En mai dernier, le RGPD est entré en vigueur. Un événement qui a soulevé de nombreuses questions sur la manière de se conformer à cette législation. Les entreprises américaines doivent-elles également s’y conformer ? Et qu’en est-il des accords de traitement ? Que sont-ils? Dois-je vraiment ajouter un avis de cookie ? Et ce ne sont là que quelques-unes des questions fréquemment posées sur le Web. Quelques mois plus tard, il semble que la période mouvementée concernant le RGPD se soit calmée. Mais maintenant, il y a eu une nouvelle annonce de législation pour la Californie. Le CCPA.
Alors, qu’est-ce que le CCPA ? Comment cela se compare-t-il au RGPD ? Et vous conformez-vous déjà au CCPA si vous vous conformez au GDPR ?
IMPORTANT: Ceci est un rappel amical que nous ne sommes pas des avocats. Nous partageons simplement des informations sur le CCPA et le GDPR. Veuillez consulter un avocat ou un consultant spécialisé pour vous assurer que votre site Web est entièrement conforme à la loi.
Le RGPD
Tout d’abord, un bref récapitulatif sur le RGPD. Les Règlement général sur la protection des données (ou RGPD en abrégé), est une législation européenne créée en 2016. À cette époque, il avait été convenu que la législation entrerait en vigueur à partir du 25 mai 2018. Le RGPD se concentre sur les aspects suivants :
- Renforcer et étendre les droits à la vie privée
- Plus de responsabilités pour les organisations
- La même autorité solide pour tous les contrôleurs européens de la vie privée, comme le pouvoir d’infliger des amendes allant jusqu’à 20 millions d’euros
- Et surtout, la transparence pour les visiteurs sur ce qu’il advient de leurs données
En bref, il s’agissait d’un ajout radical à la loi pour plusieurs pays de l’UE. Ce fut également un changement radical pour les sites Web WordPress.
Par exemple, vous deviez afficher une notification de cookie sur le site Web où les cookies ne seraient placés qu’après approbation. Vous avez dû rédiger une politique de confidentialité. Des accords de traitement étaient désormais nécessaires. Et bien sûr, vous devez toujours donner aux utilisateurs la possibilité de demander et/ou de supprimer leurs données personnelles. Et bien plus encore.
C’est beaucoup de réglementation. Surtout pour les petites organisations. Heureusement, pour ceux qui utilisent WordPress, un certain nombre de plugins sont intervenus pour récupérer une partie du mou. Si vous effectuez une recherche rapide sur Google, vous trouverez de nombreuses options, mais nous avons rassemblé notre propre liste des meilleurs plugins WordPress de conformité GDPR pour vous aider.
Alors que les sites Web commencent tout juste à se familiariser avec le RGPD, une nouvelle réglementation se profile à l’horizon. Le CCPA.
Le CCPA
Les Loi californienne sur la protection de la vie privée des consommateurs (CCPA) a été promulguée par le gouverneur de Californie Brown le 28 juin 2018. Cette loi est probablement l’une des lois sur la confidentialité des consommateurs les plus strictes et les plus étendues du pays. Prévue pour entrer en vigueur en 2020, cette loi donnera aux Californiens de nouveaux droits à la vie privée.
Le CCPA a été rédigé et adopté en seulement une semaine en réaction aux préoccupations persistantes en matière de confidentialité. Principalement comme un moyen pour les consommateurs de protéger efficacement leurs informations personnelles à la lumière des récentes violations de données et des incidents de confidentialité associés. Plus précisément, les violations d’Equifax, Target et Cambridge Analytics qui ont touché des millions de personnes.
Le CCPA se concentre principalement sur :
- Contrôle des données personnelles
- Protection des données personnelles
- Aperçu des informations acquises par les entreprises
Donc, en général, cela ressemble beaucoup au RGPD. Mais vous ne respectez pas le GDPR si vous respectez le CCPA et vice versa. Il existe de nombreuses différences entre les deux lois.
CCPA vs RGPD
Il est évident que les deux législations mettent l’accent sur la protection des données personnelles et leur partage. Néanmoins, le RGPD semble un peu plus strict si vous regardez les points clés des lois abordés ci-dessous.
Biscuits: Avec le RGPD, il est obligatoire de placer des cookies sur la base de l’opt-in. Avec le CCPA, cela est basé sur l’opt-out. Avec ce dernier, vous êtes également obligé d’indiquer quels cookies vous placez.
Politique de confidentialité: Les deux législations vous obligent à afficher une politique de confidentialité sur votre site Web.
Politique relative aux cookies : Vous avez besoin d’une politique de cookies avec le GDPR, avec le CCPA, vous pouvez l’intégrer dans votre page DNSMPI (Ne pas vendre mes informations personnelles).
Application: Avec le RGPD, la législation s’applique à toute personne qui traite des données personnelles, avec le CCPA, elle concerne les éléments suivants :
- Lorsque vous faites 24 millions de dollars de bénéfices par an.
- Vous disposez de plus de 50 000 lignes de données personnelles provenant de ménages, de personnes ou d’appareils. Cela signifie que si votre site reçoit au moins 50 000 visiteurs par an, vous devrez vous y conformer, car vous collectez des adresses IP, placez des cookies de suivi, etc.
- De plus, lorsque la moitié de vos bénéfices consiste en la vente de données personnelles, vous devrez vous conformer au CCPA.
Amendes : Les amendes du RGPD sont plus élevées que celles du CCPA. 4 % du chiffre d’affaires annuel ou 20 millions d’euros (selon le montant le plus élevé). Avec le CCPA, une violation coûte 7 500 $ plus 750 $ par personne impliquée.
Divulgations : Une autre différence intéressante est la spécificité des divulgations. Le RGPD stipule que les personnes concernées doivent recevoir une explication claire et précise des finalités pour lesquelles les données seront utilisées. Le responsable du traitement dispose d’une certaine liberté quant à la manière dont cela doit être fait.
Le CCPA est plus normatif. Il stipule qu’une entreprise fournira un lien clair et visible sur la page d’accueil Internet de l’entreprise, intitulé « Ne pas vendre mes informations personnelles », vers une page Web Internet qui permet à un consommateur, ou à une personne autorisée par le consommateur, de se retirer de la vente des informations personnelles du consommateur.
Âge requis : Enfin, une autre différence. Les enfants âgés de 13 à 16 ans doivent autoriser explicitement la vente de leurs données personnelles. Lorsque l’enfant a moins de 13 ans, un parent doit autoriser la vente et le partage des données personnelles.
Comme vous pouvez le voir, il existe de nombreuses différences malgré le fait que les deux soient si similaires. Et pour être honnête, c’est un peu déroutant et accablant de devoir suivre toutes ces exigences. Alors quel impact cela a-t-il sur votre site WordPress ? Et comment être sûr de respecter à la fois le RGPD et le CCPA ?
Comment puis-je me conformer au CCPA sur mon site Web WordPress ?
Pour la plupart des sites Web WordPress, vous deviez probablement déjà vous conformer au RGPD d’une manière ou d’une autre. Vous trouverez ci-dessous un bref aperçu des exigences actuelles de conformité au RGPD :
- Politique relative aux cookies
- Bannière de consentement aux cookies (avec un lien vers la politique en matière de cookies)
- Politique de confidentialité
- Accords de traitement
- Possibilité de consulter les données personnelles et de pouvoir envoyer ces données dans un délai d’un mois
- Bloquer les cookies jusqu’à ce qu’ils soient autorisés
- Connexion sécurisée (SSL)
Heureusement, il existe de nombreux plugins qui peuvent vous aider avec cette majorité de cette liste (comme nous l’avons mentionné et lié ci-dessus).
Avec le prochain CCPA, les aspects suivants sont requis pour que votre site Web WordPress soit conforme :
- Politique de confidentialité
- Bannière de consentement aux cookies (options de désinscription avec un lien vers la politique de confidentialité et la page Ne pas vendre mes informations personnelles)
- Connexion sécurisée (SSL)
- Ne pas vendre mon document d’informations personnelles
- Accord de traitement avec tous les sous-traitants et/ou fournisseurs de services
- Verification de l’AGE
Encore une fois, très similaire au RGPD mais pas identique. Cela signifie que si vous êtes préoccupé par le CCPA, vous devrez soit vous assurer d’ajouter manuellement une page DNSMPI, créer des accords de traitement et trouver un moyen de confirmer l’âge des utilisateurs (pour obtenir le consentement des utilisateurs de 13 à 16 ans et garantir la confidentialité des utilisateurs de moins de 13 ans). C’est une tâche assez importante, mais heureusement, certains développeurs ont déjà mis à jour leurs plugins pour vous aider.
La solution
Une solution simple et rapide pour préparer CCPA consiste à installer un plugin. Plus précisément, le plugin Complianz.
Le plugin comprend des paramètres importants pour garantir que votre site WordPress est compatible GDPR et CCPA. Par exemple, Complianz utilise la géolocalisation pour déterminer de quelle bannière de cookie un utilisateur a besoin. Ou quelle politique de confidentialité doit être affichée dans quelle situation. Le plugin prend même en charge une option pour créer un accord de traitement distinct pour chaque pays ou législation.
Outre la possibilité de se conformer aux deux lois, Complianz fournit également :
- Un avis de non-responsabilité
- Politique relative aux cookies
- Bannière de consentement aux cookies
- Page Ne pas vendre mes informations personnelles
- Politique de confidentialité
- Politique de confidentialité pour les enfants (Selon la loi COPPA)
- Rapports de fuite de données
- Statistiques pour analyser quelle bannière de cookie fonctionne le mieux
- Tests A/B
- Implémentation de Tag Manager
Le plugin est également prêt pour ePrivacy. Il s’agit d’une nouvelle législation européenne qui devrait entrer en vigueur dans le courant de 2020. De plus, le plugin est prêt pour la COPPA. Il s’agit d’une loi américaine qui garantit la confidentialité en ligne des enfants de moins de 13 ans. Ainsi, avec un seul plugin, vous pouvez vous assurer que votre site WordPress est déjà conforme à quatre législations !
Conclusion de notre regard sur CCPA vs GDPR
Malheureusement, ce n’est pas parce que vous vous conformez déjà à la législation européenne GDPR que vous vous conformez à la nouvelle législation CCPA. Il y a plus d’exigences auxquelles vous devez faire attention. De plus, pour les résidents américains (en particulier ceux du Golden State), je pense que la probabilité de recevoir une amende est plus élevée. Votre meilleur pari est donc de planifier à l’avance et d’être préparé.
Heureusement, comme la plupart des choses sur WordPress, la réponse consiste simplement à installer un plugin. Avec un peu d’aide de Complianz, votre site peut être à la fois GDPR et CCPA. Mais bien sûr, cela va plus loin que cela. De plus, devenir plus conscient de la façon dont vous traitez les données est un aspect que vous devez prendre en compte. Attendez-vous à ce que de plus en plus de gouvernements emboîtent le pas dans les années à venir, renforçant l’importance de la protection de la vie privée. Il est donc d’autant plus important pour vous de mettre de l’ordre dans la gestion des données de votre site Web le plus tôt possible.