CCPA : Explications pour les éditeurs numériques

Avec l'arrivée de 2020, la loi californienne sur la protection des données des consommateurs (CCPA) est officiellement entrée en vigueur. Cependant, le bureau du procureur général ne peut techniquement commencer son application qu'à partir de juillet ; il est donc essentiel que les éditeurs profitent de ce délai pour se mettre en conformité, s'ils ne l'ont pas déjà fait. En réglementant la collecte, le traitement et le partage des données personnelles, cette loi offre aux éditeurs la possibilité d'une transparence totale quant à leurs pratiques en matière de données, leur permettant ainsi de placer la confidentialité, la sécurité et l'utilisation responsable des informations des consommateurs au cœur même de leur activité. Partant de ce constat, examinons de plus près ce que la CCPA signifie pour les éditeurs numériques et ce qu'ils peuvent faire pour garantir leur conformité.

À qui s'applique le CCPA ?

À première vue, certains éditeurs pourraient penser que le CCPA ne les concerne pas, et ce pour deux raisons principales. Premièrement, il ne s'applique qu'aux entreprises réalisant un chiffre d'affaires annuel d'au moins 25 millions de dollars, détenant les données de plus de 50 000 consommateurs ou dont plus de la moitié du chiffre d'affaires annuel provient de la vente de données personnelles. Deuxièmement, il ne s'applique qu'aux entreprises traitant les données personnelles de résidents californiens. Malgré ce raisonnement, il est conseillé à tous les éditeurs de se conformer au CCPA. Ses dispositions peuvent encore évoluer, mais il est dans tous les cas recommandé aux éditeurs de suivre les directives actuelles, notamment compte tenu des autres lois nationales et étatiques sur la protection des données en cours d'élaboration et susceptibles de s'appliquer universellement. De même, il est peu efficace d'adapter les pratiques en matière de données à chaque État ; étant donné la taille de la Californie, toute loi étatique se substituera de fait à la réglementation fédérale. Par conséquent, plutôt que de chercher à contourner les réglementations sur la protection des données comme le CCPA, les éditeurs numériques doivent accepter de s'y conformer.

Quels droits sur les données confère-t-il ?

La loi CCPA confère aux consommateurs le droit de comprendre les pratiques de collecte de données des entreprises, d'accéder à toutes les données personnelles les concernant collectées au cours des 12 derniers mois et, s'ils le souhaitent, de les faire supprimer. De plus, elle leur donne le droit de s'opposer au partage ou à la vente de leurs données personnelles, car il est désormais indispensable que tous les éditeurs incluent un lien de désinscription sur leur site web. La loi garantit aux consommateurs l'égalité d'accès aux services et aux prix, de sorte que les entreprises ne peuvent pas les discriminer s'ils choisissent d'exercer leurs droits en vertu de la loi CCPA, par exemple en s'opposant à la vente de leurs données à des tiers.

Quelles sont les conséquences du non-respect des règles ?

Les amendes pour non-respect du CCPA s'élèvent actuellement à 7 500 $ par infraction intentionnelle et à 2 500 $ par infraction involontaire. De plus, les éditeurs peuvent être tenus de verser jusqu'à 750 $ de dommages et intérêts aux personnes lésées, même si le non-respect du règlement ne semble pas avoir causé de préjudice. Si les amendes potentielles résultant d'une violation du CCPA sont indéniablement préjudiciables aux éditeurs, la mauvaise publicité qui en découle pourrait être encore plus importante. En se conformant à la réglementation, les éditeurs peuvent renforcer la confiance des consommateurs et préserver leur réputation.

Trois étapes pour la conformité des éditeurs

Étape 1 : Comprendre les flux de données. La première étape pour les éditeurs consiste à maîtriser leurs flux de données, à comprendre quelles données ils collectent, où elles sont stockées et à quoi elles servent. En mettant en œuvre des systèmes de stockage de données unifiés, ils peuvent obtenir une vue d'ensemble des données dont ils disposent et répondre rapidement et efficacement aux demandes d'accès ou de suppression des consommateurs, ce qui est essentiel compte tenu du délai de 45 jours. Les éditeurs doivent également savoir avec quels tiers ils partagent des données ; le CCPA se concentre fortement sur la vente de données, mais cela n'implique pas nécessairement une transaction financière ; cela s'applique également à la divulgation d'informations à des fins commerciales sans contrepartie financière. En adoptant des spécifications sectorielles telles que ads.txt et sellers.json, les éditeurs peuvent obtenir une meilleure visibilité sur la chaîne d'approvisionnement des données et une compréhension plus approfondie des personnes avec lesquelles ils partagent leurs données. Étape 2 : Déterminer la nécessité des données. Une fois les flux de données compris, les éditeurs peuvent décider quelles données personnelles ils doivent réellement collecter, stocker et partager. Par exemple, les données inférées utilisées pour le ciblage publicitaire comportemental restant sujettes à interprétation au regard du CCPA, les éditeurs pourraient envisager d'autres options, comme la publicité native, qui utilise un ciblage contextuel et ne requiert aucune information personnelle. Moins les éditeurs collectent de données personnelles, plus le risque d'infraction au CCPA est faible. Étape 3 : Assurer une transparence totale. Lorsqu'ils comprennent leurs pratiques en matière de données, les éditeurs doivent veiller à ce que celles-ci soient pleinement divulguées sur leurs sites web. Ils peuvent utiliser les outils de l'IAB Cadre de conformité CCPA pour les éditeurs et les entreprises technologiques Ce cadre sert à la fois de guide pour expliquer clairement les pratiques en matière de données aux utilisateurs et de mécanisme opérationnel de conformité. Il permet aux éditeurs d'inclure le lien « Ne vendez pas mes informations personnelles » et d'envoyer automatiquement un signal à leurs partenaires technologiques lorsque l'utilisateur clique dessus, afin de garantir le respect de ses choix. Bien que le CCPA soit désormais pleinement en vigueur, les éditeurs ont encore le temps de mettre leurs pratiques de protection des données à jour. En évaluant leurs flux de données, en déterminant les informations essentielles et en garantissant une transparence totale, ils peuvent tirer pleinement parti des opportunités offertes par le CCPA et les autres lois sur la protection des données et placer la confidentialité des consommateurs au cœur de leur activité.