Tout ce que vous devez savoir sur le California Consumer Privacy Act (CCPA)

Publié: 2020-01-09

Depuis janvier 2020, une nouvelle loi sur la protection de la vie privée des consommateurs est en place, affectant tous les consommateurs et entreprises californiens qui font des affaires ou leur fournissent des services. La California Consumer Privacy Act (CCPA) a une compréhension plus large de ce qui relève de la catégorie des « données privées » et établit des restrictions plus strictes et plus élaborées à cet égard par rapport à la réglementation TCPA.

Si vous envoyez des SMS ou effectuez tout autre type d'activité avec des clients basés en Californie , continuez à lire pour comprendre comment cette loi peut vous affecter. Nous vous recommandons de consulter votre avocat sur les modifications nécessaires à apporter à votre politique de confidentialité et à vos conditions d'utilisation afin que vous respectiez ces réglementations.


Qu'est-ce que le CCPA ?

Selon le CCPA, chaque utilisateur californien a le droit d'exiger un rapport de toutes les informations personnelles qu'une entreprise a collectées à son sujet , ainsi qu'une liste de tous les tiers avec lesquels ces données sont partagées (le cas échéant). Si les clients considèrent cela comme une violation de leur vie privée, le CCPA leur permet de déposer un recours collectif contre le contrevenant, même si une violation réelle n'est pas signalée.


Comment le CCPA définit-il les « données privées »

À bien des égards, le CCPA est similaire au RGPD , le règlement sur la protection des données en Europe. Certains disent que si une entreprise est conforme au RGPD, il ne lui reste qu'à quelques étapes de se conformer pleinement au CCPA.

Voici une liste complète de ce qui est considéré comme des données privées par le CCPA, conformément à l'article 9, sous-sections O(1) et O(2) du projet de loi du Sénat-1121 :

  • Identifiants tels qu'un vrai nom, un pseudonyme, une adresse postale, un identifiant personnel unique, une adresse IP d'identifiant en ligne, une adresse e-mail, un nom de compte, un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de passeport ou d'autres identifiants similaires

  • Caractéristiques des classifications protégées en vertu de la loi californienne ou fédérale

  • Informations commerciales, y compris les enregistrements de biens personnels, de produits ou de services achetés, obtenus ou envisagés, ou d'autres historiques ou tendances d'achat ou de consommation

  • Informations biométriques

  • Informations sur l'activité d'Internet ou d'autres réseaux électroniques, y compris, mais sans s'y limiter, l'historique de navigation, l'historique de recherche et les informations concernant l'interaction d'un consommateur avec un site Web, une application ou une publicité

  • Données de géolocalisation

  • Informations sonores, électroniques, visuelles, thermiques, olfactives ou similaires

  • Informations professionnelles ou liées à l'emploi

  • Informations sur l'éducation, définies comme des informations qui ne sont pas des informations personnellement identifiables (PII) accessibles au public telles que définies dans la loi sur les droits à l'éducation et la confidentialité de la famille (20 USC section 1232g, 34 CFR Part 99)

  • Inférences tirées de toute information identifiée dans cette sous-section pour créer un profil sur un consommateur reflétant les préférences, les caractéristiques, les tendances psychologiques, les préférences, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes du consommateur

Maintenant que nous vous avons donné un aperçu complet de ce qui constitue des « données privées », examinons deux autres domaines du CCPA qui intéressent particulièrement les entreprises : comment définit-il la « vente » d'informations personnelles et comment rester en conformité avec TCPA et CCPA en cas de suppression de données.


Définition de « vendre » en vertu de la CCPA

Le CCPA a une définition assez large de la « vente » comme « la vente, la location, la publication, la divulgation, la diffusion, la mise à disposition, le transfert ou la communication orale, par écrit, ou par des moyens électroniques ou autres, des informations personnelles d'un consommateur par l'entreprise à une autre entreprise ou un tiers moyennant une contrepartie monétaire ou autre contrepartie de valeur. »

Cela signifie que même s'il n'y a pas d'échange de données personnelles dont les parties pourraient bénéficier financièrement, une "vente" pourrait se produire même lorsque les entreprises partagent des informations privées avec des tiers pour quelque raison que ce soit.

Tenue de registres des renseignements personnels

Selon le TCPA, l'acte principal qui est l'acte principal qui limite les communications de télémarketing via les appels vocaux, les SMS et les fax, aucune entreprise ne peut contacter des clients basés aux États-Unis à moins d'avoir leur consentement écrit préalable pour le faire, et un enregistrement de de telles données. Dans le cas où les clients demandent que leurs informations soient supprimées mais n'ont pas choisi de ne pas recevoir de marketing textuel, les deux actes pourraient entrer en conflit.

Pour ceux qui ont donné leur consentement à recevoir des SMS mais qui ont ensuite choisi de ne pas voir leurs données « vendues », les entreprises pourraient refuser de supprimer les enregistrements afin de respecter l'obligation légale de TCPA de maintenir une liste interne « Ne pas contacter », citant la disposition « se conformer aux obligations légales » de la CCPA ( article 2, d(8) ).


Que peuvent faire les entreprises pour se conformer au CCPA

Le CCPA donne des directives complètes sur ce que les entreprises peuvent faire pour respecter le CCPA et tous les utilisateurs qui en relèvent en vertu de la section 8 .

Parmi ces directives, il convient de donner aux clients une option de désinscription explicite sur le site Web de l'entreprise et dans la politique de confidentialité, où ils peuvent refuser aux entreprises de « vendre » leurs données personnelles. L'opt-out ne devrait cependant pas obliger les utilisateurs à créer un compte.

Dans le cas où les entreprises utilisent des tiers à des fins de marketing textuel (ou pour toute autre raison de marketing), elles doivent l'indiquer explicitement dans leur politique de confidentialité et donner des informations complètes sur l'identité de leur fournisseur. Cela coïncide à nouveau avec les exigences du RGPD, vous pouvez donc vous référer à nos propositions de textes RGPD .

Si un client choisit de se retirer, selon le CCPA, les entreprises doivent s'abstenir pendant au moins 12 mois de demander qu'elles autorisent la vente des informations personnelles du consommateur.


Comment cela vous affecte-t-il ?

Dans l'ensemble, le CCPA garantit que toutes les informations privées des utilisateurs californiens sont traitées avec un soin particulier et vise à limiter les cas où leur vie privée pourrait être violée ou leurs données falsifiées.

En tant que tel, le CCPA affecte toutes les entreprises qui, de quelque manière que ce soit, communiquent avec les clients californiens, y compris le marketing textuel, et donnera aux clients plus de moyens de contrôler qui a accès à leurs données personnelles.


Ce message est purement informatif pour les utilisateurs de SMSBump. Néanmoins, les consommateurs californiens peuvent faire une demande conformément à leurs droits en vertu du CCPA, en nous contactant à [email protected] ou en utilisant ce formulaire de demande. Nous vérifierons votre demande à l'aide des informations associées à votre compte, qui peuvent être votre adresse e-mail et votre numéro de téléphone. Une pièce d'identité du gouvernement peut être exigée. Les clients de SMSBump peuvent également désigner un mandataire pour exercer ces droits en leur nom. Pour plus d'informations sur la manière dont SMSBump gère vos informations privées, consultez notre Politique de confidentialité .