Are You Ready for California's "Do Not Track" Requirements?

Au cours des derniers mois, la Californie a adopté plusieurs nouvelles lois sur la confidentialité et la protection des données qui ont un impact sur les exploitants de sites Web, de services en ligne et d'applications mobiles dans tout le pays, notamment une loi établissant un « effaceur Internet » pour les mineurs et des modifications aux exigences de l'État en matière de notification des violations de données. Le dernier projet de loi, qui modifie la loi californienne sur la protection de la vie privée en ligne (California Online Privacy Protection Act, « CalOPPA »), donne aux opérateurs de sites Web jusqu'au 1er janvier 2014 pour mettre à jour leurs politiques de confidentialité afin de divulguer la manière dont ils répondent aux mécanismes « Do Not Track » (Ne pas suivre) dans les navigateurs Web. Êtes-vous prêt pour ces nouvelles exigences « Do Not Track » ?

Que prévoit la nouvelle loi ?

En vertu de la loi CalOPPA, les exploitants de sites Web étaient déjà tenus, entre autres, d'afficher de manière visible une politique de confidentialité décrivant les catégories d'informations personnelles identifiables collectées par le site Web ou l'application mobile, ainsi que les entités avec lesquelles ces informations sont partagées. Conformément à la modification apportée par le projet de loi 370 de l'Assemblée, les exploitants de sites Web et d'applications mobiles sont désormais tenus d'informer les utilisateurs de la manière dont le site réagit aux mécanismes dits « Do Not Track » (ne pas suivre), qui sont généralement de petits morceaux de code, similaires aux cookies, qui signalent aux sites Web ou aux applications mobiles que l'utilisateur ne souhaite pas que l'exploitant du site Web suive sa visite sur le site, y compris par le biais d'outils d'analyse, de réseaux publicitaires et d'autres types de pratiques de collecte et de suivi de données.

Ces exigences s'appliquent-elles à moi ?

La loi s'applique à toutes les entreprises qui collectent des informations de suivi auprès des résidents californiens, et s'applique donc aux entreprises qui exercent leurs activités en Californie et suivent les résidents californiens, même si l'entreprise n'a pas de présence physique en Californie.

Dois-je respecter les préférences « Ne pas suivre » d'un utilisateur ?

Il convient de noter que la Californie n'a pas imposé aux exploitants de sites Web et d'applications mobiles de respecter l'utilisation par les utilisateurs des mécanismes « Do Not Track » (ne pas suivre), mais seulement de fournir aux utilisateurs des informations sur la manière dont le site Web réagira à ces mécanismes.

Comment puis-je me conformer ?

Un exploitant de site Web peut satisfaire à la nouvelle exigence en fournissant « un lien hypertexte clair et bien visible dans la politique de confidentialité de l'exploitant vers un emplacement en ligne contenant une description, y compris les effets, de tout programme ou protocole suivi par l'exploitant qui offre aux consommateurs ce choix [de ne pas être suivis] ». Le programme d'autorégulation de la Digital Advertising Alliance pour la publicité comportementale en ligne est un programme d'autorégulation couramment utilisé pour aider les entreprises à permettre aux consommateurs de refuser la publicité ciblée basée sur le suivi de leur activité sur le web.

Remarque : La date limite pour se conformer à cette exigence est le 1er janvier 2014.

Y a-t-il des sanctions si je ne mets pas à jour ma politique de confidentialité ?

Le non-respect des nouvelles exigences pourrait entraîner des amendes de 2 500 dollars par infraction. En ce qui concerne les applications mobiles, le procureur général de Californie a indiqué que chaque téléchargement d'une application mobile non conforme aux nouvelles exigences constitue une infraction et peut donner lieu à une amende.

Meilleures pratiques en matière de conformité

Dans le cadre de la mise à jour de leurs politiques de confidentialité afin de se conformer aux nouvelles exigences « Do Not Track » (Ne pas suivre) de la CalOPPA, les propriétaires et exploitants de sites Web doivent adopter les meilleures pratiques suivantes :

Identifier les mécanismes de suivi mis en place sur ses sites Web et ses services en ligne, y compris (a) les types spécifiques d'informations personnelles collectées par le mécanisme de suivi et (b) si les utilisateurs ont la possibilité de contrôler si et comment les mécanismes sont utilisés et si l'opérateur respectera le choix de l'utilisateur. La liste doit inclure les mécanismes de suivi utilisés par l'opérateur lui-même, ainsi que tous les mécanismes de suivi mis en place par des tiers, y compris les annonceurs et les services d'analyse.
Dans le cas des mécanismes de suivi utilisés par des tiers, l'opérateur doit déterminer si le mécanisme collecte des informations personnelles sur les utilisateurs. Même si les mécanismes ne collectent pas d'informations personnelles, l'opérateur peut souhaiter identifier les mécanismes dans sa politique de confidentialité au cas où l'opérateur tiers combinerait les données de suivi avec des informations personnelles sur les utilisateurs qu'il a collectées à partir d'une autre source.
Identifiez tout autre mécanisme qui collecte des informations personnelles auprès des utilisateurs, y compris les plug-ins de réseaux sociaux. Bien que les modifications apportées à la CalOPPA ne visent pas nécessairement ce type de mécanismes de collecte de données, les opérateurs devraient envisager de les divulguer aux utilisateurs dans leurs politiques de confidentialité.
Intégrez les informations identifiées ci-dessus dans les mentions relatives à la politique de confidentialité du site web, y compris les informations collectées auprès des utilisateurs dans le cadre du suivi de l'activité du site web, et la manière dont l'utilisateur peut refuser la collecte de ces informations et/ou la réception de publicités ciblées basées sur les informations de suivi.

Une copie intégrale du projet de loi 370 de l'Assemblée est disponible ici.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.