Le California Consumer Privacy Act est l'une des lois sur la vie privée les plus influentes aux États-Unis. Étant donné que de nombreuses grandes entreprises technologiques ont leur siège en Californie, le CCPA a un impact considérable sur l'économie numérique.

Ce que couvre le CCPA

Le CCPA accorde aux résidents californiens des droits spécifiques en matière de vie privée et s'applique aux grandes entreprises ou à celles qui contrôlent des volumes importants d'informations personnelles, y compris les organisations situées en dehors de la Californie et même en dehors des États-Unis. Les agences gouvernementales et les organismes à but non lucratif sont généralement exemptés.

Les informations personnelles au sens du CCPA sont définies de manière large : toute information qui peut raisonnablement être associée à un consommateur ou à un foyer particulier, y compris les identifiants uniques présents dans les cookies.

Impact sur les cookies et l'analytique web

Bien que le CCPA ne contienne pas de règles spécifiques aux cookies, ses dispositions sur le partage de données avec des tiers affectent directement l'analytique web. Le partage d'informations personnelles avec des fournisseurs d'analytique ou de publicité peut constituer une « vente » au sens de la loi, déclenchant le droit de désinscription. Les entreprises doivent fournir des fenêtres d'information et des options de désinscription bien visibles. Le consentement préalable est requis avant la vente de données personnelles de mineurs de moins de 16 ans. Les entreprises doivent également respecter les signaux Global Privacy Control (GPC) des navigateurs.

L'affaire Sephora illustre ces obligations. Le détaillant de cosmétiques a conclu un accord à 1,2 million de dollars après avoir omis de divulguer le partage de données avec un fournisseur d'analytique, avoir échoué à respecter les demandes de désinscription et ne pas avoir corrigé les violations dans le délai imparti. Il est notable que l'entreprise ne vendait pas de données à des courtiers -- ce sont des activités courantes de marketing web et d'analytique qui ont déclenché la violation.

Implications pour le marketing direct

Bien que le CCPA ne réglemente pas spécifiquement le marketing direct, ses règles de partage de données restreignent la disponibilité des données tierces à des fins marketing. Des législations supplémentaires comme le Delete Act limiteront davantage la disponibilité des données pour les entreprises qui dépendent de l'enrichissement par des données tierces.

Protections des informations sensibles

Les consommateurs peuvent limiter l'utilisation et la divulgation d'informations sensibles -- y compris la géolocalisation précise, les données génétiques, l'orientation sexuelle et les identifiants financiers -- à ce qui est strictement nécessaire pour fournir les services demandés.

Le paysage plus large de la vie privée aux États-Unis

Le CCPA s'inscrit dans un environnement réglementaire fragmenté. En l'absence d'une législation fédérale complète sur la vie privée, les États ont promulgué leurs propres lois, créant une complexité de conformité pour les entreprises opérant au niveau national. La question de savoir si les projets de législation fédérale comme l'ADPPA se substitueront aux lois des États ou les compléteront reste ouverte.