Cinq étapes pour se conformer à la California Consumer Privacy Act
📱
Plus tôt cette année, la California Consumer Privacy Act est entrée en vigueur, mettant en œuvre de nouvelles exigences pour les entreprises qui font des affaires en Californie et traitent les données des résidents de l’État.
Au GDC Summer, l’associé en litige Will Bucher du cabinet d’avocats Debevoise et Plimpton a donné une conférence sur la façon dont les sociétés de jeux qui se conforment déjà au GDPR doivent considérer le CCPA, et cinq étapes simples qu’elles peuvent prendre pour assurer la conformité à la loi.
La California Consumer Privacy Act s’applique-t-elle à vous ?
Bucher a commencé son discours en notant que sa présentation s’adresse spécifiquement à ceux qui se conforment déjà au RGPD, ce qui a un impact sur les entreprises qui font des affaires dans l’UE ou avec des citoyens de l’UE. Pour ceux qui ne le sont pas, il y a beaucoup plus de mesures à prendre qu’il n’a pas couvertes dans cette conférence.
Will Bucher, Debevoise et Plimpton
Pour les entreprises qui se conforment déjà au GDPR, Bucher a expliqué comment déterminer si le CCPA s’applique à une entreprise en fonction de deux exigences. La première exigence est qu’une entreprise doit faire des affaires en Californie – et étant donné que cela inclut de faire des affaires avec des entreprises basées en Californie telles que Valve ou Apple, il est assez probable que la plupart des entreprises de jeux répondent à cette exigence.
Cependant, ils doivent également répondre à une deuxième exigence : soit une entreprise doit avoir un chiffre d’affaires annuel supérieur à 25 millions de dollars, soit posséder des données sur plus de 50 000 résidents californiens (par exemple, si 50 000 personnes vivant en Californie ont acheté un jeu et y jouent en ligne), ou tirer plus de 50 % de ses revenus de la vente de données sur les consommateurs californiens.
Cela signifie que certaines petites start-ups et studios indépendants pourraient ne pas être éligibles, ou de petites entreprises créant des jeux solo qui ne collectent pas de données telles que les adresses IP. Cependant, si une entreprise s’attend à surmonter l’un de ces obstacles, Bucher recommande de se pencher de toute façon sur les exigences du CCPA, car elles peuvent devenir pertinentes en fin de compte si l’entreprise a une version réussie.
Bucher a noté que l’exigence finale, tirant plus de 50% des revenus de la vente de données sur les consommateurs californiens, ne s’appliquera probablement pas à la plupart des sociétés de jeux, mais mérite néanmoins d’être mentionnée.
Étape 1 : Intégrez les utilisateurs californiens à vos protocoles RGPD
Si vous savez que votre entreprise relève du CCPA, la première étape consiste à intégrer vos utilisateurs californiens dans vos protocoles GDPR existants.
Étant donné que le CCPA s’applique lorsque vous faites affaire avec des entreprises basées en Californie, telles que Valve ou Apple, il est assez probable que la plupart des entreprises de jeux doivent se conformer.
Comprenant qu’il peut être difficile de séparer les utilisateurs basés en Californie des autres utilisateurs en fonction des données dont vous disposez sur eux, Bucher a noté que vous pouvez répondre à cette qualification en faisant simplement appel à tous les utilisateurs américains, voire à tous les utilisateurs. Il a ajouté que cela peut également être utile pour assurer la pérennité de votre entreprise, au cas où d’autres États ajouteraient ces exigences à l’avenir.
Essentiellement, cela signifie traiter les demandes de ces clients de la même manière que vous le feriez pour les résidents de l’UE dans le cadre du GDPR, avec l’exigence supplémentaire que vous devez confirmer la réception des demandes des consommateurs californiens dans les 10 jours – plus rapidement que le délai pour les résidents de l’UE.
Étape 2 : lien “Ne vendez pas mes informations personnelles”
L’étape suivante consiste à implémenter un lien sur le site Web de votre entreprise indiquant “Ne vendez pas mes informations personnelles”.
Bucher a clairement indiqué que le lien doit utiliser cette formulation spécifique et qu’il doit diriger l’utilisateur vers une page Web sur laquelle il peut refuser la vente de ses données.
“Vous ne pouvez pas l’intégrer à votre politique de confidentialité, vous ne devriez pas utiliser de formulation créative pour cela – la loi est très claire”, a-t-il déclaré. “C’est ainsi que le lien devrait être nommé, et c’est ce que vous devriez lui faire dire.”
De plus, vous ne pouvez pas exiger qu’un utilisateur crée un compte pour utiliser le lien de désinscription.
Traitez les demandes de la même manière que vous le feriez dans le cadre du GDPR, avec l’exigence supplémentaire que vous devez confirmer la réception des demandes des consommateurs californiens dans les 10 jours
Cependant, le placement de ce lien peut avoir un peu plus de flexibilité. Bucher a noté que même si les consommateurs s’attendent à voir de tels liens au bas des pages Web d’une entreprise, l’objectif est de s’assurer que ce lien est accessible aux clients là où ils interagissent avec l’entreprise. Et pour de nombreuses sociétés de jeux, leurs clients n’interagissent pas aussi souvent avec eux via des pages Web. Pour eux, il peut être plus logique de mettre le lien dans le menu des paramètres du jeu lui-même.
En ce qui concerne ce qui se passe une fois que les consommateurs se sont désinscrits, vous pouvez soit créer un processus qui exclut leurs données de la vente, soit supprimer entièrement les données du consommateur comme vous le feriez lors du traitement d’une demande de suppression dans le cadre du RGPD. Ces deux options répondent à l’exigence, bien que la seconde soit techniquement plus sûre et plus facile car elle relève déjà des processus du RGPD et évite également le problème si les données d’un consommateur sont accidentellement étiquetées de manière incorrecte et vendues malgré leur désactivation.
Étape 3 : Créer un numéro sans frais pour les refus de vente de données
Bucher a reconnu que l’étape 3 est un peu désuète, mais c’est toujours une exigence – les entreprises doivent avoir un numéro sans frais que les consommateurs peuvent appeler s’ils décident qu’ils veulent refuser la vente de leurs données – qui sera ensuite géré de la même manière que s’ils s’étaient désinscrits via votre site Web.
Ce numéro doit les mettre en relation avec un employé de votre entreprise qui est formé pour recevoir ces demandes, notamment pour informer les consommateurs de leurs droits en vertu du CCPA. La ligne peut être pourvue en personnel pendant les heures normales d’ouverture de votre entreprise.
Bucher a également souligné que même si vous avez entendu parler de “l’exemption” à cette étape et pensez que vous pourriez être admissible, il y a de fortes chances que ce ne soit pas le cas.
“Vous n’êtes pas admissible à l’exemption”, a-t-il déclaré. “Et c’est parce que l’exemption est formulée de telle manière qu’il est presque impossible de s’y conformer.”
Les entreprises devront clarifier les droits des citoyens californiens dans leur politique de confidentialité et mettre à jour cette politique chaque année
Plus précisément, l’exemption spécifie que vous ne pouvez avoir aucune interaction avec vos consommateurs hors ligne – cela signifie pas de marketing hors ligne, pas de salons professionnels, pas de réponse aux appels téléphoniques pour résoudre les problèmes, pas de distribution de supports physiques et pas de cartes de visite. De plus, vous devez également avoir une relation directe avec chacun de vos clients.
“Peut-être que vous avez un modèle commercial auquel je n’ai pas pensé — je ne veux pas dire complètement qu’il n’y a aucun moyen d’être exempté, mais je pense qu’à toutes fins pratiques, vous devez vraiment traiter cela comme si vous deviez créer un numéro de téléphone.”
Étape 4 : Mettez à jour votre politique de confidentialité
Ensuite, vous devez ajouter une déclaration concernant les droits des résidents de Californie à refuser la vente de leurs données à votre politique de confidentialité. Cette déclaration est requise même si votre réponse aux demandes de désinscription consiste à supprimer complètement les données comme vous le feriez dans le cadre du RGPD.
Dans le cadre de cela, vous devez également réviser la formulation de votre déclaration GDPR dans votre politique de confidentialité pour indiquer clairement que la politique s’applique également aux Californiens.
De plus, Bucher a souligné que vous devez ajouter une description à votre politique de confidentialité expliquant comment vous informerez les consommateurs des mises à jour de ladite politique.
Les entreprises doivent disposer d’un numéro sans frais que les consommateurs peuvent appeler s’ils décident de refuser la vente de leurs données
Et vous devez également vous assurer que sa description de l’utilisation des données explique toutes les utilisations possibles qui impliquent un transfert qui présente même un avantage lointain pour votre entreprise – y compris des exemples tels que le transfert de données à votre éditeur – et décrit également les catégories de données qui sont vendues. .
Pour ces derniers, cela doit inclure toutes les catégories de données d’une liste très précise dictée par le CCPA. Si vous vendez l’une des catégories de données répertoriées ici, vous devez noter que dans votre politique :
- Identifiants, tels que nom réel, alias, adresse postale, identifiant personnel unique, identifiant en ligne, adresse IP, e-mail, nom de compte, numéro de sécurité sociale, numéro de permis de conduire ou numéro de passeport
- Informations sur le consommateur, qui incluent les informations de paiement
- Toute caractéristique légalement protégée
- Achats commerciaux
- Informations biométriques
- Activité Internet ou réseau
- Géolocalisation
- Informations typiquement détectées par les sens : sonores, électroniques, visuelles, thermiques, olfactives ou autres
- Information d’emploi
- Informations sur l’éducation
- Et toutes les inférences de ce qui précède utilisées pour profiler le client
Étape 5 : Mettez à jour votre politique de confidentialité tous les 12 mois
Enfin, en vertu du CCPA, vous devez revoir et mettre à jour votre politique de confidentialité tous les 12 mois et noter dans la politique de confidentialité que vous l’avez fait.
“Le moyen le plus simple pour un régulateur californien de décider que vous n’êtes pas en conformité avec le CCPA est de consulter votre politique de confidentialité et de voir que vous ne l’avez pas mise à jour au cours des 12 derniers mois, ou que vous n’avez pas divulgué la dernière fois vous l’avez mis à jour”, a déclaré Bucher.
La chose la plus importante, a poursuivi Bucher, est de changer la date de votre dernière révision et mise à jour. Cela ne signifie pas nécessairement que vous devez changer quoi que ce soit d’autre s’il n’y a rien à changer – cela peut être aussi simple que de lire la politique et de changer la date.
Pour les petites entreprises, il est assez facile de définir un rappel de calendrier une fois par an pour ce faire – bien que Bucher ait noté que les grandes entreprises pourraient avoir besoin d’un rôle de conformité dédié pour ce processus ou l’ensemble du processus.
Découvrez également plus d’articles dans nos catégories Astuce, Consoles ou encore Jeux.
Merci pour votre visite on espère que notre article Cinq étapes pour se conformer à la California Consumer Privacy Act
, pensez à partager l’article sur Facebook, instagram et whatsapp avec les hashtags ☑️ #Cinq #étapes #pour #conformer #California #Consumer #Privacy #Act ☑️!