Sephora accepte de payer 1,2 million de dollars pour violation du RGPD californien
“My office is watching.” Le 24 août 2022, Rob Bonta, procureur général de Californie, a rappelé aux entreprises que son bureau ne tolérerait aucun manquement au California Consumer Privacy Act (CCPA), équivalent californien du RGPD et premier texte en la matière aux États-Unis. C’est en application de ce texte, entré en vigueur il y a deux ans, que Sephora a accepté de payer 1,2 million de dollars pour mettre fin aux poursuites engagées à son encontre pour non-respect de la vie privée de ses consommateurs.
Le géant de la cosmétique autorisait d’autres entreprises à accéder aux données personnelles de ses clients sur son site. En retour, il profitait d’analyses gratuites et de bénéfices publicitaires. Une pratique qui tombe dans le chapitre de la vente des données personnelles, tolérée par le CCPA mais strictement encadrée. Plusieurs manquements étaient reprochés à l’enseigne et lui avaient été signalés : elle n’a pas informé ses clients de la revente de leurs données personnelles et ne leur a pas permis de s’y opposer. La justice californienne reproche aussi à Sephora de n’avoir pas mis fin à ces violations pendant la période de trente jours prévue par le CCPA. En complément de l’amende, Sephora devra se mettre en conformité avec la loi, ajuster sa politique de traitement des données et tenir le procureur général informé de ses méthodes de vente de données personnelles.
Olivia Fuentes