Questions et réponses concernant le CCPA

Ce qui suit est une session de questions et réponses avec notre conseiller juridique au sujet de la façon dont les marques peuvent s'assurer qu'elles sont en conformité avec le CCPA. Pour en savoir plus, lisez un aperçu des « Options de conformité CCPA pour les publishers ».

Qu'est-ce que le CCPA ?

Le California Consumer Privacy Act (CCPA) est une loi qui vise à donner aux résidents californiens des droits supplémentaires quant à l'utilisation et à la vente de leurs données personnelles. Cela signifie que les consommateurs ont des droits spécifiques sur toutes leurs données personnelles collectées par une marque, tels que :

• Le droit d'accès : cela signifie que les consommateurs peuvent accéder à leurs données collectées et demander comment elles seront utilisées.
• Le droit de suppression : les consommateurs peuvent demander la suppression de n'importe quelle donnée personnelle collectée. Cependant, il existe des exceptions qui peuvent permettre aux marques d'exercer leurs activités. Par exemple, une marque proposant un coupon serait en mesure d'utiliser ces données afin d'effectuer une transaction pour le consommateur, ou une société financière devant effectuer une transaction serait autorisée à conserver les données des consommateurs, tout comme une entreprise qui aurait besoin de ces informations à des fins de sécurité ou de conformité légale.
• Le droit d'opposition à la « vente » : c'est ce droit qui, selon nous, aura le plus d'impact sur les marques. Les consommateurs ont la possibilité de refuser que leurs données soient « vendues » par une entreprise à un tiers.

Quand le CCPA est-il entré en vigueur ?

Le 1er Janvier 2020, mais les marques ont bénéficié d'un délai de grâce de six mois, c'est-à-dire qu'elles avaient jusqu'au 1er juillet 2020 pour les appliquer.

Qui est concerné par le CCPA ?

Toute marque exerçant des activités en Californie et qui recueille, vend ou achète des données personnelles de consommateurs en ligne est concernée d'une manière ou d'une autre. Ce que les marques font de ces données désigne les exigences qu'elles doivent respecter pour être conformes, et chaque marque appartient à l'une des trois catégories : « entreprise », « fournisseur de services » ou « tierce partie ».

Comment les marques savent-elles à quelle catégorie elles appartiennent ?

Ces catégories sont basées sur l'utilisation des données des consommateurs. Bien que chaque société devrait consulter son service juridique pour déterminer où se situe son activité, nous avons précisé les définitions ci-dessous.

• « Entreprise » : une entité à but lucratif exerçant des activités en Californie qui recueille elle-même les données personnelles des consommateurs ou pour le compte d'autrui (seule ou conjointement) et :
• A des revenus bruts supérieurs à 25 millions de dollars ; ou
• Achète, vend, reçoit ou partage annuellement les données personnelles de plus de 50 000 consommateurs, ménages ou systèmes à des fins commerciales ; ou
• Dont plus de 50 % du revenu annuel provient de la vente d'informations personnelles.
• « Fournisseur de services » : entité à but lucratif qui traite des informations pour le compte d'une entreprise. Un « fournisseur de services » est une entreprise qui reçoit des informations à des fins commerciales ou en vertu d'un contrat conforme.
• « Tierce partie » : ni une entreprise qui recueille des données personnelles auprès du consommateur, ni un fournisseur de services.

Il convient de noter que les sociétés adtech peuvent tomber dans différentes catégories à différents moments en fonction de ce qu'elles font avec les données à un moment donné. En outre, il est suggéré que si les marques utilisent les données personnelles collectées à des fins publicitaires, il est préférable qu'elles se catégorisent comme une « entreprise », sinon la valeur de leur publicité sera limitée (voir Q6 pour plus d'informations).

Quel est l'impact du CCPA sur les marques ?

Le CCPA a un impact important sur la publicité numérique, car il apporte de nouvelles réglementations qui restreignent la façon dont les marques collectent et gèrent les données des consommateurs utilisées pour générer de la publicité pertinente. Les marques doivent s'assurer que :

1. Elles proposent l'option d'« opposition » requise aux résidents de la Californie dès le 1er janvier, date d'entrée en vigueur du CCPA.
2. Elles sont en mesure de transmettre tous les signaux requis (c'est-à-dire qu'un consommateur a choisi de s'opposer, a demandé la suppression, etc.) à leurs sociétés partenaires/aux sociétés de technologie.

Cela aura-t-il un impact négatif sur les efforts publicitaires des marques ?

De notre point de vue, non. Mais la réponse comporte deux parties.

• Partie 1 : si un consommateur choisit de s'opposer à la vente de ses données, la publicité auprès de ce consommateur sera évidemment affectée car il a choisi de refuser la collecte ou la vente de ses données. La diffusion de publicités pertinentes nécessite la collecte des données des consommateurs lorsqu'ils visitent le site Web d'une marque. Ces données collectées permettent de mieux comprendre les habitudes d'achat idéales des consommateurs. Une fois identifiées, ces données peuvent être utilisées pour créer de la publicité qui attirera d'autres consommateurs ayant des habitudes d'achat similaires, c'est-à-dire des consommateurs plus susceptibles de s'engager et de passer à l'achat. Sans ces données, aucune publicité pertinente ne peut être réalisée.
• Partie 2 : le CCPA peut en fin de compte améliorer l'écosystème publicitaire tant pour le consommateur que pour l'entreprise. Pour les marques, cela écarte les consommateurs qui ne sont pas vraiment intéressés ou attirés par les promotions publicitaires, ce qui signifie que les marques savent désormais plus facilement quels consommateurs sont ouverts à la publicité ou aux offres personnalisées. Finalement, nous considérons le CCPA comme un moyen pour que le budget publicitaire des marques touche davantage les « bons » consommateurs, et par conséquent, augmente leur retour d'investissement sur les dépenses publicitaires.

En définitive, nous espérons que le CCPA apportera plus de transparence et de droits dans l'utilisation et la vente des données personnelles des consommateurs, tout en permettant aux entreprises de tirer le maximum de leur budget publicitaire.

Que peut faire ou ne pas faire une marque avec les informations personnelles d'un utilisateur s'il refuse la vente de ses données personnelles ?

Si un utilisateur refuse la vente de ses données personnelles, cela ne signifie pas qu'une entreprise est tenue de supprimer ces informations ou de s'abstenir de les utiliser (sauf si le consommateur exerce son droit de demande de suppression des données collectées). Cela signifie que ses informations personnelles ne peuvent plus être utilisées ou réutilisées à des fins commerciales Par exemple, si une marque annonce une réduction de 20 % sur une paire de chaussures, elle peut toujours conclure la transaction avec le consommateur, ainsi que payer la commission à l'entreprise qui en a fait la publicité ; cependant, ni la marque ni la société mandatée ne peuvent utiliser les données personnelles de ce consommateur au-delà de l'exécution de cette transaction.

Quelles sont les conséquences d'une non-conformité ?

Comme c'est le cas avec de nombreuses lois, les mesures prises dépendent de la gravité de l'infraction. Voici un aperçu des mécanismes d'application du CCPA.

• Application privée : le CCPA permet à unconsommateur d'intenter une action en justice en cas de violation de données, ce qui lui permet de récupérer jusqu'à 750 $ par incident ou les dommages réels, selon le plus élevé des deux.
• Application par le gouvernement : le procureur général de l'état peut également intenter une action civile. Les entreprises ont 30 jours pour corriger leur non-conformité. Passé ce délai, elles sont passibles d'amendes allant jusqu'à 7 500 $ par violation.

Que doivent faire les annonceurs pour répondre aux conditions du CCPA ?

Les annonceurs doivent déterminer à quelle catégorie ils correspondent le mieux (voir question quatre), mais tout annonceur qui collecte et fournit des informations à un partenaire sera probablement considéré comme une « entreprise ». Ces annonceurs doivent également fournir une notification explicite et une possibilité d'opposition aux consommateurs. De cette façon, les exigences du CCPA ont déjà été respectées avant que les données du consommateur soient collectées et envoyées à une autre partie à des fins publicitaires.

Nous avons vu certains annonceurs choisir de géo-bloquer le trafic basé en Californie ou de supprimer le trafic basé en Californie lorsqu'ils transmettaient des données collectées à une autre partie.

À un niveau élevé, les solutions suivantes peuvent être adoptées par les marques pour garantir la conformité :

1. Intégration CMP : pour les annonceurs qui utilisent déjà un outil CMP créé précédemment pour le RGPD, il peut y avoir des possibilités d'intégration.
2. Transmettre les signaux via une balise JavaScript : les annonceurs peuvent utiliser une balise existante pour transmettre les informations de consentement aux partenaires. Les annonceurs doivent collecter un signal d'opposition auprès du consommateur pour le transmettre en tant que variable dans une balise JavaScript.
3. Divulgations et lien d'opposition : les annonceurs peuvent inclure un lien « Vos droits à la confidentialité » sur chaque page de leur site web, qui dirigera les utilisateurs vers des informations de divulgation révélant quelles entreprises peuvent collecter leurs données personnelles lorsqu'ils interagissent avec leur propriété numérique. Dans notre divulgation, nous avons inclus le type de données personnelles collectées (adresses IP, identifiants numériques, etc.) et indiqué comment ces données seront utilisées (personnalisation des publicités, analyses sur la façon dont les utilisateurs interagissent avec les sites Web et les publicités, etc.).

Quelle que soit l'option choisie par les annonceurs, nous recommandons à ces derniers d'inclure un lien vers la politique de confidentialité de l'entreprise sur chaque page de leur site web, et que leur politique de confidentialité fasse mention de la collecte de données de Rakuten Advertising et d'un lien vers notre politique de confidentialité.

Un e-mail a été envoyé aux annonceurs de Rakuten Advertising, avec plus d'informations sur la façon dont les nouvelles exigences du CCPA les concernent.

Que doivent faire les publishers pour satisfaire aux exigences du CCPA ?

Pour les publishers qui se classent dans la catégorie « entreprise », ils doivent communiquer les droits à confidentialité via un lien sur leur site et donner aux utilisateurs la possibilité de s'opposer au suivi ou d'empêcher la vente de leurs données personnelles.

Les publishers sont libérés de cette obligation s'ils bloquent le trafic via les adresses IP pour les utilisateurs en Californie. Les options que nous suggérons à nos publishers sont les suivantes :

1. Signaux d'opposition du lien affilié : inclure un lien vers la politique de confidentialité de l'entreprise sur chaque page de leur site web. Cette politique de confidentialité doit faire mention de la collecte de données de Rakuten Advertising ainsi que d'un lien vers notre politique de confidentialité. Les publishers doivent également implémenter un moyen de collecter un signal d'opposition auprès du consommateur pour transmettre les informations de consentement aux partenaires.
2. Intégration CMP : pour les publishers utilisant déjà l'outil CMP créé pour le RGPD, il peut y avoir des opportunités d'intégration.
3. Divulgations et lien d'opposition : les publishers peuvent inclure un lien « Vos droits à la confidentialité » sur chaque page de leur site web, qui dirigera les utilisateurs vers des informations de divulgation révélant quelles entreprises peuvent collecter leurs données personnelles lorsqu'ils interagissent avec leur propriété numérique. Dans notre divulgation, nous avons inclus le type d'informations personnelles collectées (adresses IP, identifiants numériques, etc.) et indiqué comment ces informations seront utilisées (personnalisation des publicités, analyses sur la façon dont les utilisateurs interagissent avec les sites Web et les publicités, etc.).

En réponse aux exigences du CCPA, nous avons mis à jour notre contrat d'adhésion de publisher (PMA), et ce PMA mis à jour est entré en vigueur le 1er janvier 2020. La plus grande modification de fond de notre PMA est la langue, qui a été mise à jour pour répondre aux exigences de notification et d'opposition nécessaires afin d'être en conformité avec le CCPA.

Nous avons envoyé un e-mail aux publishers Rakuten Advertising pour leur communiquer ces informations avec un lien vers le nouveau PMA. Pour toute autre question, les publishers peuvent toujours contacter leur responsable du développement publishers ; concernant les publishers Rakuten Advertising, nous leur avons envoyé un e-mail pour leur communiquer ces informations avec un lien vers le nouveau PMA. Pour toute autre question, les publishers peuvent toujours contacter leur responsable du développement publishers ou notre support client

Comment les marques transmettent-elles les signaux appropriés à leurs partenaires ?

Il y a encore du travail à faire et il subsiste certaines ambiguïtés concernant la manière dont les sociétés peuvent garantir la conformité. Pourtant, à l'instar du travail de l'industrie derrière l'outil CMP pour le RGPD, des groupes comme l'IAB et l'ANA travaillent à créer un ensemble universel de signaux pour permettre aux partenaires et aux clients de transmettre les demandes d'opposition et de suppression. Il existe actuellement un cadre de conformité pour le CCPA élaboré par l'IAB/IAB Tech Lab, qui comprend un contrat standardisé à utiliser entre les publishers et leurs partenaires, ainsi qu'une série de spécifications techniques afin que les sociétés puissent respecter le contrat. De plus, la Digital Advertising Alliance (DAA) propose un outil de conformité qui permet aux publishers, marques, agences et sociétés adtech de la chaîne de distribution numérique de fournir aux consommateurs un mécanisme clair et reconnaissable pour refuser la vente de leurs données personnelles. Nous nous tournerons vers ces groupes pour aider à fournir des outils et d'autres documents afin de guider les sociétés quant aux meilleures pratiques de conformité.

Qu'est-ce que Rakuten Advertising exige de ses partenaires annonceurs et publishers pour qu'ils soient en conformité ?

Tout partenaire à qui Rakuten Advertising fournit un suivi sur son site doit inclure un lien « Vos droits à la confidentialité » sur toute les pages sur lesquelles des données sont collectées. Ce lien dirigera les consommateurs vers la politique de confidentialité de Rakuten Advertising et une page d'opposition. Pour les marques qui collectent elles-mêmes les oppositions, nous exigeons qu'elles mettent en œuvre un moyen pour nous transmettre les signaux d'oppositions via le cadre de conformité CCPA de l'IAB. Nous exigeons également que les marques qui n'ont pas de pixel sur leur site, mais nous fournissent directement des informations de conversion (par exemple, une API) mettent en œuvre un moyen de transmettre les signaux d'opposition à Rakuten Advertising via le cadre de l'IAB.

En mai 2018, pour aider les marques à se conformer au RGPD, Rakuten Advertising a développé une plateforme de gestion des consentements (CMP), mais nous ne nous sommes pas arrêtés là. Nous avons également créé des « formats conteneurs » qui fonctionnent avec d'autres CMP tiers pour aider à soutenir les efforts de conformité des marques. Bien que le CCPA n'exige pas le consentement préalable du consommateur, Rakuten Advertising s'engage à promulguer la transparence dans ce qui est souvent considéré comme le monde opaque de l'adtech. À ce titre, nous travaillons en étroite collaboration avec les publishers et les marques de notre réseau pour fournir aux consommateurs un accès à notre politique de confidentialité et des options d'opposition à la première occasion.

Comment le CCPA affecte-t-il les marques en dehors des États-Unis ?

Toute marque exerçant des activités significatives avec des consommateurs résidant en Californie doit être en conformité avec le CCPA, quel que soit sa localisation, et les exigences pour garantir que les campagnes Rakuten Advertising sont conformes sont les mêmes que celles décrites ci-dessus. « Significatif » concerne les entreprises qui « achètent, reçoivent, vendent ou partagent annuellement des données personnelles d'au moins cinquante mille résidents californiens ».

Y a-t-il une chance que cette politique de confidentialité passe au niveau fédéral ?

La plupart disent que s'il y a une chance, elle est très éloignée. Cependant, de nombreux autres états adoptent déjà des réglementations similaires en matière de confidentialité. Le Nevada en a déjà une en place, tandis que Hawaii, le Maryland, le Nouveau-Mexique, Washington et d'autres états préparent des lois similaires. Les marques devraient, si elles ne l'ont pas déjà fait, accepter que la réglementation en matière de confidentialité devienne non seulement une préoccupation fédérale, mais aussi mondiale. Le RGPD est déjà entré en vigueur et de nouvelles lois internationales sont en cours d'élaboration au Brésil, en Nouvelle-Zélande et au Bahreïn, entre autres.