Comment rendre votre site Web WordPress conforme au CCPA

Après l'introduction du GDPR en 2018, il existe maintenant une autre loi qui devrait affecter davantage les webmasters WordPress dans leur tentative de rester en conformité avec les réglementations locales en matière de confidentialité des données.

Son nom? Le California Consumer Protection Act (ou CCPA en abrégé).

Cette nouvelle loi vise à offrir aux Californiens une protection renforcée en ce qui concerne l'utilisation de leurs informations personnelles. Il est entré en vigueur au début de l'année 2020.

Ce guide vous expliquera quelles sont les exigences de conformité du site Web de l'ACCP. Il explique également ce que cela signifie pour votre site Web dans la pratique et comment mettre en œuvre les modifications nécessaires. Alors sans plus tarder, commençons par discuter des principaux thèmes du CCPA.

Qu'est-ce que le California Consumer Privacy Act (CCPA) ?

Le CCPA a été adopté en 2018. Initialement présentée comme une initiative volontaire, la loi n'a pris que sept jours pour être adoptée par les organes respectifs de la législature de l'État de Californie.

La loi a été radicalement précipitée par les organes législatifs après que les politiciens ont tenu compte du chœur croissant de préoccupations des électeurs qui estimaient que la loi californienne n'avait pas suivi le rythme de la quantité de données personnelles que les clients partagent involontairement avec les entreprises.

Deuxièmement, le scandale Cambridge Analytica qui a entouré Facebook et l'introduction des lois sur le règlement général sur la protection des données (RGPD) dans l'UE ont renforcé l'importance de faire avancer cette législation.

Depuis ces événements de juin 2018, la loi a été modifiée à deux reprises. Le procureur général de Californie a publié des directives pour aider les entreprises à mieux comprendre comment apporter les ajustements nécessaires à leurs opérations. La loi est officiellement entrée en vigueur le 1er janvier 2020.

En ce qui concerne les détails du CCPA, la loi suit principalement l'exemple fourni par son prédécesseur GDPR. Il accorde aux citoyens de Californie le droit de :

• Savoir quelles informations personnelles sont collectées à leur sujet
• Savoir si leurs informations personnelles sont vendues ou divulguées et à qui
• Dites non à la vente de leurs informations personnelles
• Demander la suppression de ses informations personnelles
• Accéder à leurs informations personnelles
• Service et prix égaux, même s'ils exercent leur droit à la vie privée

Une fois la loi comprise, vous vous demandez probablement si ces lois s'appliquent à vous, notamment si votre site Web ou votre entreprise est enregistrée en dehors de l'État de Californie.

Le CCPA s'applique-t-il à votre entreprise ?

Décrypter les implications de toute loi sur la protection de la vie privée est probablement la partie la plus difficile. Mais maintenant, il y a eu assez de temps pour que la poussière se dépose. Il existe des directives claires sur la manière et le moment d'appliquer cette loi.

Le premier élément à noter est que cette loi concerne la protection des informations personnelles des citoyens et résidents de Californie. Cela signifie que les entreprises ou les organisations qui traitent avec les citoyens mentionnés ci-dessus se verront appliquer la loi, quel que soit leur emplacement.

Dans le cadre des directives publiées par le procureur général de Californie, la loi s'applique aux organisations à but lucratif qui répondent aux critères suivants :

1. A un revenu brut annuel de plus de 25 000 000 $
2. Achète ou reçoit chaque année, à des fins professionnelles ou commerciales, vend ou partage les informations personnelles de 50 000 consommateurs californiens ou plus
3. Tire 50 % ou plus de ses revenus annuels de la vente des informations personnelles des consommateurs californiens.

Si vous êtes assis là à penser : « Super, mon entreprise ne correspond à aucun de ces critères, je n'ai pas besoin de faire de changements », vous n'avez qu'en partie raison. Cette nouvelle loi peut encore s'appliquer à vous par extension. Si vous traitez avec des entreprises qui doivent se conformer au CCPA, vous devrez peut-être encore apporter les modifications nécessaires pour vous y conformer.

Par exemple, si vous achetez une liste de diffusion à des fins de marketing auprès d'un fournisseur californien qui détient des millions d'enregistrements, vous devrez effectuer les ajustements stipulés par CCPA par extension. De même, si vous fournissez des services de conception Web WordPress à de grandes entreprises, vous devrez veiller à fournir un site Web conforme.

CCPA vs RGPD

Les législations CCPA et GDPR, bien que très similaires, présentent des différences essentielles. Premièrement, le RGPD va beaucoup plus loin que le CCPA.

Le RGPD contient des obligations pour la nomination de délégués à la protection des données, la tenue d'un registre des activités de traitement et la nécessité d'évaluations d'impact sur la protection des données dans des circonstances précises. Il n'y a pas de telles obligations légales attachées au CCPA, même si des dispositions similaires sont en place.

Ensuite, GDPR fonctionne sur le principe fondamental selon lequel il devrait y avoir une base légale pour le traitement de tout aspect des données personnelles. Cependant, le CCPA ne s'applique même pas à certains ensembles de données personnelles. Par exemple, les dossiers médicaux et les informations personnelles enregistrés aux fins de l'évaluation du crédit ne sont pas couverts par le CCPA car ils sont considérés comme couverts par une législation existante distincte.

Enfin, les lois disparates diffèrent sur un dernier principe juridique, qui est la question du consentement préalable. Le CCPA n'oblige pas les entreprises à demander un consentement préalable pour traiter les informations personnelles, qui est le pilier juridique central sur lequel repose le RGPD.

En effet, selon le CCPA, une entreprise n'a pas besoin du consentement préalable d'un utilisateur avant de traiter ses données, pas plus qu'un site Internet n'a besoin de l'autorisation préalable d'un utilisateur avant de vendre ses données à des tiers. Cependant, un citoyen californien a le droit de s'opposer à ce traitement et de demander à la fois de consulter et de demander la suppression de ses données.

En d'autres termes, le CCPA vise à assurer la transparence et la protection des données après coup. En revanche, le RGPD vise à donner aux citoyens de l'UE le pouvoir de donner leur consentement préalable au traitement des données personnelles.

Comment rendre votre site Web conforme au CCPA

Si votre site WordPress doit être mis à jour pour répondre aux exigences de conformité du site Web CCPA, les étapes suivantes devraient vous aider à vous assurer que vous n'enfreignez pas la nouvelle loi sur la confidentialité.

Mettre à jour votre politique de confidentialité

Vous avez probablement déjà mis en place une politique de confidentialité pour mettre votre site Web en conformité avec le RGPD, mais vous devrez la mettre à jour pour refléter les changements requis par le CCPA. Tout d'abord, vous devrez inclure les nouveaux droits des visiteurs du site Web tels qu'énoncés dans le CCPA.

Vous devrez ensuite inclure plusieurs méthodes de contact afin que les consommateurs puissent soumettre leurs demandes pour exercer leurs droits en vertu de la législation. C'est également une bonne idée de mettre à jour les données que vous collectez, comment vous les obtenez et à quelles fins elles sont utilisées si l'une de ces informations a changé depuis l'introduction du RGPD.

N'oubliez pas d'énoncer un processus étape par étape transparent indiquant comment les clients peuvent accéder à leurs données et demander leur suppression. Enfin, modifiez la date de votre politique de confidentialité pour montrer que ces mises à jour ont eu lieu après l'introduction de la nouvelle loi.

(Remarque : si vous vendez les informations personnelles de 4 000 000 ou plus de consommateurs californiens par an, vous devrez peut-être inclure des informations supplémentaires)

Dites aux clients où ils peuvent en savoir plus sur votre politique de confidentialité et le CCPA

Informer les clients de la politique de confidentialité et de leurs droits en vertu du CCPA sont des exigences lors du processus de collecte de leurs données. Notez que vous n'avez pas besoin de consentement (conformément au RGPD) ; au lieu de cela, vous devez les informer de l'endroit où ils peuvent en savoir plus sur ce que vous collectez et pourquoi.

Un excellent moyen d'informer vos clients consiste à utiliser un avis de confidentialité ou une barre de cookies, comme vous le faites déjà aux fins du RGPD.

Avis de conformité/de confidentialité envoyé via la barre de cookies ou le pied de page

Cet avis sera très similaire à celui que vous fournissez déjà pour vous conformer au RGPD. Ces avis de conformité / confidentialité sont essentiellement des versions extrêmement condensées de votre politique de confidentialité.

Assurez-vous d'inclure une liste des catégories d'informations personnelles que vous collectez auprès des consommateurs et, pour chaque catégorie, indiquez les fins commerciales pour lesquelles elles seront utilisées.

Vous disposerez d'un espace limité si vous affichez via un pied de page ou une barre de cookies, alors soyez aussi direct et précis que possible avant d'inclure des liens vers votre politique de confidentialité et votre page "Ne vendez pas mes informations personnelles".

Assurez-vous que l'opt-in/opt-out est disponible

Comme mentionné, vous n'avez pas besoin d'obtenir le consentement aux fins du CCPA. Cependant, vous devrez offrir aux consommateurs la possibilité de refuser la collecte de données personnelles. Dans cet esprit, il est logique de regrouper cette autorisation avec le consentement préalable requis pour le RGPD si vous avez déjà ces paramètres en place.

Compte tenu des critères de taille d'entreprise en place pour le CCPA, il est probable que vous ayez déjà mis en place une architecture de site Web similaire, il est donc logique d'apporter les modifications nécessaires pour répondre également aux exigences du CCPA.

Ajoutez une page "Ne pas vendre mes informations" et placez un lien vers celle-ci sur votre page d'accueil

Si vous vendez les informations personnelles de résidents californiens, la nouvelle loi vous oblige à avoir une page Web intitulée "Ne vendez pas mes informations personnelles" ou "Ne vendez pas mes informations".

Sur cette page Web nouvellement créée, vous devez inclure les informations suivantes :

• Précisions concernant le droit du consommateur de s'opposer à la vente de ses données personnelles
• Un formulaire de contact pour soumettre une demande d'opt-out
• Informations relatives à d'autres méthodes de contact pour l'opt-out
• Un lien vers votre politique de confidentialité
• La charge de la preuve requise lorsqu'un consommateur a choisi d'avoir un agent autorisé pour soumettre une demande de retrait en son nom

Vous devez placer un lien vers cette page dans le pied de page de votre site Web afin qu'il ne soit jamais à plus d'un clic.

Obtenir le consentement préalable des mineurs de 13 à 16 ans avant de vendre des données

Encore une fois, si vous vendez des données personnelles de résidents de Californie, vous ne serez pas autorisé à le faire pour les personnes âgées de 13 à 16 ans sans consentement préalable. Vous pouvez choisir d'utiliser votre barre de cookies pour inclure un message à cet effet, accompagné d'une boîte de consentement.

Ou, si vous n'avez aucun intérêt à collecter des données sur des individus de cet âge, vous pourriez mettre en place une politique de destruction de toutes les données relatives à ceux qui correspondent à ce critère, qui devrait être détaillée dans votre politique de confidentialité.

Résumé

S'il est sans aucun doute vrai que le CCPA n'est pas aussi étendu que le RGPD, il doit tout de même être pris au sérieux. Il ne s'agira probablement que de l'une des nombreuses lois sur la confidentialité au niveau des États qui devraient entrer en vigueur à travers l'Amérique tout au long de 2020.

Beaucoup utiliseront le CCPA comme modèle de copier-coller pour les lois relatives à leurs États respectifs. Par conséquent, il est logique de modifier votre site WordPress pour qu'il respecte dès maintenant les exigences de conformité du site Web de la CCPA afin que vous puissiez continuer à rester conforme sur les marchés de l'UE (GDPR) et de l'Amérique du Nord (CCPA et al.). Pour plus d'informations sur le CCPA, consultez le site Web du ministère de la Justice de l'État de Californie.

Chez WP White Security, nous prenons la conformité et la sécurité au sérieux. Nous développons des plugins de sécurité de niche et d'utilitaires d'administration de haute qualité qui aident les administrateurs à mieux gérer et sécuriser leurs sites Web WordPress. Pourquoi ne pas jeter un coup d'œil à notre portefeuille de plugins pour voir comment nous pouvons vous aider à mieux protéger votre site Web et gérer ses utilisateurs ?