Comprendre le cadre californien de protection de la vie privée

La Californie a été à l’avant-garde des États-Unis en matière de législation sur la protection de la vie privée des consommateurs, et ses lois affectent les sites web du monde entier. Le California Consumer Privacy Act (CCPA), largement modifié par le California Privacy Rights Act (CPRA) entré en vigueur en janvier 2023, crée des obligations pour toute entreprise qui collecte des informations personnelles auprès de résidents californiens — quel que soit l’endroit où cette entreprise est physiquement établie.

Pour les propriétaires de sites web, les implications pratiques se concentrent sur les cookies, les technologies de suivi et la manière dont les données des utilisateurs sont partagées avec des tiers. Bien que le modèle californien diffère fondamentalement du GDPR européen, il exige néanmoins une attention particulière aux mécanismes de consentement et aux droits des utilisateurs.

CCPA/CPRA : qui est concerné ?

La loi s’applique aux entreprises à but lucratif qui remplissent au moins un des critères suivants :

• Un chiffre d’affaires annuel brut supérieur à 25 millions $.
• L’achat, la vente ou le partage des informations personnelles de 100 000 résidents, foyers ou appareils californiens ou plus par an.
• Le fait de tirer 50 % ou plus de son chiffre d’affaires annuel de la vente ou du partage des informations personnelles de résidents californiens.

Le deuxième seuil est particulièrement important pour les sites financés par la publicité. Si votre site utilise des cookies tiers pour la publicité ciblée et reçoit un trafic californien significatif, vous pouvez traiter les données de bien plus de 100 000 utilisateurs californiens par an rien qu’au travers de ces cookies.

Opt-out vs opt-in : la différence fondamentale avec le GDPR

C’est la distinction la plus importante à comprendre pour les exploitants de sites web. En vertu du GDPR, le principe est l’opt-in : vous ne pouvez pas déposer de cookies non essentiels tant que l’utilisateur n’a pas donné son consentement actif. En vertu du CCPA/CPRA, le principe est l’opt-out : vous pouvez traiter des informations personnelles (y compris via des cookies) jusqu’à ce que l’utilisateur vous demande d’arrêter.

Cela signifie que l’expérience de consentement pour les visiteurs californiens est fondamentalement différente :

• Approche GDPR : Bloquer tous les cookies non essentiels. Afficher une bannière. Attendre un consentement explicite. Ne déposer les cookies qu’ensuite.
• Approche CCPA/CPRA : Les cookies peuvent être déposés par défaut. Fournir un lien clair et visible « Do Not Sell or Share My Personal Information ». Lorsque l’utilisateur exerce ce droit, cesser de partager ses données avec des tiers.

Il existe toutefois des exceptions importantes. Pour les mineurs de moins de 16 ans, le CCPA/CPRA passe à un modèle d’opt-in : vous devez obtenir un consentement explicite avant de vendre ou de partager leurs informations personnelles. Pour les enfants de moins de 13 ans, ce consentement doit être donné par un parent ou un tuteur.

L’exigence « Do Not Sell or Share »

Le CPRA a étendu le droit initial « Do Not Sell » du CCPA pour inclure le « sharing » — qui vise spécifiquement le type d’échange de données qui se produit via les cookies publicitaires tiers. Lorsqu’un utilisateur visite votre site et que vos cookies envoient ses données de navigation à des réseaux publicitaires, cela constitue un sharing au sens du CPRA, même si aucun paiement direct n’a lieu.

Vos obligations incluent :

• Un lien clair intitulé « Do Not Sell or Share My Personal Information » sur votre page d’accueil et dans votre politique de confidentialité.
• Un mécanisme permettant aux utilisateurs d’exercer facilement ce droit, sans création de compte.
• Le respect de la demande dans un délai de 15 jours ouvrables.
• L’interdiction de discriminer les utilisateurs qui exercent ce droit (par exemple en dégradant leur expérience).

Global Privacy Control (GPC)

Le Global Privacy Control est un signal au niveau du navigateur que les utilisateurs peuvent activer pour communiquer automatiquement leur préférence d’opt-out à chaque site qu’ils visitent. Les principaux navigateurs, dont Firefox et Brave, prennent en charge GPC nativement, et des extensions de navigateur ajoutent cette prise en charge à Chrome et à d’autres.

En vertu des règlements CPRA, les entreprises doivent respecter les signaux GPC comme une demande d’opt-out valable. Cela a des implications pratiques importantes :

• Votre site doit être capable de détecter l’en-tête HTTP Sec-GPC: 1 ou la propriété JavaScript navigator.globalPrivacyControl.
• Lorsqu’il est détecté, vous devez le traiter comme équivalent au clic de l’utilisateur sur « Do Not Sell or Share ».
• Les cookies tiers utilisés à des fins publicitaires doivent être désactivés pour ces utilisateurs.

L’adoption de GPC progresse régulièrement. Les estimations suggèrent que 5 à 10 % du trafic web transporte désormais un signal GPC, et ce pourcentage est plus élevé parmi les utilisateurs soucieux de leur vie privée en Californie.

Quand avez-vous réellement besoin d’une bannière de cookies pour la Californie ?

C’est ici que de nombreuses entreprises se perdent. À strictement parler, le CCPA/CPRA n’exige pas de bannière de consentement aux cookies de type européen en raison du modèle d’opt-out. Cependant, vous devez disposer :

• D’un lien « Do Not Sell or Share » facilement accessible.
• D’un mécanisme permettant de désactiver le partage de données avec des tiers lorsqu’un utilisateur se désinscrit ou envoie un signal GPC.
• D’une politique de confidentialité qui décrit les catégories d’informations personnelles collectées, les finalités et les tiers avec lesquels les données sont partagées.
• Pour les sites qui accueillent également des visiteurs européens, d’une bannière de consentement conforme au GDPR pouvant coexister avec le mécanisme d’opt-out CCPA.

En pratique, la plupart des sites qui s’adressent à la fois à des publics européens et californiens mettent en place une interface de consentement unifiée qui adapte son comportement en fonction de la localisation du visiteur. Cela évite de maintenir deux systèmes de consentement complètement distincts.

Considérations pratiques de mise en œuvre

Mettre en œuvre la conformité CCPA/CPRA parallèlement à la conformité GDPR crée un défi de mode double. Votre plateforme de gestion du consentement doit :

1. Détecter avec précision la localisation du visiteur à l’aide de la géolocalisation basée sur l’adresse IP.
2. Appliquer le cadre juridique approprié — opt-in pour les visiteurs de l’EEE/Royaume-Uni, opt-out pour les visiteurs californiens, et potentiellement aucune exigence pour les visiteurs d’autres régions.
3. Gérer le lien « Do Not Sell or Share » pour les visiteurs californiens, soit dans la bannière, soit comme élément de page autonome.
4. Détecter et respecter les signaux GPC avant que des cookies tiers ne soient déposés.
5. Contrôler le comportement des cookies en conséquence — en bloquant les cookies publicitaires tiers pour les utilisateurs qui se sont désinscrits, tout en autorisant la poursuite des analyses de première partie.

La mise en œuvre technique doit également tenir compte de la distinction entre les cookies d’analytique de première partie (généralement autorisés par le CCPA/CPRA en tant que finalité commerciale) et les cookies publicitaires tiers (qui constituent un sharing et sont soumis à l’opt-out).

Le géociblage FlexyConsent pour les visiteurs californiens

FlexyConsent gère le défi du mode double grâce au géociblage automatique. Lorsqu’un visiteur californien arrive sur votre site, FlexyConsent ajuste son comportement pour se conformer aux exigences CCPA/CPRA :

• Activation du mode opt-out : Au lieu de bloquer tous les cookies dès le départ, FlexyConsent affiche de manière bien visible l’option requise « Do Not Sell or Share My Personal Information ».
• Détection du signal GPC : FlexyConsent vérifie automatiquement la présence du signal Global Privacy Control et, lorsqu’il est présent, supprime le partage de données avec des tiers sans nécessiter d’interaction de l’utilisateur.
• Blocage par catégorie : Lorsqu’un utilisateur californien se désinscrit, FlexyConsent bloque sélectivement les cookies publicitaires et de suivi intersites tout en préservant les fonctionnalités d’analytique de première partie qui relèvent de l’exception de finalité commerciale.
• Coexistence fluide avec le GDPR : La même installation FlexyConsent gère les deux cadres. Les visiteurs européens voient une bannière d’opt-in conforme au GDPR avec des contrôles granulaires par catégorie. Les visiteurs californiens voient le mécanisme d’opt-out approprié. Les visiteurs provenant de régions non réglementées reçoivent un avis minimal ou aucune bannière, selon votre configuration.

En tant que CMP certifié Google prenant en charge IAB TCF 2.3 et le Consent Mode V2, FlexyConsent garantit que les signaux de consentement sont correctement communiqués aux services Google, quel que soit le cadre juridique applicable. Cela signifie que vos configurations Google Analytics et Google Ads fonctionnent correctement à la fois pour les utilisateurs européens ayant donné leur consentement et pour les utilisateurs californiens qui ne se sont pas désinscrits.

À retenir : Le modèle d’opt-out californien peut sembler moins restrictif que l’approche d’opt-in du GDPR, mais les exigences pratiques — en particulier autour des signaux GPC et de la définition large du « sharing » — font que la plupart des sites financés par la publicité ont besoin d’une solution de gestion du consentement sophistiquée. Mettre en œuvre un consentement géociblé qui s’adapte aux deux cadres est bien plus fiable que de tenter d’appliquer une approche unique à l’échelle mondiale.