Recevez chaque jour toute l'actualité du numérique

x

En infraction avec le RGPD californien, Sephora condamné à 1,2 million de dollars d'amende

Le distributeur Sephora a trouvé un accord avec le procureur général de Californie après avoir été convaincu de plusieurs infractions à la loi sur la protection des données personnelles de l'Etat américain, impliquant sa politique de cookies et d'opt-out.
Twitter Facebook Linkedin Flipboard Email
×

En infraction avec le RGPD californien, Sephora condamné à 1,2 million de dollars d'amende
En infraction avec le RGPD californien, Sephora condamné à 1,2 million de dollars d'amende © Sephora

La loi californienne sur la protection des données personnelles en ligne (California Consumer Privacy Act, CCPA) a fait tomber sa première amende, et elle s'applique à une entreprise française. Le distributeur de produits cosmétiques Sephora, propriété du groupe LVMH, va devoir payer 1,2 million de dollars pour avoir vendu à des tiers les données personnelles de ses clients sans les en avoir informés au préalable, et pour avoir failli à respecter les demandes des clients qui refusaient que leurs données personnelles soient vendues.

Sephora est parvenu le 24 août à un accord avec le procureur général de Californie Rob Bonta, qui doit encore être approuvé par un juge. Ce qui est considéré comme de la vente de données personnelles est une utilisation de cookies permettant à des tiers de cibler les clients de Sephora en fonction de leurs achats, de leur localisation ou encore de leur matériel informatique.  
 

"Il n'y a plus d'excuse"

Cette loi sur la protection de la vie privée des Californiens, la première de ce type aux Etats-Unis, est entrée en vigueur en 2020. Elle autorise les consommateurs à mener eux-mêmes des actions en justice contre les entreprises, mais l'affaire concernant Sephora émane du procureur. Ce dernier a déclaré avoir envoyé des avis d'infraction à plus d'une centaine d'entreprises (dans la tech, les télécoms, le courtage de données, la santé et le retail), qui disposent de 30 jours pour se mettre en conformité. Selon le procureur général, Sephora n'avait pas respecté ce délai.

"Les droits à la protection des données personnelles des consommateurs sont inutiles si les entreprises dissimulent la façon dont elles utilisent ces données et si elles ignorent les demandes d'opt-out quand il s'agit de les vendre, explique Rob Bonta. J'espère que cet accord enverra un message fort aux entreprises qui ne respectent toujours pas la loi californienne. Mon bureau vous surveille, et vous demandera des comptes. Cela fait plus de deux ans que le CCPA est entré en application. Il n'y a plus d'excuse." Le système d'avertissement laissant 30 jours aux entreprises pour se mettre en conformité disparaîtra le 1er janvier 2023.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.