Un guide pratique de CCPA vs CPRA
TL;DR — Réponse rapide
5 min de lectureLe CPRA a considérablement renforcé le CCPA en ajoutant des exigences de minimisation des données, des protections des données sensibles, des droits de non-participation étendus et une agence d'application dédiée.
Ce guide explique CCPA vs CPRA de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
CCPA vs CPRA est une expression légèrement trompeuse car le CPRA n'a pas remplacé le CCPA par une loi distincte sur la confidentialité. Il l'a modifié et élargi. Les régulateurs californiens font désormais généralement référence à la loi sous le nom de CCPA « telle que modifiée » par le CPRA, comme l'explique le procureur général de Californie.
Pour les entreprises, la question pratique n’est pas de savoir quel acronyme utiliser. Il s'agit de savoir si vos notifications, flux de désinscription, outils d'analyse, pixels publicitaires, règles de conservation des données et contrats de fournisseurs reflètent les exigences post-CPRA plus strictes qui ont commencé à s'appliquer en 2023.
Ce que le CCPA original a créé
Le CCPA donne aux consommateurs californiens des droits sur les informations personnelles collectées par les entreprises couvertes. Les droits fondamentaux comprennent :
- Savoir quelles informations personnelles une entreprise collecte, utilise, partage ou vend.
- Suppression des informations personnelles, sous réserve d'exceptions.
- Refus de la vente d'informations personnelles.
- Non-discrimination dans l'exercice du droit à la vie privée.
La loi originale était déjà large car les « informations personnelles » incluent les identifiants, l'activité Internet, la géolocalisation, les déductions et les informations liées ou raisonnablement liées à un foyer ou à un consommateur.
Pour les équipes d'analyse et de publicité, le problème le plus important de CCPA était le concept de « vente ». De nombreuses entreprises pensaient que la vente signifiait échanger des données contre de l’argent. La définition de la Californie était plus large et incluait certains partages pour une considération précieuse.
Ce que le CPRA a changé
Le CPRA a élargi la loi de plusieurs manières importantes pour l'analyse Web et le marketing.
Le partage est devenu une activité réglementée à part entière. Le CPRA a ajouté le droit de refuser le « partage » d'informations personnelles à des fins de publicité comportementale intercontextuelle. Cela compte même si aucun argent ne change de mains. Si un site Web envoie des identifiants ou des données d'événement à un réseau publicitaire afin que les publicités puissent être ciblées sur plusieurs sites, cela peut déclencher des obligations de désinscription.
Les informations personnelles sensibles sont devenues une catégorie spéciale. Les consommateurs ont obtenu le droit de limiter l'utilisation et la divulgation de leurs informations personnelles sensibles. Les informations sensibles comprennent des catégories telles que la géolocalisation précise, l'origine raciale ou ethnique, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les informations biométriques, les informations sur la santé, la vie sexuelle ou l'orientation sexuelle et certains identifiants de compte.
Des droits de correction ont été ajoutés. Les consommateurs peuvent demander aux entreprises de corriger des informations personnelles inexactes.
La minimisation des données est devenue plus explicite. La California Privacy Protection Agency a souligné que la minimisation des données est un principe fondamental de CCPA, y compris dans son avis d'application de 2024. Les entreprises doivent collecter, utiliser, conserver et partager des informations personnelles uniquement dans la mesure raisonnablement nécessaire et proportionnée aux fins divulguées.
Une agence dédiée a été créée. La CPRA a créé la California Privacy Protection Agency (CPPA), dotée d'un pouvoir d'élaboration et d'application des règles (Page des réglementations CPPA).
Pourquoi les équipes d'analyse devraient s'en soucier
Une configuration d'analyse standard peut impliquer des informations personnelles en vertu de la loi californienne. L'adresse IP, les identifiants d'appareil, le cookie IDs, la publicité mobile IDs, le comportement de navigation, la page URL, les données de référence et les intérêts déduits peuvent tous être pertinents.
Le plus grand risque n’est pas une simple mesure de première partie. Il s'agit d'envoyer des événements d'analyse à des tiers qui utilisent les données pour leur propre publicité, profilage, amélioration de produits ou enrichissement des données. Sous CPRA, il peut s'agir d'un « partage » même lorsque le fournisseur appelle l'analyse d'intégration.
Examinez attentivement ces outils :
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
- Google Analytics avec fonctionnalités publicitaires.
- Métapixel et conversions API.
- TikTok, LinkedIn, Pinterest et X pixels.
- Outils de cartographie thermique et de relecture de session.
- Salles blanches de données et plateformes de données clients.
- Attribution mobile SDKs.
- Fournisseurs d’enrichissement et de résolution d’identité.
Conséquences en matière de notification et de désinscription
Un avis de confidentialité conforme doit décrire les catégories d’informations personnelles, les finalités, les périodes ou critères de conservation, les catégories de tiers et les droits. Si vous vendez ou partagez des informations personnelles, vous avez besoin d'un mécanisme « Ne pas vendre ou partager mes informations personnelles ». Les entreprises doivent également gérer les signaux de préférence de désinscription lorsque cela est nécessaire, y compris Global Privacy Control dans de nombreux contextes.
N’enfouissez pas cela dans une bannière de cookies. Le consentement aux cookies, les désinscriptions CCPA et le consentement GDPR sont liés mais pas identiques. La désinscription du partage par un consommateur californien devrait mettre fin aux divulgations de publicités comportementales inter-contextuelles, et pas simplement cacher une bannière.
CCPA vs CPRA pour des analyses axées sur la confidentialité
L'analyse axée sur la confidentialité réduit l'exposition à CPRA en évitant les identifiants inter-contextuels et le partage de technologies publicitaires. Une configuration plus sûre ressemble à ceci :
- Pas de cookies publicitaires tiers.
- Aucun partage de données d'événement avec les réseaux publicitaires.
- Aucun profil de visiteur persistant pour le ciblage intersites.
- Rapports agrégés pour les pages vues, les référents, les campagnes et les conversions.
- Propriétés d'événement qui évitent les e-mails, les noms, le compte IDs et l'emplacement précis.
- Un calendrier de rétention clair.
- Contrats de fournisseurs qui limitent l'utilisation secondaire.
Cela ne signifie pas que les analyses axées sur la confidentialité sont exemptées du CCPA. Cela signifie que la surface de conformité est plus petite et plus facile à expliquer.
Liste de contrôle de révision pratique
Posez ces questions lors d'un examen CPRA :
- Des fournisseurs d’analyse ou de marketing reçoivent-ils des informations personnelles ?
- N’importe quel fournisseur peut-il utiliser ces données à ses propres fins ?
- Partagez-vous des données pour la publicité comportementale intercontextuelle ?
- Les avis décrivent-ils séparément les analyses et la publicité ?
- Les choix de désinscription suppriment-ils réellement les pixels, les appels SDK et les événements côté serveur ?
- Les champs de données sensibles sont-ils exclus des événements d'analyse ?
- Les périodes de conservation sont-elles documentées et appliquées ?
- Pouvez-vous honorer les demandes de suppression et de correction de tous les fournisseurs ?
La leçon du CPRA est simple : la conformité en matière de confidentialité atteint désormais la pile de mesures. Si les données analytiques peuvent suivre les personnes dans tous les contextes, il ne s’agit plus uniquement de rapports. Il s’agit d’une infrastructure publicitaire réglementée.
Liste de contrôle de révision CPRA
Examinez l’analyse et le marketing en tant que flux de données distincts. La vente et le partage ne sont pas la même chose : la vente peut impliquer un échange de valeur, tandis que le partage couvre spécifiquement les divulgations pour la publicité comportementale inter-contextuelle. Les deux peuvent nécessiter un traitement de désinscription, et des signaux de préférence de désinscription valides tels que Global Privacy Control doivent être respectés si nécessaire.
Pour chaque fournisseur, indiquez si les données sont utilisées uniquement pour fournir votre service, si elles alimentent des publicités ou des ensembles de données inter-clients, si des données sensibles peuvent apparaître dans URL ou dans des événements, et si les désinscriptions suppriment à la fois les pixels du navigateur et les événements côté serveur.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de Vos droits en matière de confidentialité en
Découvrez comment Vos droits en matière de confidentialité en influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de pratiques de marketing ethique
Découvrez comment pratiques de marketing ethique influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.
Un guide pratique de CCPA Conformité et analyse Web
Découvrez comment CCPA Conformité et analyse Web influence les analytics respectueux de la vie privée, la qualité de mesure et les décisions concrètes pour un site web.