Avec l'arrivée de 2020, le California Consumer Privacy Act (CCPA) est officiellement entré en vigueur. Cependant, le bureau du procureur général ne peut techniquement commencer l'application qu'en juillet; il est donc essentiel que les éditeurs profitent de ce délai de grâce pour mettre de l'ordre dans leurs affaires s'ils ne l'ont pas déjà fait. En réglementant la collecte, le traitement et le partage des données personnelles, la loi donne aux éditeurs la possibilité d'être totalement transparents sur leurs pratiques en matière de données, leur permettant de placer la confidentialité des données, la sécurité et l'utilisation responsable des informations des consommateurs au cœur même de leur activité.
Dans cet esprit, examinons de plus près ce que le CCPA signifie pour les éditeurs numériques et ce qu'ils peuvent faire pour garantir la conformité.
A qui s'applique le CCPA ?
Lors de la première inspection, certains éditeurs peuvent estimer que le CCPA ne les impacte pas ; ceci étant le cas pour deux raisons principales. Premièrement, cela ne s'applique qu'aux entreprises qui réalisent un chiffre d'affaires annuel de 25 millions de dollars ou plus, possèdent les données de plus de 50 000 consommateurs ou réalisent plus de la moitié de leur chiffre d'affaires annuel en vendant des données personnelles. Deuxièmement, cela ne s'applique qu'aux entreprises qui traitent les informations personnelles des résidents de Californie.
Malgré ce raisonnement, il est conseillé à tous les éditeurs de se conformer au CCPA. Ses termes peuvent ou non encore être sujets à changement, mais dans tous les cas, il est recommandé aux éditeurs de suivre les directives actuelles, en particulier avec d'autres lois nationales et nationales sur les données actuellement en cours d'élaboration qui sont susceptibles de s'appliquer universellement. De même, il est plutôt inefficace de changer les pratiques de données selon l'état ; par la taille même de la Californie, toute loi d'État deviendra essentiellement un proxy pour la réglementation fédérale. Par conséquent, plutôt que d'essayer de trouver des moyens de contourner les réglementations sur les données comme le CCPA, les éditeurs numériques doivent accepter la nécessité de s'y conformer.
Quels droits sur les données fournit-il ?
Le CCPA donne aux consommateurs le droit de comprendre les pratiques de collecte de données d'une entreprise, d'accéder à toutes les données personnelles collectées à leur sujet au cours des 12 mois précédents et de faire supprimer ces informations s'ils le souhaitent. En outre, cela leur donne également le droit de ne pas partager ou vendre leurs données personnelles, car il est désormais fondamental que tous les éditeurs incluent un lien de désinscription sur leur site Web. La loi donne aux consommateurs le droit à des services et à des prix égaux, de sorte que les entreprises ne peuvent pas les discriminer s'ils choisissent d'exercer leurs droits en vertu du CCPA, par exemple en refusant la vente de données à des tiers.
Quelles sont les implications en cas de non-conformité ?
Les amendes pour non-conformité à la CCPA s'élèvent actuellement à 7 500 $ par violation intentionnelle et à 2 500 $ par violation sans intention. En outre, les éditeurs peuvent être tenus de verser une indemnité pouvant aller jusqu'à 750 $ aux personnes concernées, même si la non-conformité semble n'avoir causé aucun préjudice. Mais alors que les amendes potentielles résultant d'une violation du CCPA seront sans aucun doute préjudiciables aux éditeurs, la mauvaise presse associée à une violation pourrait être encore plus grande. En se conformant à la réglementation, les éditeurs peuvent renforcer la confiance des consommateurs et conserver une réputation positive.
Trois étapes pour la conformité des éditeurs
Étape 1 : comprendre les flux de données. La première étape pour les éditeurs consiste pour eux à maîtriser leurs flux de données, à comprendre ce qu'ils collectent, où ils sont stockés et à quoi ils servent. En mettant en place des systèmes de stockage de données unifiés, ils peuvent avoir une vue d'ensemble des données dont ils disposent et répondre rapidement et efficacement aux demandes d'accès ou de suppression des consommateurs, ce qui est essentiel compte tenu du délai de 45 jours. Les éditeurs doivent également comprendre avec quels tiers ils partagent des données ; le CCPA met fortement l'accent sur la vente de données, mais cela ne nécessite pas nécessairement une transaction financière, cela s'applique également à la divulgation d'informations à des fins commerciales qui ne nécessitent aucun paiement. En adoptant les spécifications du secteur telles que ads.txt et sellers.json, les éditeurs peuvent obtenir une meilleure vue de la chaîne d'approvisionnement des données et une meilleure compréhension des personnes avec lesquelles ils partagent leurs données.
Étape 2 : déterminer la nécessité des données. Une fois qu'ils ont compris les flux de données, les éditeurs peuvent saisir l'opportunité de décider quelles données personnelles ils ont vraiment besoin de collecter, stocker et partager. Par exemple, avec les données déduites utilisées dans le ciblage publicitaire comportemental encore un peu un point d'interrogation sous CCPA, les éditeurs peuvent vouloir explorer d'autres options telles que la publicité native qui utilise le ciblage contextuel et ne nécessite aucune information personnelle. Moins les éditeurs collectent de données personnelles, plus le risque de violation du CCPA est faible.
Étape 3 : Fournissez une transparence totale. Lorsqu'ils comprennent leurs pratiques en matière de données, les éditeurs doivent s'assurer que celles-ci sont entièrement divulguées sur leurs sites Web. Ils peuvent utiliser le cadre de conformité CCPA de l'IAB pour les éditeurs et les entreprises technologiques à la fois pour obtenir des conseils sur la manière d'expliquer les pratiques en matière de données aux utilisateurs via des divulgations claires et comme mécanisme opérationnel de conformité. Le cadre permet aux éditeurs d'inclure le lien nécessaire "ne vendez pas mes informations personnelles" et d'envoyer automatiquement un signal aux partenaires technologiques en aval lorsque le lien est cliqué pour s'assurer qu'ils respectent les choix de l'utilisateur.
Malgré le fait que le CCPA est désormais pleinement en vigueur, les éditeurs ont encore le temps de mettre à jour leurs pratiques en matière de données. En évaluant leurs flux de données, en décidant quelles informations sont essentielles et en garantissant une divulgation totalement transparente, ils peuvent tirer le meilleur parti de l'opportunité offerte par le CCPA et d'autres lois sur les données et placer la confidentialité des consommateurs au cœur de leur activité.