Un guide pratique de CCPA Conformité et analyse Web

Ce guide explique CCPA Conformité et analyse Web de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

La conformité CCPA et l'analyse Web se rencontrent à un point pratique : la plupart des outils d'analyse collectent des identifiants en ligne, des données sur les appareils, l'activité de navigation, des informations de référence et des historiques d'événements. En vertu de la loi californienne sur la protection de la vie privée, ces signaux peuvent être considérés comme des informations personnelles lorsqu'ils identifient, se rapportent, décrivent ou peuvent raisonnablement être liés à un consommateur ou à un foyer.

Il ne s’agit pas d’un conseil juridique, mais d’un moyen utile pour les propriétaires de sites Web de structurer l’évaluation avant de choisir ou de configurer les analyses.

Ce que couvre le CCPA

Le California Consumer Privacy Act, tel que modifié par le CPRA, donne aux résidents californiens des droits sur les informations personnelles. Le procureur général de Californie décrit les droits qui incluent la connaissance des informations personnelles collectées, leur suppression, la correction des informations inexactes, le refus de la vente ou du partage, la limitation de l'utilisation des informations personnelles sensibles et la non-discrimination dans l'exercice des droits (California OAG).

La California Privacy Protection Agency explique également les seuils d'applicabilité actuels et les ressources d'application (FAQ CPPA).

Pour les équipes d’analyse, le point le plus important est que les « informations personnelles » sont plus larges que les noms et les adresses e-mail. Il peut inclure des identifiants en ligne, l'adresse IP, l'historique de navigation, l'historique de recherche, les interactions avec un site Web, la géolocalisation et les inférences.

L'analyse Web compte-t-elle comme des informations personnelles ?

Souvent, oui. Une configuration d'analyse typique peut collecter :

• Adresse IP ou emplacement dérivé de IP tronqué.
• Cookie IDs ou dispositif IDs.
• Informations sur le navigateur et l'appareil.
• Chemins de page et référents.
• Paramètres de campagne UTM.
• Événements tels que les démarrages de formulaires, les téléchargements et les achats.
• Localisation approximative.
• Utilisateur IDs si l'analyse est connectée aux comptes.

Même lorsqu'un rapport est agrégé, la collecte sous-jacente peut toujours impliquer des informations personnelles. La question de conformité ne concerne pas seulement ce qui apparaît dans le tableau de bord. Ce sont les données qui sont collectées, stockées, liées, partagées et conservées.

Vente, partage et publicité ciblée

La loi californienne fait la distinction entre la « vente » d’informations personnelles et leur « partage » à des fins de publicité comportementale inter-contextuelle. Si les données analytiques sont divulguées à une plateforme publicitaire ou utilisées pour cibler la publicité dans différents contextes, des obligations de désinscription peuvent s'appliquer.

C’est là que les propriétaires de sites Web doivent faire attention aux gestionnaires de balises. Un site peut commencer par des analyses, puis ajouter des pixels de remarketing, une conversion APIs, des synchronisations d'audience ou des intégrations de plateforme publicitaire. Ces ajouts peuvent modifier l’analyse juridique.

Demander:

• Le fournisseur d’analyses agit-il en tant que fournisseur de services/entrepreneur ou en tant que tiers indépendant ?
• Les données sont-elles utilisées uniquement pour vous fournir des analyses ?
• Est-il utilisé pour les produits publicitaires du fournisseur ?
• Est-ce combiné entre les clients ?
• Est-il partagé avec des réseaux publicitaires ou des courtiers de données ?
• Le site propose-t-il un lien « Ne pas vendre ou partager mes informations personnelles » si nécessaire ?
• Trait-il les signaux Global Privacy Control lorsque cela est nécessaire ?

Considérations sur Google Analytics

Google Analytics peut être configuré de différentes manières, mais il s'agit toujours d'un service d'analyse tiers connecté à l'écosystème plus large de Google. Google déclare qu'Analytics utilise des cookies tels que _ga pour distinguer les visiteurs (Confidentialité et conditions de Google). GA4 interagit également avec Consent Mode et les fonctionnalités de modélisation lorsque le consentement est refusé (Aide Google Tag Manager).

L'utilisation de GA4 sous CCPA peut nécessiter :

• Divulgation de la politique de confidentialité.
• Un accord signé avec un fournisseur de services ou de traitement des données, le cas échéant.
• Examen des paramètres de partage de données Google.
• Contrôles des fonctionnalités et des signaux publicitaires.
• Traitement de la désinscription pour la vente/le partage, le cas échéant.
• Contrôles du consentement ou des cookies dans les juridictions qui les exigent.
• Documentation interne sur les données transmises à Google.

Ne présumez pas que « l’anonymisation IP » ou les rapports agrégés résolvent à eux seuls le problème. L'examen doit couvrir les identifiants, les cookies, le partage, les fonctionnalités publicitaires, la conservation et les droits des utilisateurs.

Approche analytique axée sur la confidentialité

Les analyses axées sur la confidentialité peuvent réduire l'exposition à CCPA en évitant les informations personnelles inutiles en premier lieu. Rechercher:

• Aucun cookie d'analyse.
• Aucun identifiant intersite persistant.
• Pas de stockage IP complet.
• Aucune vente ni partage à des fins publicitaires.
• Rapports agrégés.
• Rétention courte pour les journaux bruts.
• Conditions DPA/fournisseur de services.
• Processus clairs d’exportation et de suppression de données.

Si un outil d’analyse ne collecte réellement pas d’informations personnelles, de nombreuses obligations CCPA liées à cet outil deviennent plus simples. Mais vérifiez l'affirmation. Vérifiez la documentation technique du fournisseur, le contrat, les sous-traitants et si URL, les chaînes de requête ou les événements personnalisés peuvent toujours inclure des informations personnelles.

Liste de contrôle pratique de conformité

1. Déterminez si votre entreprise est couverte par le CCPA/CPRA.
2. Inventoriez chaque analyse, gestionnaire de balises, pixel, carte thermique, relecture, test A/B et outil de conversion.
3. Identifiez les informations personnelles collectées par chaque outil.
4. Classez chaque relation fournisseur.
5. Vérifiez si des données sont vendues ou partagées à des fins de publicité comportementale intercontextuelle.
6. Mettez à jour les déclarations de confidentialité.
7. Mettez en œuvre des liens de désinscription et la gestion de Global Privacy Control si nécessaire.
8. Réduisez les propriétés des événements et supprimez les paramètres URL sensibles.
9. Fixez des limites de conservation.
10. Revérifiez la configuration chaque fois que le marketing ajoute une nouvelle balise.

La conformité à CCPA est plus facile lorsque le système d'analyse est petit, propriétaire et à objectif limité. Moins vous collectez et partagez d’informations personnelles, moins vous devez gérer de workflows de droits, de risques liés aux fournisseurs et de cas extrêmes de désinscription.

CCPA Liste de contrôle d'analyse

Confirmez si l'entreprise est couverte, y compris le seuil de revenus bruts mis à jour de la CPPA de 26 625 000 $ en vigueur le 1er janvier 2025. Ensuite, les analyses d'inventaire, les gestionnaires de balises, les pixels, les outils de relecture, les tests A/B, la conversion APIs et les fournisseurs d'enrichissement.

Pour chaque outil, classez les informations personnelles collectées, le rôle du fournisseur, la conservation, la vente, le partage pour la publicité comportementale intercontextuelle, le risque lié aux données sensibles, le chemin de désinscription et la gestion de Global Privacy Control. Si l'analyse globale répond à la question, évitez d'envoyer des données au niveau des visiteurs aux systèmes publicitaires.