Le procureur général de Californie annonce la première mesure d'application de la CCPA

Le 24 août 2022, le procureur général de Californie, Rob Bonta, a annoncé un accord avec Sephora, Inc. prévoyant une amende de 1,2 million de dollars pour violation présumée de la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Cet accord est probablement la première d'une longue série de mesures coercitives découlant de la campagne de répression menée par le procureur général contre les détaillants en ligne et d'autres entreprises pour des violations potentielles de la CCPA, qui a débuté en juin 2021. Alors que d'autres enquêtes se sont concentrées sur le défaut de divulgation des incitations financières pour les programmes de fidélité, les déclarations de confidentialité qui ne sont pas compréhensibles pour le consommateur moyen et ne contiennent pas les informations requises, et les les liens « Ne vendez pas mes informations personnelles » qui ne fonctionnaient que sur certains navigateurs Internet, la mesure coercitive prise à l'encontre de Sephora est particulièrement importante pour de nombreux opérateurs de sites web, car elle repose sur l'allégation selon laquelle Sephora n'aurait pas divulgué la vente d'informations personnelles ni fourni de lien « Ne vendez pas mes informations personnelles » en raison de l'utilisation de cookies analytiques et publicitaires sur son site web.

La plainte

La plainte du procureur général allègue que le site Web de Sephora recueille des informations personnelles (telles que définies dans la CCPA), telles que les produits que les consommateurs consultent et achètent, les données de géolocalisation, les cookies et autres identifiants uniques, ainsi que des informations sur les systèmes d'exploitation et les types de navigation des consommateurs. Elle allègue en outre que Sephora met ces informations personnelles à la disposition de tiers afin de recevoir des services publicitaires et analytiques grâce à l'installation ou à l'utilisation de traceurs tels que des cookies, des gifs invisibles et d'autres technologies qui transmettent automatiquement les informations personnelles.

La plainte indique que, bien que la politique de confidentialité de Sephora ait correctement divulgué le fait qu'elle partageait des informations de géolocalisation et d'autres informations électroniques avec des tiers tels que des réseaux publicitaires, des partenaires commerciaux et des fournisseurs d'analyses de données, une telle divulgation en échange de services fournis par ces entités constituait une « vente » au sens de la CCPA. La CCPA définit la « vente » d'informations personnelles comme incluant la divulgation en échange d'une contrepartie monétaire ou autre. La plainte allègue que l'utilisation et la transmission des informations personnelles par Sephora constituaient une « vente » au sens de la CCPA, car la divulgation était effectuée en échange de services publicitaires ou d'analyse gratuits, à prix réduit ou de meilleure qualité fournis par ses fournisseurs tiers.

Après avoir conclu que Sephora s'était effectivement livrée à une « vente » d'informations personnelles au sens de la CCPA, la plainte allègue en outre que Sephora n'a pas divulgué cette vente dans sa déclaration de confidentialité et a au contraire affirmé qu'elle ne vendait pas d'informations personnelles. En outre, la plainte allègue que Sephora n'a pas proposé de lien « Ne pas vendre mes informations personnelles » ni respecté le signal de désactivation du navigateur (en particulier le Global Privacy Signal ou GPC). Alors que la plainte affirme que le procureur général a informé Sephora le 25 juin 2021 des violations potentielles, Sephora n'a pas remédié aux lacunes du site web dans le délai de 30 jours prévu par la CCPA. En raison du manquement présumé de Sephora à remédier à ces lacunes, la plainte du procureur général allègue des violations non seulement de la CCPA, mais aussi de la loi californienne sur les pratiques déloyales et trompeuses, California Business and Professions Code § 17200, et suivants, pour avoir prétendument privé de manière déloyale les consommateurs de leur droit de refuser la vente de leurs informations personnelles.

Le règlement

En vertu de l'accord, Sephora est tenue de verser (au Fonds pour la protection de la vie privée des consommateurs) une amende de 1,2 million de dollars. En outre, Sephora doit :

Mettre à jour sa politique de confidentialité afin d'indiquer clairement qu'elle vend des informations personnelles et que les consommateurs ont le droit de refuser ces ventes. Sephora doit également mettre à jour sa politique de confidentialité afin de se conformer à la loi californienne sur les droits à la vie privée (California Privacy Rights Act, CPRA) en ce qui concerne la « vente » ou le « partage » lorsque celle-ci entrera en vigueur.
Traiter les demandes de refus de vente des informations personnelles, y compris par le biais du GPC.
Mettre en œuvre et maintenir un programme visant à évaluer, tester, surveiller et rendre compte au procureur général de ses activités liées à la vente de renseignements personnels, à la divulgation à des fournisseurs de services et à d'autres tiers, ainsi qu'au respect du GPC. Ces mesures doivent généralement être mises en œuvre dans les 180 jours suivant la date d'entrée en vigueur du règlement et doivent se poursuivre pendant deux ans.
Veiller à ce que sa divulgation aux « prestataires de services » soit conforme aux accords qui répondent aux exigences contractuelles décrites dans la CCPA et mettre en œuvre toutes les configurations de « traitement restreint des données » qui pourraient être nécessaires pour adopter ces exigences contractuelles avec certains tiers (tels que Google et Facebook).

Impact sur les entreprises

Cet accord est important car il précise clairement que l'utilisation d'outils d'analyse, de cookies publicitaires et d'autres technologies de collecte automatique de données constitue une « vente » au sens de la CCPA et sera considérée comme une « vente » ou un « partage » au sens de la future CPRA. L'accord précise également que, bien que le GPC ne soit pas largement adopté et que d'autres signaux puissent être envoyés par les navigateurs à l'avenir, le procureur général considère qu'il est obligatoire de se conformer au GPC s'il est envoyé.

La mesure coercitive et le règlement devraient également mettre fin à toute croyance selon laquelle le procureur général serait moins rigoureux dans l'application de la CCPA, et indiquent au contraire que le procureur général a appliqué et continue d'appliquer activement la CCPA. L'inclusion d'allégations selon lesquelles Sephora aurait enfreint les articles 17200 et suivants du California Business and Professions Code suggère également que le procureur général est prêt à invoquer toutes les causes d'action potentielles au-delà de la CCPA elle-même afin de faire respecter la conformité.

Bien que l'accord conclu avec Sephora porte principalement sur l'utilisation des cookies, le communiqué de presse du procureur général et ses déclarations antérieures sur l'application de la loi suggèrent que celui-ci est prêt à prendre des mesures coercitives à l'encontre d'autres activités qu'il estime contraires à la CCPA, notamment les avis de confidentialité imprécis et incomplets, les problèmes techniques susceptibles de priver les consommateurs de leur capacité à exercer leurs droits en matière de confidentialité, et les divulgations à des tiers sans restrictions contractuelles appropriées pour que ces tiers soient considérés comme des prestataires de services.

À la lumière de cet accord et des autres mesures coercitives divulguées par le procureur général, les entreprises soumises à la CCPA (et à la future CPRA) devraient immédiatement revoir leur conformité à la CCPA afin de minimiser le risque d'être la cible de nouvelles mesures coercitives, notamment :

Vérifiez l'utilisation de cookies ou d'autres technologies similaires à des fins d'analyse, de publicité et d'autres services similaires qui pourraient constituer une « vente » au sens de la CCPA.
Veiller à ce que les avis de confidentialité divulguent correctement toute « vente » potentielle d'informations personnelles et la méthode que les consommateurs peuvent utiliser pour refuser ces ventes, notamment en divulguant l'utilisation des informations personnelles à des fins d'analyse publicitaire, etc.
Veillez à ce que les avis de confidentialité divulguent correctement toutes les activités (y compris les programmes de fidélité) pouvant être considérées comme une « incitation financière » et fournissent toutes les informations requises à ce sujet, notamment la manière dont la valeur des informations personnelles est déterminée et la manière dont une personne peut choisir de participer ou de se retirer du programme d'incitation financière.
Examinez les accords conclus avec des tiers afin de vous assurer que toutes les conditions générales requises par la CCPA y figurent et considérez toute divulgation de ce type comme une « vente » d'informations personnelles soumise au droit de refuser ces ventes.
Mettre en place un lien « Ne pas vendre mes informations personnelles » si toute divulgation d'informations personnelles à des tiers peut être considérée comme une « vente » au sens de la CCPA.
Veiller à ce que le site Web reconnaisse et traite correctement tout signal GPC ou autre signal de contrôle de confidentialité similaire envoyé par un navigateur.
Vérifiez les avis de confidentialité afin de vous assurer qu'ils sont clairs et compréhensibles pour le consommateur moyen. Les entreprises peuvent souhaiter éviter les avis de confidentialité « universels » pour les produits et services, qui peuvent prêter à confusion pour les consommateurs, et privilégier des avis de confidentialité adaptés à chaque produit et service. Les entreprises doivent également faire preuve de diligence lorsqu'elles vérifient toute affirmation selon laquelle les informations ne sont pas vendues.

Les entreprises doivent également être attentives aux avis émis par le procureur général de Californie alléguant des violations de la CCPA. Le procureur général a annoncé avoir envoyé des avis à d'autres entreprises alléguant le non-respect des demandes de désinscription formulées par les contrôles de confidentialité globaux. En vertu de la CCPA, les entreprises disposent de 30 jours pour remédier à ces violations. L'accord conclu avec Sephora suggère que les entreprises qui reçoivent de telles notifications devraient prendre des mesures immédiates pour remédier à toute lacune présumée et que le procureur général est prêt à prendre des mesures coercitives à l'encontre des entreprises qui ne prennent pas les mesures nécessaires pour se conformer à la loi.

Les entreprises doivent également être conscientes des changements apportés au traitement des informations personnelles requis par la loi californienne sur les droits à la vie privée (California Privacy Rights Act), qui entrera en vigueur le 1er janvier 2023. Cela peut inclure le respect des demandes des consommateurs souhaitant exercer leurs droits supplémentaires en matière de confidentialité, tels que le droit de limiter l'utilisation d'informations personnelles sensibles ou le droit de corriger leurs informations personnelles. Il convient également de rappeler aux entreprises que les exceptions relatives aux informations sur l'emploi et aux informations interentreprises expireront le 1er janvier 2023, à moins que l'un des nombreux projets de loi en cours d'examen ne soit adopté avant le 31 août 2022, ce qui semble peu probable. Si ces dispositions expirent, la CPRA s'appliquera dans son intégralité aux informations relatives aux employeurs et aux informations interentreprises. Pour plus d'informations sur les exigences supplémentaires prévues par la CPRA, veuillez consulter notre analyse de cette loi à venir dans l'article « Les électeurs californiens adoptent la California Privacy Rights Act ».

Enfin, avec le renforcement des mesures coercitives prises par le procureur général et la mise en œuvre prochaine de la CPRA en janvier 2023, les entreprises qui ne se conforment pas à la CCPA et à la CPRA s'exposent à un risque accru de poursuites civiles. Il est donc essentiel d'examiner avec soin les pratiques commerciales en matière de notifications de confidentialité, de politiques de confidentialité et d'utilisation des informations sur les consommateurs afin de limiter tout risque potentiel au titre de la CCPA, de la CPRA ou du Code des affaires et des professions 17200 et suivants.

Pour plus d'informations sur la conformité à la CCPA ou à la future CPRA, veuillez contacter l'un des auteurs ou tout associé ou conseiller principal de l'équipe Cybersécurité et confidentialité des données de Foley.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.