Conformité au CCPA

NOTE
Ces informations font partie d’une série de rubriques destinées à aider les marchands et les développeurs Adobe Commerce à comprendre les implications du California Consumer Privacy Act. L'information est basée sur le texte de la loi. Pour confirmer si le CCPA s’applique à votre entreprise, contactez votre avocat.

La variable California Consumer Privacy Act (CCPA) étend les droits des consommateurs en Californie pour déterminer comment leurs informations personnelles sont collectées, stockées et utilisées. Il met l’accent sur la protection des consommateurs contre la vente ou l’échange non autorisé de leurs informations personnelles. La CCPA a été adoptée en 2018 et est entrée en vigueur le 1er janvier 2020.

Le CCPA accorde aux consommateurs les nouveaux droits suivants :

  • Droit de savoir les catégories d’informations personnelles les concernant qui sont collectées, utilisées, partagées ou vendues au cours des 12 derniers mois.
  • Droit de suppression certains types de renseignements personnels détenus par une entreprise et/ou ses fournisseurs de services.
  • Droit de désinscription de la vente de leurs informations personnelles.
  • Droit à la non-discrimination en termes de prix ou de service pour avoir exercé un droit à la vie privée en vertu de la CCPA.

Aux fins de la CCPA, les informations personnelles dans ce contexte sont définies comme suit :

Les informations qui identifient, se rapportent à, décrivent, peuvent être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier. (Section 1798.140)

À cet égard, il couvre certains éléments de données qui ne peuvent pas être considérés comme des données personnelles dans le cadre d’autres lois ou réglementations. Les commerçants doivent garder cela à l'esprit lorsqu'ils déterminent s'ils doivent se conformer à la loi et comment.

La CCPA exige également des entreprises qu’elles fournissent des sécurité raisonnable, et comprend des dispositions plus étendues sur la protection des données pour les consommateurs, y compris le droit de poursuivre en justice en cas de violation des données.

Consultez votre service juridique pour déterminer si et comment vous devriez vous conformer aux exigences du CCPA qui peuvent s’appliquer à vous et à votre entreprise. Cela inclut les nouvelles exigences en matière de notification, d’opt-out et d’enregistrement que les entreprises doivent mettre en oeuvre conformément à la loi.

Exigences commerciales

Le CCPA s’applique aux entreprises à but lucratif qui font des affaires en Californie et qui répondent à l’une des exigences suivantes :

  • ont un revenu annuel brut de plus de 25 millions de dollars ;
  • Achetez, recevez ou vendez les informations personnelles de 100 000 résidents, ménages ou appareils californiens ou plus.
  • Dérivez 50 % ou plus de leurs revenus annuels à la vente des informations personnelles des résidents de Californie.

Guide de conformité CCPA

Cette section décrit de manière approfondie les étapes nécessaires pour que les marchands se conforment aux réglementations de confidentialité, telles que la California Consumer Privacy Act (CCPA).

RGPD et CCPA

Si votre entreprise doit se conformer aux Règlement général sur la protection des données (RGPD) et le CCPA, vous pouvez utiliser une partie des travaux de votre programme de conformité au RGPD pour le CCPA. Bien que la réglementation présente certaines similitudes, quelques différences incluent :

  • La définition des informations personnelles diffère pour chaque réglementation.
  • Le RGPD exige que les consommateurs s’inscrivent avant que leurs données personnelles ne puissent être utilisées à certaines fins ; le CCPA accorde aux consommateurs le droit de s’exclure.
  • Le CCPA a des exigences supplémentaires en matière d’inventaire et de mappage des données.
  • Les règlements ont des exigences de politique de confidentialité différentes.

Les entreprises qui se conforment au RGPD pourraient avoir des obligations supplémentaires en vertu de la CCPA. Pour en savoir plus, voir la section Feuille de faits CCPA{:target="_blank"}.

Feuille de route de la conformité

Un effort coordonné est nécessaire pour élaborer et mettre en oeuvre un plan de conformité. Utilisez cette feuille de route comme guide de mobilisation des ressources et de hiérarchisation des tâches afin de pouvoir avancer sur plusieurs fronts. Le processus est essentiellement le même pour tous. Commerce installations, à l’exception suivante :

  • Adobe Commerce sur l’infrastructure cloud: marchands avec magasins hébergés sur Adobe infrastructure cloud{:target="_blank"} peut demander de l’aide à leur gestionnaire de compte technique Adobe Commerce ou au service clientèle pour répondre aux demandes des clients.

  • On-Premise: les commerçants disposant d’installations on-premise d’Adobe Commerce ou de Magento Open Source doivent développer leurs propres processus et outils pour répondre et gérer les demandes des clients en rapport avec les réglementations de confidentialité.

Étape 1 : assemblez une équipe interfonctionnelle pour répondre à la conformité aux réglementations

Regroupez une équipe qui représente les rôles fonctionnels suivants dans votre entreprise et planifiez une session de formation afin de les mettre à jour rapidement la législation. Ensuite, attribuez les tâches requises aux parties prenantes par rôle.

  • Stratégie commerciale et opérations
  • Mentions légales
  • Technologie de l'information
  • Expérience utilisateur
  • Service client
  • Assistance administrative

Du point de vue commercial, vous devez déterminer si votre entreprise étend ces mesures de protection de la vie privée uniquement aux consommateurs de Californie, ou les met à la disposition de tous les consommateurs, quel que soit leur lieu d’implantation.

Étape 2 : inventaire de vos propriétés numériques

Parties prenantes : Technologie de l'information, assistance juridique et assistance administrative

Faites l’inventaire de vos propriétés numériques, y compris toutes les intégrations et les personnes ayant accès aux données de vos clients.

  1. Déterminez quelles informations personnelles publiques et privées sont collectées sur vos sites web et applications mobiles. Par exemple, une base de données Commerce standard stocke les types d’informations personnelles publiques et privées suivants :

    • Public: Listes de souhaits, critiques de produits

    • Privé: informations sur le client, informations sur la commande, points de récompense, registre des cadeaux, carnet d’adresses, crédit de magasin, méthodes de paiement, accords de facturation, abonnements à la newsletter, invitations.

      Si votre Commerce l’installation a été personnalisée, d’autres informations personnelles peuvent être collectées. Les informations personnelles peuvent également résider dans cookies, balises et autres technologies qui collectent des informations.

  2. Identifiez les parties avec lesquelles vous partagez des données. La liste doit inclure les fournisseurs de services et les tiers. Les tiers incluent les réseaux publicitaires, les fournisseurs d’accès à Internet, les fournisseurs d’analyse de données, les entités gouvernementales, les systèmes d’exploitation et les plateformes, les réseaux sociaux et les revendeurs de données des consommateurs qui ne collectent pas directement des informations personnelles de vos clients.

    • Prestataires: entités qui ont accès à vos données clients à des fins commerciales et qui fournissent des services en votre nom. Par exemple, Adobe est un fournisseur de services, tout comme certains développeurs de personnalisations, d’extensions et de services.

      Vérifiez les paramètres par défaut de Google Universal Analytics, de Google Tag Manager et de tous les autres services de données que vous utilisez, et apportez les modifications nécessaires pour vous conformer à la réglementation. Pour en savoir plus, voir Paramètres de confidentialité de Google.

    • Autres tiers: entités avec lesquelles vous partagez ou vendez des données de consommateur. Par exemple, vous pouvez partager des données sur les consommateurs avec un réseau publicitaire en échange de publicité.

Étape 3 : mappez le parcours client et le processus de collecte de données dans vos magasins

Parties prenantes : Expérience utilisateur, technologie de l’information, assistance administrative

  1. Identifiez chaque point dans la variable [parcours client] où les informations personnelles sont collectées et le type d’informations collectées à chaque étape.

    Les visiteurs de votre site doivent être avertis au préalable ou au moment de la collecte des données. Par exemple, un magasin sans intégration personnalisée collecte des informations personnelles lors de la création d’un compte client et lors de l’extraction. Si votre magasin comporte des intégrations personnalisées, il peut y avoir des éléments de données et des attributs supplémentaires à identifier.

  2. Reportez-vous aux rubriques suivantes pour connaître les diagrammes de flux de données applicables et les mappages d’entités de base de données pour chaque version :

    diagramme

Étape 4 : établir des procédures et des mécanismes pour répondre aux demandes des clients

Parties prenantes : Service client, technologie de l’information, expérience utilisateur, assistance administrative

Du point de vue de la gestion des données, chaque demande d’informations personnelles implique les parties suivantes :

  • Sujets de données (Consommateurs) : en vertu du CCPA, toute personne en Californie qui fournit des informations personnelles pour effectuer un achat et/ou pour gérer un compte client peut envoyer une demande d’accès ou de suppression de ses données personnelles.

  • Entités agissant comme des entreprises dans le cadre de la CCPA (Marques) : Commerce les commerçants collectent et stockent les informations personnelles de leurs clients et des clients qui font des achats dans leurs magasins.

  • Responsable du traitement des données (Fournisseurs de technologie) : Adobe Commerce et Magento Open Source agissent en tant que processeurs des données personnelles stockées dans le cadre des services fournis aux commerçants. En tant qu’entité de traitement, Adobe traite les données personnelles conformément aux autorisations et aux instructions du marchand, conformément au contrat de licence.

Les commerçants sont responsables de ce qui suit :

  1. Identifiez les parties impliquées dans la demande d’accès aux titulaires de données (DSAR) et vérifiez l’identité de toute personne qui demande à connaître, exclure ou supprimer. Cela s’applique à une personne qui dispose d’un compte client protégé par mot de passe ou qui fait ses achats dans votre boutique en tant qu’invité.

  2. Communiquer et diffuser des informations à un consommateur en réponse à sa demande de droits dans les 45 jours suivant la réception d’une demande vérifiable du consommateur, sauf si cela n’est pas possible. (La loi comporte d'autres exigences pour qu'une entreprise puisse se conformer aux dispositions de la loi en cas de délais pouvant aller jusqu'à 45 jours supplémentaires).

    Les marchands doivent répondre à chaque demande dans les 45 jours, à partir du jour de réception de la demande. Au besoin, les commerçants peuvent mettre jusqu’à 45 jours de plus pour répondre, pour un total maximal de 90 jours à compter du jour de réception de la demande. Pour ce faire, le marchand doit informer le client de la raison du retard.

  3. Développez un mécanisme pour présenter les notifications requises dans votre magasin et collecter les réponses des consommateurs.

  4. Créez des procédures de réponse et documentez chacune des demandes suivantes :

    • Demandes à savoir - Les visiteurs de votre boutique doivent être informés des dispositions que vous avez à prendre pour vendre ou partager leurs informations personnelles avec des tiers, et être autorisés à se désinscrire. Les détails de votre utilisation des informations personnelles et des parties avec lesquelles vous partagez ou vendez des données peuvent être conservés dans votre politique de confidentialité.

    • Demandes d’exclusion - Si des données personnelles sont vendues ou transférées à des tiers en échange d’une considération précieuse, la CCPA exige une Ne pas vendre mes informations à chaque point de collecte. D’autres contrôles d’entrée activés par l’utilisateur, tels que des cases à cocher et des boutons, peuvent être utilisés dans les communications par e-mail, les paramètres de préférence de site web ou dans les formulaires de site web au moment de la collecte des données pour que les individus puissent envoyer une demande d’exclusion valide.

    • Demandes de suppression

      • Les commerçants dont les magasins sont hébergés sur Adobe Commerce Cloud doivent contacter l’assistance Adobe pour obtenir de l’aide sur la suppression des informations personnelles. Pour plus d’informations, contactez votre gestionnaire de compte technique d’Adobe ou le service clientèle.
      • Les commerçants qui exécutent des installations d’Adobe Commerce ou de Magento Open Source on-premise doivent mettre en oeuvre leur propre processus et script pour supprimer des informations personnelles sur demande.

Étape 5 : Ecrire le contenu des notifications client requises

Parties prenantes : Mentions légales, service client, expérience utilisateur, technologie de l’information, assistance administrative

  1. En partenariat avec votre service juridique, déterminez les types d’avis qui doivent être ajoutés à votre site web pour respecter les obligations du CCPA.

    • Avis de collecte: avis donné au moment ou avant la collecte des informations personnelles auprès du consommateur. L'avis doit être rédigé en langage clair et être facile à comprendre pour la personne moyenne. L’avis doit être visible et fourni dans une ou plusieurs langues que le contenu de votre site web.

    • Avis de droit d’opposition: un avis informant les consommateurs de leur droit de refuser la vente de leurs informations personnelles.

    • Notification d'incitation financière: un avis qui explique chaque différence de prix, d’intérêt ou de service financier que votre société reçoit en échange d’informations personnelles.

    • Comment envoyer une demande de collecte de données personnelles et utiliser: instructions pour les individus de soumettre une demande que vous divulguez les informations personnelles que vous avez collectées sur la personne, notamment :

      • Informations personnelles spécifiques que vous avez collectées sur le consommateur
      • Catégories d’informations personnelles que vous avez collectées sur le consommateur
      • Catégories de sources à partir desquelles les informations personnelles sont collectées
      • Catégories d’informations personnelles sur le consommateur que vous avez vendu ou divulgué à des fins commerciales
      • Catégories de tiers auxquels les informations personnelles ont été vendues ou divulguées à des fins commerciales
      • Raisons pour lesquelles votre entreprise collecte et/ou vend des informations personnelles
  2. Envoyez le contenu à l’équipe et, si possible, votre service juridique pour examen.

  3. Déterminez où apparaissent les avis, leur mode de fonctionnement (pour chaque visite, lors de l’authentification ou lors d’un clic publicitaire), ainsi que leur position et leur format par rapport à d’autres contenus.

  4. Transmettez le contenu approuvé à votre équipe de développement.

Étape 6 : consultez vos contrats avec les prestataires

Parties prenantes : Assistance juridique et administrative

Examinez et, au besoin, mettez à jour tous les contrats de fournisseur de services afin de tenir compte des exigences de la CCPA.

Étape 7 : mise à jour de votre politique de confidentialité

Parties prenantes : Assistance juridique et administrative

Examinez votre politique actuelle en matière de confidentialité et réfléchissez à ce qui, le cas échéant, est nécessaire pour d’autres divulgations.

  • Utilisation des informations personnelles: vous devez divulguer les informations personnelles collectées, ainsi que toute incitation financière reçue en échange de la vente d’informations personnelles. Vous devez également expliquer comment l’incitation est autorisée en vertu de la CCPA et comment la valeur des informations personnelles est calculée.

  • Âge du consentement: si vous collectez ou utilisez des informations personnelles sur les mineurs, vous pouvez être soumis aux conditions suivantes :

    • < 13: une autorisation parentale est requise pour que les mineurs de moins de 13 ans souscrivent à la vente de leurs informations personnelles.

    • Mineurs 13 à < 16: les mineurs de moins de 13 ans et de moins de 16 ans peuvent opter pour la vente de leurs informations personnelles, à condition que l'entreprise établisse un processus raisonnable pour documenter l'action. Le processus doit être décrit dans la section politique de confidentialité. Lorsqu'une entreprise reçoit des demandes de la part de mineurs de cette tranche d'âge, elle doit les informer de leur droit de se désinscrire plus tard et expliquer comment le faire.

    note important
    IMPORTANT
    Il est interdit aux commerçants de stocker les données personnelles des enfants sur Commerce plateforme ou systèmes. S’il y a des raisons de croire que les données collectées appartiennent à un mineur, elles doivent être supprimées d’une Commerce plateforme immédiatement afin d’éviter toute violation des conditions de licence d’Adobe.

Etape 8 : documenter toutes les procédures associées et conserver les enregistrements

Parties prenantes : Service client, assistance administrative

Pendant les 24 mois qui suivent la réception de chaque demande de droits, conservez un enregistrement de la demande et de la réponse de votre société.

recommendation-more-help
31746fd0-1ead-45b5-9192-1aaf582c5f66