C'est vivant! Préparez-vous aux règlements de l'ACPL et à la nouvelle législation sur la confidentialité des données

La législation sur la confidentialité des données prend de l'ampleur : des projets de loi sur la confidentialité plus complets ont été proposés et adoptés au niveau des États que jamais auparavant. Mais aucun n'est aussi vaste que ce qui arrive dans l'État de Californie.

La California Privacy Rights Act (CPRA) est entrée en vigueur le 1er janvier 2023 et son application commencera le 1er juillet 2023. La CPRA représente à la fois une clarification et un élargissement de la California Consumer Privacy Act (CCPA) ; ensemble, ils constitueront les lois sur la confidentialité les plus strictes du pays.

Alors, qu'est-ce que cela signifie pour votre entreprise ? D'une part, si votre stratégie marketing est en danger de non-conformité et que vous faites des affaires (y compris des ventes en ligne) dans l'État de Californie, vous devez placer la confidentialité en haut de votre liste de priorités.

Aperçu : CPRA contre CCPA et autres lois sur la confidentialité des données entrant en vigueur en 2023

Vous êtes probablement au courant d'une multitude de délais modifiés et d'horaires ajustés autour de l'ACPL qui ont été annoncés à la fin de 2022, mais ils ne modifient pas le calendrier d'application précédemment établi. Alors passons aux choses sérieuses.

Le CPRA était une mesure de vote qui a vu le jour parce qu'il y avait des zones grises dans le CCPA original qui laissaient de nombreuses questions sans réponse, en particulier autour de la définition des informations personnellement identifiables (PII) et des différents types de collecte de données.

Roue à rayons

Les autres lois sur la confidentialité des États en dehors de la Californie qui entreront en vigueur en 2023 sont :

• Colorado Privacy Act (CPA) : En vigueur le 1er juillet 2023
• Loi du Connecticut concernant la confidentialité des données personnelles et la surveillance en ligne (CTDPA) : entrée en vigueur le 1er juillet 2023
• Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA) : en vigueur le 31 décembre 2023
• Loi de Virginie sur la protection des données des consommateurs (CDPA) : entrée en vigueur le 1er janvier 2023

À l'instar de l'ACPL, toutes ces lois d'État contiennent des dispositions sur les droits des consommateurs, ainsi que leurs propres interprétations de ce qui constitue des renseignements personnels sensibles. Mais il est très important de savoir qu'ils sont tous différents. Il n'existe pas de solution unique pour le respect de la vie privée dans tous les États.

C'est là qu'intervient votre service juridique. Vous devez mettre en place une communication régulière avec votre équipe juridique pour garder une longueur d'avance sur les nouvelles règles et réglementations qui pourraient avoir un impact sur votre entreprise cette année et à l'avenir.

Les changements : l'ACPL a modifié les règlements concernant les renseignements personnels personnels et le partage de données

Bien que l'ACRP soit déjà en vigueur, les règles finales basées sur les réglementations modifiées ne seront publiées qu'en avril 2023 après un bref retard de la California Privacy Protection Agency (CPPA).

Certains des changements apportés par la CPRA comprennent le renforcement des limites sur le partage de données et la fourniture de directives plus claires sur la façon dont les spécialistes du marketing peuvent utiliser ce que la loi définit comme des informations personnelles « potentiellement sensibles », notamment :

• Numéro de sécurité sociale ou de permis de conduire
• Numéro de carte d'identité ou de passeport
• Détails de connexion du consommateur
• Géolocalisation
• Comptes financiers, y compris les numéros de carte de débit/crédit ainsi que toute vérification ou mot de passe lié au compte
• Course
• Origine ethnique
• Religion
• Données génétiques
• Données biométriques
• Communications privées
• Orientation sexuelle
• Information sur la santé

L'un des plus grands débats qui ont mené à l'ACPL était le langage ambigu de l'exigence « Ne pas vendre » de l'ACCP. En vertu de la nouvelle loi, les entreprises doivent désormais permettre aux consommateurs de refuser à la fois de vendre et de partager leurs informations avec une option obligatoire « Ne pas vendre ni partager mes informations » sur leurs sites Web.

Si vous partagez des données avec un tiers qui n'était pas autorisé à l'origine, vous êtes tenu par la loi d'autoriser les utilisateurs à se retirer. Il y a deux parties à considérer :

• Identité réelle : les informations personnellement identifiables (PII) d'un utilisateur qui sont capturées sur place
• Identité passive : cookies et identifiants de navigateur, ou tout ce qui suit automatiquement les utilisateurs

Pendant que les réglementations actuelles sont en cours de finalisation, vous pouvez vous attendre à des réglementations supplémentaires à l'avenir. L'article 1798.185 de la CPRA autorise la CPPA à « solliciter une large participation du public et à adopter des règlements pour promouvoir les objectifs du présent titre (la CPRA) ». Cela offre une large marge de manœuvre pour des règles et restrictions supplémentaires, allant de l'ajout de nouvelles catégories d'informations personnelles liées à la confidentialité des données à l'établissement de nouvelles procédures liées au partage d'informations personnelles et au refus de la vente de données personnelles.

Par rapport aux lois en vigueur dans les quatre autres États, la Californie offre de loin la protection la plus légale pour la confidentialité des données des consommateurs. Mais rappelez-vous : la conformité en Californie ne signifie pas automatiquement la conformité ailleurs.

OneTrust

Les effets : à quoi s'attendre de l'application de la loi par l'ACPL

Sous le CCPA, l'application de la loi est restée un gros point d'interrogation, mais attendez-vous à ce que la Californie fasse monter la pression avec l'ACPL. L'amende de 1,2 million de dollars infligée à Sephora pour avoir enfreint le CCPA en 2022 devrait servir de coup de semonce aux marques qui pensaient pouvoir passer à côté.

Au cas où vous n'étiez pas sûr que la Californie était sérieuse, la création du CPPA devrait être un signe clair ; ils succèderont au procureur général de Californie (AG) pour superviser la conformité, les futures règles et les sanctions en cas de violation de la loi. L'ACPL élimine également la période de « guérison » de 30 jours avant d'être condamné à une amende pour une infraction, laissant plutôt la décision à la discrétion de l'AG et/ou de l'ACPP en fonction de l'intention (ou de l'absence d'intention) de l'organisation d'enfreindre la loi.

OneTrust

Il est moins certain de savoir comment l'application se déroulera dans les quatre États où la législation entre en vigueur pour la première fois; ce que nous savons, c'est que l'application et les sanctions seront différentes dans chaque État. Que ce soit en Californie ou ailleurs, il y aura des conséquences pour les violations qui peuvent nuire financièrement à votre entreprise et mettre en danger votre réputation auprès de vos clients.

Conformité CPRA : comment travailler avec votre équipe juridique

Ce que les marques peuvent faire maintenant, c'est agir comme si la réglementation et l'application finales étaient déjà en place. Si vous n'êtes pas sûr de ce que cela signifie, contactez votre équipe juridique et cherchez des moyens de travailler ensemble pour vous assurer que votre entreprise est conforme.

Il existe plusieurs façons de commencer ce travail avec votre équipe juridique :

• Cartographiez vos silos de données : même les organisations dotées de processus de gestion et de stockage de données raffinés peuvent constater que certaines données sont cloisonnées au sein de leur organisation. Il est essentiel de développer une carte complète définissant quelles données sont stockées, où elles sont stockées et l'objectif du silo. Idéalement, vous chercheriez à briser ces silos, mais la première étape consiste à déterminer où se trouvent les données.
• Fournir des informations complètes sur les cas d'utilisation : les équipes juridiques chercheront souvent à bloquer complètement les flux de données s'ils peuvent créer un risque pour l'organisation. En l'absence de contexte, par exemple, les équipes juridiques peuvent conseiller à leurs équipes d'activer le traitement restreint des données dans un compte Google Ads. Cela s'appliquerait en fait à tous les résidents soumis aux lois régionales sur les données, et pas seulement à ceux qui ont exercé leur droit de retrait. Bien que cette approche puisse fournir une protection juridique absolue, elle aura également un impact sur l'efficacité du marketing (et c'est quelque chose que les marques devront comprendre afin de déterminer le bon équilibre entre ces compromis.) Il est également essentiel que les équipes juridiques maintiennent une complète ligne de mire afin qu'ils soient en mesure de maintenir une politique de confidentialité complète et à jour sur votre site Web reflétant la nature de la façon dont ces données sont utilisées aujourd'hui (beaucoup de choses peuvent changer en quelques mois seulement !)
• Calculez l'impact estimé des mesures de conformité : si vous bloquez tout suivi pour les consommateurs dans une région donnée, calculez l'étendue estimée de la couverture et fournissez divers scénarios de perte d'efficacité. Par exemple, si vous avez 100 000 clients par an et que 12 % d'entre eux sont basés en Californie, vous pouvez utiliser vos données de coût par acquisition (CPA) existantes pour montrer l'impact d'une baisse de l'efficacité des médias de 10 % ou 20 % (ou plus ). Cela peut se produire parce que les CPA augmentent ou que l'acquisition de clients diminue. Vous pouvez utiliser votre travail pour aider vos équipes à comprendre l'ampleur de l'impact fiscal lors de la mise en œuvre des opt-outs universels. Parce qu'il est difficile d'estimer réellement cet impact à l'avance, ces exemples à l'échelle inciteront d'autres dirigeants d'organisations à prêter attention et à travailler avec vous et votre équipe juridique pour trouver une solution viable qui garantit que les consommateurs sont en mesure d'exercer leurs droits tout en atténuant le risque fiscal. au résultat net de la marque.
• Discutez du rôle et de l'utilisation d'une plate-forme de gestion du consentement (CMP) : la manière dont les consommateurs exercent leurs droits de refuser le partage de données ou de voir leurs données purgées est d'une importance cruciale. Toutes les solutions CMP ne se valent pas. Certains, comme CookieBot, sont juste conçus pour bloquer les cookies (et donc le suivi des publicités), tandis que d'autres, comme OneTrust, sont plus complets. Vous devrez trouver la bonne solution pour votre entreprise qui vous maintiendra en conformité et assurera le fonctionnement de votre marketing.
• Alignez-vous sur le langage que vous utilisez pour éduquer les consommateurs : discutez des différentes manières d'éduquer les consommateurs sur l'utilisation des données avec votre équipe juridique. Sans contexte, de nombreux consommateurs pourraient supposer le pire scénario. Mais si vous fournissez des exemples clairs de la façon dont vous utilisez leurs données et des limites que vous avez définies, vous constaterez peut-être que les consommateurs sont plus ouverts au partage de leurs données. Il n'est jamais approprié d'offrir des incitations pour empêcher les consommateurs d'exercer leurs droits, mais votre équipe juridique peut fournir des conseils spécifiques sur ce que vous pouvez et ne pouvez pas dire aux consommateurs lorsqu'ils envisagent de se retirer.

N'oubliez pas : la conformité n'est pas facultative. Anticipez dès maintenant les défis futurs en faisant équipe avec votre service juridique et en trouvant la meilleure voie à suivre.

Téléchargez State of the Data 2023: The Path to Profitability Requires Privacy Compliance pour en savoir plus sur la législation à venir et les exigences de conformité qui affecteront votre entreprise.