Un guide pratique de CCPA et protection des données
TL;DR — Réponse rapide
6 min de lectureLes règles générales de partage de données du CCPA ont un impact direct sur l'analyse Web et le marketing. L'affaire Sephora a prouvé que les activités d'analyse de routine peuvent déclencher des violations et des règlements de plusieurs millions de dollars.
Ce guide explique CCPA et protection des données de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
Le California Consumer Privacy Act n’est pas une « loi sur les cookies » au sens européen du terme. Cela ne dit pas que chaque cookie analytique nécessite un consentement opt-in. Mais cela affecte absolument les cookies, les pixels, les balises publicitaires et les fournisseurs d’analyses, car il donne aux Californiens des droits sur la vente et le partage d’informations personnelles.
Pour les équipes marketing, la question pratique n’est pas « utilisons-nous des cookies ? La question est : « est-ce que nous divulguons, vendons, partageons ou permettons une publicité comportementale intercontextuelle avec des informations personnelles ? »
Pourquoi les données analytiques peuvent être des informations personnelles
La Californie définit les informations personnelles au sens large. La loi couvre les informations qui identifient, se rapportent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées à un consommateur ou à un foyer. Les documents CCPA du procureur général de Californie incluent identifiants en ligne et adresses IP dans ce cadre général.
Cela est important car de nombreux outils Web de routine collectent des identifiants même lorsque le propriétaire du site ne voit jamais de nom. Une plateforme d'analyse ou de publicité tierce peut recevoir :
- cookie IDs
- Emplacement dérivé de IP
- informations sur l'appareil et le navigateur
- page URL
- données de référence
- identifiants de clic sur l'annonce
- événements de conversion
- e-mails hachés ou client IDs, dans certaines configurations
Si ces données sont utilisées à des fins de publicité comportementale inter-contextuelle, de mesure auprès des clients, de création d'audience ou d'enrichissement de plateforme, les obligations CCPA peuvent s'appliquer.
Vente, partage et leçon Sephora
L'action coercitive de Sephora est le cas que toute équipe marketing devrait connaître. En 2022, le procureur général de Californie a annoncé un règlement de 1,2 million de dollars US avec Sephora alléguant que Sephora n'avait pas divulgué qu'elle vendait des informations personnelles, n'avait pas traité les demandes de désinscription envoyées via Global Privacy Control et n'avait pas remédié aux violations présumées.
Le détail important est que l’affaire concernait des pratiques courantes de suivi en ligne. La California AG a décrit des sociétés tierces recevant des informations sur les consommateurs, notamment via des technologies d'analyse et de publicité. Cela signifie qu'une entreprise n'a pas besoin de vendre une feuille de calcul à un courtier en données pour créer un risque CCPA. Autoriser les trackers tiers à collecter des informations personnelles sur votre site peut suffire.
Depuis les amendements CPRA, le « partage » est particulièrement important. Il couvre les divulgations liées à la publicité comportementale inter-contextuelle, même lorsque l'argent ne change pas de mains.
Global Privacy Control n'est pas facultatif
Le procureur général de Californie déclare que les entreprises couvertes par le CCPA doivent honorer un Global Privacy Control activé par l'utilisateur comme demande valide de refus de vente ou de partage. La California Privacy Protection Agency décrit également les signaux de préférence de désinscription comme des paramètres de navigateur ou d'extension qui envoient automatiquement le choix de désinscription d'un utilisateur.
En pratique, cela signifie que votre site doit détecter et agir sur GPC, le cas échéant. Une bannière de confidentialité qui ignore le signal du navigateur ne suffit pas. Si un visiteur a activé GPC, ne chargez pas de pixels publicitaires liés à la vente/au partage et n'envoyez pas de données aux fournisseurs pour la publicité comportementale inter-contextuelle, sauf si vous avez une raison légalement valable de le faire.
Ce que cela signifie pour les cookies
Sous CCPA, les cookies se répartissent en plusieurs catégories :
| Type de cookie ou de tag | Problème typique de CCPA |
|---|---|
| Cookies strictement nécessaires | généralement faible, mais divulgué dans la politique de confidentialité |
| Analyses globales de première partie | risque moindre s'il n'est pas partagé ou utilisé pour des publicités |
| Analyses tierces | examiner l'utilisation, les contrats et les divulgations des fournisseurs |
| Pixels de reciblage | risque élevé de vente/partage et de désinscription |
| Balises de conversion d'annonces | dépend des données envoyées et de l'utilisation du fournisseur |
| Salle blanche de données ou balises de conversion améliorées | risque élevé si les données des clients sont téléchargées |
L'architecture d'analyse la plus sûre est première, minimale et limitée à des objectifs précis. Si votre fournisseur d’analyses n’utilise pas les données des visiteurs des clients, ne crée pas de profils publicitaires, ne définit pas de cookies de suivi et ne vend ni ne partage d’informations personnelles, la conformité devient plus simple.
Une liste de contrôle CCPA pour l'analyse marketing
-
Mappez chaque balise tierce. Inclut Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, les outils de chat, les cartes thermiques, les scripts d'affiliation et les outils de test A/B.
-
Lisez les conditions du fournisseur. Déterminez si chaque fournisseur agit en tant que fournisseur de services/entrepreneur ou utilise les données à ses propres fins. Les étiquettes de contrat importent moins que l’utilisation réelle des données.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Classez les flux de données. Notez si la balise reçoit des identifiants, des pages URL, des noms d'événements, des hachages d'e-mails, des adresses IP ou des détails de transaction.
Avis de mise à jour. Votre politique de confidentialité doit expliquer les catégories d'informations personnelles collectées, les objectifs, les catégories de destinataires, les droits de conservation et de désinscription.
Mettez en œuvre des contrôles de désinscription. Fournissez un mécanisme « Ne pas vendre ou partager mes informations personnelles » lorsque cela est nécessaire et honorez GPC.
Balises à haut risque. Les balises de reciblage et de publicité intercontextuelle ne doivent pas se déclencher pour les utilisateurs qui se désengagent.
Réduisez les charges utiles des événements. N'envoyez pas de noms, d'e-mails, de compte IDs, de données de santé, de détails financiers ou de champs de formulaire libre à Analytics.
Conservez les preuves. Documentez la configuration, les décisions des fournisseurs, le comportement de consentement/de désinscription et les résultats des tests.
CCPA vs GDPR : ne mélangez pas les règles
GDPR et ePrivacy Directive nécessitent souvent un consentement préalable pour les cookies non essentiels et les technologies similaires en Europe. CCPA se concentre généralement sur les droits de notification, d'accès, de suppression, de correction et de désinscription, notamment en matière de vente/partage. Une configuration peut être acceptable sous un régime et pas sous l’autre.
Pour un site Web axé sur US, le plus grand risque CCPA réside souvent dans les balises marketing tierces incontrôlées. Pour un site Web orienté vers EU, les mêmes balises peuvent également nécessiter un consentement d'adhésion avant d'être chargées.
La voie axée sur la confidentialité
Une pile d'analyse pratique axée sur la confidentialité pour la conformité CCPA devrait :
- éviter les identifiants publicitaires tiers par défaut
- éviter d'utiliser des données analytiques pour la publicité comportementale inter-contextuelle
- collecter uniquement les mesures globales nécessaires à l'amélioration du site
- honorer GPC si nécessaire
- conserver l'attribution de la campagne dans les paramètres UTM, pas dans les profils utilisateur
- séparer l'analyse de l'enrichissement de la plateforme publicitaire
La conformité à CCPA est plus facile lorsque les analyses ne font pas partie d'un pipeline de surveillance publicitaire. Mesurez ce qui vous aide à améliorer le site. Ne collectez pas de données simplement parce qu’un gestionnaire de balises facilite la tâche.
Contrôles des balises marketing
Séparez la collecte de la vente et du partage. Une bannière de cookies peut gérer certains choix de collecte, mais une désinscription CCPA doit également indiquer si les informations personnelles sont vendues ou partagées à des fins de publicité comportementale intercontextuelle. Ne laissez pas les balises de reciblage, la conversion côté serveur APIs ou les synchronisations d'audience se déclencher après une désinscription applicable ou un signal GPC valide.
Conservez un registre de balises avec le propriétaire, l'objectif, les champs de données, le rôle du fournisseur, la catégorie de consentement, le comportement GPC, la règle de déclenchement et le chemin de suppression. Consultez-le chaque fois que le marketing ajoute une plate-forme ou modifie la mesure de la campagne.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de CCPA Conformité et analyse Web
Découvrez comment CCPA Conformité et analyse Web influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de CCPA vs RGPD
Découvrez comment CCPA vs RGPD influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de Comment les exigences de consentement GDPR
Comment les exigences de consentement GDPR s'appliquent à Web Analytics explique pourquoi les cookies d'analyse nécessitent un consentement préalable et à quoi doit ressembler un consentement valide dans la pratique.