Conformité CCPA pour le commerce électronique
Publié: 2019-11-20La California Consumer Privacy Act arrive en janvier 2020 - voici un bref guide de conformité pour les entreprises de commerce électronique
Pour les entreprises de commerce électronique, la conformité au CCPA devrait être une priorité pour 2020. Comme le règlement général sur la protection des données (mieux connu sous le nom de RGPD) en Europe, cela devrait faire une énorme différence dans la façon dont vous communiquez avec vos clients. Cet article présente les bases de la signification de la nouvelle loi et explique comment y préparer votre entreprise.
Avis de non-responsabilité : cet article ne constitue pas un avis juridique ; faites appel à un conseiller juridique professionnel pour vous assurer que vos activités sont conformes !
Qu'est-ce que le CCPA ?
Le gouverneur de Californie a signé le projet de loi 375 de l'Assemblée le 28 juin 2018. Le California Consumer Privacy Act, également connu sous le nom de CCPA, entrera en vigueur le 1er janvier 2020.
Le CCPA se concentre sur les droits de protection des données pour les consommateurs - cependant, il ne s'applique pas uniquement aux entreprises physiquement situées en Californie. Le CCPA protège le droit des consommateurs californiens, indépendamment des frontières de l'État. Ainsi, quel que soit le lieu d'implantation de votre entreprise, si vous avez des clients en Californie, vous devez tenir compte de l'impact des nouvelles règles.
Détaillants et CCPA : principales implications et exigences
Que signifie vraiment la conformité CCPA pour le commerce électronique ? Voici les principes de base de ce que la loi énonce :
- Lorsqu'un résident californien demande quelles données personnelles sont stockées par une entreprise concernée, l'entreprise aura jusqu'à 45 jours pour répondre. La réponse doit inclure un dossier complet afin d'être considérée comme conforme au CCPA.
- Un consommateur californien pourra refuser de partager ou de stocker ses données personnelles avec une entreprise qui fournit les données à un tiers.
- Un consommateur californien a le droit de savoir quelles données ont été achetées, avec qui elles ont été partagées et auprès de quelle entreprise elles ont été achetées.
- Tout résident californien peut demander que l'une de ses informations personnelles stockées soit supprimée.
- Pour les résidents californiens de moins de 16 ans, les entreprises sont tenues de fournir une fonction "opt-in".
- Pour les résidents californiens de moins de 13 ans, un parent ou un tuteur doit donner son consentement.
- Les consommateurs californiens ne peuvent pas être pénalisés par une entreprise pour avoir exercé leurs droits conformément au CCPA.
- Les entreprises sont tenues d'offrir aux consommateurs californiens des options de désinscription faciles à voir, telles qu'un bouton "Ne pas vendre mes informations", sur leur site Web.
Déterminer si le CCPA s'applique à vous
Le CCPA s'applique aux entreprises qui répondent à certains critères. Ceci comprend:
- Toute entreprise qui vend aux résidents de Californie et génère plus de 25 millions de dollars de revenus chaque année
- Toute entreprise qui reçoit ou partage les informations personnelles de plus de 50 000 Californiens
- Toute entreprise qui tire au moins la moitié (50 %) de son chiffre d'affaires annuel de la vente des informations personnelles des résidents de Californie
Dans la plupart des cas, cela signifie que les petites entreprises sont actuellement exemptées d'avoir à se conformer à la loi CCPA. Bien que cela puisse changer à l'avenir, les grandes entreprises sont actuellement les seules entreprises qui doivent se préparer à la date de mise en place du CCPA.
CCPA contre RGPD
Le CCPA est très similaire au Règlement général sur la protection des données (RGPD) adopté par l'Union européenne en 2018. La bonne nouvelle est que les entreprises considérées comme conformes au RGPD n'auront pas besoin de beaucoup de changements pour se conformer aux exigences de conformité au CCPA.
Le CCPA est légèrement plus strict grâce à sa définition plus large des informations personnelles. Cependant, il existe de nombreuses options pour aider une entreprise à mettre en œuvre les exigences de conformité avant la date de janvier 2020.
Conséquences en cas de non-conformité
Le procureur général et le système judiciaire californien sont prêts à exécuter plusieurs conséquences différentes pour les entreprises non conformes.
- Les violations involontaires peuvent entraîner des amendes pouvant atteindre 2 500 $ chacune.
- Les violations intentionnelles justifieront chacune une amende de 7 500 $.
- Les amendes sont évaluées par personne ou par compte.
Les amendes s'accumulent rapidement. Souvent, si une violation est présente chez un consommateur, elle est présente chez les autres.
Pour estimer les dommages financiers potentiels, vous pouvez multiplier le nombre de vos consommateurs californiens par 7 500 $. Par exemple : si vous avez 25 clients californiens. Ces 25 clients multipliés par 7 500 $ signifient que vous pourriez encourir jusqu'à 187 500 $ d'amendes en cas de découverte d'une infraction commise par un seul consommateur.
Ces pénalités peuvent sembler effrayantes - alors que devez-vous faire pour les éviter ?
Étapes clés pour se préparer à la conformité CCPA
Voici les étapes clés pour les détaillants qui se préparent à se conformer à la CCPA.
Auditer les processus de collecte et de gestion des données
Une évaluation approfondie de la manière dont votre entreprise collecte et gère les informations personnelles est essentielle.
Une analyse approfondie de l'endroit où vous stockez vos données de consommation et de la manière dont vous les utilisez est essentielle pour éviter que les violations intentionnelles et non intentionnelles ne coûtent des milliers d'amendes à votre entreprise.
Vous devez également examiner les données que vous collectez sur des sites tiers ; les fournisseurs tiers doivent fournir un certificat de conformité CCPA sur demande pour garantir que les données que vous recevez n'entraîneront pas de dommages pour votre entreprise dans le cadre d'un procès.
Planifier les demandes des consommateurs
En vertu du CCPA, vous avez jusqu'à 45 jours pour répondre aux demandes d'informations personnelles des consommateurs californiens. Vous devez avoir un plan en place pour répondre rapidement à ces demandes. Cela peut inclure l'embauche de personnel pour traiter ces questions de manière efficace et dans le respect des exigences de la loi. Des outils d'extraction de données, le formatage des réponses et une compréhension approfondie de la loi seront également nécessaires.
Se préparer aux futures réglementations
De nombreux experts pensent que le RGPD et le CCPA ne sont que le début de la bataille des droits relatifs aux données. La Californie est tout simplement le premier État à prendre suffisamment au sérieux les droits des consommateurs en matière de données pour adopter une législation. De futures réglementations sont très probables à mesure que de plus en plus d'États s'impliqueront davantage dans les droits des consommateurs en matière de données.
Se préparer à l'impact
Il est difficile de savoir exactement à quoi s'attendre lorsque le CCPA entrera en vigueur, mais nous pouvons faire certaines prédictions sur la base du RGPD.
Tout d'abord, vous risquez de voir votre base de données de messagerie en prendre un coup. Voici combien de bases de données adressables les spécialistes du marketing ont perdues lorsque le RGPD est entré en vigueur en 2018 :
Cependant, il y a une doublure argentée ici. La récupération de ces pertes a été en fait assez rapide. Un an après l'entrée en vigueur de la réglementation, les bases de données avaient récupéré avec succès 93 % de leurs niveaux antérieurs au RGPD.
Comment est-ce arrivé si vite ? Voici une autre leçon que nous pouvons prendre pour la conformité au CCPA. Vous trouverez ci-dessous les principales stratégies utilisées par les entreprises pour récupérer leurs bases de données - un guide de bienvenue pour ceux qui envisagent 2020 :
Le 1er janvier marquera un nouveau tournant pour les réglementations en matière de confidentialité aux États-Unis : toute préparation que vous ferez maintenant rapportera des dividendes à court terme et vous préparera bien aux évolutions à venir en matière de confidentialité des données.