CCPA (California Consumer Privacy Act) – Tout savoir sur le RGPD californien
Vous savez certainement ce qu’est le GDPR. Mais est-ce que CCPA vous dit quelque chose?
Si vous faites du business en – ou avec la – Californie, voilà une vidéo que vous devez absolument regarder sur le RGPD californien. Le CCPA, c’est le GDPR Californien. Les Californiens vont enfin pouvoir avoir le contrôle sur leurs données personnelles collectées en ligne.
C’est quoi le CCPA / California Consumer Privacy Act ?
CCPA signe California Consumer Privacy Act.
Très similaire à GDPR (RGPD en français). Le CCPA a été voté le 28 juin 2018. Avant le CCPA, il n’y avait aucune responsabilité reconnue sur la récolte, l’utilisation et la revente d’infos personnelles aux US.
Grâce au CCPA, les Californiens ont le droit de regard sur les données qu’une entreprise possède, comment, où, pourquoi ils les utilisent. Et donc les entreprises doivent dévoiler les infos qu’elles ont récoltées, donner accès à ces infos, qui peuvent être détruites à tout moment ou demander à ne pas être monétisées ou échangées avec une autre entreprise.
Quel est l’impact du CCPA ?
LE CCPA donne aux Californiens les droits suivants :
- Le droit de savoir. Les consommateurs ont le droit de savoir quelles données une entreprise possède à leur égard.
- Le droit de contrôle. Chacun peut demander à ce que ses données personnelles ne soient pas revendues ou monétisées.
- Le droit à l’oubli, c’est le droit à ce que les données personnelles soient détruites même chez les tiers avec qui elles ont été partagées.
Et tout ceci à partir du 1er Jan 2020
Quelle est la définition de « données » selon le CCPA ?
La loi inclut beaucoup de paramètre dans sa définition de « données ». On parle de tout ce qui peut identifier les personnes, comme nom, prénom, email, téléphone etc., mais aussi d’adresses IP, identifiants d’appareils, données biométriques, de géolocalisation, audio, etc.
Qui est concerné par le CCPA?
Le CCPA va impacter environ 500k entreprises aux Etats-Unis. Mais bien plus le seront dans le reste du monde si elles font du business avec la Californie. Mais quelle types d’entreprises sont concernées ? Toutes les compagnies qui font du business en Californie (et donc collectent des données)
- Qui font un chiffre d’affaires de plus de 25 millions de dollars par an,
- OU qui font plus de 50% de leur revenus en revendant des données personnelles,
- OU qui touchent à plus de 50,000 points de données de consommateurs, foyers ou appareils
Les Facebook, Google & co. sont déjà CCPA compliant, donc rien à faire de ce côté-là pour vous. Ce sont eux qui collectent les données des utilisateurs. Mais si vous avez un site web, du genre un Shopify ou WordPress, un site qui collecte des emails ou qui juste ne serait-ce qu’un seul cookie qui récupère des datas, faites attention. Il suffit d’avoir une campagne Google Ads, un peu de Facebook Ads et un SEO efficace et les 4k visites par mois sont très vite atteintes!
Vérifiez vos stats et vos projections d’ici 6 mois / 1 an. Peut-être que le CCPA s’appliquera à votre business dans un avenir propche, alors autant anticiper.
Que faire pour respecter le CCPA?
- Mettre à jour sa police de données personnelles en ajoutant ce que vous collectez, comment et ce que vous en faites et pourquoi.
- Auditer sa sécurité, et vérifier ses mots de passes et la sécurité de son infrastructure IT.
- Ajouter un lien facile à trouver afin d’opt-out de la revente de données, ou opt-in à vos services pour les mineurs de 13-16 ans. Garder de traces écrites de toutes ces demandes.
Faites gaffe parce qu’ils ont la gâchette facile aux US, et en particulier en Californie où les class actions sont fréquentes. D’autres états sont aussi sur le coup, il y a un loi fédérale assez similaire qui pourrait passer dans les prochaines années, alors n’attendez pas ! Un jour ou l’autre, vous allez y passer.
Et si vous ne respectez pas le CCPA ?
Pour chaque infraction constatée, vous avez 30 jours pour être CCPA compliant et régler le litige. Ensuite, c’est $7500 de pénalité par infraction. En cas de fuites de données, c’est de $100-$750 par donnée fuitée, ou plus si le litige estimé est supérieur.
Et vu le nombre croissant de fuites de données qu’on peut voir… Pas plus tard qu’hier, 3000 Ring users ont été exposés. Avec une class action, au bas mot 300k de dommages, 2M+ tranche haute.
Mes conseils CCPA
- Mettez à jour votre site web votre site internet dès que possible : police sur les données personnelles et lien pour opt-out / opt-in.
- Vérifiez vos mots de passe et vos systèmes de sécurité pour que tout ceci soit fort et à jour. Un hack et votre entreprise est finie !
- Bâtissez vos propres listes de leads / contact avec votre stratégie de contenu, et ne surtout pas acheter des listes à des tiers ! Avec le CCPA, ces listes ne sont plus viables et peuvent engendrer plus de problèmes que de solutions.