Aperçu de la Loi californienne sur la protection de la vie privée des consommateurs

Dernière mise à jour : 8 avr. 2026, 10 h 04

Découvrez la loi californienne sur la protection de la vie privée des consommateurs et comment elle peut impacter votre entreprise.

Toast s'engage à garantir que les personnes qui fournissent des informations personnelles à Toast et à nos clients ont confiance que leurs informations sont adéquatement protégées et gérées conformément à leurs attentes et en conformité avec la législation applicable sur la protection des données. Une partie de cet engagement signifie que nos clients disposent des informations et des outils appropriés pour comprendre leurs obligations et comment Toast peut soutenir certains aspects de ces obligations.  

Cette note d'orientation vise à fournir des informations à nos clients sur la Loi californienne sur la protection de la vie privée des consommateurs de 2018 (telle que modifiée par la Loi de 2020 sur les droits à la vie privée en Californie, ou « CPRA ») (CCPA) et leurs responsabilités potentielles dans ce domaine. Le contenu de cette note d'orientation ne doit pas être interprété comme un avis juridique. Si vous avez des questions sur l'applicabilité de la CCPA à votre entreprise ou vos obligations, nous vous recommandons de contacter votre propre conseiller juridique indépendant.

Dans cet article :

Aperçu de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

Qu'est-ce que la CCPA ?

La CCPA est une loi californienne sur la protection des données qui établit des exigences concernant la manière dont les entreprises doivent collecter et traiter les renseignements personnels des résidents de Californie, et qui entrera en vigueur le 1er janvier 2020. La CCPA établit des droits individuels (par exemple, un droit d'accès à leurs informations et un droit à la suppression) que les individus peuvent invoquer pour offrir une plus grande transparence sur la manière dont les entreprises utilisent leurs données ainsi qu'un contrôle supplémentaire sur leurs informations.


Retour vers le haut

Qu'est-ce que la CPRA ?

La California Privacy Rights Act entrera en vigueur le 1er janvier 2023 (« CPRA »). Elle modifie la CCPA, ce qui signifie que les exigences créées par la CPRA font désormais partie de la CCPA.

Les exigences de la CPRA s'appuient sur celles précédemment établies dans la CCPA. La CPRA élargit les droits que les individus peuvent exercer concernant leurs renseignements personnels et impose des exigences supplémentaires aux entreprises qui collectent et traitent les renseignements personnels des individus. Cela inclut les obligations d'un employeur envers les renseignements personnels des employés, ainsi que les renseignements personnels qu'une entreprise collecte ou traite dans un contexte interentreprises.

Retour vers le haut

 

Qu'est-ce que les renseignements personnels selon la CCPA ?

Les renseignements personnels selon la CCPA sont définis comme des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un individu ou à un ménage particulier. Par conséquent, le nom, l'adresse, l'email et le numéro de téléphone de votre client sont tous des renseignements personnels, mais il en va de même pour son historique de commandes et ses commentaires s'ils sont liés ou peuvent être associés à cet individu. 

Retour vers le haut

La CCPA affecte-t-elle mon entreprise ? [Mis à jour pour refléter les critères de la CPRA]

Cela dépend. La CCPA régit la collecte et l'utilisation des renseignements personnels des résidents de Californie et s'applique aux entreprises qui répondent à l'un des critères suivants :

    • À partir du 1er janvier, avoir des revenus bruts annuels supérieurs à 25 millions de dollars au cours de l'année civile précédente ;
    • Acheter, recevoir, vendre ou partager annuellement les renseignements personnels de 100 000 clients ou plus à des fins commerciales ; ou
    • Tirer 50 % ou plus de ses revenus annuels de la vente ou du partage des renseignements personnels des clients.

La CCPA peut également s'appliquer à votre entreprise si elle est contrôlée par ou partage une image de marque commune (par exemple, un nom partagé, une marque de service ou une marque déposée) avec une entreprise qui répond à l'un des critères ci-dessus. Si vous n'êtes pas sûr que la CCPA s'applique à vous, veuillez consulter votre propre conseiller juridique indépendant. 

Retour vers le haut

 

Activités recommandées si votre entreprise doit se conformer à la CCPA

  1. Réfléchissez à vos données et élaborez un inventaire des données : Bien que cela ne soit pas requis en vertu de la CCPA, comprendre quelles informations personnelles vous collectez, d'où vous les collectez, comment vous les utilisez, avec qui vous les partagez et combien de temps vous les conservez est important pour une conformité efficace à la CCPA dans d'autres domaines (par exemple, les divulgations d'avis et les obligations relatives aux droits individuels).
  2. Réfléchissez à la manière dont vous collectez des informations et des divulgations : La CCPA exige que les entreprises fournissent des informations aux individus concernés au moment où les informations sont collectées. Cela pourrait s'appliquer que quelqu'un soit un consommateur, un employé ou autre. Considérez où les informations personnelles sont collectées et si vous avez les divulgations et avis appropriés en place. Dans certains cas, des politiques de confidentialité peuvent également être requises.
  3. Abordez la conformité aux droits individuels : La CCPA prescrit un certain nombre de droits à l'information (par exemple, droit d'accès, droit à la suppression) qui sont décrits en détail dans cette note d'orientation. Il est important que les entreprises concernées comprennent la nature de ces demandes et développent un processus pour se conformer si une demande est reçue.
  4. Identifiez si vous vendez des informations personnelles : La CCPA impose des obligations supplémentaires si une entreprise concernée « vend » des informations personnelles. À un niveau élevé, une « vente » d'informations personnelles signifie que vous collectez des informations personnelles et que vous les fournissez ensuite à un tiers qui utilise les données de manière indépendante en dehors de tout service qu'il effectue en votre nom en échange d'une certaine forme de contrepartie. Le transfert d'argent n'est pas nécessairement une exigence pour une « vente ».
  5. Implémentez des contrôles de sécurité appropriés : En plus d'autres législations, la CCPA impose des exigences de sécurité supplémentaires pour les entreprises qui traitent des informations personnelles. Il est important que les entreprises comprennent la nature des informations qu'elles collectent et gèrent et que des mesures de sécurité appropriées soient mises en place pour protéger ces informations.


Retour vers le haut

 

Considérations supplémentaires pour répondre aux exigences de la CPRA

Si votre entreprise a déjà suivi une initiative de conformité à la CCPA, voici quelques conseils sur la manière dont vous pourriez envisager de mettre à jour vos processus existants pour vous conformer aux mises à jour apportées par la CPRA.

Si vous ne vous êtes pas encore préparé à la CCPA, la liste des Activités recommandées si votre entreprise doit se conformer à la CCPA est un bon point de départ, puis continuez avec la liste suivante :

  1. Inventaire des données : Assurez-vous que votre inventaire de données est à jour afin de pouvoir évaluer quelles données sont concernées par la CPRA et quelles sont vos obligations en vertu de la CPRA.
  2. Mettez à jour les processus de droits individuels : La CPRA élargit les droits que les individus peuvent exercer sur leurs données personnelles. Voir ci-dessous dans la section intitulée « Droits individuels en vertu de la CCPA » pour des conseils supplémentaires sur les mises à jour.
  3. Identifiez si vous « partagez » des informations personnelles : La CPRA impose des obligations supplémentaires si une entreprise concernée « partage » des informations personnelles. À un niveau élevé, « partager » des informations personnelles signifie que vous « divulguez des informations personnelles... à un tiers pour de la publicité comportementale inter-contextuelle, peu importe si vous recevez un type de paiement. » La CPRA ajoute une exigence de divulguer si votre entreprise « partage » des informations et de permettre aux individus de se désinscrire de ce partage.
  4. Mettez à jour vos divulgations, avis et liens : Assurez-vous que votre déclaration de confidentialité inclut toutes les informations que vous êtes tenu de divulguer, y compris les détails concernant l'utilisation et la conservation des informations personnelles sensibles. Si votre entreprise « partage » des informations personnelles, assurez-vous d'avoir tous les liens requis sur votre site web. Certaines entreprises sont tenues de rendre compte des indicateurs concernant les demandes de droits individuels qu'elles reçoivent. Si votre entreprise offre des incitations financières liées au traitement des informations personnelles (par exemple, via un programme de fidélité), vous pourriez avoir des exigences supplémentaires en matière de divulgation, de consentement et d'autres obligations.
  5. Fournisseurs et employés : La CPRA impose de nouvelles exigences pour les fournisseurs tels que les prestataires de services et les entrepreneurs (tous deux définis dans la CPRA). La CPRA étend également les droits individuels aux employés. Envisagez de revoir les contrats, les divulgations et les procédures de soutien pour ces groupes.

 

Retour vers le haut

Droits individuels en vertu de la CCPA [Mise à jour avec les exigences de la CPRA]

Droits individuels : aperçu

La CCPA détaille un certain nombre de droits individuels que vos clients ou employés peuvent exercer en fonction de l'applicabilité de la CCPA à votre entreprise. La CPRA élargit et remplace l'ensemble des droits individuels que les individus peuvent exercer.

  • Le droit d'accès : Les individus ont le droit d'accéder à certaines données pour la période de 12 mois précédant, après vérification de leur identité : (i) les catégories d'informations personnelles collectées, (ii) les catégories de sources d'où proviennent les informations personnelles, (iii) les fins commerciales pour lesquelles les informations personnelles ont été collectées (ou, le cas échéant, vendues ou partagées), (iv) les catégories d'informations personnelles divulguées à des tiers à des fins commerciales ainsi que les destinataires correspondants, (v) les catégories d'informations personnelles vendues ou partagées ainsi que les destinataires correspondants, et (vi) les éléments spécifiques d'informations personnelles collectées concernant l'individu.
  • Le droit à l'effacement : Les individus ont le droit de demander aux entreprises de supprimer les informations personnelles qu'elles ont collectées à leur sujet, sous réserve de certaines exceptions.
  • Le droit de correction : Les individus ont le droit de demander à une entreprise concernée de corriger des informations personnelles inexactes, sous réserve de certaines conditions.
  • Le droit de refuser la vente ou le partage d'informations personnelles : Les individus ont le droit de demander à une entreprise concernée de s'abstenir de vendre ou de partager les informations personnelles qu'elle a collectées à leur sujet avec des tiers, maintenant ou à l'avenir. Les individus âgés de moins de 16 ans ont le droit de donner leur consentement (ou de faire en sorte qu'un parent ou un tuteur donne son consentement en leur nom) pour de telles ventes ou partages.
  • Le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles : Les individus ont le droit de limiter l'utilisation ou la divulgation de ces informations personnelles sensibles, sous réserve de certaines exceptions.
  • Le droit d'accès et de pouvoir refuser la technologie de prise de décision automatisée : Les individus ont le droit d'accéder aux informations concernant les technologies de prise de décision automatisée et de pouvoir refuser. Ce droit sera probablement soumis à des clarifications par le biais de réglementations supplémentaires.
  • Le droit contre la discrimination et les représailles : Les individus ont le droit de ne pas être discriminés ou faire l'objet de représailles en raison de l'exercice de l'un des droits ci-dessus.


Remarque : les informations personnelles des employés et les informations personnelles traitées dans un contexte interentreprises sont désormais soumises aux exigences de la CPRA, y compris les demandes de droits individuels.

Ceci est un résumé de haut niveau des droits individuels en vertu de la CCPA. Il existe des exigences supplémentaires concernant chaque droit ainsi que de nombreuses exceptions où ces droits peuvent ne pas être invoqués en fonction des circonstances spécifiques. De plus, les entreprises concernées doivent établir des canaux de réception (par exemple, un numéro de téléphone sans frais, un courriel, un formulaire sur le site web) pour garantir que les individus ont la possibilité de soumettre ces demandes de droits.


Veuillez consulter votre conseiller juridique indépendant pour déterminer l'applicabilité de la CCPA à votre entreprise et l'applicabilité des droits ci-dessus pour savoir si vous devez répondre à la demande d'un individu.

Retour vers le haut

 

Considérations sur les droits individuels en vertu de la CCPA

Voici quelques considérations lorsque vous recevez une demande de droits individuels de l'un de vos clients ou employés :

  • Vérification d'identité : Les entreprises concernées doivent vérifier l'identité de l'individu faisant la demande avant de lui fournir les informations qu'il a demandées. Cela empêche la divulgation d'informations à des individus qui n'y ont pas droit. Réfléchissez aux informations personnelles que vous détenez et aux types d'informations dont vous pourriez avoir besoin d'un individu pour vérifier son identité au sein de votre entreprise. Les exemples peuvent inclure, mais ne sont pas limités à, des noms, des adresses courriel, des numéros de téléphone, ou des informations telles qu'un numéro d'identification d'employé ou un numéro de compte de fidélité. Notez qu'en vertu de la CCPA, une demande peut également être soumise par un agent autorisé agissant au nom de l'individu.
  • Détermination de l'applicabilité : Après la vérification d'identité, la prochaine détermination est de savoir si l'individu a le droit de voir sa demande satisfaite. La CCPA prévoit de nombreux cas où une entreprise n'est pas tenue de satisfaire une demande de droits individuels. Cela a du sens dans certains cas, car une partie à un contrat actif ou un employé existant peut ne pas avoir droit à une suppression complète étant donné la nécessité de conserver ses informations. Nous vous recommandons de vous familiariser avec les circonstances dans lesquelles chaque droit s'applique.
  • Délais et communication : La CCPA impose un certain nombre de délais non seulement pour la satisfaction du droit lui-même, mais aussi en ce qui concerne le moment où vous devez communiquer avec le demandeur. Il est important de s'assurer que vous êtes conscient de ces délais. En parallèle avec les délais, la communication avec l'individu faisant la demande est également importante. Il peut être important de clarifier la demande de l’individu si elle est trop large ou si vous souhaitez plus de clarté. La communication est également importante pour s’assurer que vous vérifiez correctement l’identité de l’individu et déterminez si sa demande est conforme ou non au CCPA.
  • Droits d’accès : Pour satisfaire les demandes de droits individuels en vertu du CCPA, les entreprises concernées doivent comprendre quelles informations personnelles elles collectent, comment elles sont utilisées et comment elles partagent ces informations. Par exemple, si vous ne savez pas quelles informations personnelles vous détenez ou comment elles sont partagées, fournir des informations à un individu en vertu d’une demande d’accès ou comprendre ce que vous devez supprimer dans le cadre d’une demande de suppression sera difficile. Le CCPA décrit un certain nombre d’exigences spécifiques concernant ce qui doit être fourni à un individu, nous vous recommandons donc de lire le CCPA pour comprendre ces exigences et de consulter un avocat indépendant si vous avez des questions.


Dans certains cas, Toast peut être en mesure de soutenir nos clients dans l’exécution des droits individuels. Pour en savoir plus, consultez cet article du Centre d’assistance, Conformité à la loi californienne sur la protection de la vie privée des consommateurs, qui décrit comment Toast peut aider durant ce processus.

 

Retour vers le haut