CCPA : Ce que les spécialistes du marketing B2B doivent savoir

Une nouvelle année approche et, avec elle, un autre règlement majeur sur la protection des données personnelles entre en vigueur. Cette fois, il s’agit de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), qui entrera en vigueur le 1er janvier 2020.

Ne vous laissez pas berner par l’idée que seules les entreprises californiennes doivent faire attention. Même si vous avez déjà mis en place des mesures plus strictes en matière de collecte de données et de respect de la vie privée suite à la GDPR et à d’autres réglementations récentes (CAN-SPAM, CASL), l’ACFPC est une chose que tout spécialiste du marketing B2B doit comprendre et à laquelle il doit se préparer.

Se préparer pour l'ACFPC

Il existe de nombreux articles sur le Web qui décrivent la nouvelle loi plus en détail que je ne le ferai ici. (Cet article de l’IRMI est une bonne). En bref, cependant, l’ACFPC exige des entreprises qu’elles informent les consommateurs résidant en Californie, au moment de la collecte des données, des catégories de renseignements personnels recueillis et des fins auxquelles ces renseignements seront utilisés, et accorde également à ces mêmes consommateurs le droit de demander qu’une entreprise le fasse :

* divulguer toute information personnelle recueillie, vendue ou partagée à des fins commerciales

* supprimer les informations personnelles qu’une entreprise a recueillies sur un consommateur

* prévoir la possibilité de refuser la vente des informations personnelles d’un consommateur

Toute entreprise qui fait des affaires en Californie, commercialise ses produits auprès de résidents californiens ou a un chiffre d’affaires annuel brut supérieur à 25 millions de dollars est soumise à l’ACCP. (Il existe des autres critères applicables trop nombreux pour être énumérés ici.) Toutefois, il est essentiel que si un consommateur demande des informations personnelles à une telle entreprise, celle-ci soit en mesure de fournir des données remontant à douze mois complets.

En pratique, cela signifie qu’un consommateur californien doit savoir 1) que des données sont collectées, 2) comment les données seront utilisées et 3) qu’il doit avoir la possibilité de refuser que l’entreprise partage ou vende ces données. Cela signifie également que ces mêmes consommateurs ont le droit d’être “oubliés” (comme dans le cas des règlements de la GDPR).

Si vous remplissez les critères en tant qu’entreprise assujettie à l’ACCP, comment devez-vous vous préparer ? Tout d’abord, si votre entreprise est déjà conforme à l’ACFPC et au RDPE, vous êtes déjà presque arrivé. Sinon, voici quelques étapes clés :

* Examinez les données que votre entreprise collecte (pas seulement les coordonnées mais aussi l’historique des achats, les cookies, l’historique des clics, les données géographiques, etc.)

* Révisez votre politique de protection de la vie privée – inclut-elle un langage couvrant les données qui sont collectées, la finalité de la collecte des données, les tiers qui y auraient accès, etc.

* Déterminer si des données inutiles sur les consommateurs sont stockées et, dans l’affirmative, les supprimer

* CRITIQUE : Développer un processus pour répondre aux demandes d’accès et/ou de suppression des informations personnelles (note : selon l’ACFPC, les entreprises doivent répondre à ces demandes dans un délai de 45 jours et supprimer jusqu’à 12 mois de données)

* Examiner les contrats avec les fournisseurs de données tiers, les sous-traitants de données et les autres partenaires pour en vérifier la conformité

* Révision des processus internes et de la documentation concernant les procédures de violation des données

* Développer un processus pour notifier à votre base de données les modifications apportées à la collecte des données

Dans notre agence, nous disons aux clients B2B de considérer les réglementations comme l’ACCP comme la règle et non l’exception. Même si vous n’êtes pas techniquement soumis à la loi aujourd’hui, ce type de processus de collecte et de protection des données devient rapidement la meilleure pratique courante. En outre, vous serez probablement soumis à cette loi ou à une autre à terme, très probablement sous la forme d’un règlement fédéral calqué sur le modèle de l’ACCP.

Avertissement important : aucune des informations ci-dessus ne doit être interprétée comme un avis juridique, et les mesures recommandées ne sont pas garanties pour assurer la conformité avec l’ACFPC. Les responsables du marketing doivent consulter un conseiller juridique sur le risque ou la responsabilité découlant d’une réglementation sur la protection des données ou sur le respect de cette réglementation.

Un grand merci à Anne Angele, le gourou de la conformité de Spear, pour son aide dans la rédaction de cet article.