Ce mercredi 24 août 2022, l’Attorney General de l’Etat de Californie a annoncé la conclusion d’une transaction avec la société américaine d’un géant des cosmétiques par laquelle cette dernière s’engage au paiement de la somme de 1.2 millions de dollars et à se mettre en conformité avec le California Consumer Privacy Act (CCPA).
Le jugement rendu par la Superior Court de l’Etat de Californie vise à constater la transaction intervenue entre ledit Etat et la société, non à déclarer ce dernier auteur d’une infraction.
La décision ne détaille ainsi que peu les actes reprochés à la société. En revanche, elle fait état de l’engagement de la société de se conformer à son obligation d’informer les consommateurs du fait qu’elle vend les données personnelles les concernant et de permettre auxdits consommateurs d’exercer leur droit de refuser lesdites ventes.
Entré en vigueur en janvier 2020, le CCPA encadre la manière dont les entreprises peuvent procéder au traitement des données à caractère personnel de résidents californiens. Ce texte défini notamment la vente de données personnelles comme l’acte de « vendre, louer, publier, divulguer, diffuser, rendre disponible, transférer, ou sinon communiquer oralement, à l’écrit, par voie électronique ou autre, des informations personnelles d’un consommateur par l’entreprise à une autre entreprise ou un tiers pour une contrepartie monétaire ou un autre bénéfice. » (CCPA, 1798.140.t1).
En quoi les engagements de conformité au CCPA de la société consistent-ils ?
La société devra se conformer à la réglementation en informant expressément les consommateurs qu’elle procède à la vente des données personnelles les concernant et qu’ils peuvent s’opposer à ladite vente. Une clarification des mentions d’information et de la politique de confidentialité de la société devrait donc intervenir.
La société devra également traiter les demandes d’opposition des consommateurs exprimées par le biais du Global Privacy Control.
De plus, pendant deux ans, la société devra notamment :
- Mettre en place et maintenir un plan de conformité au CCPA permettant le suivi de l’effectivité du traitement des demandes d’opt-out,
- Conduire une revue annuelle de ses sites web et applications mobiles pour déterminer pour quelles entités des données personnelles sont mises à disposition et publier un rapport en la matière contenant : le nom des entités concernées, les données mises à disposition, la finalité pour laquelle la société met les données à disposition, la qualité de prestataires de services de tout ou partie des entités.
- Mettre ses relations contractuelles avec ses prestataires de services en conformité avec les exigences du CCPA,
- Elaborer des rapports de suivi de sa mise en conformité et les communiquer au procureur général.
Quel est l’impact de cette décision ?
Cette décision est la première sanction d’une société sur le fondement du CCPA. Elle marque la fin d’une période de tolérance que l’Attorney General exprime ainsi dans son communiqué de presse : « Cela fait plus de deux ans que la CCPA est entrée en vigueur, et le droit des entreprises d’éviter toute responsabilité en remédiant à leurs violations du CCPA après avoir été prises en flagrant délit est en train d’expirer. Il n’y a plus d’excuses. Respectez la loi, faites ce qu’il faut pour les consommateurs et traitez les demandes de retrait faites par le biais de contrôles de confidentialité globaux activés par l’utilisateur. ».
D’autres acteurs contactés par l’Attorney General pour non-conformité au CCPA
Le procureur général de l’Etat de Californie a également annoncé avoir adressé des notifications à plusieurs autres entreprises alléguant une non-conformité quant au traitement des demandes d’opposition exprimées de manière unique au moyen du dispositif Global Privacy Control. Cet outil consiste notamment en une extension pour navigateur web permettant à ses utilisateurs de communiquer directement aux sites web visités compatibles leurs préférences en matière de traitement de leurs données personnelles, et notamment de transmettre un signal « Do Not Sell » interdisant leur commerce.
Ce dispositif répond à la nécessité pour les sociétés, imposée par la section 999.315 du CCPA de fournir au moins deux méthodes, tels qu’un plug-in de navigateur ou un paramètre de confidentialité, un paramètre d’appareil ou un autre mécanisme, qui communiquent ou signalent le choix du consommateur de refuser la vente de ses informations personnelles.
Il convient de signaler que les entités concernées par la notification précitée disposent d’un délai de 30 jours pour mettre en œuvre des mesures correctrices. A défaut, le procureur général annonce que des mesures coercitives pourront être adoptées à leur égard.
Mathias Avocats ne manquera pas de vous informer des suites données par le procureur général auxdites notifications.