Conformité WordPress et Comparaison RGPD vs CCPA

La loi GDPR de l'UE a remué un enfer d'un pot de confidentialité des données depuis mai 2018. Sans doute le règlement de confidentialité des données le plus important jamais créé, GDPR vise à protéger les données des consommateurs contre les abus. Et pour l'instant, il semble que le GDPR fonctionne très bien. Google a récemment été condamné à une lourde amende de 57 millions de dollars par la CNIL française ; autorité de protection des données. C'est bien plus que l'amende de 400 000 $ infligée à un hôpital portugais en octobre 2018.

De toute évidence, l'UE essaie d'envoyer un message ici. Un message aux entreprises qui essaient de trouver une solution de contournement malgré le fait que l'UE indique clairement que la « triche » ne sera pas tolérée. Et il se trouve que la loi GDPR de l'UE a inspiré de nombreux autres pays à emboîter le pas. À savoir, l'État américain de Californie déploie le CCPA (California Consumer Privacy Act) le 1er janvier 2020. Et au Japon, le pays travaille sur la loi sur la protection des informations personnelles.

En effet, les lois sur la confidentialité des données dans le monde évoluent rapidement. Beaucoup s'opposent aux nouvelles lois, tandis que beaucoup semblent catégoriques sur le fait qu'il s'agit d'un bon changement. Quoi qu'il en soit, de telles lois sont impossibles à ignorer une fois mises en place, et c'est un fait.

Une introduction au RGPD.

En termes simples, le RGPD oblige les entreprises à recueillir le consentement des utilisateurs pour traiter, stocker ou partager leurs données. Chaque demande de consentement de l'utilisateur doit être minutieusement élaborée, avec une attention particulière aux détails. En d'autres termes, vous devez expliquer de manière simple comment vous envisagez d'utiliser les données des utilisateurs, combien de temps vous prévoyez de les utiliser et de les stocker.

De plus, le RGPD exige que les entreprises maintiennent les données de consentement aussi à jour que possible. Si les données de l'utilisateur ont changé, le consentement doit être réaffirmé de la même manière. De même, si vous modifiez le moindre détail concernant les données de l'utilisateur, votre demande de consentement doit refléter ces modifications.

Enfin, un utilisateur peut demander à retirer son consentement, ce qui signifie que vous devez honorer la demande dès la première occasion. Et ne pas se conformer ne semble pas être une option. Le RGPD, en tant que loi, a le pouvoir d'imposer des pénalités sévères, parfois jusqu'à 2 % de vos revenus annuels, et jusqu'à 4 % si vous ne recevez pas le consentement de l'utilisateur mais stockez toujours ses données.

De grands changements et beaucoup de travail.

Ne vous méprenez pas. Le RGPD affecte les principes fondamentaux de la confidentialité des données et la manière dont les données sont traitées pour les citoyens de l'UE. Quiconque possède un site Web – et a des personnes qui visitent le site – doit s'y conformer, et la communauté WordPress est parmi les plus touchées par les changements.

WordPress collecte et stocke des données de dizaines de manières différentes, et deux fois plus si vous comptez dans les plugins personnalisés que les gens utilisent en dehors de leur installation par défaut. GDPR exige que les propriétaires de sites produisent des politiques de confidentialité strictes, garantissent la conformité des cookies et permettent aux utilisateurs de supprimer leurs données sur demande. Et plus. Franchement, c'est une quantité absurde de tâches à gérer individuellement. Heureusement, de nombreux développeurs WordPress et concepteurs de thèmes se sont mobilisés pour aider et rationaliser le processus de conformité GDPR.

Chez Undsgn, nous travaillons dur non seulement pour donner à nos utilisateurs l'accès aux outils de confidentialité GDPR, mais nous travaillons également beaucoup pour faire d'Uncode, notre thème phare, l'un des thèmes les plus conformes au GDPR sur le marché. Nous construisons nos thèmes et la mise en œuvre respective du GDPR, afin que vous puissiez profiter d'une tranquillité d'esprit tous les jours de la semaine.

Qu'est-ce que le CCPA ?

Le California Consumer Privacy Act (CCPA) introduit une nouvelle couche de droits pour les consommateurs. Et imposer certaines « limites » aux entreprises et organisations qui manipulent les données des consommateurs. Bien que de nature similaire à celle du RGPD, la loi CCPA présente des différences marquées par rapport à l'ancien projet de loi. Plus particulièrement, le CCPA ne cible pas toutes les entreprises, contrairement au RGPD qui cible toutes les organisations qui traitent les données des utilisateurs.

Le CCPA vise à mettre l'accent sur trois domaines distincts de la protection des données, à savoir : comment les utilisateurs contrôlent leurs données personnelles, comment les entreprises protègent les données des utilisateurs et quel type d'informations les entreprises peuvent obtenir sur leurs utilisateurs. De plus, le CCPA introduit des concepts uniques pour ce que nous comprenons comme des droits d'utilisateur ou ce qui compte comme des données personnelles. Plus à ce sujet plus tard.

Les deux dernières années ont été implacables en termes de failles de sécurité pour les grandes marques et organisations. Si nous revenons sur les violations de données aussi récemment qu'en 2017/2018, vous avez des entreprises comme Equifax, Quora, Marriott Hotels et Uber qui ont toutes vu leurs données violées. C'est plus d'un milliard d'utilisateurs touchés en moins de deux années complètes. De ce point de vue, il est tout à fait logique que des lois telles que GDPR et CCPA soient introduites. Les entreprises doivent être tenues responsables de la mauvaise gestion des données des consommateurs, et les consommateurs doivent être autorisés à refuser le stockage des données quand ils le souhaitent.

Internet va-t-il se transformer en une grande fenêtre contextuelle dans les années à venir alors que de plus en plus de pays veulent appliquer leurs propres règles de confidentialité ? Seul le temps nous le dira. Pour l'instant, examinons les principales différences entre le CCPA et le RGPD pour vraiment comprendre comment le CCPA va impacter à la fois les entreprises et les utilisateurs.

CCPA vs RGPD : les principales différences

Une chose est sûre, les deux réglementations veulent protéger les données des utilisateurs et donner aux utilisateurs les moyens de choisir s'ils souhaitent être suivis ou non. Malgré cela, la comparaison suivante mettra en évidence à quel point la mise en œuvre du CCPA sera moins stricte par rapport au RGPD.

Regardons de plus près.

Qui doit se conformer?

Dans l'UE, tous les propriétaires d'entreprise doivent se conformer au RGPD tant qu'ils collectent et/ou traitent les données d'une base d'utilisateurs de l'UE. Il s'agit d'une mise en œuvre stricte et ne laisse aucun coin inexploré. En ce qui concerne le CCPA, les règles semblent beaucoup plus laxistes :

• Cela ne concerne que les entreprises dont le chiffre d'affaires annuel est supérieur à 25 millions de dollars.
• Si vous collectez les données de moins de 50 000 utilisateurs, vous n'êtes pas obligé de vous y conformer.
• Si les ventes de données utilisateur représentent plus de 50 % de vos revenus, vous devez vous y conformer.

À première vue, le CCPA essaie directement de cibler les grandes entreprises et les entreprises qui gèrent un grand nombre d'utilisateurs.

Qu'en est-il des pénalités ?

Les sanctions en cas de violation des règles du CCPA sont beaucoup plus souples que celles du RGPD. Dans l'état actuel des choses, vous ne pouvez pas être sanctionné si vous ne vous conformez pas. Et les infractions individuelles peuvent entraîner une amende maximale de 7 500 $ par infraction. De plus, les violations du CCPA ne sont prises en compte qu'une fois qu'il y a eu une violation de données confirmée. Il s'agit bien sûr d'une forme d'exécution extrêmement souple. Par exemple, GDPR peut appliquer des violations même lorsqu'il pense que quelqu'un se comporte de manière louche. Enfin et surtout, les consommateurs peuvent poursuivre une entreprise s'ils n'ont pas correctement suivi la conformité au CCPA.

Droit à l'oubli.

Tout le monde devrait avoir le droit de faire supprimer définitivement ses informations d'utilisateur. Les deux réglementations abordent ces questions différemment. Pour commencer, le CCPA ne traitera que les demandes de suppression basées sur les données qui ont été collectées directement auprès de l'utilisateur. GDPR, d'autre part, honore les demandes de suppression de toutes les données, y compris les données provenant de ressources tierces.

Le droit GDPR ne s'applique que si la demande remplit l'une des six conditions spécifiques tandis que le droit CCPA est large. Cependant, le CCPA permet également à une entreprise de refuser la demande pour des motifs beaucoup plus larges que le RGPD.

Et il y a beaucoup plus que vous devez considérer.

Ressources complètes : en savoir plus sur le CCPA

Étant donné que le CCPA n'entre en vigueur que le 1er janvier 2020, il reste beaucoup plus de temps pour préparer, étudier et comprendre le règlement. Plus d'informations, et sûrement de nouvelles règles, seront rendues publiques tout au long de l'année 2019. Pour l'instant, utilisez les ressources complètes pour vous mettre pleinement à jour :

• CA Confidentialité — Site officiel
• A Practical Guide to CCPA Readiness - Une explication approuvée par un avocat sur ce que ce nouveau règlement implique
• Tableau de comparaison CCPA et GDPR - Un document PDF mettant en évidence toutes les différences complexes entre les deux réglementations
• Tableau des dispositions du CCPA et du RGPD — Un tableau similaire avec des commentaires uniques ajoutés pour chaque disposition

Il est clair qu'il n'y a pas de retour en arrière. Et pour l'instant, tout ce que nous pouvons faire, c'est faire de petites préparations progressives. Au cours des deux prochaines années, nous pourrions voir des pays de certaines régions d'Asie et d'Amérique du Sud participer à des efforts similaires pour fournir une protection efficace des données à tous les utilisateurs d'Internet. Sans oublier que les États-Unis pourraient rédiger un règlement à l'échelle nationale et pas seulement dans un seul État.

Comment pouvez-vous préparer votre site Web WordPress pour le CCPA ?

Si vous avez suivi le processus de configuration de votre site pour la conformité au RGPD, soyez assuré que le même processus s'appliquera au CCPA. Certains développeurs travaillent déjà sur des plugins pour assurer la conformité CCPA dès le début. Notre approche à Undsgn est très similaire. Nous avons fait un travail phénoménal pour nous assurer qu'Uncode était entièrement compatible avec le RGPD. De plus, nous avons donné aux utilisateurs d'Uncode un moyen d'être en charge du GDPR avec des outils comme Consent Logic.

Avec Consent Logic, vous pouvez inclure ou exclure des lignes Visual Composer en fonction du consentement de l'utilisateur. Ceci est pratique si vous utilisez des modules ou plugins supplémentaires qui envoient ou collectent des données.

C'est notre garantie à nos utilisateurs qu'Uncode sera entièrement conforme à toutes les exigences du CCPA. Notre objectif est de nous assurer que tous nos utilisateurs ont la capacité de répondre aux exigences imposées par la loi.

Déclaration de clôture

Voyons où les marées de la confidentialité des données nous mèneront dans les années à venir. À l'heure actuelle, il semble que les entreprises soient obligées d'être plus prudentes avec leurs données sur les consommateurs. Et ça les sert bien !