L’impact du CCPA pour les acteurs de la publicité en ligne

Aux États-Unis, de plus en plus de voix s’élèvent pour la création d’un cadre légal sur la protection de la vie privée en ligne. Pour le moment, la Californie est le seul état à avoir franchi le pas, en votant le California Consumer Privacy Act (CCPA), mais d’autres mesures pourraient suivre au niveau fédéral.

Il y a quelques mois, une cinquantaine entreprises américaines s’exprimaient en faveur de la création d’une réglementation fédérale, notamment pour éviter d’avoir à se conformer à des lois potentiellement différentes pour chaque état, et en novembre, deux députées faisaient une proposition au Sénat pour la création d’une agence fédérale pour la protection de la vie privée en ligne qui pourrait sanctionner les entreprises ou permettre aux individus de récupérer des dommages et intérêts en cas d’infraction du réglement. 

“Aux États-Unis, il n’existe pas de cadre général en matière de protection des données, mais seulement un patchwork de lois sectorielles et étatiques, comme le Fair Credit Reporting Act pour les informations sur la solvabilité des individus, ou le Children’s Online Privacy Protection Act, qui oblige les entreprises à obtenir le consentement des parents avant de collecter les données des enfants de moins de 13 ans”, souligne Jean-Sébastien Mariez associé au cabinet De Gaulle Fleurance et Associés.

Globalement, le nouveau réglement californien, qui est entré en application le 1er janvier 2020, s’annonce moins contraignant que le RGPD pour les acteurs de la publicité en ligne, aussi bien en matière de champs d’application que de sanctions possibles. Cela n’empêche pas certains acteurs français de la publicité en ligne opérant sur le territoire américain de commencer à travailler sur leur compatibilité.

Quelles différences avec le RGPD ?

À la différence du RGPD, la confidentialité des données utilisateurs n’est pas la valeur par défaut du CCPA. Dans les deux cas figure le droit de portabilité, d’information, et d’accès aux données (limités à 12 mois dans le cadre du CCPA). La principale différence réside dans la non-nécessité de recours au consentement de l’utilisateur. “Le traitement des données à caractère personnel dans l’UE repose sur six bases juridiques, tandis que CCPA n’en prévoit aucune pour le traitement d’informations personnelles en Californie”, explique François Lhémery (Criteo).

Le CCPA n’oblige donc pas les acteurs à recueillir le consentement des internautes, mais seulement à informer l’utilisateur de son droit d’opposition à la vente de ses données, et lui permettre de l’exercer : la fameuse notion “do not sell my personal information”, qui doit être proposée dans le bandeau du site, le choix de l’utilisateur devant ensuite être conservé au moins 12 mois par la société collectrice. “Le CPPA reconnaît même une certaine forme de propriété des individus sur leurs données en leur permettant d’être rémunérés pour leur octroi”, ajoute Nina Gosse avocate au cabinet De Gaulle Fleurance & Associés.

Dans son ensemble, le CCPA serait donc beaucoup moins contraignant que le RGPD. D’abord, en termes de sanctions. “Celles prévues par le CCPA sont inférieures (de 2 500 à 7 500 dollars par infraction) à celles prévues par le RGPD (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires). Le droit pour les personnes concernées d’obtenir une indemnisation de leur préjudice est encadré par le CCPA (le RGPD ne fixe pas de montant) : entre 100 et 750 dollars par consommateur en cas de violation de données (pour un incident ou une atteinte à la sécurité des données”, résume le cabinet De Gaulle Fleurance & Associés.

 

Je pense que le coût du CCPA sera très majoritairement lié à la perte d’accès à certaines données et pas aux investissements liés à la mise en conformité, qui est beaucoup moins complexe que dans le cadre du RGPD

Dennis Buchheim

VP et directeur général de l’IAB Tech Lab

De plus, le CCPA ne prévoit pas de principe de responsabilité, qui dans le cadre du RGPD obligeait notamment à la nomination d’un DPO dans chaque entreprise. Le coût direct de mise en confirmité serait donc moindre – les CMP (beaucoup moins sophistiquées pour la conformité au CCPA) étant aussi un investissement notable pour les éditeurs dans le cadre du RGPD. “Il y a eu de très larges estimations du coût du CCPA pour les entreprises américaines, qui serait de 55 milliards de dollars. Je pense qu’il sera très majoritairement lié à la perte d’accès à certaines données et pas aux investissements liés à la mise en conformité, qui est beaucoup moins complexe à atteindre que dans le cadre du RGPD”, estime Dennis Buchheim le vice-président et directeur général de l’IAB Tech Lab.   

Enfin, le CCPA concerne moins d’acteurs que le RGPD, les États-Unis ayant d’autres réglementations fédérales ou étatiques sur les données, propres à chaque secteur (notamment sur la santé). Il ne s’applique en effet qu’aux entités agissant à des fins lucratives et dépassant l’un de ces seuils : un revenu annuel brut de 25 millions de dollars, plus de 50 % de revenus provenant de la vente de données personnelles de résidents californiens, ou la détention de données personnelles concernant plus de 50 000 résidents américains.

Reste à déterminer la portée internationale du CCPA et son impact sur les groupes internationaux. “Le CCPA s’applique également aux filiales et sociétés mères des sociétés auxquelles s’applique le CCPA, même quand elles ne remplissent aucun des critères. Donc beaucoup de grands groupes internationaux seront possiblement impactés”, ajoute François Lhémery, le VP affaires réglementaires de Criteo.

Qui sera touché chez les acteurs de la publicité en ligne ? 

Dans le secteur de la publicité en ligne, les éditeurs, qui sont en première ligne sur la collecte d’informations sont les plus concernés, puis viennent les vendeurs publicitaires technologiques et dans certains cas les annonceurs et les agences. “Le RGPD distingue les responsables de traitements et les sous-traitants, le CCPA distingue lui les acteurs “businesses” et les “services providers”. Les notions sont relativement équivalentes, mais le CCPA impose davantage d’obligations à la première catégorie d’acteurs”, souligne Nina Gosse (cabinet De Gaulle Fleurance & Associés).

Il faut noter qu’en Californie, les entreprises “direct to consumers” sont omniprésentes et sont finalement les plus concernées par les dispositions du CCPA. “Ces annonceurs se transforment en éditeurs car ils cherchent à être directement engagés avec leurs consommateurs, et ils seront à terme les plus concernés par les questions de protection des données personnelles”, anticipe Dennis Buchheim (IAB Tech Lab).

Comment les acteurs de la publicité en ligne peuvent se mettre en conformité ? 

Deux frameworks ont été proposés par les associations professionnelles américaines pour se mettre en conformité avec le CCPA – Criteo ayant participé à leur élaboration. La Digital Advertising Alliance (DAA) a proposé différents outils pour se conformer au CCPA : une icône “Do no sell my personal information” sur le site de l’éditeur et un lien redirigeant vers une page d’information, un outil “CCPA opt-out tool” proposant des mécanismes de choix permettant d’empêcher des tiers de collecter des informations personnelles.

Celui-ci prévoit également de transmettre à ces acteurs un signal lisible leur permettant de s’assurer que des les obligations d’informations et options de désinscriptions ont toutes été envoyées au consommateur.

L’IAB propose un framework CCPA complémentaire à celui de DAA, et qui s’appuie directement sur les concepts et techniques utilisées pour le TCF (dont la V2 a été annoncée en novembre). En revanche, la chaîne de transmission des informations proposée pour le CCPA est bien moins complexe que celle du TCF, souligne Dennis Buchheim (IAB Tech Lab) : “La chaîne de consentement du TCF précise, vendeur par vendeur, les recueils de consentement et préférences utilisateur – avec 12 finalités possibles d’utilisation des données -, quand notre chaîne pour le CCPA précise seulement si oui ou non une notification explicite du droit à l’opt out a été présentée, et si l’utilisateur a utilisé ce droit ou pas”. 

Pour l’instant, il est difficile d’estimer combien d’entreprises ont adopté le framework CCPA, mais 141 acteurs de la publicité en ligne présents en Californie ont travaillé à son élaboration. “Nous espérons à terme que les deux frameworks se rejoignent pour qu’ils soient à même de s’adapter à d’autres réglementations, le CCPA n’étant certainement pas la dernière”, indique Dennis Buchheim (IAB Tech Lab). 

 

Nous nous attendons à ce que la plupart des données collectées par Criteo, qui sont déjà considérées comme des données à caractère personnel dans le cadre du RGPD, soient considérées comme telles au sens de CCPA

François Lhémery

VP affaires réglementaires de Criteo

Les sociétés françaises sont confiantes

Les acteurs français semblent relativement confiants quant à leur capacité à s’adapter à ce nouveau contexte. “Le CCPA adopte une définition très large des informations personnelles et introduit des exigences de transparence (notamment via des bannières informatives et un “droit de savoir”) très similaires au RGPD. Nous nous attendons à ce que la plupart des données collectées par Criteo, qui sont déjà considérées comme des données à caractère personnel dans le cadre du RGPD, soient considérées comme telles au sens de CCPA”, explique François Lhémery (Criteo).

“Les acteurs européens vont avoir un avantage concurrentiel sur le territoire nord-américain avec les lois locales qui tendent à se rapprocher de la RGPD”, observe Grégoire Frémiot, chief revenue officer de Mediarithmics.

Même son de cloche chez S4M, qui opère aussi aux États-Unis. “Nous attendons les recommandations du procureur général, mais nous partons du principe que le CCPA, moins contraignant que le RGPD, concerne davantage les éditeurs que les technologies comme la nôtre”, explique Christophe Collet, le directeur général de la société. 

Difficile de dire où en sont les acteurs américains sur le sujet. Une étude de l’institut eMarketer avançait que seulement 48 % des entreprises présentes en Californie seraient conformes à l’entrée en application du CCPA au 1er janvier 2020. Dans le secteur des médias, certains éditeurs américains envisageraient même ne pas ajouter de bandeau d’information, au moins au départ, de peur qu’il affecte trop le trafic sur leurs sites, indiquait Digiday fin décembre.

Toujours selon Digiday, des annonceurs et agences américains prévoieraient de suspendre leurs opérations marketing en Californie, le temps que la conformité de leur recueil de données soit vérifiée.