Lorsque le CCPA est entré en vigueur en 2020, une entreprise de e-commerce de taille moyenne a découvert qu’elle n’avait aucune idée d’où se trouvaient toutes les adresses email de ses clients. Le marketing avait une liste. Les ventes en avaient une autre. Le service client en avait une troisième. L’entrepôt de données avait des copies de tout. Répondre à une seule demande de suppression signifiait coordonner sept systèmes différents.
La conformité au CCPA ne consiste pas seulement à ajouter un lien vers la politique de confidentialité. Elle exige de comprendre où vivent les données personnelles dans votre organisation et de mettre en place des processus pour respecter les droits des consommateurs. Pour les spécialistes du marketing par e-mail, cela implique de repenser la manière dont vous collectez, stockez et utilisez les adresses email.
Ce que le CCPA exige
La California Consumer Privacy Act accorde aux résidents de Californie des droits spécifiques concernant leurs données personnelles.
Le droit de savoir signifie que les consommateurs peuvent demander quelles informations personnelles vous avez collectées à leur sujet, d’où elles proviennent, à quoi vous les utilisez et avec qui vous les avez partagées. Pour les emails, cela inclut leur adresse email, l’historique d’interactions et toute donnée dérivée de leur activité liée aux emails.
Le droit à l’effacement signifie que les consommateurs peuvent vous demander de supprimer leurs informations personnelles. Sous certaines exceptions, vous devez vous y conformer. Cela va au-delà du désabonnement—cela signifie supprimer entièrement leurs données de vos systèmes.
Le droit d’opposition à la vente signifie que les consommateurs peuvent vous demander de ne pas vendre leurs informations personnelles. Si vous partagez des listes d’emails avec des partenaires ou vendez des données à des tiers, les consommateurs peuvent l’empêcher.
Le droit à la non-discrimination signifie que vous ne pouvez pas pénaliser les consommateurs parce qu’ils exercent leurs droits. Vous ne pouvez pas faire payer davantage ni fournir un service de moindre qualité parce que quelqu’un a refusé la vente de ses données.
Ces droits s’appliquent aux résidents de Californie, quel que soit l’endroit où se trouve votre entreprise. Si vous avez des clients en Californie, le CCPA s’applique probablement à vous.
À qui s’applique le CCPA
Le CCPA s’applique aux entreprises à but lucratif qui collectent les informations personnelles de résidents californiens ET qui remplissent l’un de ces seuils :
Chiffre d’affaires annuel supérieur à 25 millions de dollars. La plupart des entreprises de taille moyenne et grandes sont concernées.
Acheter, vendre ou partager, chaque année, les informations personnelles de 100 000 résidents, foyers ou appareils californiens ou plus. Beaucoup de listes d’emails dépassent ce seuil.
Tirer 50 % ou plus du chiffre d’affaires annuel de la vente des informations personnelles de résidents californiens. Les courtiers en données et certaines sociétés de marketing entrent dans cette catégorie.
Si vous ne remplissez pas ces seuils, le CCPA ne s’applique pas à vous—mais d’autres lois sur la confidentialité peuvent s’appliquer, et suivre les principes du CCPA reste une bonne pratique dans tous les cas.
Exigences de conformité spécifiques à l'e-mail
Pour le marketing par e-mail, la conformité au CCPA implique plusieurs considérations spécifiques.
Information au moment de la collecte : Lorsque vous collectez des adresses email, vous devez informer les consommateurs des catégories d’informations personnelles collectées et de la manière dont vous les utiliserez. Vos formulaires d’inscription doivent comporter des mentions de confidentialité claires.
Exigences de la politique de confidentialité : Votre politique de confidentialité doit décrire les catégories d’informations personnelles collectées, les finalités de la collecte, les droits des consommateurs au titre du CCPA et la manière de soumettre des demandes. Elle doit être mise à jour au moins une fois par an.
Inventaire des données : Vous devez savoir où sont stockées les adresses email et les données associées dans toute votre organisation. CRM, plateforme d’e-mail, outils d’analyse, entrepôt de données, sauvegardes—tout. Vous ne pouvez pas honorer les demandes de suppression si vous ne savez pas où résident les données.
Traitement des demandes : Vous devez fournir au moins deux méthodes permettant aux consommateurs de soumettre des demandes (généralement un formulaire web et un numéro gratuit). Vous devez vérifier l’identité du demandeur. Vous devez répondre dans les 45 jours (prolongeables à 90 dans certains cas).
Contrats avec les fournisseurs de services : Si vous utilisez des prestataires de services d’e-mail, vous avez besoin de contrats précisant qu’ils sont des fournisseurs de services au sens du CCPA et restreignant la manière dont ils peuvent utiliser les données.
Gestion des demandes de suppression
Les demandes de suppression exigent une gestion soigneuse afin d’assurer la conformité.
Vérifiez l’identité avant de supprimer. Vous avez besoin d’une vérification raisonnable indiquant que le demandeur est bien la personne qu’il prétend être. Pour les demandes liées aux emails, cela peut impliquer l’envoi d’une confirmation à l’adresse email concernée.
Supprimez de tous les systèmes. Le désabonnement ne suffit pas. Vous devez supprimer l’adresse email et les données associées de votre plateforme d’e-mail, de votre CRM, de vos outils d’analyse, de votre entrepôt de données, et de tout autre emplacement. Documentez ce que vous avez supprimé.
Des exceptions existent. Vous pouvez conserver les données nécessaires pour achever des transactions, détecter des incidents de sécurité, respecter des obligations légales ou pour certaines utilisations internes. Mais ces exceptions sont étroites—en cas de doute, supprimez.
Informez les fournisseurs de services. Si vous avez partagé les données avec des fournisseurs de services, vous devez leur demander de les supprimer également. Vos contrats doivent exiger qu’ils s’y conforment.
Répondez par écrit. Confirmez au consommateur les actions que vous avez entreprises. Conservez des traces des demandes et des réponses pour la documentation de conformité.
Exigences relatives à l’opposition à la vente (opt-out)
Si vous « vendez » des informations personnelles, des exigences supplémentaires s’appliquent.
La notion de « vente » est définie largement par le CCPA. Elle inclut le partage de données contre une compensation monétaire, mais aussi le partage contre d’autres contreparties de valeur. Si vous partagez des listes d’emails avec des partenaires qui vous offrent quelque chose en retour (même non monétaire), cela peut constituer une vente.
Lien « Ne pas vendre mes informations personnelles » : Si vous vendez des informations personnelles, votre site doit comporter un lien « Ne pas vendre mes informations personnelles » clair. Il doit être facile à trouver et à utiliser.
Respect des demandes d’opposition (opt-out) : Lorsqu’une personne s’oppose, vous devez cesser de vendre ses informations. Cela peut signifier la retirer des listes partagées, arrêter les flux de données vers les partenaires ou l’exclure des programmes de monétisation des données.
Beaucoup de spécialistes du marketing par e-mail ne vendent pas de données au sens du CCPA. Si vous n’utilisez les adresses email que pour votre propre marketing et ne les partagez qu’avec des fournisseurs de services agissant en votre nom, vous ne vendez probablement pas. Mais examinez attentivement vos flux de données.
Étapes pratiques de mise en œuvre
Intégrer la conformité CCPA à votre programme d’e-mail nécessite un effort systématique.
Auditez vos flux de données. Cartographiez d’où viennent les adresses email, où elles sont stockées, qui y a accès et où elles vont. Cet inventaire est essentiel pour répondre aux demandes et identifier les ventes.
Mettez à jour les points de collecte. Assurez-vous que les formulaires d’inscription, les parcours de paiement et autres points de collecte incluent les mentions requises. Liez vers votre politique de confidentialité. Soyez clair quant à l’usage des données.
Mettez à jour votre politique de confidentialité. Incluez toutes les divulgations requises par le CCPA. Décrivez les droits des consommateurs et comment les exercer. Révisez et mettez à jour chaque année.
Établissez des processus de traitement des demandes. Créez des mécanismes de réception (formulaire web, numéro de téléphone). Établissez des procédures de vérification. Définissez des workflows pour répondre aux demandes dans tous les systèmes. Formez le personnel qui traite les demandes.
Révisez les contrats fournisseurs. Assurez-vous que les prestataires d’e-mail et autres vendeurs comportent des clauses CCPA appropriées. Ils doivent être classés comme fournisseurs de services avec des restrictions d’usage des données.
Documentez tout. Conservez des enregistrements de vos efforts de conformité, des demandes reçues et des actions entreprises. Cette documentation est votre défense en cas de question.
Sanctions et application
Les violations du CCPA peuvent coûter cher.
Le procureur général de Californie peut infliger des amendes allant jusqu’à 2 500 $ par violation non intentionnelle et 7 500 $ par violation intentionnelle. Avec des milliers de consommateurs concernés, les amendes s’accumulent rapidement.
Un droit d’action privé existe en cas de violation de données. Si une violation expose des informations personnelles en raison d’un défaut de mise en œuvre de mesures de sécurité raisonnables, les consommateurs affectés peuvent poursuivre pour 100-$750 par incident ou pour des dommages réels, selon le montant le plus élevé.
L’application a été active. Le procureur général a engagé des actions contre des entreprises pour des politiques de confidentialité insuffisantes, le non-respect des demandes d’opt-out et d’autres violations. Ce n’est pas un risque théorique.
Les amendements du CPRA (entrés en vigueur en 2023) ont créé une agence d’application dédiée et élargi les exigences. La conformité devient de plus en plus importante, pas l’inverse.
CCPA vs RGPD
Si vous êtes déjà conforme au RGPD, vous avez une longueur d’avance sur le CCPA, mais ils ne sont pas identiques.
Le RGPD exige le consentement pour la plupart des traitements de données. Le CCPA autorise le traitement mais impose des obligations de divulgation et des droits d’opt-out. Les modèles de consentement diffèrent sensiblement.
Le RGPD s’applique à tous les personnes concernées dans l’UE. Le CCPA ne s’applique qu’aux résidents de Californie. La portée géographique diffère.
Le RGPD confère des droits individuels plus larges. Les droits du CCPA sont plus limités mais restent substantiels.
De nombreuses organisations construisent des programmes de confidentialité unifiés qui satisfont aux deux, en optant pour l’exigence la plus stricte dans chaque domaine. C’est souvent plus pratique que de maintenir des programmes de conformité séparés.
Frequently asked questions
Le CCPA s'applique-t-il si je ne suis pas basé en Californie ?
Oui, si vous faites des affaires en Californie et remplissez les seuils. Le CCPA s'applique en fonction de l'emplacement de vos clients, pas de l'endroit où vous êtes situé.
Se désabonner équivaut-il à une demande de suppression ?
Non. Le désabonnement arrête les emails futurs mais ne supprime pas les données existantes. Une demande de suppression au titre du CCPA exige de retirer les données du consommateur de vos systèmes, pas seulement d'arrêter la communication.
Dois-je supprimer les copies de sauvegarde ?
En général oui, bien qu'il y ait une certaine flexibilité pour les systèmes archivés ou de sauvegarde si la suppression est techniquement difficile. Vous devez supprimer des systèmes actifs et disposer d'un processus de suppression ou d'expiration des sauvegardes.
Que faire si je ne peux pas vérifier l'identité du demandeur ?
Vous pouvez refuser les demandes que vous ne pouvez pas vérifier. Mais votre processus de vérification doit être raisonnable—vous ne pouvez pas le rendre si difficile que les demandes légitimes soient de fait bloquées.