Découvrez comment respecter le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) lors de l'utilisation de Zenovay Analytics.
Qu'est-ce que CCPA/CPRA ?
CCPA (California Consumer Privacy Act)
Effectif depuis janvier 2020, le CCPA accorde aux résidents californiens :
- Le droit de savoir quelles données sont collectées
- Le droit de supprimer les informations personnelles
- Le droit de refuser la vente de données
- Le droit à la non-discrimination
CPRA (California Privacy Rights Act)
Effectif depuis janvier 2023, le CPRA renforce le CCPA avec :
- Le droit de corriger les données inexactes
- Le droit de limiter l'utilisation des données sensibles
- La création de l'Agence californienne de protection de la vie privée
- Des règles plus strictes pour le « partage » de données
Le CCPA s'applique-t-il à vous ?
Le CCPA s'applique si vous répondez à L'UN des seuils suivants :
| Seuil | Exigence |
|---|---|
| Revenu | 25 M$ ou plus de revenu brut annuel |
| Volume de données | Achat/vente de 100 000+ dossiers de consommateurs |
| Revenu de données | 50%+ du revenu provenant de la vente de données |
Définition de « consommateur »
Un résident californien, défini comme toute personne qui :
- Se trouve en Californie pour des raisons autres que temporaires
- Vit en Californie mais se trouve temporairement ailleurs
Zenovay et CCPA
Données que nous collectons
Selon le CCPA, ce qui suit est considéré comme « information personnelle » :
| Catégorie | Exemples | Collecté ? |
|---|---|---|
| Identifiants | Adresse IP, ID d'appareil | Optionnel |
| Activité Internet | Historique de navigation, clics | Oui |
| Géolocalisation | Pays, ville | Oui |
| Déductions | Segments de visiteurs | Optionnel |
« Vendons »-nous les données ?
Non. Zenovay ne :
- Vend pas les données des visiteurs à des tiers
- Partage pas les données pour la publicité contextuelle croisée
- Transfère pas les données contre considération monétaire
Nous sommes un prestataire de services en vertu du CCPA.
Droits des consommateurs selon le CCPA
Droit de savoir (1798.100)
Les consommateurs peuvent demander :
- Les catégories de données collectées
- Des éléments de données spécifiques
- Les sources de données
- L'objectif commercial
- Les tiers avec lesquels les données ont été partagées
Mise en œuvre :
La plupart des analyses Zenovay sont agrégées et ne sont pas liées à un individu nommé, donc une demande de « données spécifiques » correspond généralement aux dossiers associés à un visiteur.
Pour récupérer les dossiers des visiteurs par programmation, utilisez l'API REST (disponible sur les plans Pro et supérieurs) :
# Récupérer les dossiers des visiteurs pour un site web
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Si vous avez également besoin d'une copie de vos propres données de compte Zenovay (votre profil, les sites web, les appartenances à l'équipe et la piste d'audit), ouvrez votre Profil et utilisez Télécharger mes données pour générer une exportation JSON – ceci est disponible sur tous les plans.
Droit de suppression (1798.105)
Les consommateurs peuvent demander la suppression de leurs données.
Mise en œuvre :
La plupart des analyses Zenovay sont anonymes et agrégées, donc une demande de suppression d'un consommateur correspond généralement aux dossiers associés à ses visites plutôt qu'à un profil nommé. Zenovay n'offre pas actuellement d'action en libre-service pour « supprimer un seul visiteur ». Pour traiter une demande d'effacement par visiteur, contactez le support Zenovay à [email protected] avec les détails pertinents et nous la traiterons.
Pour supprimer l'intégralité de votre compte Zenovay et toutes les données associées, ouvrez votre Profil, trouvez Supprimer le compte, tapez SUPPRIMER pour confirmer, et soumettez. Cela supprime définitivement votre compte, vos sites web suivis et les données d'analyse que Zenovay détient pour eux.
Droit de refus (1798.120)
Les consommateurs peuvent refuser la « vente » de données.
Bien que Zenovay ne vend pas les données, respectez les refus :
// Respecter le signal de refus
if (navigator.globalPrivacyControl) {
// Ne pas charger les analyses ou utiliser le suivi minimal
console.log('GPC signal detected');
}
Droit à la non-discrimination (1798.125)
Les consommateurs ne peuvent pas être traités différemment pour l'exercice de leurs droits :
- Pas de prix différents
- Pas de qualité de service différente
- Pas de déni de service
Exigences en matière de politique de confidentialité
Divulgations requises
Votre politique de confidentialité doit inclure :
## Informations que nous collectons
Nous collectons les catégories d'informations personnelles suivantes :
| Catégorie | Exemples | Source |
|-----------|----------|--------|
| Identifiants | Adresse IP, cookies | Directement |
| Activité Internet | Pages visitées, clics | Automatiquement |
| Géolocalisation | Ville, pays | Dérivé de l'IP |
## Comment nous utilisons les informations
- Analyser le trafic du site web
- Améliorer l'expérience utilisateur
- Détecter et prévenir la fraude
## Prestataires de services tiers
Nous utilisons Zenovay Analytics pour traiter les données d'utilisation du site web.
Zenovay agit en tant que prestataire de services en vertu du CCPA et ne
vend pas vos informations personnelles.
## Vos droits
Les résidents californiens ont le droit de :
- Savoir quelles données nous collectons
- Supprimer vos données
- Refuser la vente de données (nous ne vendons pas de données)
- Ne pas être discriminés
Pour exercer ces droits, contactez-nous à : [email protected]
Lien « Ne pas vendre mes informations personnelles »
Même si vous ne vendez pas les données, envisagez d'ajouter :
<footer>
<a href="/privacy#do-not-sell">
Do Not Sell or Share My Personal Information
</a>
</footer>
Contrôle de la vie privée mondiale (GPC)
Qu'est-ce que GPC ?
Un signal de navigateur indiquant la préférence de refus :
- Supporté par Firefox, Brave, DuckDuckGo
- CCPA et CPRA reconnaissent les signaux GPC
- Doit être honoré pour les consommateurs californiens
Détecter GPC
// Vérifier le signal GPC
if (navigator.globalPrivacyControl) {
// L'utilisateur a refusé
handleOptOut();
}
function handleOptOut() {
// Option 1 : Ne pas charger les analyses du tout
// Option 2 : Charger Zenovay normalement – il respecte automatiquement le signal GPC
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Support GPC de Zenovay
Zenovay respecte les signaux GPC par défaut. Aucun attribut spécial n'est nécessaire :
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
src="https://api.zenovay.com/z.js"
></script>
Quand un signal GPC est détecté, le suivi est automatiquement ajusté pour respecter la préférence de refus.
Processus de traitement des demandes
Vérification
Avant de traiter les demandes :
- Vérifier l'identité du consommateur
- Confirmer la résidence californienne (croyance raisonnable)
- Mettre en correspondance avec les données du système
Calendrier
| Action | Délai |
|---|---|
| Confirmer la réception | 10 jours ouvrables |
| Répondre à la demande | 45 jours calendaires |
| Prolongation si nécessaire | +45 jours (notifier le consommateur) |
Méthodes de demande
Accepter les demandes via :
- Numéro sans frais (si vous en avez un)
- Formulaire de site web
- Adresse e-mail
- Portail désigné
Accord avec le prestataire de services
Exigences
Zenovay agit en tant que prestataire de services, ce qui signifie :
- Nous traitons les données en votre nom
- Nous n'utilisons pas les données à nos propres fins
- Nous suivons vos instructions
- Nous maintenons la confidentialité
Contenu de l'accord
Notre accord avec le prestataire de services inclut :
- Définition de l'objectif commercial
- Interdiction de vendre les données
- Obligation d'assister pour les demandes
- Exigences des sous-traitants
- Obligations de suppression
Obtenir l'accord
L'Accord de traitement des données de Zenovay (qui couvre notre rôle de prestataire de services) est publié sur les pages légales à zenovay.com/legal. Si vous avez besoin d'une copie contresignée pour vos dossiers, contactez-nous à [email protected].
Mise en œuvre du refus
Banneau de consentement aux cookies
// Avis de consentement aux cookies conforme au CCPA
function showCCPANotice() {
const notice = document.createElement('div');
notice.innerHTML = `
<div class="ccpa-notice">
<p>Nous utilisons les analyses pour comprendre comment les visiteurs utilisent notre site.</p>
<button onclick="acceptCCPA()">Accepter</button>
<button onclick="optOutCCPA()">Refuser</button>
<a href="/privacy">En savoir plus</a>
</div>
`;
document.body.appendChild(notice);
}
function optOutCCPA() {
localStorage.setItem('ccpa_opt_out', 'true');
// Recharger sans analyses ou basculer vers le mode confidentialité
}
Signaux « Ne pas suivre »
Le CCPA n'exige pas de respecter DNT, mais Zenovay respecte DNT par défaut. Aucun attribut n'est nécessaire. Si vous souhaitez annuler DNT et suivre quand même, utilisez :
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
data-ignore-dnt="true"
src="https://api.zenovay.com/z.js"
></script>
Conservation des données
Exigences
- Collecter uniquement ce qui est nécessaire
- Conserver uniquement aussi longtemps que nécessaire
- Divulguer les périodes de rétention
Rétention dans Zenovay
La conservation des données d'analyse est définie par votre plan, et les données plus anciennes sont automatiquement supprimées :
| Plan | Rétention des analyses |
|---|---|
| Free | 1 an |
| Pro | 2 ans |
| Scale | 4 ans |
| Enterprise | Personnalisé |
Les plans Enterprise peuvent demander une fenêtre de rétention personnalisée. Pour raccourcir la rétention sur les autres plans, supprimez le site web pertinent ou votre compte, ce qui supprime ses données.
Formation des employés
Former le personnel sur :
- Reconnaissance des demandes CCPA
- Procédures de vérification
- Délais de réponse
- Processus d'escalade
Pénalités
Application
L'Attorney General de Californie peut imposer :
| Type de violation | Amende par violation |
|---|---|
| Involontaire | 2 500 $ |
| Intentionnel | 7 500 $ |
Droit d'action privée
Pour les violations de données, les consommateurs peuvent poursuivre pour :
- 100 $ à 750 $ par incident
- Les dommages réels (s'ils sont plus élevés)
- Mesures injonctives
Liste de contrôle de conformité
Documentation
- Mettre à jour la politique de confidentialité avec les divulgations CCPA
- Créer le lien « Ne pas vendre » (recommandé)
- Documenter les pratiques de collecte de données
- Signer l'accord avec le prestataire de services
Technique
- Mettre en œuvre la détection GPC
- Créer un flux de travail de traitement des demandes
- Configurer la capacité d'exportation de données
- Configurer la suppression de données
Organisationnel
- Former l'équipe du service client
- Désigner un responsable de la confidentialité
- Créer un système de suivi des demandes
- Documenter les procédures de vérification
Comparaison CCPA vs RGPD
| Aspect | CCPA | RGPD |
|---|---|---|
| Portée | Consommateurs californiens | Résidents de l'UE |
| Base juridique | Modèle de refus | Consentement explicite |
| Amendes | Par violation | % du revenu |
| Droit d'action privée | Violations de données uniquement | Limité |
| Régulateur | Attorney General de Californie | Autorités de protection des données |
Bonnes pratiques
- Respecter les signaux GPC – Requis selon CPRA
- Refus facile – Ne le rendez pas difficile
- Divulgations claires – Langage simple
- Réponses rapides – Respecter les délais
- Tout documenter – Tenir des dossiers