Sephora akan membayar $1,2 juta untuk menyelesaikan klaim hukum privasi California

Sephora telah setuju untuk mengeluarkan $ 1,2 juta untuk menyelesaikan klaim bahwa itu melanggar undang-undang privasi California.

Ini adalah pembayaran pertama yang telah dijamin oleh negara bagian AS menggunakan undang-undang yang relatif baru – dan akan menjadi kesempatan bagi perusahaan-perusahaan yang menjual informasi tentang orang-orang tanpa persetujuan penuh mereka.

Penyelesaian ini mengikuti “penyapuan penegakan” selama setahun oleh Jaksa Agung Cali Rob Bonta, di mana ia menyelidiki Sephora dan bisnis lainnya untuk melihat apakah ada di antara mereka yang melanggar Undang-Undang Privasi Konsumen California (CCPA).

Menurut elang hukum, emporium makeup multinasional gagal mengungkapkan dengan benar kepada orang-orang bahwa itu menjual data tentang mereka. Sephora juga gagal memproses permintaan orang untuk memilih keluar dari penjualan info ini, yang melanggar undang-undang privasi negara, dugaan Bonta. Kami diberitahu bahwa Sephora juga mengabaikan keinginan netizen yang memberi isyarat melalui browser atau ekstensi yang mendukung Kontrol Privasi Global (GPC) bahwa mereka tidak ingin data pribadi mereka dijual.

Sephora, menurut dokumen pengadilan [PDF], memberikan perusahaan pihak ketiga termasuk jaringan periklanan dan penyedia analitik data akses ke aktivitas online pelanggannya sebagai imbalan atas iklan atau layanan analitik. Ini diduga memungkinkan pihak ketiga tersebut untuk membuat profil netizen dengan melacak apakah mereka, misalnya, menggunakan MacBook atau Dell, merek eyeliner yang mereka beli, atau bahkan vitamin prenatal yang mereka tambahkan ke keranjang belanja online mereka, serta vitamin mereka. lokasi yang tepat.

Menurut Bonta, ini merupakan penjualan data konsumen. “Baik perdagangan informasi pribadi untuk analitik dan perdagangan informasi pribadi untuk opsi periklanan merupakan penjualan di bawah CCPA,” argumen gugatan itu.

Sephora, pada bagiannya, tidak setuju.

“Sephora menghormati privasi konsumen dan berusaha untuk transparan tentang bagaimana informasi pribadi mereka digunakan untuk meningkatkan pengalaman Sephora mereka,” kata seorang juru bicara. Pendaftaranmenambahkan bahwa “Sephora menggunakan data hanya untuk pengalaman Sephora.”

Masalahnya, menurut raksasa kecantikan itu, CCPA tidak mendefinisikan “penjualan” dalam pengertian tradisional.

“‘Penjualan’ mencakup praktik teknologi umum di seluruh industri seperti cookie,” kata juru bicara itu kepada kami, “yang memungkinkan kami memberi konsumen rekomendasi produk Sephora yang lebih relevan, pengalaman belanja yang dipersonalisasi, dan iklan.

“Konsumen memiliki kesempatan untuk memilih keluar dari pengalaman belanja yang dipersonalisasi ini dengan mengklik tautan ‘CA – Jangan Jual Informasi Pribadi Saya’ di footer situs web Sephora.com atau dengan menggunakan browser yang menyiarkan Kontrol Privasi Global.”

Menyisih, siapa itu?

Sephora lebih lanjut mengklaim telah memungkinkan orang untuk memilih keluar dari penjualan info pribadi, termasuk melalui GPC, sejak November 2021.

Investigasi negara, sementara itu, menggunakan ekstensi browser untuk memantau lalu lintas jaringan yang melibatkan penyedia iklan dan analitik pihak ketiga ketika mengunjungi dot-com Sephora, dan kemudian melihat bagaimana lalu lintas itu berubah ketika konsumen mengaktifkan GPC — pada dasarnya memberi tahu Sephora: jangan jual Info saya. Menurut dokumen pengadilan, situs Sephora mengabaikan sinyal itu:

“Saya berharap penyelesaian hari ini mengirimkan pesan yang kuat kepada bisnis yang masih gagal mematuhi undang-undang privasi konsumen California,” kata Bonta dalam sebuah pernyataan minggu ini. “Kantor saya mengawasi, dan kami akan meminta pertanggungjawaban Anda.”

Selain membayar biaya $1,2 juta, penyelesaiannya [PDF] juga mengharuskan pengecer global untuk mengklarifikasi pengungkapan online dan kebijakan privasinya untuk memperjelas bahwa ia menjual data, dan menyediakan cara bagi netizen untuk memilih keluar dari ini, termasuk melalui GPC.

Sephora juga setuju untuk mengubah perjanjian penyedia layanannya untuk memenuhi persyaratan CCPA dan memberikan laporan kepada jaksa agung terkait dengan penjualan informasi pribadinya.

Biz beri tahu

“Penegakan terhadap Sephora memiliki dua fitur yang cukup besar,” kata analis Forrester Research Stephanie Liu Pendaftaran. “Yang pertama adalah bahwa jaksa agung mendefinisikan penjualan data secara luas.”

Perdebatan tentang apa yang merupakan penjualan informasi konsumen di bawah CCPA telah berlangsung, bahkan sebelum undang-undang tersebut mulai berlaku pada tahun 2020. Namun, perlu dicatat bahwa California Privacy Rights Act (CPRA), yang memperluas CCPA dan masuk ke berlaku pada Januari 2023, juga mengamanatkan perusahaan untuk tidak “berbagi” informasi pribadi orang dengan pihak ketiga.

“AG mengatakan bahwa Sephora menangkap data berguna tentang Anda dan membagikannya dengan perusahaan lain, yang memenuhi syarat sebagai penjualan dalam bukunya,” kata Liu. “Dan itu benar-benar patut diperhatikan.”

Akankah GPC mendapatkan daya tarik?

Titik data menarik kedua dalam penyelesaian, menurut Liu, adalah dimasukkannya GPC.

“Ini mengatakan bahwa Sephora tidak menghormati pengaturan Kontrol Privasi Global pengguna sebagai sinyal untuk memilih keluar dari menjual informasi mereka, dan itu adalah kemenangan bagi pendukung privasi,” tambahnya.

“Kontrol Privasi Global telah menjadi ide selama beberapa tahun sekarang, dan itu masih belum diadopsi secara luas – itu tidak ada di Google Chrome, misalnya,” kata Lui. “Ini jelas menandakan bahwa California AG menganggapnya serius dan sudah mempertimbangkannya sebagai bentuk penolakan.”

Plus, tindakan penegakan dilakukan pada saat privasi data telah menjadi isu panas dengan para pendukung dan pembuat undang-undang membunyikan alarm tentang bagaimana data digital, seperti geolokasi, riwayat pencarian, obrolan pribadi, dan bahkan pembelian dapat digunakan untuk mengintip dan mengadili orang.

Implikasi privasi Post-Roe

Ini adalah kasus seorang ibu Nebraska dan putri remaja ketika Meta, setelah dilayani dengan panggilan pengadilan, menyerahkan obrolan Facebook pribadi antara para wanita yang kemudian digunakan untuk membangun kasus pidana terhadap putrinya karena melakukan aborsi ilegal di dalam dirinya. negara asal.

Bonta secara khusus menarik perhatian pada masalah privasi data pasca-Roe dalam gugatan negara terhadap Sephora:

Tindakan penegakan California, dan mengharuskan perusahaan untuk mengizinkan konsumen memilih keluar dari penjualan data mereka, adalah langkah positif bagi konsumen negara bagian — “dan untuk kita semua,” Aktivis Legislatif Senior EFF Hayley Tsukayama mengatakan Pendaftaran.

“Menghormati pilihan konsumen tentang data lebih penting dari sebelumnya, mengingat cara informasi mengalir melalui ekosistem data yang buram,” kata Tsukayama. “Banyak informasi – bahkan kosmetik apa yang kita beli – dapat mengungkapkan hal-hal sensitif tentang kesehatan kita.”

“Kami juga senang mendengar jaksa agung, dalam kata-katanya, melakukan ‘penyapuan penegakan’ untuk memeriksa calon pelanggar CCPA lainnya,” lanjutnya. “Sebagian besar penegakan CCPA berada di tangan jaksa agung, dan penting untuk mengejar jenis pelanggaran ini dengan kuat.” ®

Teknologi Pribadi