Cet article ne constitue pas un avis juridique. Les informations qu’il contient n’ont nullement vocation à se substituer à une relation avocat-client. Si nécessaire, adressez-vous à un conseiller juridique.
Le 1er janvier 2020, une importante loi sur la protection de la vie privée est entrée en vigueur aux États-Unis : la California Consumer Privacy Act (CCPA). Conçue pour permettre aux habitants de Californie de mieux maîtriser leurs informations à caractère personnel, la CCPA pourrait avoir un impact à l’échelle des États-Unis tout entiers, car de nombreuses entreprises pourraient l’adopter comme norme nationale.
Criteo est une entreprise mondiale. À ce titre, nous appliquons le Règlement général sur la protection des données (RGPD), voté en 2016 et entré en vigueur en 2018, à tous nos services internationaux. Nous avons mis en place des processus pour gérer les droits des utilisateurs et avons adopté des pratiques d’excellence en matière de protection des données qui vont bien au-delà de ce qu’exige la CCPA.
La CCPA adopte une définition très large des informations à caractère personnel et introduit des exigences de transparence. Dans cet article, nous allons aborder les principaux aspects dont toute entreprise devrait avoir connaissance.
Informations à caractère personnel : quelle est la définition donnée par la CCPA ?
La CCPA couvre explicitement les données telles que les « identifiants en ligne », les « adresses IP », l’«historique de navigation », les « informations concernant l’interaction d’un consommateur avec un site web, une application ou une publicité » et les « données de géolocalisation » si elles peuvent être raisonnablement associées, directement ou indirectement, à un consommateur ou un ménage particulier.
Criteo s’interdit de collecter toute donnée, telle que le nom et le prénom, l’adresse postale ou même l’adresse e-mail en clair, permettant d’identifier une personne. Toutefois, notre technologie est capable de reconnaître un appareil ou un navigateur précis. Ce type de données relève du champ d’application des « informations à caractère personnel » de la CCPA.
Par conséquent, la plupart des données collectées par Criteo, déjà considérées comme des données à caractère personnel en vertu du RGPD le seront également au sens de la CCPA.
Quels droits la CCPA accorde-t-elle aux consommateurs ?
La CCPA adopte une définition très large des informations à caractère personnel et introduit des exigences de transparence. Elle offre de nouveaux moyens de protection aux consommateurs de Californie, notamment :
- Le droit de savoir : les utilisateurs peuvent avoir accès aux « éléments spécifiques des informations à caractère personnel que l’entreprise a recueillies à leur sujet ».
- Le droit de suppression : les utilisateurs peuvent demander à une entreprise de supprimer tout ou partie des informations à caractère personnel les concernant que l’entreprise a recueillies auprès du consommateur.
- Le droit de refus : les utilisateurs peuvent demander à une entreprise de ne pas « vendre » à des tiers les informations à caractère personnel les concernant.
Entrée en vigueur de la CCPA : qui est concerné ?
Le champ d’application territorial et matériel de CCPA étant complexe, il est recommandé de demander conseil à un spécialiste juridique.
Les annonceurs et les retailers de Criteo livrant des marchandises en Californie, ainsi que les éditeurs qui exploitent des sites Web et des applications présentant un intérêt pour les Californiens, peuvent entrer dans la définition des « entreprises » au sens de la CCPA, si l’une des affirmations suivantes les concerne, à savoir :
-
Chiffre d’affaires annuel brut supérieur à 25 millions de dollars
-
> de 50 000 visiteurs uniques résidant en Californie
-
> 50 % du chiffre d’affaires annuel issu de l’affichage de publicités par Criteo auprès d’utilisateurs californiens.
La CCPA s’applique également, du moins dans une certaine mesure, aux filiales des sociétés qui entrent elles-mêmes dans la définition ci-dessus.
Quel est le statut de Criteo au regard de la CCPA ?
Étant donné que Criteo « détermine les finalités et les moyens du traitement des informations à caractère personnel des consommateurs » mais qu’elle n’est pas l’entité principale avec laquelle les utilisateurs ont l’intention d’interagir, nous pensons que Criteo sera considéré à la fois comme une « entreprise » et un « tiers ».
Les technologies de Criteo reposent sur des algorithmes basés sur l’intelligence artificielle et sur le Shopper Graph. Elles s’appuient sur un « effet de réseau » pour apporter une valeur partagée à ses consommateurs et partenaires. C’est pourquoi Criteo ne souhaite pas agir en tant que fournisseur de services, car cela limiterait sa capacité à exploiter ces technologies.
Quelles mesures doivent prendre les annonceurs et les éditeurs ?
- Déterminez dans quelle mesure vous êtes concernés par la CCPA et demandez un avis juridique si nécessaire.
- Soyez prêts à actualiser vos déclarations de confidentialité et à mettre en place des mécanismes de choix.
Criteo est une entreprise soucieuse du respect de la vie privée, qui suit scrupuleusement les principes de protection de données et les meilleures pratiques du secteur. Nous considérons le CCPA comme un pas vers plus de transparence, de contrôle et de confiance entre les entreprises et les consommateurs. En tant que société internationale, nous avons l’habitude de nous conformer aux normes européennes les plus strictes. Nous sommes donc prêts à accompagner nos clients et partenaires éditeurs dans la mise en œuvre de nouvelles réglementations de confidentialité, qui leur permettront de consolider leurs liens avec leur clientèle.
Pour en savoir plus,téléchargez notre rapport sur le CCPA.
Avis de non-responsabilité : cet article est un résumé, non détaillé, des principales exigences prévues par la CCPA. Nous conseillons à nos clients et partenaires éditeurs de faire appel à un conseiller juridique pour s’assurer de la conformité de leurs pratiques.
