Un guide pratique de Quand le CCPA s’applique-t-il

Ce guide explique Quand le CCPA s’applique-t-il de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Quand le CCPA s’applique-t-il ? La réponse courte est la suivante : lorsqu'une entreprise à but lucratif couverte exerce ses activités en Californie, collecte les informations personnelles des résidents californiens et atteint au moins un seuil légal.

La réponse la plus longue est importante, car les pratiques d'analyse et de publicité de routine peuvent contribuer à l'analyse. Il n’est pas nécessaire qu’une entreprise ait son siège social en Californie pour avoir des obligations californiennes en matière de confidentialité.

Le test d'applicabilité de base

Le FAQ de la California Privacy Protection Agency répertorie les principaux seuils pour une entreprise couverte. Depuis le FAQ public actuel du CPPA, la loi s'applique aux entreprises à but lucratif exerçant leurs activités en Californie qui collectent des informations personnelles sur les résidents californiens et remplissent au moins une de ces conditions :

• Revenu annuel brut de 26,625 millions de dollars ou plus pour l'année civile précédente, à compter du 1er janvier 2025.
• Achetez, vendez ou partagez les informations personnelles de 100 000 résidents ou ménages californiens ou plus.
• Tirer 50 % ou plus de vos revenus annuels de la vente ou du partage des informations personnelles des résidents californiens.

Étant donné que le chiffre d'affaires est ajusté en fonction de l'inflation, vérifiez le chiffre actuel avec le CPPA plutôt que de copier l'ancien langage « 25 millions de dollars ». L'agence publie des seuils monétaires mis à jour et des FAQ (CPPA mise à jour du seuil, CPPA FAQ).

« Faire des affaires en Californie » est plus vaste que d'avoir un bureau

Une entreprise en dehors de la Californie peut toujours entrer dans le champ d'application si elle exerce des activités dans l'État, collecte les informations personnelles des résidents californiens et atteint un seuil. Pour les entreprises Web, les utilisateurs californiens peuvent arriver via la recherche, les publicités payantes, les réseaux sociaux, les inscriptions SaaS, les commandes de commerce électronique, les newsletters ou les comptes d'applications.

Les indicateurs pratiques comprennent :

• Vendre des produits ou des abonnements aux résidents californiens.
• Ciblage des annonces sur la Californie.
• Avoir des clients ou des utilisateurs californiens.
• Expédition de marchandises en Californie.
• Offrir des services accessibles aux résidents californiens.
• Collecte de données analytiques auprès des visiteurs californiens à grande échelle.

Si vous êtes proche d’un seuil, obtenez des conseils juridiques. Les décisions relatives à la portée peuvent affecter les avis de confidentialité, les liens de désinscription, les contrats et les flux de travail relatifs aux droits sur les données.

Qu'est-ce qui compte comme informations personnelles ?

La définition de CCPA est large. Les informations personnelles peuvent inclure des identifiants, des identifiants en ligne, des adresses IP, un historique de navigation, un historique de recherche, des données de géolocalisation, des informations commerciales et des déductions. La page CCPA du procureur général de Californie résume les droits des consommateurs et les liens vers le cadre juridique (California OAG).

Pour les équipes d’analyse, cela signifie que les informations personnelles peuvent inclure :

• Identifiants des cookies.
• Identifiants de l'appareil.
• Emplacement dérivé de IP.
• Historiques de pages vues.
• Paramètres de campagne.
• Événements produits liés au compte.
• Données publicitaires intercontextuelles.

Même si le tableau de bord est agrégé, le pipeline de données sous-jacent peut traiter des informations personnelles.

Comment l'analyse peut affecter les seuils

Le seuil des 100 000 consommateurs ou foyers est celui que de nombreuses équipes numériques négligent. Les sites Web à fort trafic peuvent atteindre ce nombre grâce à des visites ordinaires. Si des outils d'analyse, de pixels ou de gestionnaires de balises collectent des informations personnelles auprès des résidents californiens, ces visiteurs peuvent être pris en compte dans l'analyse du volume de données.

Le seuil de vente/partage est également important. Le « partage » sous le CPRA est lié à la publicité comportementale inter-contextuelle. Si vous divulguez des informations personnelles à des plateformes publicitaires à des fins de reciblage ou de développement d'audience, vous pouvez avoir des obligations de désinscription même si aucun argent ne change de mains.

Exemptions et limites courantes

Le CCPA ne s'applique pas à toutes les organisations ni à tous les types de données. Les agences gouvernementales et de nombreuses organisations à but non lucratif ne relèvent généralement pas de la définition du cœur de métier. Certaines informations réglementées par des lois sectorielles peuvent être exemptées ou traitées différemment. Les contextes d'emploi et de contacts professionnels ont changé sous le CPRA et doivent être examinés attentivement plutôt que supposés exemptés.

Ne vous fiez pas à une liste d’exemptions générique sans vérifier la législation en vigueur et le flux de données spécifique.

Liste de contrôle de la portée d'un propriétaire de site Web

Utilisez cette évaluation :

1. Sommes-nous une entité à but lucratif ?
2. Faisons-nous des affaires en Californie ?
3. Collectons-nous les informations personnelles des résidents californiens ?
4. Sommes-nous au-dessus du seuil de revenus actuel ?
5. Achetons-nous, vendons-nous ou partageons-nous les informations personnelles de 100 000 résidents ou ménages californiens ou plus ?
6. Tirons-nous 50 % ou plus de nos revenus de la vente ou du partage d’informations personnelles ?
7. Nos outils d'analyse ou de publicité divulguent-ils des données à des tiers ?
8. Utilisons-nous la publicité comportementale intercontextuelle ?
9. Honorons-nous les signaux de préférence de désinscription lorsque cela est nécessaire ?
10. Notre politique de confidentialité et nos contrats sont-ils à jour ?

Pourquoi l'analyse axée sur la confidentialité est utile

Si votre configuration d'analyse évite les cookies, les identifiants persistants, le stockage complet de IP, le profilage intersites et le partage de données publicitaires, l'analyse de CCPA devient plus simple. Vous pouvez toujours être une entreprise couverte en raison d'autres opérations, mais le système d'analyse lui-même crée moins d'obligations et moins de cas extrêmes en matière de droits des utilisateurs.

Pour les entreprises en croissance, c’est le point stratégique. Concevez des analyses afin qu'elles répondent aux questions commerciales sans vous rapprocher de seuils de confidentialité évitables ou de la complexité de la « vente/partage ».

Comment estimer les seuils de visiteurs

N’attendez pas la fin de l’année pour estimer si le seuil de 100 000 consommateurs ou ménages peut avoir de l’importance. Utilisez un examen mensuel prudent du trafic californien. Combinez les analyses Web, les journaux de serveur, les inscriptions à des comptes, les enregistrements de newsletter et les audiences de la plateforme publicitaire, le cas échéant. Dédupliquez uniquement lorsque vous disposez d’une méthode défendable; Une déduplication trop confiante peut cacher des risques.

Séparez également la collecte du partage. Un site à fort trafic utilisant l'analyse globale first-party peut avoir un profil d'obligation différent d'un site à faible trafic qui envoie des identifiants aux réseaux publicitaires pour la publicité comportementale inter-contextuelle. Conservez une note simple à côté de chaque outil de suivi majeur : collecte des informations personnelles, les partage à des fins publicitaires, honore la désinscription et prend en charge la suppression. Cela rend l’analyse du périmètre beaucoup plus facile lorsque l’entreprise se développe.

CCPA Liste de contrôle pour l'examen de la portée

Examinez la question de portée tous les trimestres si le trafic, les dépenses publicitaires, les revenus ou la taille de l'audience en Californie augmentent. Consultez la page de seuil CPPA actuelle, estimez les consommateurs ou les ménages californiens de manière prudente et séparez la collecte ordinaire de la vente ou du partage pour la publicité comportementale inter-contextuelle.

Pour l'analyse, examinez les pixels publicitaires, les destinations du gestionnaire de balises, la conversion server-side APIs, les fournisseurs d'enrichissement, les propriétés d'événement, les liens de désinscription, la gestion de Global Privacy Control, les limites de données sensibles, les contrats de fournisseur et la rétention. Si l'analyse globale répond à la question commerciale, utilisez-la au lieu du partage au niveau du visiteur.