Le département de la Justice de l’État de Californie, aux États-Unis, a reproché à la société SEPHORA, le 24 août 2022, de ne pas avoir respecté la législation californienne relative à la protection des données (CCPA[1]).

Le vendeur de parfums et cosmétique français intégrait à son site Web et son application mobile des composants appartenant à des sociétés tierces. Ces composants collectaient des données sur les clients de SEPHORA, comme les données de localisation ou la liste des articles consultés, afin de déterminer leur profil ou, parfois, leur condition de santé, étant donné que les plateformes de SEPHORA vendent des vitamines pré-natales ou des vitamines pour la ménopause.

Le procureur général a rappelé que la législation californienne demande aux entreprises qui font commerce de données personnelles de le mentionner et de permettre aux internautes de s’y opposer avec un bouton facilement accessible, ce que SEPHORA ne faisait pas. Au contraire, le site de SEPHORA indiquait que « SEPHORA ne vend pas de données personnelles ».

SEPHORA a accepté de payer $1,2 million pour mettre fin à la procédure à son encontre, soit 0,08 % de son chiffre d’affaires[2]. SEPHORA s’est également engagé à :

  • clarifier sa politique de confidentialité et mentionner le fait que les données des clients sont vendues ;
  • proposer un mécanisme permettant aux clients de s’opposer à la vente de leurs données personnelles ;
  • mettre en conformité les accords passés avec les sociétés destinatrices des données ;
  • fournir au département de la Justice des rapports concernant la vente de données personnelles, ses relations avec les sociétés destinatrices des données et sur les actions réalisées pour se conformer à la législation.

Lire :

Notes et références

  1. CCPA : California Consumer Privacy Act (oag.ca.gov/privacy/ccpa).
  2. La société SEPHORA a déclaré un chiffre d’affaires de 1 468 785 900 € en 2021 (source : societe.com).