Un guide pratique de Vos droits en matière de confidentialité en

Ce guide explique Vos droits en matière de confidentialité en de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Le California Consumer Privacy Act, élargi par le California Privacy Rights Act, donne aux résidents californiens des droits pratiques sur les informations personnelles détenues par les entreprises couvertes. Elle n'est pas identique au GDPR, mais elle est devenue l'une des lois sur la confidentialité les plus importantes pour les sites Web, les applications et les équipes marketing de US.

Ce guide est destiné aux consommateurs et aux équipes qui ont besoin de comprendre ce que les utilisateurs sont en droit de demander.

Qui est protégé par le CCPA ?

Le CCPA protège les résidents californiens. Une entreprise peut être couverte même si elle n'est pas physiquement située en Californie, à condition qu'elle exerce ses activités en Californie et respecte les seuils légaux.

La California Privacy Protection Agency explique dans sa FAQ que les informations personnelles sont larges. Il peut s'agir d'identifiants, d'activités de navigation, d'informations commerciales, de géolocalisation précise, de données biométriques, de déductions et d'informations personnelles sensibles telles que des identifiants gouvernementaux, des informations sur la santé, l'origine raciale ou ethnique, les croyances religieuses, l'appartenance syndicale et le contenu de certaines communications.

Vos droits principaux CCPA

Droit de savoir

Vous pouvez demander à une entreprise couverte quelles catégories d’informations personnelles elle a collectées, d’où elles proviennent, pourquoi elles ont été collectées, quelles catégories de tiers les ont reçues et si elles ont été vendues ou partagées.

Vous pouvez également demander des informations personnelles spécifiques, bien que les entreprises puissent retenir certaines valeurs sensibles pour des raisons de sécurité.

Droit de supprimer

Vous pouvez demander à une entreprise de supprimer les informations personnelles qu’elle a collectées auprès de vous. Ce droit connaît des exceptions. Une entreprise peut conserver les informations nécessaires pour finaliser une transaction, détecter des incidents de sécurité, se conformer aux obligations légales, exercer la liberté d'expression ou utiliser les informations en interne d'une manière compatible avec le contexte d'origine.

Droit de corriger

Vous pouvez demander à une entreprise de corriger des informations personnelles inexactes. Ceci est particulièrement important pour les données de profil, les données de compte, les enregistrements de facturation et les décisions d'éligibilité.

Droit de refuser la vente ou le partage

Le CCPA couvre bien plus que de simples ventes d'argent contre données. Le partage d’informations personnelles à des fins de publicité comportementale inter-contextuelle peut déclencher des droits de désinscription. Les sites Web qui vendent ou partagent des informations personnelles nécessitent généralement un mécanisme clair « Ne pas vendre ou partager mes informations personnelles ».

La Californie exige également que les entreprises respectent les signaux de préférence de désinscription valides dans de nombreux contextes. Le Global Privacy Control est le signal de navigateur le plus connu. L'ACPP a publié des documents sur les prochaines mises à jour réglementaires CCPA qui continuent de mettre l'accent sur les signaux de préférence de non-participation et le choix du consommateur.

Droit de limiter les informations personnelles sensibles

Vous pouvez limiter certaines utilisations et divulgations d’informations personnelles sensibles. Par exemple, une géolocalisation précise, des informations sur la santé et des identifiants gouvernementaux ne doivent pas être utilisés à des fins de profilage sans rapport si le consommateur a limité cette utilisation.

Droit à la non-discrimination

Une entreprise ne peut pas exercer de représailles contre vous pour avoir exercé les droits CCPA. Il ne peut pas refuser des biens ou des services, facturer un prix différent ou fournir un niveau de service différent parce que vous avez fait une demande de confidentialité, à moins qu'un programme d'incitation financière autorisé ne s'applique et ne soit correctement divulgué.

Comment exercer vos droits

Recherchez un lien vers la politique de confidentialité dans le pied de page du site Web. Une entreprise couverte doit expliquer les méthodes de demande, les étapes de vérification, les méthodes de désinscription et les catégories de données collectées.

Pour les demandes d’accès, de suppression ou de correction, vous devrez peut-être vérifier votre identité. Les entreprises ne devraient pas exiger plus d’informations que celles nécessaires à la vérification. Pour les demandes de désinscription, elles ne doivent généralement pas vous obliger à créer un compte.

Une demande pratique peut être courte :

Je suis un résident de Californie et j'exerce mes droits CCPA. Veuillez fournir les catégories et les éléments spécifiques d'informations personnelles que vous avez collectées à mon sujet, les catégories de sources, les objectifs, les catégories de tiers et si mes informations personnelles ont été vendues ou partagées. Veuillez également supprimer les informations personnelles qui ne font pas l’objet d’une exception.

Conservez une copie de la demande et de la date. Si vous utilisez un navigateur prenant en charge Global Privacy Control, activez-le comme signal supplémentaire.

Ce que les entreprises devraient apprendre du CCPA

Pour les équipes analytiques et marketing, le CCPA crée un véritable travail opérationnel :

• Sachez si votre fournisseur d'analyses reçoit des informations personnelles.
• Décidez si les intégrations publicitaires comptent comme une vente ou un partage.
• Honorez les signaux de préférence de désinscription.
• N'envoyez pas d'informations personnelles sensibles dans des événements d'analyse.
• Conservez une carte de données qui connecte les cookies, les pixels, les formulaires, les enregistrements CRM et les plateformes publicitaires.
• Rendez la suppression et la correction possibles entre les fournisseurs, et pas seulement dans votre base de données principale.

Les analyses axées sur la confidentialité réduisent le fardeau, car les mesures globales et sans cookies évitent de nombreux flux de données à haut risque. Si votre outil d'analyse n'identifie pas les visiteurs, ne définit pas de cookies de suivi et ne partage pas de données à des fins publicitaires, les opérations de CCPA deviennent plus simples.

CCPA contre GDPR

Le GDPR part d'un modèle de base légale : les organisations ont besoin d'une base juridique valide avant de traiter des données personnelles. Le CCPA est davantage axé sur le contrôle du consommateur : les entreprises peuvent traiter de nombreuses catégories d'informations mais doivent fournir des notifications, des droits d'accès, des droits de suppression et des désinscriptions pour la vente, le partage et l'utilisation de données sensibles.

La différence pratique est le fardeau. GDPR impose davantage de responsabilités aux organisations avant le début du traitement. CCPA offre aux consommateurs des outils puissants, mais ils doivent souvent remarquer le problème, trouver le contrôle et agir. C’est pourquoi la confidentialité dès la conception est importante. Une entreprise qui collecte moins de données crée moins de problèmes en matière de droits des consommateurs et moins de problèmes de confiance.

Quand une entreprise ne répond pas

Si une entreprise ignore une demande, donne une réponse incomplète ou rend la désinscription inutilement difficile, conservez des captures d'écran et des copies de la demande. Les résidents californiens peuvent déposer une plainte auprès de la California Privacy Protection Agency ou du procureur général de Californie. Pour les utilisateurs quotidiens, la première étape la plus efficace est généralement une demande écrite claire, suivie d’un rappel précisant le droit exercé.

Pour les entreprises, la leçon est de rendre opérationnelles les demandes de confidentialité avant qu’elles ne se transforment en plaintes. Un lien de pied de page ne suffit pas si le backend ne peut pas trouver, supprimer, corriger ou supprimer les données pertinentes.

CCPA Liste de contrôle des actions

Les consommateurs doivent connaître le droit qu'ils exercent : accès, suppression, correction, refus de vente, refus de partage pour la publicité comportementale inter-contextuelle, limitation des informations personnelles sensibles ou non-discrimination. Gardez la demande courte, enregistrez la date et conservez des captures d'écran si l'entreprise rend le processus difficile.

Les entreprises devraient traduire ces droits en contrôles opérationnels. Cartographier les cookies, les pixels, les formulaires, les enregistrements CRM, les fournisseurs d'enrichissement et les plateformes publicitaires ; distinguer la vente du partage ; honorer les signaux Global Privacy Control valides lorsque cela est nécessaire ; et évitez d’envoyer des données analytiques aux fournisseurs de publicité lorsque la mesure globale est suffisante.