La chaîne de magasins française a récemment trouvé un accord pour régler les allégations selon lesquelles elle aurait violé la loi sur la protection de la vie privée de l’État.
Alors que les États-Unis travaillent sur la mise en place d’un RGPD afin de protéger la vie privée des consommateurs, la Californie a, elle, un coup d’avance. En 2020 est entrée en vigueur le California Consumer Privacy Act (CCPA) et c’est par cette loi que Sephora vient d’être condamnée à une amende de 1,2 millions d’euros. Accusée de l’avoir enfreint, la chaîne de magasins française a trouvé un accord, comme l’a annoncé Rob Bonta, le procureur général de Californie, le 24 août.
À la suite d’une enquête menée auprès de commerçants en ligne, il affirme que Sephora n’a pas divulgué aux consommateurs qu’elle vendait leurs informations personnelles, mais aussi qu’elle n’a pas traité les demandes des utilisateurs souhaitant se retirer de cette vente via des contrôles de confidentialité activés par l’utilisateur. Le procureur général reproche également à l’entreprise de ne pas avoir corrigé ces violations dans le délai de trente jours autorisé par le CCPA.
De nouvelles obligations vis-à-vis des consommateurs
Pourtant, en vertu de la loi californienne, les sociétés sont tenues d’indiquer aux consommateurs qu’elles vendent leurs informations et de leur permettre de refuser. « Les consommateurs sont constamment suivis lorsqu’ils vont sur le web. De nombreux détaillants en ligne permettent à des entreprises tierces d’installer un logiciel de suivi sur leur site web et dans leur application afin que les tierces parties puissent surveiller les consommateurs lors de leurs achats », indique le bureau du procureur général californien dans son communiqué. Concernant Sephora, ces entreprises tierces ont pu créer des profils sur les clients en repérant s’ils utilisent un MacBook ou un Dell, la marque d’eyeliner dans leur panier d’achat ou encore en suivant leur emplacement précis. Cela leur a permis de mieux cibler les clients.
Outre l’amende que l’entreprise doit payer, l’accord comprend d’autres obligations. Sephora est ainsi tenue « clarifier ses divulgations en ligne et sa politique de confidentialité pour inclure une déclaration affirmative qu’elle vend des données ». La chaîne de magasins doit également mettre à disposition des mécanismes pour que les consommateurs puissent refuser la vente de leurs informations personnelles. Enfin, elle est obligée de fournir des rapports au procureur général concernant cette pratique et ses efforts pour respecter le contrôle global de la confidentialité (GPC). Ce dernier permet aux consommateurs de se retirer de l’ensemble des ventes en ligne d’un seul coup avec la diffusion d’un signal « ne pas vendre » sur chaque site web qu’ils visitent, sans avoir à cliquer sur un lien de désinscription à chaque fois.
À lire aussi
