CCPA Consent Management Requirement

Mis à jour : 22 nov 2019 : Le laboratoire technologique de l'IAB a publié la version finale du Cadre de conformité CCPA de l'IAB (v1), UniConsent a commencé à prendre en charge ce cadre.

Le California Consumer Privacy Act (CCPA) entre en vigueur le 1er janvier 2020 et peut influencer la manière dont votre site web est autorisé à traiter les informations personnelles des Californiens.

Le CCPA est une régulation similaire au Règlement général sur la protection des données (RGPD) de l'Europe.

Selon Adexchanger, le bureau du procureur général de la Californie a récemment publié le premier projet de ses règlements de mise en œuvre pour le California Consumer Privacy Act.

Le procureur général de Californie, Xavier Becerra, a déclaré : « Nos données personnelles alimentent l'économie actuelle axée sur les données et la richesse qu'elle génère. Il est temps que nous ayons le contrôle sur l'utilisation de nos données personnelles - cela inclut leur préservation. »

Le transfert d'informations personnelles à un tiers compte toujours comme une vente selon le CCPA.

Il existe des différences entre un tiers et un prestataire de services. Les prestataires de services n'ont pas à traiter les demandes d'accès et de suppression de données.

Le principe fondamental du CCPA est que les consommateurs ont le droit de refuser la vente de leurs informations personnelles.

La vente selon le CCPA signifie : vendre, louer, divulguer, diffuser, rendre disponible, transférer, ou communiquer d'une autre manière orale, écrite, électronique ou autre, les informations personnelles d'un consommateur à une autre entreprise ou à un tiers contre une contrepartie monétaire ou autre.

Termes du CCPA : Foyer : une personne ou un groupe de personnes ; Tiers : toutes les entités qui ne collectent pas directement les informations personnelles des consommateurs.

Informations personnelles dans le CCPA

• Identifiants tels que les cookies, les balises, les balises pixel, les numéros de téléphone, les adresses IP, les noms de compte.
• Données biométriques telles que le visage, la rétine, les empreintes digitales, l'ADN, les enregistrements vocaux, les données de santé.
• Données de géolocalisation telles que l'historique des emplacements via des appareils.
• Activité Internet telle que l'historique de navigation.
• Plus des données concernant les caractéristiques personnelles, le comportement, les convictions religieuses ou politiques, les préférences sexuelles, et ainsi de suite.

Ce que les entreprises doivent préparer pour la CCPA et l'exigence de gestion du consentement CCPA

1. Fournir un avis

Les entreprises sont tenues d'informer les consommateurs, soit au moment de la collecte, soit avant, des catégories de données personnelles qui seront collectées et de la manière dont ces données seront utilisées.

2. Bouton de refus clair

Les entreprises qui vendent des informations personnelles doivent inclure un bouton sur toutes les pages web collectant des données personnelles intitulé "Ne pas vendre mes informations personnelles" ou "Ne pas vendre mes infos" qui renvoie à l'avis.

3. Mise à jour de la politique de confidentialité

Les entreprises doivent mettre à jour leur politique de confidentialité, inclure des informations clairement rédigées sur les droits d'un consommateur en vertu de la CCPA, une liste des informations personnelles que l'entreprise a collectées sur les consommateurs au cours des 12 derniers mois, et des divulgations sur la vente éventuelle de ces informations.

4. Demande de refus et de suppression

Les entreprises doivent fournir un processus en deux étapes pour les demandes de suppression en ligne, dans lequel les consommateurs doivent confirmer séparément qu'ils veulent vraiment que leurs données soient supprimées.

Les entreprises peuvent se conformer aux demandes de suppression en "effaçant de manière permanente et complète" les informations personnelles de leurs systèmes existants, en dé-identifiant les données, ou en les agrégeant de manière à ce qu'elles ne soient plus identifiables à un individu.

Les entreprises devraient mettre en place un système de gestion du consentement CCPA comme le gestionnaire de consentement GDPR pour se préparer à la future loi.