ne vendez pas mes données personnelles" : ce lien doit conduire les internautes vers une page de destination.
- Créez une page de destination avec des options pour demander, déplacer, modifier ou supprimer des données : il y a plus que cela, mais nous donnerons toutes les exigences et quelques exemples dans la section suivante.
- Révisez votre politique de confidentialité : incluez un libellé indiquant le type d'informations que vous collectez, la manière dont vous utilisez les données personnelles, une description des droits des consommateurs, etc. Nous couvrirons la liste complète de tout ce que vous devez dire dans un instant.
Ce sont les trois principales modifications que vous apporterez à votre site Web pour assurer la conformité et éviter les amendes. Plongeons plus en détail dans ces trois livrables et montrons comment effectuer les mises à jour nécessaires.
1. Ajouter un lien hypertexte vers la page d'accueil indiquant "Ne vendez pas mes données personnelles"
Même si votre entreprise ne vend pas de données personnelles, vous avez toujours besoin d'un lien sur votre page d'accueil indiquant "Ne vendez pas mes données personnelles". Ce lien doit diriger les utilisateurs vers une page de destination.
Pour le lien lui-même, il n'y a pas de norme obligatoire pour la taille ou l'emplacement du lien. Ce que nous savons, c'est :
- Le lien doit être placé sur la page d'accueil.
- Le lien doit être présent, même si vous ne vendez pas de données personnelles.
- Le lien doit être clairement visible et cliquable - il ne peut pas être caché - c'est une autre façon dont une mauvaise expérience utilisateur peut vous coûter cher.
2. Créer une page de destination pour demander/supprimer des données
Lorsqu'une personne clique sur le lien de la page d'accueil, "Ne vendez pas mes données personnelles", elle sera redirigée vers cette page de destination.
Votre page de destination a besoin de trois éléments principaux :
- Une description de votre politique de vente de données personnelles : c'est ici que vous décrivez votre politique de collecte de données - le type de données que vous collectez, la manière dont vous utilisez ces données et votre politique de vente de données.
- Une description des droits à la vie privée protégés des résidents de Californie : en gros, vous devez informer les utilisateurs du nouveau niveau de protection offert par le CCPA et de leurs droits d'accès à toutes les données que vous avez pu collecter.
- Un formulaire : cela permet aux personnes qui souhaitent demander, déplacer, modifier ou supprimer des données de faire exactement cela. Dans le formulaire, vous devez inclure la possibilité pour les personnes de sélectionner ce que vous faites avec les données.
Offrez une deuxième option pour demander des données
Le CCPA exige que vous mettiez deux méthodes ou plus à la disposition des consommateurs pour effectuer des demandes liées aux données et exercer leurs droits en matière de protection des données.
Donc, fondamentalement, vous avez besoin de deux options pour que les gens demandent ou suppriment des données.
Cette page de destination compte pour une option. La deuxième option devrait être un numéro sans frais. Vous pouvez bien sûr proposer plus de deux méthodes, mais les deux premières sont obligatoires.
Conseils pour créer une page de destination CCPA
Astuce 1 : Si vous ne vendez pas de données, tant mieux – vous devriez le dire. Mais vous devez toujours donner aux utilisateurs la possibilité de demander, déplacer, modifier ou supprimer des données personnelles.
Astuce 2 : Vous devez placer un formulaire sur la page de destination qui permet aux utilisateurs de demander ou de supprimer des données. Je recommanderais de créer une option de champ déroulant qui permet aux utilisateurs de sélectionner la manière dont ils souhaitent que les données soient traitées : demandées pour l'affichage, le déplacement, la modification ou la suppression de données personnelles.
Astuce 3 : La page de destination n'a pas besoin d'être sophistiquée, mais elle doit être claire et directe.
Astuce 4 : Vous pouvez tout dire sur cette page de destination, vous devez donc ajouter un lien clair et évident vers la politique de confidentialité pour plus d'informations.
Conseil 5 : Bien que cela ne soit pas obligatoire, il est recommandé de donner aux utilisateurs un « message de réussite » qui confirme que la demande a été reçue et que vous vous efforcez de fournir ou de modifier les données comme ils l'ont spécifié.
La façon la plus simple de le faire est de diriger les gens vers une page de remerciement après avoir soumis le formulaire. La page doit contenir un simple message de confirmation du type : "Nous avons reçu votre demande et vous fournirons les informations dans un délai de 30 jours ou moins."
Cette page de remerciement doit également inclure un lien vers la politique de confidentialité, au cas où l'utilisateur souhaite plus d'informations sur votre politique de collecte de données.
3. Révisez votre politique de confidentialité
Honnêtement, vous allez vouloir impliquer votre équipe juridique pour vous aider. Mais vous pouvez faire beaucoup de gros travaux en ce moment.
Je suppose que si vous êtes arrivé jusqu'ici, vous êtes soit un spécialiste du marketing pour une entreprise, soit un employé au sein d'une entreprise elle-même. Dans tous les cas, vous devriez avoir accès à une équipe juridique pour peaufiner le langage de la politique de confidentialité. MAIS - vous devrez toujours fournir le type de données que vous collectez et la raison pour laquelle vous le faites à l'équipe juridique.
Tout d'abord, nous examinerons tout ce que votre politique de confidentialité mise à jour doit divulguer. Ensuite, nous vous proposerons des conseils sur les informations dont vous avez besoin pour transmettre à l'équipe juridique.
Votre politique de confidentialité doit divulguer :
- Une description des droits des consommateurs en vertu du CCPA ;
- Une description d'au moins une méthode désignée permettant aux consommateurs de leur soumettre des demandes CCPA ;
- Une liste des catégories d'informations personnelles sur les consommateurs qu'ils ont collectées au cours des 12 derniers mois ;
- Une liste des catégories d'informations personnelles qu'ils ont vendues au cours des 12 derniers mois (ou, si les entreprises n'ont pas vendu d'informations personnelles, elles doivent l'indiquer ); et
- Une liste des catégories d'informations personnelles qu'ils ont divulguées (non vendues) à des fins commerciales au cours des 12 derniers mois (ou, s'ils n'ont pas divulgué d'informations personnelles, ils doivent l'indiquer).
En vertu du CCPA, les entreprises réglementées doivent mettre à jour leurs politiques de confidentialité au moins une fois tous les 12 mois.
Conseils pour réviser votre politique de confidentialité pour le CCPA
Nous avons travaillé avec des clients pour devenir conformes au CCPA, et jusqu'à présent, le plus gros problème semble être la politique de confidentialité.
Astuce 1 : Vous pouvez ajouter beaucoup de clarté - et accélérer le processus - si vous donnez à votre équipe juridique une liste complète de tous les types de données que vous collectez. Des données comme :
- Nom et prénom
- Numéro de téléphone
- Région Ge0
- Indicatif régional
- Type d'informations téléchargées depuis votre site Web
- adresse IP
- Données sur l'emploi professionnel
Tout cela et plus encore. Fondamentalement, répertoriez littéralement tous les types d'informations que les utilisateurs du site Web peuvent vous fournir.
Astuce 2 : N'oubliez pas les microsites ou sous-domaines que vous possédez, ainsi que les informations que vous collectez à partir de ces sources.
Astuce 3 : En fin de compte, votre équipe juridique rédigera la politique de confidentialité, il peut donc être utile de leur donner une description de la manière dont vous, le responsable marketing ou l'employé responsable de la collecte des données, utilisez les données. Cela peut les aider à déterminer ce qui doit figurer dans la politique de confidentialité.
Astuce 4 : Le CCPA ne vous empêche pas de vendre des données, mais si vous le faites, vous devez divulguer et autoriser les utilisateurs à se retirer.
Remarque des rédacteurs : nous ne travaillons avec aucun client qui vend les données personnelles de leurs utilisateurs, mais nous suivons toujours les exigences du CCPA, juste au cas où.
Astuce 5 : SI vous vendez des données pour des mineurs de 13 à 16 ans, vous devez obtenir un consentement préalable avant de vendre leurs données. Pour les mineurs de moins de 13 ans, vous avez besoin du consentement de leurs parents ou tuteurs.
Note des rédacteurs : Écoutez, si vous êtes quelqu'un qui vend les données des gens, ne le faites pas. C'est nul et tu le sais.
Astuce 6 : Assurez-vous de conserver tous les consentements obtenus des mineurs, des parents ou des tuteurs.
Astuce 7 : Conservez la documentation de toutes les personnes qui ont donné ou refusé leur consentement, ainsi que la date à laquelle elles ont soumis la demande.
Astuce 8 : utilisez-vous un CRM ? Si tel est le cas, vous devez le spécifier, ainsi que toute autre source où les données pourraient être collectées ou traitées.
Amendes CCPA et comment les éviter
La non-conformité vous coûtera cher.
Non seulement des amendes énormes, mais le procureur général peut engager une action civile contre vous ou votre entreprise si vous restez non conforme 30 jours après avoir été informé d'une violation.
Et c'est une amende de 7 500 $ par infraction. Ainsi, si vous violez les droits CCPA de 1000 utilisateurs, vous pourriez recevoir une amende de 7 500 000 $.
Une dernière chose
Félicitations - non seulement vous avez atteint la fin de ce guide CCPA de 2 000 mots, mais maintenant, vous devriez avoir tout le nécessaire pour répondre aux exigences du site Web CCPA.
Une chose est sûre - le CCPA ne va pas disparaître de sitôt, et ces réglementations ne manqueront pas de s'étendre à d'autres États. Déjà, nous intégrons un processus de conformité CCPA dans chaque site Web que nous créons.
Et une dernière chose - la conformité au CCPA exige une quantité de travail décente. Si cela devient écrasant ou si vous souhaitez qu'une autre paire d'yeux vérifie votre conformité, appelez BrandExtract. Nous pouvons nous connecter et vous aider à rendre votre conformité à l'épreuve des balles (ou des amendes) ou simplement gérer le processus pour vous.