CCPA : Ce que les spécialistes du marketing doivent savoir sur la California Consumer Privacy Act

Publié: 2018-07-03

Poussé par l'augmentation continue des violations de données des consommateurs et des préoccupations croissantes en matière de confidentialité, l'État de Californie a adopté la California Consumer Privacy Act (CCPA). La loi renforcera considérablement la confidentialité aux États-Unis lorsqu'elle entrera en vigueur le 1er janvier 2020.

La loi fait partie d'une tendance mondiale vers des protections plus strictes de la vie privée et une plus grande transparence des données, dont font partie la Loi canadienne anti-pourriel (LCAP) et le Règlement général sur la protection des données (RGPD). Cependant, le CCPA fait peu mention du courrier électronique et ne mentionne pas du tout la permission.

Un projet de loi distinct encore à l'étude en Californie, AB-2546, traiterait du renforcement des lois anti-spam et de l'élimination de la Californie - et en fait du reste de l'Amérique - de la norme d'autorisation de marketing opt-out établie par CAN-SPAM et de la mettre davantage en se synchroniser avec les lois internationales anti-spam.

Le CCPA se concentre exclusivement sur la collecte de données et la confidentialité, et est à peu près conforme aux dispositions du RGPD sur ces questions. La loi mentionne explicitement que c'est en réponse au détournement de données Facebook d'au moins 87 millions de personnes par Cambridge Analytica.

Éléments clés du CCPA

Selon le texte de la loi sur la protection de la vie privée des consommateurs, également connue sous le nom d'AB-375, la loi donne aux Californiens le droit de :

  1. Sachez quelles informations personnelles sont collectées à leur sujet.
  2. Sachez si leurs informations personnelles sont vendues ou divulguées et à qui.
  3. Dites non à la vente de renseignements personnels.
  4. Accéder à leurs informations personnelles.
  5. Service et prix égaux, même s'ils exercent leurs droits à la vie privée.

Les entreprises qui correspondent aux descriptions suivantes doivent honorer les droits accordés aux Californiens :

  • Entreprises dont les revenus bruts annuels sont d'au moins 25 millions de dollars
  • Courtiers de données et autres entreprises qui achètent, reçoivent, vendent ou partagent les informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus
  • Entreprise qui tire la majorité de ses revenus annuels de la vente des informations personnelles des consommateurs.

Le CCPA donne aux citoyens le droit d'intenter une action civile contre les entreprises qui violent la loi et stipule que les dommages seront compris entre 100 $ et 750 $, ou plus, si davantage de dommages peuvent être prouvés. De plus, l'État peut porter plainte contre une entreprise directement, en imposant une amende de 7 500 $ pour chaque violation présumée qui n'est pas résolue dans les 30 jours.

Comment le CCPA affecte les commerçants

Comme la LCAP et le RGPD, la CCPA affectera les entreprises en dehors de la juridiction de la loi. C'est parce qu'il est souvent plus facile de se conformer à la norme plus élevée que d'essayer de s'adresser différemment à certains de vos publics.

Près de 40 millions de personnes vivent en Californie, ce qui représente environ 12 % de la population américaine et plus de personnes qu'au Canada. L'économie californienne est également démesurée, à 2,7 billions de dollars. Si la Californie était un pays, ce serait la cinquième économie mondiale, battant le Royaume-Uni

La Californie est donc un marché que de nombreuses marques à l'intérieur et à l'extérieur des États-Unis ne peuvent tout simplement pas ignorer. Ils n'auront d'autre choix que de se conformer à la loi sur la protection de la vie privée des consommateurs. Cela dit, la conformité devrait être relativement facile pour les marques qui sont déjà en conformité avec le RGPD.

Il convient de le souligner pour le compte rendu : nous ne sommes pas des avocats et rien dans cet article ne doit être considéré comme un avis juridique. Veuillez consulter un avocat pour répondre aux besoins individuels de votre entreprise.

Avec ces avertissements à l'écart, nous aimerions souligner certaines des meilleures pratiques pour la collecte de données qui sont informées par la loi sur la protection de la vie privée des consommateurs :

  1. Reconsidérez si vous souhaitez utiliser des données tierces. Le CCPA donne aux consommateurs le droit de connaître « les catégories de sources à partir desquelles les informations personnelles sont collectées ». Si votre entreprise achète des données tierces au-delà de ce qui est publiquement disponible sur vos clients ou prospects, cela finira par être révélé via une demande CCPA. Si votre entreprise serait mal à l'aise d'expliquer cela aux clients, vous voudrez peut-être arrêter la pratique.
  2. Réévaluez les champs de données sur vos formulaires et profils. Le CCPA fait partie d'un changement clair vers la transparence des données qui incite les entreprises à utiliser davantage les données collectées directement auprès de leurs clients. Y a-t-il des informations que vous obtenez actuellement via des tiers que vous pourriez demander directement à vos clients et prospects ? Des formulaires plus longs augmentent les taux d'abandon, mais un profilage progressif intelligent au bon moment peut maximiser les taux d'achèvement.
  3. Ne collectez que les données pour lesquelles vous avez une utilisation immédiate et claire. Les données, c'est le pouvoir, mais c'est aussi de plus en plus un handicap. Limitez cette responsabilité en étant sélectif sur les données que vous enregistrez, en particulier lorsqu'il s'agit d'informations personnellement identifiables (PII).
  4. Créez un mécanisme qui peut supprimer les informations d'un consommateur, sur demande. Le CCPA et le RGPD stipulent tous deux que les consommateurs ont le droit d'être oubliés et demandent que toutes les données que votre entreprise possède sur eux soient supprimées. Il existe certaines mises en garde sur les données qu'une entreprise peut conserver pour des raisons juridiques, de conformité et commerciales, mais un mécanisme doit exister pour supprimer rapidement toutes les autres informations sur un consommateur.
  5. Ne vendez pas d'informations sur vos clients ou utilisateurs. Si vous envisagez de vendre des informations sur les utilisateurs à d'autres entreprises, la CCPA vous oblige à conserver un enregistrement de toutes les ventes pendant 12 mois et à fournir un lien « clair et visible » sur votre site Web avec l'appel à l'action « Ne pas vendre Mes informations personnelles » afin que les gens puissent se retirer de cette pratique. Vendre les données des enfants de 16 ans et moins a encore plus d'exigences. Un tel bouton et d'autres demandes d'autorisation soulèveraient sûrement des problèmes de confidentialité et de sécurité pour les clients potentiels. Votre entreprise peut éviter d'avoir besoin d'un tel bouton en ne vendant pas d'informations client.

Comment le CCPA pourrait évoluer

La loi sur la protection de la vie privée des consommateurs a été rédigée et adoptée très rapidement, et de nombreuses questions ont déjà été soulevées sur diverses lacunes et sur la manière dont certaines dispositions seront appliquées. Par exemple, de sérieuses inquiétudes ont été soulevées au sujet de la disposition qui permet à une entreprise « d'offrir un prix, un taux, un niveau ou une qualité de biens ou de services différents au consommateur si ce prix ou cette différence est directement lié à la valeur fournie au consommateur. par les données du consommateur. Cette disposition semble en contradiction directe avec le droit à un service et à un prix égaux.

Vous pouvez vous attendre à ce que l'État de Californie publie des révisions et des modifications avant l'entrée en vigueur de la loi sur la protection de la vie privée des consommateurs en 2020.

Tant que le Parti républicain contrôle la présidence et les deux chambres du Congrès, la probabilité que les lois nationales sur la protection de la vie privée et les lois anti-spam changent est nulle. Cependant, si les rapports de force sont différents après les élections de 2020, le CCPA pourrait être un catalyseur de changements nationaux.

En savoir plus sur les autres lois qui affectent les commerçants

Pour en savoir plus sur les réglementations qui affectent les spécialistes du marketing par e-mail aux États-Unis et dans le monde, consultez :

  • Ce que CAN-SPAM exige et comment cette barre basse nuit aux entreprises américaines
  • RGPD : ce que la nouvelle loi européenne sur la confidentialité signifie pour les spécialistes du marketing par e-mail
  • 5 choses que vous devez savoir sur le consentement par e-mail en vertu du RGPD
  • Campagnes de réautorisation RGPD : 6 conseils pour en faire un succès
  • Démystification de la LCAP : tout ce que vous devez savoir sur la loi canadienne anti-pourriel
  • Le guide ultime du droit international du courrier électronique