Le procureur général de Californie envoie un « message fort » en infligeant à Sephora une amende de 1,2 million de dollars pour les violations du CCPA et annonce une « nouvelle enquête »

Par: Madeleine V.Findley et Effiong K. Dampha

Le 24 août 2022, le procureur général de Californie, Rob Bonta, a annoncé un règlement de 1,2 million de dollars avec le détaillant de cosmétiques Sephora Inc. (Sephora), la première mesure d’application publique en vertu du California Consumer Privacy Act (CCPA).^[1] Le règlement a résolu les allégations selon lesquelles Sephora n’avait pas divulgué qu’il vendait les informations personnelles des consommateurs, n’avait pas honoré les demandes de retrait des contrôles de confidentialité mondiaux activés par l’utilisateur et n’avait pas remédié à ces violations dans les 30 jours, comme l’exige le CCPA. Le règlement fait partie d’un «balayage de l’application» des détaillants en ligne et de leur utilisation de logiciels de suivi tiers sur des sites Web et des applications mobiles. Le procureur général a simultanément annoncé une nouvelle « enquête » visant à déterminer si les entreprises se conforment aux demandes de retrait des contrôles de confidentialité mondiaux activés par l’utilisateur. Le procureur général Bonta a souligné son engagement en faveur d’une « application rigoureuse » de la loi californienne sur la protection de la vie privée, déclarant « Mon bureau surveille et nous vous tiendrons responsables ».^[2]

Règlement de Sephora pour non-divulgation des demandes de suivi par des tiers et d’honorer les demandes de retrait

Selon le procureur général, Sephora a autorisé des sociétés tierces à installer des cookies et d’autres logiciels de suivi sur son site Web et dans son application qui collectaient des données sur les consommateurs, y compris le type d’appareil utilisé par un consommateur, la marque de produit cosmétique dans lequel le consommateur a placé le panier d’achat et la localisation précise du consommateur. Le procureur général a conclu que ce partage de données constituait une vente d’informations sur les consommateurs et que Sephora n’avait pas informé les consommateurs de la vente et proposé une option de retrait ou honoré les demandes de retrait via des contrôles de confidentialité mondiaux.

Le règlement obligeait Sephora à payer 1,2 million de dollars de pénalités et à :

1. clarifier ses divulgations en ligne et sa politique de confidentialité pour indiquer qu’il vend des données,
2. fournir des mécanismes de désinscription, y compris via le Global Privacy Control, et
3. conformer ses contrats de prestation de services aux exigences du CCPA.
   

L’accord exigeait également que Sephora fournisse des rapports de situation au procureur général sur ses progrès concernant chacune de ces obligations.^[3]

Avis de non-conformité aux contrôles mondiaux de confidentialité

Le procureur général a également annoncé une « nouvelle enquête » axée sur le respect des contrôles mondiaux de la confidentialité. Dans le cadre de ce «balayage», le procureur général a envoyé des avis de non-conformité le 24 août à plus d’une douzaine d’entreprises concernant leur prétendu échec à traiter les demandes de désinscription des consommateurs effectuées via des contrôles de confidentialité mondiaux activés par l’utilisateur, tels que le GPC . Après avoir ajouté discrètement une FAQ sur le GPC à la page Web CCPA de l’AG en 2021 que le GPC « doit être honoré » en tant que demande de retrait de la vente d’informations personnelles, les actions de l’AG signalent une approche d’application de plus en plus agressive. Les entreprises qui reçoivent un avis auront 30 jours pour remédier à leur non-conformité, mais ce droit de remédier expirera lorsque la loi californienne sur les droits à la vie privée entrera en vigueur le 1er janvier 2023. La nouvelle série d’avis indique clairement que l’attente du procureur général selon laquelle les entreprises respecter les contrôles de confidentialité globaux activés par l’utilisateur.

Exemples de cas supplémentaires

Le procureur général a également mis à jour le Exemples de cas d’application de la loi CCPA page Web pour la première fois depuis juillet 2021 avec 13 nouveaux résumés de cas. Ceux-ci incluent le non-respect des demandes de retrait des consommateurs, le défaut de divulguer de manière appropriée les incitations financières dans les programmes de fidélité, les défauts de réponse aux demandes des consommateurs d’accéder ou de supprimer des informations personnelles et les politiques de confidentialité non conformes. Les entreprises impliquées allaient des fournisseurs de télésanté aux fintech en passant par les chaînes de fitness.

Dans un communiqué de presse, le procureur général Bonta a souligné son point de vue selon lequel le règlement de Sephora « enverrait un message fort aux entreprises » et a noté « qu’il n’y a plus d’excuses » pour ne pas se conformer au CCPA. Le règlement, les exemples de cas et la nouvelle série d’avis reflètent un accent de plus en plus fort sur l’application de la loi californienne sur la protection de la vie privée et posent des problèmes de conformité supplémentaires alors que les entreprises se préparent à l’entrée en vigueur de la California Privacy Rights Act en 2023.

[1] Communiqué de presse, Cal. Ministère de la Justice, Le procureur général Bonta annonce un règlement avec Sephora dans le cadre de l’application continue de la California Consumer Privacy Act (24 août 2022), (Communiqué de presse AG Bonta)
[2] AG Bonta Communiqué de presse
[3] Communiqué de presse AG Bonta ; Californie contre Sephora, Inc., Affaire n° CGC-22-601380 (Cal. Sup. Ct. 24 août 2022), disponible sur Judgment.pdf