Questions fréquemment posées sur l'ACCP et l'ACPR

Vous apprendrez

Découvrez les questions fréquemment posées concernant la CCPA (California Consumer Privacy Act) et la CPRA (California Privacy Rights Act).

Qu'est-ce que l'ACCP ?

La CCPA est une loi qui est entrée en vigueur le 1er janvier 2020 et qui régit la manière dont les entreprises traitent les informations personnelles des résidents de Californie.

Le CCPA est une réponse à une lacune perçue dans la protection de la vie privée aux États-Unis. Les entreprises qui traitent les informations personnelles des résidents de Californie sont tenues d'informer les résidents des pratiques de l'entreprise en matière de protection de la vie privée et des droits des résidents en la matière, y compris le droit de.. :

• Connaître les informations personnelles qu'une entreprise recueille à leur sujet et la manière dont elles sont utilisées
• Supprimer les informations personnelles collectées (avec quelques exceptions)
• refuser la vente de leurs données personnelles
• Non-discrimination dans l'exercice de leurs droits au titre de la CCPA

Qu'est-ce que l'ACPR ?

L'ACPR est une loi qui modifie et élargit les exigences de la CCPA, notamment :

• Ajout d'une catégorie "informations personnelles sensibles" 
• Établir le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles
• Établir le droit de corriger les informations personnelles inexactes
• Extension de l'obligation d'opt-out "Ne pas vendre" au "partage" d'informations personnelles à des fins de publicité cross-contextuelle (ou de tiers).

L'ACPR entre en vigueur le 1er janvier 2023.

Qui doit se conformer à la CCPA et à l'ACPR ?

Entreprises

La plupart des exigences de la CCPA et de la CPRA s'appliquent aux "entreprises", c'est-à-dire aux sociétés qui collectent les informations personnelles des consommateurs californiens, soit par elles-mêmes, soit par l'intermédiaire de fournisseurs. 

Le CCPA s'applique aux entreprises qui remplissent l'une des conditions suivantes :

• Traite les informations personnelles des résidents de Californie
• fait des affaires en Californie (y compris des contacts avec des personnes situées en Californie par le biais d'un site web ou d'une application de commerce électronique ou interactif)
• Satisfait à un ou plusieurs des seuils suivants :
• a des revenus bruts annuels supérieurs à 25 millions de dollars
• achète, reçoit ou vend des informations personnelles concernant au moins 50 000 résidents, ménages ou appareils californiens par an
• tire 50 % ou plus de ses revenus annuels de la "vente" d'informations personnelles de résidents californiens (la vente comprend la divulgation, la mise à disposition, le transfert ou la communication d'informations personnelles à des tiers en échange d'une contrepartie monétaire ou d'une autre valeur)

L'ACPR modifie cette applicabilité comme suit :

• Satisfait à un ou plusieurs des seuils suivants :
• avoir eu des revenus bruts annuels supérieurs à 25 millions de dollars l'année dernière
• achète, vend ou partage les informations personnelles de 100 000 résidents ou ménages californiens ou plus par an
• tire 50 % ou plus de ses revenus annuels de la vente ou du partage des informations personnelles des résidents de Californie (le partage comprend la divulgation, la mise à disposition, le transfert ou la communication d'informations personnelles à un tiers à des fins de publicité comportementale croisée, que ce soit ou non en échange d'une somme d'argent ou d'une autre contrepartie de valeur).

Prestataires de services et contractants 

Pour être considéré comme un prestataire de services, une personne physique ou morale doit

• Traiter des données à caractère personnel pour le compte d'une entreprise 
• être lié par un contrat écrit qui impose certaines restrictions et obligations concernant l'utilisation des informations personnelles, notamment ne pas aller plus loin :

• • Collecte
  • Vente
  • Utiliser les informations personnelles uniquement dans la mesure où cela est nécessaire pour atteindre l'objectif de l'entreprise.

Comme pour les prestataires de services, l'exception à la vente ou au partage s'applique également aux entrepreneurs dans le cadre de l'ACPR. Les contractants sont des personnes ou des entités auxquelles une entreprise met à disposition des informations à caractère personnel, en vertu d'un contrat écrit qui impose des restrictions et des obligations similaires à celles qui s'appliquent à un prestataire de services. Les entrepreneurs doivent également être en possession d'un certificat attestant qu'ils comprennent les restrictions et qu'ils s'y conformeront.

Notez que la divulgation de données par une entreprise à un prestataire de services ou à un contractant n'est pas considérée comme une vente ou un partage lorsqu'elle est nécessaire à la réalisation d'un objectif commercial.

Qu'est-ce qui est classé dans la catégorie "conformité personnelle" ?

La CCPA définit les informations personnelles de manière très large, en y incluant les informations qui identifient, décrivent ou peuvent raisonnablement être associées à un consommateur ou à un ménage particulier. En pratique, cette définition large signifie que des informations telles que les coordonnées, les données de transaction, les adresses IP (Internet Protocol), les identifiants d'appareils mobiles, les données de parcours et les détails des commandes peuvent entrer dans le champ d'application de la définition des informations personnelles de la CCPA et être soumises aux exigences de la CCPA.

L'ACPR crée une nouvelle catégorie d'informations personnelles, les "informations personnelles sensibles", et confère aux consommateurs un nouveau droit de limiter l'utilisation et la divulgation de leurs informations sensibles. 

Les informations personnelles sensibles au sens de l'ACPR comprennent 

• Numéro de sécurité sociale
• Numéro de permis de conduire 
• Numéro de passeport
• Références du compte
• Géolocalisation précise
• Origine raciale ou ethnique
• Croyances religieuses
• Données biométriques
• Données génétiques
• Données sur la santé 
• Informations concernant la vie sexuelle ou l'orientation sexuelle d'un consommateur
• le contenu du courrier, des e-mails et des messages textuels d'un consommateur, sauf si l'entreprise est le destinataire prévu de la communication 

Que dois-je faire pour me préparer ?

La CCPA et l'ACPR sont des lois complexes. Cet article présente les principales obligations prévues par la CCPA et la CPRA dans le cadre de l'utilisation des services de Klaviyo, mais il ne tient pas compte de toutes les exigences susceptibles de s'appliquer à votre entreprise. Veuillez contacter votre conseiller juridique pour obtenir des conseils spécifiques. 

Si la CCPA et la CPRA s'appliquent à votre entreprise, vous devez tenir compte des droits et des divulgations suivants.

Avis

Votre entreprise doit disposer sur son site web d'une politique de protection de la vie privée accessible à tous les endroits où vous recueillez des informations personnelles, comme les formulaires d'inscription. La politique doit comprendre, entre autres, les éléments suivants

• Catégories d'informations personnelles collectées, vendues ou divulguées à des fins commerciales
• Catégories de sources d'informations personnelles 
• Objectifs professionnels ou commerciaux de la collecte ou de la vente des données à caractère personnel
• Description des droits des consommateurs suivants et des méthodes désignées pour soumettre les demandes :
• Le droit de supprimer des informations personnelles
• Le droit d'accéder à des catégories et à des éléments spécifiques d'informations personnelles
• Le droit de refuser la vente ou le partage d'informations personnelles
• Le droit à la non-rétorsion

L'ACPR élargit cette liste de droits des consommateurs pour y inclure : 

• Le droit de corriger les informations inexactes
• Le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles
• Le droit de refuser la technologie de prise de décision automatisée

L'ACPR exige également des entreprises qu'elles publient les informations supplémentaires suivantes :

• Si les informations personnelles de la personne sont vendues ou partagées
• la durée pendant laquelle l'entreprise a l'intention de conserver chaque catégorie d'informations à caractère personnel ou les critères qu'elle utilisera pour déterminer la durée de conservation de ces informations
• Si l'entreprise recueille des "informations personnelles sensibles" :
• Une divulgation séparée identifiant les catégories d'informations sensibles collectées
• L'utilisation et la finalité de ces données
• Si ces informations sont vendues ou partagées

Droits de retrait

Les consommateurs ont le droit de refuser à tout moment la vente de leurs données personnelles à des tiers. Votre entreprise doit cesser de vendre des informations personnelles dès réception de la demande, à moins qu'une autorisation expresse ne soit fournie ultérieurement par le consommateur. Les entreprises doivent attendre au moins 12 mois avant de demander à un consommateur de revenir sur la vente de ses données personnelles. Pour pouvoir exercer ce droit de retrait, les entreprises doivent notamment

• Fournissez un lien clair et visible sur la page d'accueil de l'entreprise, intitulé "Ne vendez pas mes informations personnelles". Le lien doit permettre au consommateur, ou à une personne autorisée par le consommateur, de refuser la vente de ses données personnelles.
• Ne pas exiger du consommateur qu'il crée un compte pour demander à l'entreprise de ne pas vendre ses données personnelles.

Les consommateurs ont également le droit de refuser à tout moment que leurs données personnelles soient vendues par un tiers qui a acheté les données personnelles du consommateur à une entreprise. Le tiers doit cesser de vendre dès réception de la demande d'exclusion, à moins qu'une autorisation expresse ne soit fournie ultérieurement par le consommateur.

Autres droits des consommateurs

Les entreprises doivent disposer de procédures permettant de vérifier l'identité d'un résident californien lorsqu'elles répondent à des demandes d'accès ou de suppression d'informations personnelles. Lorsqu'une demande est reçue de la part d'un résident californien et que son identité est confirmée, veillez à inclure les éléments suivants lorsque vous remplissez la demande, le cas échéant, afin de respecter ses droits. 

Droit de savoir : Un consommateur peut demander à l'entreprise de divulguer la collecte et le traitement de ses informations personnelles, y compris les informations suivantes : 

• Catégories d'informations personnelles collectées sur ce consommateur (au cours des 12 derniers mois)
• Catégories de sources à partir desquelles les informations personnelles sont collectées 
• Objectif professionnel ou commercial de la collecte ou de la vente d'informations personnelles
• Catégories de tiers avec lesquels l'entreprise a divulgué des informations personnelles
• Catégories d'informations que l'entreprise vend ou divulgue à des tiers
• les informations personnelles spécifiques qu'elle a collectées sur ce consommateur

L'ACPR modifie et élargit ce droit pour exiger :

• Fournir des informations sur les catégories d'informations personnelles "partagées" avec des tiers
• Supprimer la limite de 12 mois de recul en demandant à une entreprise de fournir plus de 12 mois d'informations, pour autant qu'une telle divulgation ne soit pas "impossible" ou "implique un effort disproportionné" (cette exigence ne s'appliquerait pas aux données collectées par l'entreprise avant le 1er janvier 2022).

Droit de suppression : L'entreprise doit supprimer les informations relatives au consommateur (sous réserve de certaines exceptions) et notifier à ses prestataires de services de supprimer les informations relatives au consommateur. En vertu de l'ACPR, l'entreprise doit informer ses fournisseurs de services et ses sous-traitants, ainsi que les tiers auxquels elle a vendu ou partagé (à des fins de publicité intercontextuelle) les informations personnelles du consommateur, sauf si cela "s'avère impossible ou implique des efforts disproportionnés". En outre, chaque fournisseur de services doit également informer ses propres fournisseurs de services en aval qu'ils doivent supprimer les informations du consommateur. 

Droit de corriger les informations personnelles inexactes : Lorsqu'une entreprise reçoit une demande vérifiée de correction d'informations personnelles inexactes, elle doit faire des "efforts commercialement raisonnables" pour corriger ces informations personnelles selon les instructions du consommateur. Le procureur général de Californie devrait fournir des orientations supplémentaires sur cette obligation.

Vous devez également noter que si le consommateur est âgé de moins de 13 ans, le consentement explicite d'un parent ou d'un tuteur (opt-in) est requis avant de vendre ses informations personnelles. Si le consommateur est âgé de 13 à 16 ans, il doit donner son consentement explicite avant de vendre ses informations personnelles.

Répondre aux demandes des consommateurs 

Vous devez disposer d'au moins deux méthodes désignées pour permettre aux consommateurs de soumettre des demandes d'information.

Il s'agit au minimum des éléments suivants

• Un numéro de téléphone gratuit (certaines entreprises qui opèrent exclusivement en ligne et qui ont une relation directe avec le consommateur auprès duquel elles collectent des informations personnelles sont exemptées de l'obligation d'utiliser un numéro gratuit).
• Adresse web, si l'entreprise dispose d'un site web 

Les demandes des consommateurs doivent être traitées dans les 45 jours suivant la réception de la demande, par courrier ou par voie électronique (dans un format permettant au consommateur de le transmettre à une autre entité) ou par l'intermédiaire d'un compte d'utilisateur. Le délai de réponse peut être prolongé de 45 jours supplémentaires si cela est raisonnablement nécessaire compte tenu de la complexité et du nombre de demandes, et si le demandeur est informé de la prolongation (en précisant les raisons). La procédure de demande doit également être gratuite.

Les entreprises ne sont pas tenues d'effectuer plus de deux demandes par consommateur au cours d'une période de 12 mois.

Quel est le rôle de Klaviyo dans le cadre de la CCPA et de la CPRA en ce qui concerne le service Klaviyo ?

Klaviyo n'a pas de relation directe avec les personnes dont les informations personnelles sont collectées par nos clients et stockées sur notre plateforme. Klaviyo agit en tant que prestataire de services, tandis que nos clients sont les entreprises, car nous traitons les informations personnelles pour le compte de nos clients.

Les obligations de Klaviyo à l'égard des clients en tant que fournisseur de services sont énoncées dans notre accord sur le traitement des données. 

Que fait Klaviyo pour permettre à ses clients de se mettre en conformité ?

Les clients de Klaviyo ont la capacité et les outils nécessaires pour répondre aux demandes des résidents californiens qui souhaitent exercer leurs droits d'accès, de suppression ou de correction des informations personnelles en vertu de la CCPA et de la CPRA. En particulier :

• La plateforme permet aux clients de rendre compte des informations personnelles qu'elle conserve sur les utilisateurs finaux en réponse aux demandes d'accès.
• La plateforme permet la suppression des informations personnelles qu'elle conserve sur les utilisateurs finaux en réponse aux demandes de suppression et la correction des informations personnelles inexactes sur les profils dans Klaviyo.
• Klaviyo ne soutient pas et limite la collecte et le stockage d'informations personnelles sensibles, conformément à notre Politique d'utilisation acceptable .

Ressources complémentaires

• Comment traiter les demandes relatives au GDPR et au CCPA
• Loi californienne sur la protection de la vie privée des consommateurs
• Comprendre le consentement dans les profils