Are You Ready for California's "Do Not Track" Requirements?

Over the last several months, California has passed several new privacy and data protection laws that impact operators of websites, online services and mobile applications around the country, including a law establishing an “Internet Eraser” for minors, and changes to the state’s data breach notification requirements. The latest bill, which amends the California Online Privacy Protection Act (“CalOPPA”), gives website operators until January 1, 2014 to update their privacy policies to disclose how they respond to “Do Not Track” mechanisms in web browsers. Are you ready for these new “Do Not Track” requirements?

What does the new law require?

Under CalOPPA, website operators were already required, among other things, to conspicuously post a privacy policy that describes the categories of personally identifiable information the website or mobile application operator collects, and with whom the information is shared. As amended by Assembly Bill 370, website and mobile application operators are now required to disclose to users how the site responds to so-called “Do Not Track” mechanisms, which are typically small pieces of code – similar to cookies – that signal to websites or mobile applications that the user does not want the website operator to track his or her visit to the site, including through analytics tools, advertising networks and other types of data collection and tracking practices.

Do the requirements apply to me?

The law applies to all companies that collect tracking information from California residents, and accordingly applies to companies that do business in California and track California residents, even if the company does have a physical presence in California.

Do I need to honor a user’s Do Not Track preferences?

Notably, California has not mandated that website and mobile application operators honor a user’s use of “Do Not Track” mechanisms – only that the user be provided with a disclosure about how the website will respond to such mechanism.

How can I comply?

A website operator can satisfy the new requirement by providing “a clear and conspicuous hyperlink in the operator’s privacy policy to an online location containing a description, including the effects, of any program or protocol the operator follows that offers consumers that choice [not to be tracked].” The Digital Advertising Alliance’s Self-Regulatory Program for Online Behavioral Advertising is a commonly used self-regulatory program to assist companies in allowing consumers to opt out of targeted advertising based on web activity tracking.

Note: The deadline for compliance is January 1, 2014.

Are there penalties if I don’t update my privacy policy?

Failure to comply with the new requirements could result in fines of $2,500 per violation. With respect to mobile applications, the California Attorney General has indicated that each download of a mobile application that does not comply with the new requirements constitutes a violation and can trigger the fine.

Best Practices for Compliance

As part of updating its privacy policies to comply with the new Do Not Track requirements of CalOPPA, website owners and operators should undertake the following best practices:

Identify the tracking mechanisms in place on its websites and online services, including (a) the specific types of personal information collected by the tracking mechanism and (b) whether users have the option to control whether and how the mechanisms are used and whether the operator will honor the user’s choice. The list should include the tracking mechanisms used by the operator itself, as well as any tracking mechanisms placed by third parties, including advertisers and analytics services.
In the case of tracking mechanisms employed by third parties, the operator should determine whether the mechanism collects personal information about users. Even if the mechanisms do not collect personal information, the operator may want to identify the mechanisms in its privacy policy in case the third party operator combines the tracking data with personal information about users it has collected from another source.
Identify any other mechanisms that collect personal information from users, including social media plug ins. While the changes to CalOPPA do not necessarily target these kinds of data collection mechanisms, operators should consider disclosing them to users in their privacy policies.
Incorporate the information identified above into the disclosures of the website’s privacy policy, including the information collected from users in the context of tracking website activity, and how the user can opt-out of the collection of that information and/or receiving targeted advertising based on the tracking information.

A full copy of Assembly Bill 370 is available here.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

Un homme d'âge moyen, barbu et moustachu, vêtu d'un costume sombre, d'une chemise blanche et d'une cravate bleue, se tient devant un arrière-plan flou de bureau d'avocats, souriant à l'appareil photo.

[email protected]

Jacksonville 904.359.8745

Perspectives connexes

Voir tous les articles

11 décembre 2025 Points de vue de Foley

Risques antitrust et stratégies de conformité dans la gestion de portefeuilles de propriété intellectuelle

Cet article analyse comment la gestion du portefeuille de propriété intellectuelle peut à la fois promouvoir l'innovation et présenter un potentiel...

11 décembre 2025 Points de vue de Foley

Le CARB publie les projets de réglementation pour les lois SB 261 et 253

Le 9 décembre 2025, le California Air Resources Board (CARB) a publié son projet de texte réglementaire pour les premières réglementations...

11 décembre 2025 Points de vue de Foley

Ce que toutes les multinationales devraient savoir à propos des contrôles à l'exportation et des sanctions économiques aux États-Unis

Les administrations Biden et Trump ont toutes deux renforcé les contrôles à l'exportation des États-Unis (en particulier à l'égard de la Chine) et promulgué de nouvelles sanctions économiques globales. Afin de refléter les risques croissants liés à ces régimes réglementaires internationaux, cet article est le premier d'une série qui explorera les principales questions relatives au contrôle des exportations et aux sanctions économiques qui se posent aux entreprises multinationales.

Are You Ready for California's "Do Not Track" Requirements?

Auteur(s)

Chanley T. Howell

Perspectives connexes

Risques antitrust et stratégies de conformité dans la gestion de portefeuilles de propriété intellectuelle

Le CARB publie les projets de réglementation pour les lois SB 261 et 253

Ce que toutes les multinationales devraient savoir à propos des contrôles à l'exportation et des sanctions économiques aux États-Unis