Avec l'arrivée de 2020, le California Consumer Privacy Act (CCPA) est officiellement entré en vigueur. Cependant, le bureau du procureur général ne peut techniquement commencer l'application qu'en juillet; il est donc essentiel que les éditeurs profitent de ce délai de grâce pour mettre de l'ordre dans leurs affaires s'ils ne l'ont pas déjà fait. En réglementant la collecte, le traitement et le partage des données personnelles, la loi donne aux éditeurs la possibilité d'être totalement transparents sur leurs pratiques en matière de données, leur permettant de placer la confidentialité des données, la sécurité et l'utilisation responsable des informations des consommateurs au cœur même de leur activité.
Gardant cela à l’esprit, examinons de plus près ce que le CCPA signifie pour les éditeurs numériques et ce qu’ils peuvent faire pour garantir leur conformité.
À qui s’applique le CCPA ?
Lors de la première inspection, certains éditeurs peuvent estimer que le CCPA ne les concerne pas ; ceci étant le cas pour deux raisons principales. Premièrement, cela ne s’applique qu’aux entreprises qui réalisent un chiffre d’affaires annuel de 25 millions de dollars ou plus, possèdent les données de plus de 50 000 consommateurs ou réalisent plus de la moitié de leur chiffre d’affaires annuel en vendant des données personnelles. Deuxièmement, cela s’applique uniquement aux entreprises qui traitent les informations personnelles des résidents californiens.
Malgré ce raisonnement, il est conseillé à tous les éditeurs de viser à se conformer au CCPA. Ses termes peuvent ou non encore être sujets à changement, mais dans tous les cas, il est recommandé aux éditeurs de suivre les directives actuelles, en particulier avec d'autres lois nationales et nationales sur les données actuellement en préparation et susceptibles de s'appliquer universellement. De la même manière, il est plutôt inefficace de modifier les pratiques en matière de données en fonction des États ; Compte tenu de la taille même de la Californie, toute loi d’État deviendra essentiellement un substitut à la réglementation fédérale. Par conséquent, plutôt que d’essayer de trouver des moyens de contourner les réglementations sur les données telles que la CCPA, les éditeurs numériques doivent accepter la nécessité de s’y conformer.
Quels droits sur les données offre-t-il ?
Le CCPA donne aux consommateurs le droit de comprendre les pratiques de collecte de données d'une entreprise, d'accéder à toutes les données personnelles collectées à leur sujet au cours des 12 mois précédents et de faire supprimer ces informations s'ils le souhaitent. De plus, cela leur donne également le droit de ne pas voir leurs données personnelles partagées ou vendues, car il est désormais fondamental que tous les éditeurs incluent un lien de désinscription sur leur site Internet. La loi donne aux consommateurs le droit à des services et à des prix égaux, de sorte que les entreprises ne puissent pas faire de discrimination à leur encontre si elles choisissent d'exercer leurs droits en vertu du CCPA, par exemple en refusant la vente de données à des tiers.
Quelles sont les implications en cas de non-conformité ?
Les amendes pour non-respect de la CCPA s'élèvent actuellement à 7 500 $ par violation intentionnelle et à 2 500 $ par violation sans intention. En outre, les éditeurs pourraient devoir verser une indemnisation allant jusqu'à 750 $ à toute personne concernée, même si le non-respect semble n'avoir causé aucun préjudice. Mais si les amendes potentielles résultant d’une violation du CCPA seront sans aucun doute préjudiciables aux éditeurs, la mauvaise presse associée à une violation pourrait être encore plus grande. En se conformant à la réglementation, les éditeurs peuvent renforcer la confiance des consommateurs et maintenir une réputation positive.
Trois étapes pour la conformité des éditeurs
Étape 1 : Comprendre les flux de données. La première étape pour les éditeurs est de maîtriser leurs flux de données, de comprendre ce qu’ils collectent, où elles sont stockées et à quoi elles servent. En mettant en œuvre des systèmes de stockage de données unifiés, ils peuvent obtenir une vue d'ensemble des données dont ils disposent et répondre rapidement et efficacement aux demandes d'accès ou de suppression des consommateurs, ce qui est essentiel compte tenu du délai de 45 jours. Les éditeurs doivent également comprendre avec quels tiers ils partagent des données ; le CCPA met fortement l'accent sur la vente de données, mais cela ne nécessite pas nécessairement une transaction financière, il s'applique également à la divulgation d'informations à des fins commerciales qui ne nécessitent aucun paiement. En adoptant des spécifications sectorielles telles que ads.txt et sellers.json, les éditeurs peuvent obtenir une meilleure vue de la chaîne d'approvisionnement des données et une meilleure compréhension des personnes avec qui ils partagent leurs données.
Étape 2 : déterminer la nécessité des données. Une fois qu'ils ont compris les flux de données, les éditeurs peuvent saisir l'opportunité de décider quelles données personnelles ils ont vraiment besoin de collecter, stocker et partager. Par exemple, avec les données déduites utilisées dans le ciblage publicitaire comportemental encore un peu un point d'interrogation sous CCPA, les éditeurs peuvent vouloir explorer d'autres options telles que la publicité native qui utilise le ciblage contextuel et ne nécessite aucune information personnelle. Moins les éditeurs collectent de données personnelles, plus le risque de violation du CCPA est faible.
Étape 3 : Fournissez une transparence totale. Lorsqu'ils comprennent leurs pratiques en matière de données, les éditeurs doivent s'assurer que celles-ci sont entièrement divulguées sur leurs sites Web. Ils peuvent utiliser le cadre de conformité CCPA de l'IAB pour les éditeurs et les entreprises technologiques à la fois pour obtenir des conseils sur la manière d'expliquer les pratiques en matière de données aux utilisateurs via des divulgations claires et comme mécanisme opérationnel de conformité. Le cadre permet aux éditeurs d'inclure le lien nécessaire "ne vendez pas mes informations personnelles" et d'envoyer automatiquement un signal aux partenaires technologiques en aval lorsque le lien est cliqué pour s'assurer qu'ils respectent les choix de l'utilisateur.
Même si le CCPA est désormais pleinement en vigueur, les éditeurs ont encore le temps de mettre à niveau leurs pratiques en matière de données. En évaluant leurs flux de données, en décidant quelles informations sont essentielles et en garantissant une divulgation totalement transparente, ils peuvent tirer le meilleur parti de l'opportunité qu'offrent le CCPA et d'autres lois sur les données et placer la confidentialité des consommateurs au cœur de leur activité.