Sephora fait les frais du California Consumer Privacy Act

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

La société Sephora a accepté de payer 1,2 million de dollars pour mettre fin aux accusations du procureur général de Californie, Rob Bonta, selon lesquelles le détaillant de produits de beauté aurait violé la loi de l’État sur la protection de la vie privée des consommateurs (California Consumer Privacy Act).

La CCPA, qui est entrée en vigueur en 2020, est la première et la seule loi étatique complète active sur la confidentialité des données dans le pays. 

Bien que la loi soit en vigueur depuis cette date, il s’agit de la première somme versée à l’État américain en vertu de cette législation relativement récente (liste complète et graphique ici). Elle s’impose ainsi comme un véritable coup de massue pour les entreprises qui vendent des informations sur des personnes sans leur consentement.

Le procureur Rob Bonta a mené une enquête pendant un an, auprès de Sephora et d’autres entreprises, pour déterminer si certaines d’entre elles ne respectaient pas la loi californienne sur la protection de la vie privée des consommateurs.

Sephora aurait omis d’informer les consommateurs que la société vendait les données personnelles recueillies sur son site web et n’aurait pas traité les demandes de retrait des ventes par le biais des contrôles de confidentialité définis par les utilisateurs, a déclaré le bureau de Bonta.

« L’amende infligée à Sephora devrait servir de rappel aux organisations pour qu’elles passent en revue les politiques de confidentialité avec les employés et effectuent des audits de conformité », a déclaré Sam Humphries, responsable de la stratégie de sécurité de la région EMEA pour la société de cybersécurité Exabeam.

Selon la plainte, l’enquête sur Sephora fait suite à un « balayage d’application » en juin 2021 visant à déterminer si les détaillants en ligne respectaient les signaux d’exclusion des consommateurs par le biais du Global Privacy Control, un outil permettant aux utilisateurs d’indiquer aux sites Web leurs préférences en matière de confidentialité.

Cette mesure d’application indique que le partage d’informations personnelles avec des tiers  à des fins de publicité ciblée ou d’analyse constitue une « vente » au sens de la CCPA, et les entreprises sont dans l’obligation d’offrir aux consommateurs une possibilité de refus. 

Elle montre également que le Bureau du Procureur général est ferme quant à l’application de la conformité des entreprises.

Faut-il penser que les USA se dirigent vers d’autres amendes et une sévérité renforcée envers les contrevenants au respect des données comme les déclarations du bureau du procureur semblent l’indiquer ? Les mois à venir nous le confirmerons.

Pour le moment, la Californie a adopté sa deuxième loi sur la confidentialité des données en 2020, avant même que la plupart des autres États ne disposent d’une telle loi. La CPRA, approuvée par voie de scrutin, modifie la CCPA. Elle entre en vigueur le 1er janvier 2023 et donne de nouveaux droits aux consommateurs californiens, impose de nouvelles obligations aux entreprises et crée une nouvelle agence gouvernementale – la California Privacy Protection Agency (CPPA).

 

By Mélissa Walehiane

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :