Pryvii
Tous les articles
Case Studies
26 février 2026

L'amende de Todd Snyder par la Californie : les pièges de la délégation de l'opt-out à des tiers

L'accord de 345 000 $ entre la Californie et Todd Snyder pour avoir retardé les demandes d'opt-out via des outils tiers non surveillés avertit les sites à examiner de près leurs fournisseurs de confidentialité et à rationaliser les demandes de droits des consommateurs en vertu du CCPA.

Partager:

L'avertissement à 345 000 $ : Comment les erreurs de Todd Snyder en vertu du CCPA devraient changer votre stratégie de confidentialité

En mai 2025, l'Agence de protection de la vie privée de Californie (CPPA) a infligé une amende de 345 178 $ à Todd Snyder, Inc., un détaillant de vêtements national, pour des défaillances systématiques dans le traitement des demandes d'opt-out des consommateurs en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA).1 2 À première vue, cela ressemble à une autre action d'application de la loi sur la confidentialité. Mais en creusant plus profondément, on découvre une histoire édifiante sur la gestion des fournisseurs, la supervision technique et la responsabilité non délégable de la conformité.

L'affaire révèle une vulnérabilité critique qui affecte les sites de commerce électronique à travers le pays : l'hypothèse que l'externalisation de l'infrastructure de confidentialité vous dispense de responsabilité. Ce n'est pas le cas. La décision de la CPPA envoie un message sans équivoque : la responsabilité ultime incombe à l'entreprise qui utilise l'outil de confidentialité, et non au fournisseur qui le fournit.

Ce qui a mal tourné : Les défaillances techniques et procédurales

Les violations de Todd Snyder étaient centrées sur trois problèmes interconnectés qui empêchaient les consommateurs d'exercer leurs droits en vertu du CCPA.

La bannière de consentement éphémère

Premièrement, la bannière de consentement de l'entreprise — l'interface où les consommateurs pouvaient choisir de ne pas vendre ou partager leurs données personnelles — était mal configurée et disparaissait instantanément après son apparition.3 Pendant 40 jours, cette défaillance technique a rendu fonctionnellement impossible pour les utilisateurs de soumettre des demandes d'opt-out via le mécanisme principal du site web.1 4 Les consommateurs cliquaient pour accéder à leurs préférences de confidentialité, voyaient la bannière clignoter, puis la voyaient disparaître avant de pouvoir interagir avec elle.

Exigences excessives de vérification d'identité

Deuxièmement, Todd Snyder exigeait des consommateurs qui tentaient de se désinscrire de vérifier leur identité en fournissant leur nom, leur adresse e-mail, leur pays de résidence, et une photographie d'eux-mêmes tenant des documents d'identification officiels tels qu'un permis de conduire.3 Cela a créé une barrière à plusieurs niveaux qui allait bien au-delà de ce que le CCPA autorise.

En vertu de la loi californienne, les demandes d'opt-out ne nécessitent pas de vérification d'identité, sauf si cela est absolument nécessaire pour prévenir la fraude ou les abus.1 5 En revanche, Todd Snyder exigeait moins d'informations d'identification lors d'un achat — une incohérence claire que la CPPA a signalée comme particulièrement problématique.3 L'exigence de soumettre des photos de pièces d'identité gouvernementales a également introduit des préoccupations inutiles en matière de minimisation des données, car les consommateurs pourraient raisonnablement craindre le vol d'identité lors du téléchargement d'informations personnelles sensibles.3

Mauvaise gestion des fournisseurs tiers

Troisièmement, Todd Snyder a délégué la gestion de son site web et de son infrastructure de confidentialité à un tiers sans supervision ni validation adéquates.3 1 L'enquête de la CPPA a révélé que l'entreprise "s'est reposée sur des outils de gestion de la confidentialité tiers sans connaître leurs limites ni valider leur fonctionnement."1 En d'autres termes, Todd Snyder a mis en place une plateforme de gestion du consentement mais n'a jamais vérifié qu'elle fonctionnait réellement.

Michael Macko, chef de la division de l'application de la loi de la CPPA, a cristallisé cette lacune de responsabilité : "Les entreprises doivent examiner de près leurs solutions de gestion de la confidentialité pour s'assurer qu'elles sont conformes à la loi et fonctionnent comme prévu, car la responsabilité ultime incombe aux entreprises qui les utilisent."5 Utiliser un outil tiers n'est pas un laissez-passer pour la conformité ; c'est une responsabilité de conformité qui nécessite une gestion active.

Le cadre réglementaire : Ce que le CCPA exige réellement

Pour comprendre pourquoi ces défaillances sont importantes, il convient de revoir les obligations pertinentes du CCPA.

Le droit de se désinscrire (Cal. Civ. Code § 1798.120)

Les consommateurs californiens ont le droit de demander à une entreprise de ne pas vendre ou partager leurs informations personnelles. Les entreprises doivent honorer ces demandes et ne peuvent pas discriminer les consommateurs qui exercent ce droit. La loi stipule explicitement que les entreprises ne peuvent pas exiger des consommateurs qu'ils créent un compte, fournissent une pièce d'identité gouvernementale ou vérifient leur identité comme condition pour soumettre une demande d'opt-out — sauf si la vérification est nécessaire pour prévenir la fraude.

Minimisation des données et normes de vérification (Cal. Code Regs. § 999.308)

Les règlements d'application de la CPPA clarifient que lorsqu'une entreprise exige une vérification, elle doit utiliser la méthode la moins intrusive raisonnablement disponible. Les règlements soulignent également que les entreprises ne peuvent pas exiger plus d'informations pour traiter une demande de confidentialité que ce qu'elles exigent pour une transaction commerciale.

Responsabilité des fournisseurs

Bien que le CCPA ne mentionne pas explicitement les "fournisseurs tiers", le statut et les règlements font clairement comprendre que les entreprises sont responsables de s'assurer que leurs prestataires de services sont conformes à la loi. La CPPA a publié des avis d'application de la loi mettant en garde contre la vérification excessive et exigeant que les entreprises surveillent activement leur infrastructure de confidentialité.

Points clés à retenir : Ce que cela signifie pour votre entreprise

1. Auditez votre fournisseur de confidentialité avant la mise en œuvre

Ne supposez pas que votre plateforme de gestion du consentement (CMP) ou votre outil de gestion de la confidentialité fonctionne correctement. Avant de le déployer :

  • Demandez un audit technique ou une évaluation de sécurité au fournisseur
  • Testez vous-même le mécanisme d'opt-out sur différents appareils et navigateurs
  • Vérifiez que l'outil respecte les signaux de préférence d'opt-out, y compris la norme Global Privacy Control (GPC)6
  • Confirmez que les pratiques de collecte de données de l'outil sont conformes aux exigences du CCPA
  • Établissez un accord de service qui comprend des obligations de conformité et des clauses d'indemnisation

2. Mettez en place une surveillance et des tests continus

La CPPA a souligné que Todd Snyder "aurait su que les consommateurs ne pouvaient pas exercer leurs droits en vertu du CCPA si l'entreprise avait surveillé son site web."1 Cela signifie :

  • Effectuer des tests trimestriels ou semestriels de vos mécanismes d'opt-out
  • Surveiller les soumissions des utilisateurs et les temps de traitement pour les demandes de confidentialité
  • Mettre en place des alertes pour les soumissions d'opt-out échouées ou les modèles inhabituels
  • Documenter vos procédures de test et vos résultats pour une revue réglementaire

3. Simplifiez votre processus de vérification

Si vous devez vérifier l'identité avant de traiter les demandes d'opt-out (ce qui devrait être rare), utilisez la méthode la moins intrusive disponible :

  • La vérification par e-mail est généralement suffisante
  • La vérification par téléphone est acceptable mais plus contraignante
  • Exiger des photos de pièces d'identité gouvernementales est excessif et crée une exposition inutile aux données
  • N'exigez jamais plus d'informations pour vous désinscrire que ce que vous exigez pour finaliser une vente

4. Fournissez une formation sur la conformité au CCPA

L'accord exige que Todd Snyder fournisse une formation sur la conformité au CCPA à ses employés.2 Ce n'est pas seulement une punition — c'est une bonne pratique. Assurez-vous que vos équipes juridiques, produits, ingénierie et service client comprennent :

  • Ce qui constitue une "vente" ou un "partage" d'informations personnelles en vertu du CCPA
  • Comment traiter correctement les demandes d'opt-out
  • Les normes et les limites de vérification
  • Les obligations de l'entreprise pour surveiller les fournisseurs tiers

5. Documentez votre programme de conformité

La CPPA et d'autres régulateurs attendent des entreprises qu'elles maintiennent des politiques et des procédures écrites. Votre documentation devrait couvrir :

  • Les procédures de traitement des demandes de confidentialité (prise en charge, vérification, traitement, confirmation)
  • Les critères de sélection et de surveillance des fournisseurs
  • Les protocoles de test technique
  • Les dossiers de formation des employés
  • Les procédures de rétention et de suppression des données

Le contexte plus large : Les tendances d'application de la CPPA

L'amende de Todd Snyder est la deuxième action d'application de la loi de la CPPA en vertu du CCPA et reflète les priorités émergentes de l'agence en matière d'application de la loi.7 Plus tôt en 2025, la CPPA a également conclu un accord avec Honda pour des défaillances similaires en matière d'opt-out et de gestion des fournisseurs. Ces affaires suggèrent que la CPPA se concentre sur :

  • La surveillance et la responsabilité des fournisseurs — Les entreprises ne peuvent pas se cacher derrière des outils tiers
  • L'excès de vérification — Les barrières excessives de vérification d'identité violent les principes du CCPA
  • La minimisation des données — La collecte de plus d'informations que nécessaire, même à des fins de conformité, est problématique
  • La fonctionnalité technique — Les outils de confidentialité doivent réellement fonctionner ; les mises en œuvre défectueuses sont des violations

Cette trajectoire d'application de la loi est importante car elle signale où les régulateurs concentreront leurs ressources en 2026 et au-delà. Si votre entreprise s'appuie sur une infrastructure de confidentialité tierce, il est temps d'auditer et de renforcer vos pratiques de gestion des fournisseurs.

Conclusion : La conformité n'est pas délégable

L'affaire Todd Snyder offre une leçon claire : l'externalisation de votre infrastructure de confidentialité ne décharge pas votre responsabilité de conformité. Que vous utilisiez une plateforme de gestion du consentement, un portail de demande de confidentialité ou tout autre outil tiers, vous demeurez responsable de vous assurer qu'il est conforme au CCPA et fonctionne réellement comme prévu.

L'entreprise a payé 345 178 $ d'amendes, a accepté de réviser ses pratiques de confidentialité et s'est engagée à une surveillance continue de la conformité.1 2 Mais le coût réel va au-delà du règlement : atteinte à la réputation, perturbation opérationnelle et nécessité de reconstruire la confiance des consommateurs.

La bonne nouvelle est que ces défaillances étaient prévisibles. En mettant en place des critères de sélection de fournisseurs robustes, en effectuant des tests techniques réguliers, en simplifiant les exigences de vérification et en formant votre équipe aux obligations du CCPA, vous pouvez éviter le piège de Todd Snyder. La conformité en matière de confidentialité nécessite une gestion active — non seulement lors de la mise en œuvre, mais continuellement tout au long de vos opérations commerciales.

La CPPA observe, et la prochaine action d'application de la loi pourrait viser votre concurrent — ou votre entreprise. Le moment de renforcer vos pratiques de confidentialité est maintenant.

Sources

Footnotes

  1. natlawreview.com

  2. cppa.ca.gov

  3. callaborlaw.com

  4. governmentcontractslaw.com

  5. transcend.io

  6. truevault.com

  7. venable.com

Partager:

Articles similaires

Case Studies

Lettres d'avertissement de la FTC à 13 courtiers en données : conformité à la PADFA maintenant

Le 9 février 2026, la FTC a envoyé des lettres d'avertissement à 13 courtiers en données pour des violations de la PADFA, interdisant la vente de données sensibles comme la géolocalisation et les informations de santé à des adversaires étrangers tels que la Chine et la Russie. Les propriétaires de sites web apprennent comment auditer les fournisseurs tiers et éviter des amendes de 53 088 $ par violation.

Restez conforme avec Pryvii

Analysez votre site web pour détecter les problèmes de conformité en matière de confidentialité selon 17 réglementations incluant GDPR, CCPA et UK GDPR.