« Pourquoi devrais-je me soucier des cookies ? »
La question était celle d’un avocat spécialisé dans la protection de la vie privée, Odia Kagan, entendu par un client avant janvier 2020, lorsque la loi californienne sur la protection de la vie privée est entrée en vigueur., et les entreprises engagées dans le suivi des cookies pensaient qu’il pourrait y avoir plus de marge de manœuvre avec la loi. À l’époque, a déclaré Kagan, qui est président du groupe de conformité GDPR et de pratique internationale de confidentialité chez Fox Rothschild, il n’était pas clair si les cookies ou les traceurs allaient être ou non une priorité d’application en Californie.
Maintenant, alors que les lettres d’application sont envoyées aux annonceurs, aux sites de médias sociaux, aux courtiers en données et aux entreprises de technologie publicitaire du bureau du procureur général de Californie, il est clair que l’application de la California Consumer Privacy Act ne concerne pas seulement les violations de données. Il s’agit de cookies et de technologies de suivi, y compris les trackers d’analyse. Et les sanctions en cas de violation pourraient être sévères.
Les lettres d’application liées à la CCPA envoyées récemment aux entreprises par Rob Bonta, l’AG de l’État, précisent clairement sa position selon laquelle le suivi des données à des fins publicitaires et d’analyse, y compris le suivi basé sur les cookies, correspond à la définition de la CCPA d’une « vente » de données. Plusieurs avocats de Digiday se sont entretenus pour dire que les entreprises ont reçu des lettres leur demandant de fournir des détails sur le partage de données spécifiquement en relation avec leur utilisation de cookies et d’autres technologies de suivi pour les publicités et les analyses.
Ces signaux récents de l’AG « réduisent en quelque sorte la zone grise que certaines personnes supposaient », a déclaré Kagan.
En plus des indicateurs de lettres d’exécution spécifiques, les avocats lisent les feuilles de thé laissées dans une série d’exemples génériques de cas CCPA que l’agence a publiés le 19 juillet, qui montrent des preuves de l’application du suivi à des fins d’analyse et des avis de retrait.
Les trackers analytiques sont « certainement quelque chose auquel il faut prêter attention »
Dans un exemple de cas publié par le bureau de l’AG, une entreprise de médias sociaux anonyme a été accusée de non-conformité après avoir partagé des informations personnelles sur les activités des sites Web des personnes avec des fournisseurs d’analyse tiers sans fournir de préavis approprié ni de capacités de désinscription. « Après avoir été informée de la non-conformité présumée, la société a mis à jour sa politique de confidentialité et supprimé tous les traceurs tiers de son application et de son site Web », indique la description du cas.
Ce signe que le partage de données via des trackers analytiques pourrait constituer une vente de données « est certainement quelque chose à surveiller [because] c’est quelque chose que l’AG examine », a déclaré Kagan.
if ( « undefined » !== typeof googletag ) {
googletag.cmd.push( function() { googletag.display(« div-gpt-ad-web_hp_mid1 »); } );
}
Lee a déclaré qu’il existe une variété de facteurs que l’AG pourrait prendre en considération lors de l’évaluation de la conformité en ce qui concerne les trackers d’analyse – tels que les entités impliquées dans les flux de données, à quoi servent les trackers d’analyse et s’ils suivent les personnes sur plusieurs sites ou hors ligne. « Il y a beaucoup de nuances dans le fonctionnement de ces outils, il est donc difficile de créer une règle de ligne claire », a-t-elle déclaré.
Une violation distincte pour chaque cookie pourrait s’additionner
Jusqu’à présent, une grande partie de l’activité d’application de la loi tourne autour de soi-disant lettres d’avis de guérison qui servent d’enquêteurs et d’avertissements aux entreprises, leur demandant des informations et leur accordant une période de 30 jours pendant laquelle elles peuvent travailler directement avec l’agence. apporter des correctifs qui les mettent en conformité avec la loi. Mais si les entreprises utilisant des cookies et d’autres traceurs pour les publicités ou les analyses ne parviennent pas à apporter les modifications nécessaires et sont jugées en infraction, les sanctions pourraient coûter très cher aux entreprises utilisant des dizaines de traceurs, a déclaré un avocat spécialisé dans la protection de la vie privée qui a demandé à ne pas être nommé.
L’État pourrait facturer les entreprises pour chaque cas individuel de violation liée aux cookies ; par exemple, il pourrait facturer chaque fois qu’un résident californien interagit avec un site Web sans préavis ni capacité de désactivation, a déclaré l’avocat, ajoutant : « Dans des cas comme ceux-ci, le nombre de violations peut être important ». Un grand nombre de violations peut entraîner des sanctions civiles élevées. Lorsque des violations sont jugées non intentionnelles, chacune peut entraîner une amende de 2 500 €. Si elle est jugée intentionnelle, cette amende s’élève à 7 500 € pour chaque infraction.
if ( « undefined » !== typeof googletag ) {
googletag.cmd.push( function() { googletag.display(« div-gpt-ad-web_hp_mid2 »); } );
}
« Il y a de la place pour cette interprétation dans la loi, mais je ne sais pas comment l’AG prévoit de calculer une » violation « », a déclaré Jessica Lee, associée et coprésidente du groupe de pratique sur la confidentialité, la sécurité et l’innovation des données. cabinet Loeb et Loeb.
La menace de compter chaque fois qu’un cookie est utilisé comme une violation distincte est probablement plus un moyen tactique d’inciter à la conformité qu’un véritable plan de calcul des sanctions, a déclaré Alysa Hutnik, associée et présidente de la pratique de confidentialité et de sécurité du cabinet d’avocats Kelley. Drye et Warren.
Elle a déclaré qu’il était « peu probable » que des sanctions soient imposées de cette façon. Cependant, elle a déclaré que le ministère de la Justice de Californie avait « une bonne dose de flexibilité » dans la façon dont il pourrait calculer les sanctions; par exemple, il pourrait les baser sur le nombre de jours pendant lesquels une entreprise est non conforme, ou sur la quantité d’enregistrements de données concernés, a-t-elle déclaré.