Sephora n'a pas reçu l'amour de la Californie lorsqu'elle a échoué à une exécution balayer des détaillants en ligne, menée par le procureur général Rob Bonta l'hiver dernier. Le 24 août, le procureur général Bonta a annoncé un accord à l'amiable avec l'entreprise de beauté, d'un montant de 14,4 millions de livres sterling (1,2 million de livres sterling) pour violation de la loi. Loi californienne sur la protection de la vie privée des consommateurs (CCPA).
En plus de l'amende pécuniaire, Sephora devra également :
- Dire de manière affirmative aux consommateurs qu’il « vend » des données
- Conformer ses accords de prestataires de services aux exigences du CCPA
- Fournir des mécanismes de désinscription à la vente en plus du respect des contrôles de confidentialité mondiaux
- Rendre compte régulièrement au procureur général de la vente de ses renseignements personnels, de l’état de ses relations avec ses fournisseurs de services et de ses efforts pour honorer le GPC.
La définition de « vente » s'élargit
La plainte contre Sephora a conclu que Sephora avait violé la CCPA en « vendant » les informations personnelles de consommateurs californiens sans les en informer correctement ni leur donner la possibilité de se désinscrire. Bien que Sephora n'ait pas perçu de paiement direct de la part de tiers ayant accès aux informations des consommateurs – telles que leurs données de localisation et les articles placés dans leur panier en ligne –, la plainte suggère que Sephora a bénéficié d'« autres avantages », en violation de la définition de la vente prévue par la CCPA.
Selon ce règlement, le bureau du procureur général définit la « vente » comme la divulgation ou la mise à disposition par l'entreprise des informations personnelles du consommateur à des tiers au moyen de technologies de suivi en ligne telles que les pixels, les balises web, les kits de développement logiciel, les bibliothèques tierces et les cookies, en échange d'une contrepartie monétaire ou autre, y compris, mais sans s'y limiter : (1) des informations personnelles ou d'autres données telles que des analyses ; ou (2) des services gratuits ou à prix réduit. Dans ce cas, Sephora a eu la possibilité d'acheter des publicités en ligne ciblant les consommateurs auprès de tiers. L'entreprise a ensuite fréquemment conservé ces données et les a utilisées « au profit d'autres entreprises, à l'insu et sans le consentement du consommateur ». Sephora a contesté cette définition large (remarque : la conclusion de ce règlement signifie qu'elle n'admet PAS ses torts).
Bien que l'interprétation du procureur général dans ce règlement soit claire, il semble y avoir un certain chevauchement avec la définition de ne pas partager dans le Loi californienne sur les droits à la vie privée (CPRA)Le partage est défini comme la divulgation de renseignements personnels à un tiers à des fins de publicité comportementale intercontextuelle. La publicité comportementale intercontextuelle consiste à profiler et à cibler un consommateur en fonction de ses renseignements personnels obtenus lors de ses activités sur différentes entreprises, sites web, applications, etc. ; cette publicité n'implique aucune contrepartie financière.
Désinscriptions universelles et contrôle global de la confidentialité (GPC)
GPC est une spécification technique pour la transmission de signaux de désinscription. Parfois appelé « mécanisme de désinscription universel », les utilisateurs téléchargent un navigateur ou extension qui prend en charge le signal et peut ensuite l'activer pour tous les sites web ou pour des sites web spécifiques. Lorsque cet utilisateur visite un site web prenant en charge GPC, celui-ci enregistre automatiquement la demande de son navigateur de ne pas vendre d'informations personnelles. Quelques navigateurs (Brave et DuckDuckGo) ainsi que des éditeurs (le NYTimes et le Washington Post) ont publiquement déclaré leur soutien à GPC. Bien que GPC soit actuellement adapté à la CCPA, ses créateurs estiment qu'il pourrait être pertinent à d'autres fins réglementaires en matière de confidentialité à l'avenir, car « un signal GPC de refus du traitement pourrait créer une obligation juridiquement contraignante pour les sous-traitants de données ».
Outre le lien obligatoire « Ne pas vendre mes informations personnelles », l'autorité de régulation californienne s'attend à ce que toutes les entreprises opérant en Californie respectent également la demande du GPC. Le procureur général Bonta a également déclaré que « des technologies comme le Contrôle mondial de la confidentialité (Global Privacy Control) changent la donne pour les consommateurs souhaitant exercer leurs droits à la confidentialité des données. Mais ces droits sont vains si les entreprises dissimulent l'utilisation qu'elles font des données de leurs clients et ignorent les demandes de refus de leur vente. »
L'avenir des entreprises californiennes
Cet accord indique que le procureur général entend intensifier ses poursuites contre les entreprises qui ne respectent pas la loi. Bonta a déclaré aux journalistes : « Aujourd'hui, il ne s'agit pas seulement de Sephora. L'accord conclu aujourd'hui envoie un message fort aux entreprises quant aux efforts continus du ministère de la Justice de Californie pour faire respecter la CCPA. »
Parallèlement à l'accord, le procureur général Bonta a également adressé des notifications à plusieurs entreprises alléguant un manquement à la réglementation concernant le traitement des demandes de désinscription des consommateurs effectuées via le GPC. La disposition de la CCPA relative à la notification et à la correction, qui exige que les entreprises soient informées et aient la possibilité de corriger leur situation avant de pouvoir être tenues responsables de violations de la CCPA, expirera le 1er janvier 2023.
Le bureau du procureur général a également publié une mise à jour annuelle du CCPA exemples de non-conformité, qui incluait Sephora comme cas d'utilisation en plus des liens manquants « Ne pas vendre mes informations personnelles », des traitements erronés des demandes de droits des consommateurs, des politiques de confidentialité non conformes et des avis de divulgation manquants et des avis d'incitation financière non conformes pour les programmes de fidélité.
Et de l’autre côté de l’Atlantique…
Bien que le règlement de l'AG soit la première action d'application majeure en vertu du CCPA, ce n'est pas la première action en justice intentée contre Sephora en 2022. Sephora a également été confrontée à des problèmes juridiques plus tôt cette année lorsque l'agence française de protection des données, la CNIL, a déclaré illégale son utilisation des intégrations de Google Analytics et de Facebook Connect.
Ces mesures d’application combinées contre Sephora cette année devraient motiver les entreprises à se conformer pleinement aux réglementations nouvelles et croissantes.
Comment Bigid peut vous aider à vous préparer à l'application de la loi CCPA
Alors que le procureur général de Californie relève la barre en matière d'application de la loi, il est désormais plus que nécessaire de définir des normes réglementaires pour votre programme de confidentialité.
Voici comment BigID peut préparer votre organisation à la conformité CCPA et CPRA mise à jour :
- Découverte et audits de données : La CCPA réglemente les informations personnelles, y compris les identifiants directs et inférés. BigID contribue à la création d'un inventaire automatisé des données à découvrir, carte et classer Données impactées par le CCPA pour se préparer à d'éventuels audits réglementaires.
- Cartographie des données : Simplifiez la conformité CCPA en cartographiant vos données et en automatisant leur inventaire à l'échelle de l'entreprise. BigID vous aide à comprendre. flux de partage de données avec des tiers et des prestataires de services avec des rapports récapitulatifs sur le partage et le traitement des données par des tiers et les désactivations des données.
- Gestion des droits sur les données : Pour respecter les droits à la vie privée de tous les résidents de Californie, BigID fournit aux organisations un accès public portail de confidentialité en libre-service pour mener à bien un processus complet de protection des droits des consommateurs, du « droit de connaître » à la « droit de supprimer » leurs données. BigID permet également de respecter les demandes de désinscription au CCPA, notamment en ce qui concerne la « vente » de données.
- Consentement et préférences en matière de cookies : Il est temps de prendre au sérieux le consentement et les préférences en matière de cookies, car cet accord met l'accent sur la simplicité d'utilisation du consentement des consommateurs. BigID offre une gestion complète du consentement aux cookies et des préférences de confidentialité pour collecter et gérer automatiquement les consentements et préférences, ce qui contribuera à renforcer la confiance de vos consommateurs et à éviter les amendes du bureau du procureur général.
Les attentes de gestion du CCPA (et bientôt CPRA) la conformité est-elle un défi pour votre organisation ? Découvrez comment BigID permet aux entreprises d'automatiser l'ensemble de leur programme de confidentialité des données, soyez en conformité et gardez une longueur d'avance sur le procureur général de Californie.