California Consumer Privacy Act

Conformité CCPA et CPRA simplifiée

La loi californienne complète sur la vie privée protège 40 millions de résidents avec des droits stricts pour les consommateurs et des obligations pour les entreprises. Nous vous aidons à mettre en oeuvre des pratiques de données conformes, à répondre aux demandes de droits et à éviter les actions d'application de la CPPA.

Commencer l'évaluation de conformitéRéserver une consultation de conformité

Qu'est-ce que le CCPA/CPRA ?

Le California Consumer Privacy Act (CCPA), promulgué en 2018 et en vigueur depuis le 1er janvier 2020, a créé des droits complets à la vie privée pour les résidents de Californie. Le California Privacy Rights Act (CPRA), adopté en 2020, a considérablement renforcé le CCPA avec des amendements en vigueur depuis le 1er janvier 2023.

Pourquoi c'est important maintenant : La CPRA a créé l'Agence californienne de protection de la vie privée (CPPA), le régulateur dédié de la Californie avec pouvoir d'application. Les exigences renforcées incluent de nouveaux droits pour les consommateurs, des protections des IP sensibles et des obligations de divulgation de l'IA.

40 M protégés

Résidents de Californie couverts

7 500 $ max

Par infraction intentionnelle

Complète le RGPD pour la conformité mondiale à la vie privée et s'intègre avec la loi européenne sur l'IA pour la gouvernance de l'IA.

Qui a besoin de la conformité CCPA ?

Seuil de revenus en Californie

Revenus bruts annuels supérieurs à 25 millions de dollars

Seuil de volume de données

Acheter, vendre ou partager les données de plus de 100 000 consommateurs/ménages

Revenus provenant de la vente de données

Plus de 50 % des revenus annuels provenant de la vente d'IP de consommateurs

Entreprises traitant des données de résidents CA

Faire des affaires en Californie avec des données de consommateurs

Prestataires de services

Traiter des IP pour le compte d'entreprises couvertes

Tiers

Recevoir des IP d'entreprises via des ventes/partages

Comment VerifyWise soutient la conformité CCPA

Des outils complets qui répondent aux droits des consommateurs, aux obligations des entreprises et aux risques d'application de la CPPA

Gestion des demandes de droits des consommateurs

Flux de travail automatisés pour traiter les demandes de connaissance, suppression, correction, refus et limitation dans les délais légaux. Suivez les méthodes de vérification, les délais de réponse et maintenez des pistes d'audit complètes pour la conformité CPPA.

Couvre : Droit de savoir, supprimer, corriger, refuser, limiter

Inventaire et cartographie des données

Registre complet des catégories d'informations personnelles, des sources de collecte, des finalités commerciales et du partage avec des tiers. Maintenez les cartographies de données détaillées que le CCPA exige pour les obligations de notification.

Couvre : Divulgations de l'avis de confidentialité, exigences d'inventaire des données

Génération et gestion des avis de confidentialité

Générez des avis de confidentialité conformes au CCPA qui divulguent clairement les pratiques de collecte, les droits des consommateurs et les coordonnées. Le contrôle de version assure la documentation historique de conformité.

Couvre : Exigences de notification §1798.100-130

Suivi de la technologie de prise de décision automatisée (ADMT)

Enregistrez les systèmes d'IA utilisés pour le profilage et les décisions automatisées. Documentez la logique, l'importance et les mécanismes de refus tels qu'exigés par les dispositions ADMT de la CPRA.

Couvre : CPRA §1798.185(a)(16) réglementations ADMT

Documentation des mesures de sécurité

Suivez les procédures de sécurité raisonnables protégeant les informations personnelles. Documentez les contrôles techniques, administratifs et physiques qui démontrent la conformité aux obligations de sécurité.

Couvre : Exigences de sécurité §1798.150

Surveillance des tiers et prestataires de services

Maintenez les contrats fournisseurs avec les dispositions CCPA requises. Surveillez les activités de traitement des tiers et documentez la conformité aux restrictions des prestataires de services.

Couvre : Exigences des prestataires de services §1798.140(w)

Toutes les demandes des consommateurs sont horodatées avec des registres de vérification, des dates de réponse et des pistes d'audit. Cette documentation démontre des efforts de conformité de bonne foi lors des enquêtes de la CPPA.

Couverture complète des exigences CCPA/CPRA

VerifyWise couvre tous les principaux domaines de conformité avec des flux de travail dédiés

23

Exigences CCPA/CPRA

23

Exigences avec support plateforme

100%

Couverture de toutes les obligations

Droits des consommateurs8/8

Savoir, supprimer, refuser, corriger, limiter l'utilisation

Obligations des entreprises6/6

Avis de confidentialité, minimisation des données, sécurité

Conformité ADMT4/4

Divulgations relatives à la prise de décision automatisée

Inventaire des données5/5

Catégories, sources, finalités, partage

Conçu pour la loi californienne sur la vie privée dès le départ

Suivi du délai de 45 jours

Rappels automatisés pour les délais de réponse légaux

Moteur de divulgation ADMT

Suivi de conformité de la technologie de décision automatisée

Signaux de refus universels

Reconnaissance du Global Privacy Control et des signaux de navigateur

Conformité multi-lois

Intégration RGPD, loi sur l'IA et lois de confidentialité des États

Droits des consommateurs au titre du CCPA/CPRA

Six droits fondamentaux que les résidents de Californie peuvent exercer

Droit de savoir

Les consommateurs peuvent demander la divulgation des catégories et des éléments spécifiques d'informations personnelles collectées.

Exigences clés

  • Historique de 12 mois
  • Gratuit deux fois par an
  • Réponse sous 45 jours (+ 45 d'extension)

Droit de suppression

Les consommateurs peuvent demander la suppression des informations personnelles avec des exceptions spécifiées.

Exigences clés

  • Vérifier l'identité
  • Instruire les prestataires
  • Documenter les exceptions

Droit de refus

Refuser la vente/le partage des informations personnelles et la publicité ciblée.

Exigences clés

  • Lien Ne pas vendre
  • Signaux de refus universels
  • Pas de discrimination

Droit de correction

Demander la correction des informations personnelles inexactes (ajout CPRA).

Exigences clés

  • Vérifier les corrections
  • Réponse sous 45 jours
  • Notifier les tiers

Droit de limitation

Limiter l'utilisation et la divulgation des informations personnelles sensibles (ajout CPRA).

Exigences clés

  • Lien Limiter la collecte
  • Utilisations des données sensibles
  • Exigences de notification

Droit à la non-discrimination

Les entreprises ne peuvent pas discriminer pour l'exercice des droits CCPA avec des exceptions limitées.

Exigences clés

  • Service égal
  • Qualité égale
  • Avis d'incitation financière

Obligations des entreprises

Ce que le CCPA/CPRA exige des entreprises couvertes

Avis de confidentialité à la collecte

Informer les consommateurs au moment de ou avant la collecte des catégories d'IP collectées et des finalités

Échéance : Au moment de ou avant la collecte

Politique de confidentialité complète

Divulgation détaillée des pratiques en matière de données, des droits des consommateurs et des coordonnées

Échéance : Mise à jour au moins annuellement

Lien Ne pas vendre/partager

Lien clair et visible sur la page d'accueil pour le refus des ventes/partages

Échéance : Mise en oeuvre immédiate

Procédures de vérification des demandes

Méthodes raisonnables pour vérifier l'identité du consommateur pour les demandes de droits

Échéance : Avant de répondre aux demandes

Politiques de conservation des données

Conserver les IP uniquement le temps raisonnablement nécessaire aux finalités divulguées

Échéance : Conformité continue

Contrats avec les tiers

Accords de prestataires de services avec les dispositions CCPA requises

Échéance : Avant de partager les données

Feuille de route de mise en oeuvre sur 20 semaines

Un parcours pratique vers la conformité CCPA/CPRA avec des jalons clairs

Phase 1Semaines 1-4

Découverte des données

  • Cartographier tous les flux d'informations personnelles
  • Identifier les points et sources de collecte
  • Documenter les finalités commerciales
  • Cataloguer le partage avec les tiers
Phase 2Semaines 5-8

Conformité des avis

  • Rédiger l'avis de confidentialité à la collecte
  • Mettre à jour la politique de confidentialité complète
  • Implémenter les liens Ne pas vendre/partager
  • Créer les avis d'incitation financière
Phase 3Semaines 9-14

Infrastructure des droits

  • Construire le portail de demandes des consommateurs
  • Établir les procédures de vérification
  • Créer les flux de travail de réponse
  • Former le personnel à la gestion des droits
Phase 4Semaines 15-20

Préparation opérationnelle

  • Tester le traitement des demandes de bout en bout
  • Implémenter les signaux de refus universels
  • Finaliser les contrats de prestataires de services
  • Documenter les divulgations ADMT

Sanctions en cas de non-conformité

Le CCPA/CPRA crée des risques financiers et juridiques significatifs

Sanctions civiles

Actions d'application de la CPPA pour les infractions

  • 2 500 $ par infraction non intentionnelle
  • 7 500 $ par infraction intentionnelle
  • Injonction disponible

Droit d'action privé

Poursuites des consommateurs pour violations de données (§1798.150)

  • 100 $ à 750 $ par consommateur par incident
  • Ou dommages réels (le montant le plus élevé)
  • Les dommages légaux s'accumulent rapidement

Atteinte à la réputation

Au-delà des sanctions financières

  • Érosion de la confiance des consommateurs
  • Désavantage concurrentiel
  • Surveillance réglementaire

Exposition aux recours collectifs

Les violations de données affectant des milliers de consommateurs peuvent entraîner des dommages légaux se multipliant en recours collectifs de plusieurs millions de dollars. Le droit d'action privé en vertu du §1798.150 crée un risque de litige significatif même avec des mesures de sécurité raisonnables.

Modèles de politiques

Politiques de confidentialité et de gouvernance de l'IA

Accédez à des modèles de politiques de confidentialité prêts à l'emploi alignés sur le CCPA/CPRA, le RGPD et les exigences de la loi européenne sur l'IA

Avis de confidentialité

  • • Modèle de politique de confidentialité
  • • Avis à la collecte
  • • Avis d'incitation financière
  • • Avis Ne pas vendre
  • • Accord de prestataire de services
  • • Politique de cookies
  • + 3 autres modèles

Droits des consommateurs

  • • Procédures de demande de droits
  • • Politique de vérification d'identité
  • • Modèles de réponse aux demandes
  • • Procédures de refus
  • • Politique de suppression des données
  • • Procédures de correction
  • + 4 autres modèles

Divulgations IA

  • • Modèle de divulgation ADMT
  • • Avis de profilage
  • • Inventaire des systèmes d'IA
  • • Politique de décisions automatisées
  • • Évaluation des risques IA
  • • Traitement des IP sensibles
  • + 2 autres modèles
Parcourir tous les modèles de politiques

Questions fréquemment posées

Questions courantes sur la conformité CCPA/CPRA

Le CCPA s'applique si vous faites des affaires en Californie et remplissez l'un des trois critères : (1) revenus bruts annuels de plus de 25 M$, (2) traitement des données de plus de 100 000 consommateurs/ménages CA annuellement, ou (3) plus de 50 % des revenus provenant de la vente d'IP de consommateurs. La loi s'applique quelle que soit la localisation physique de votre entreprise. Consultez la page CCPA du Procureur général de Californie pour des orientations officielles.
Le CCPA (2018) était la loi initiale de confidentialité de la Californie. La CPRA (2020) a considérablement modifié le CCPA avec des exigences plus strictes en vigueur depuis le 1er janvier 2023. Principaux ajouts de la CPRA : catégorie d'IP sensibles, droit de correction, droit de limitation, divulgations de prise de décision automatisée et création de l'Agence californienne de protection de la vie privée (CPPA). Lorsqu'on discute de conformité, il faut prendre en compte les exigences renforcées de la CPRA.
Les deux sont des lois complètes sur la vie privée mais diffèrent dans leur portée et leur approche. Le CCPA s'applique aux résidents de Californie (40 M de personnes) avec des seuils axés sur les entreprises. Le RGPD s'applique à tous les résidents de l'UE (450 M+) avec une portée territoriale plus large. Le CCPA a un modèle de refus pour les ventes ; le RGPD exige généralement un consentement préalable. Les sanctions du CCPA sont généralement inférieures au plafond de 4 % du chiffre d'affaires mondial du RGPD.
Les entreprises doivent répondre aux demandes vérifiées dans les 45 jours, avec une extension possible de 45 jours (total 90 jours) lorsque raisonnablement nécessaire. Vous devez notifier le consommateur de l'extension dans les 45 premiers jours et en expliquer la raison. Pour les demandes de connaissance, les consommateurs peuvent faire des demandes deux fois par période de 12 mois gratuitement.
Le CCPA définit largement la vente comme la divulgation d'IP à des tiers pour une contrepartie monétaire ou autre de valeur. Cela inclut de nombreux arrangements de partage de données qui ne sont pas des ventes de données traditionnelles. La CPRA a ajouté le « partage » pour la publicité comportementale inter-contextes. La plupart des partenariats d'analyse tiers, de technologies publicitaires et de données déclenchent les obligations de Ne pas vendre. Consultez les orientations du Procureur général sur ce qui constitue une vente.
La CPRA définit les IP sensibles comme : numéro de sécurité sociale, permis de conduire, passeport, détails de compte financier, géolocalisation précise, origine raciale/ethnique, croyances religieuses, appartenance syndicale, contenu de courrier/courriel/textes, données génétiques, données biométriques, données de santé, vie sexuelle/orientation. Les consommateurs ont le droit de limiter l'utilisation des IP sensibles aux finalités nécessaires pour fournir les services demandés.
La CPRA exige que les entreprises utilisant l'ADMT (y compris le profilage) le divulguent dans les avis de confidentialité et fournissent des informations sur la logique impliquée et l'importance probable des résultats. Les réglementations en vertu du §1798.185(a)(16) détaillent la conformité ADMT. Cela impacte les systèmes d'IA utilisés pour l'emploi, le crédit, le logement, l'éducation et d'autres décisions conséquentes. Consultez notre page loi européenne sur l'IA pour les exigences connexes de gouvernance de l'IA.
Les exigences de vérification sont proportionnelles à la sensibilité et au risque de la demande. Pour les demandes de connaissance (catégories), utilisez un processus en deux étapes. Pour les demandes de connaissance (éléments spécifiques) ou de suppression, utilisez un processus en trois étapes ou une déclaration signée sous peine de parjure. Les comptes protégés par mot de passe peuvent vérifier via l'authentification existante. Maintenez la documentation des méthodes de vérification et adaptez le degré de certitude raisonnablement nécessaire.
Les accords de prestataires de services doivent interdire : (1) conserver, utiliser ou divulguer les IP à toute fin autre que l'exécution des services, (2) conserver, utiliser ou divulguer les IP en dehors de la relation commerciale directe, (3) combiner les IP avec d'autres IP sauf si autorisé. Les contrats doivent spécifier les finalités autorisées, exiger la suppression/restitution des IP, permettre les audits et exiger le transfert aux sous-traitants. Voir les exigences du §1798.140(w).
Oui, les entreprises doivent reconnaître les signaux de navigateur ou d'appareil qui communiquent la préférence de refus (comme le Global Privacy Control). La CPRA exige de traiter ces signaux comme des demandes valides de Ne pas vendre/partager. Vous devez divulguer comment vous traitez les signaux de refus dans votre politique de confidentialité et les honorer pendant au moins 12 mois.
L'Agence californienne de protection de la vie privée (CPPA) peut imposer des sanctions civiles de 2 500 $ par infraction non intentionnelle ou 7 500 $ par infraction intentionnelle. Les consommateurs disposent également d'un droit d'action privé en vertu du §1798.150 pour les violations de données, demandant 100 $ à 750 $ par consommateur par incident ou les dommages réels. Les infractions affectant des milliers de consommateurs peuvent rapidement devenir des expositions de plusieurs millions de dollars.
Oui, VerifyWise fournit la gestion des demandes de droits des consommateurs, des outils d'inventaire des données, des générateurs d'avis de confidentialité et le suivi des divulgations ADMT alignés sur les exigences CCPA/CPRA. Notre plateforme s'intègre avec le RGPD, la loi européenne sur l'IA et d'autres cadres de confidentialité pour une gestion complète de la conformité.

Prêt à atteindre la conformité CCPA ?

Commencez à gérer les demandes de droits des consommateurs, les inventaires de données et les avis de confidentialité avec notre plateforme de conformité.

Commencer l'évaluation de conformitéPlanifier une consultation
CCPA and CPRA compliance requirements guide