Actif sur chaque site WordPress

Colorado · CPA

hébergement WordPress avec plugin CPA intégré à la plateforme.

signaux d'opt-out pour la vente, la publicité ciblée et le profilage, OPT-IN pour les données sensibles, workflow de réponse en 45 jours et — fait unique dans le droit du Colorado — prise en compte du Universal Opt-Out Mechanism via les signaux Global Privacy Control directement au Cloudflare edge worker. tout est pris en charge par le MU-plugin de conformité Yovale. vous ne l'installez pas. vous ne le mettez pas à jour. vous ne le payez pas. la même plateforme gère aussi CCPA, VCDPA, CT DPA et TDPSA — une seule stack, chaque loi d'État américain sur la vie privée.

entrée en vigueur : 1er juillet 2023sanction : jusqu'à $20,000 par violationjuridiction : Colorado, États-Unis

démarrer l'essai gratuit voir les tarifs

votresite.com

Vos droits Colorado en matière de vie privéeColorado détecté

En vertu du Colorado Privacy Act, vous pouvez refuser la vente de données personnelles, la publicité ciblée et le profilage pour les décisions à effets juridiques significatifs. Nous honorons automatiquement le signal Global Privacy Control de votre navigateur. Vous pouvez également accéder, corriger, supprimer ou exporter les données que nous détenons sur vous.

géré par Yovale · GPC honoré à l'edge

ce que le CPA exige

six obligations que vous devez remplir.

le Colorado Privacy Act est entré en vigueur le 1er juillet 2023, faisant du Colorado le troisième État américain à se doter d'une loi générale de protection des consommateurs. il s'applique aux responsables de traitement qui traitent chaque année les données personnelles de 100 000 résidents du Colorado ou plus, ou de 25 000 ou plus lorsque 50% ou plus du chiffre d'affaires provient de la vente de données personnelles. l'application revient au Colorado Attorney General et au Colorado Department of Law, avec des sanctions civiles jusqu'à $20,000 par violation au titre du Colorado Consumer Protection Act. le délai de régularisation de 60 jours a pris fin le 1er janvier 2025 — plus aucun sursis sur une première infraction.

01
opt-out pour la vente, la publicité ciblée, le profilage
les résidents du Colorado peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage produisant des effets juridiques ou similairement significatifs. le mécanisme doit être clair, visible, symétrique dans le choix et exempt de dark patterns.
02
Universal Opt-Out Mechanism (UOOM)
obligatoire depuis le 1er juillet 2024 et unique au Colorado à ce niveau de précision. les responsables de traitement doivent honorer les signaux d'opt-out au niveau du navigateur, tels que Global Privacy Control. le signal vaut opt-out valide pour la vente et la publicité ciblée dès qu'il arrive — aucun clic sur le bandeau requis.
03
OPT-IN pour les données sensibles
le traitement de données sensibles requiert un consentement explicite. les données sensibles couvrent l'origine raciale ou ethnique, la religion, les diagnostics de santé mentale ou physique, l'orientation sexuelle ou la vie sexuelle, la nationalité ou le statut d'immigration, les données génétiques ou biométriques traitées pour identifier une personne, la géolocalisation précise et les données d'un enfant connu.
04
droits du consommateur : accès, rectification, suppression, portabilité
les résidents du Colorado peuvent demander l'accès aux données personnelles que vous détenez, en corriger les inexactitudes, en obtenir la suppression et recevoir une copie portable dans un format facilement utilisable. vous répondez dans un délai de 45 jours, prorogeable une fois de 45 jours quand cela est raisonnablement nécessaire.
05
procédure d'appel
lorsque vous refusez une demande, vous devez offrir un moyen clair de faire appel et répondre à l'appel dans les 45 jours, prorogeable de 60 jours quand cela est raisonnablement nécessaire. en cas de rejet de l'appel, vous fournissez une explication et un lien pour déposer une plainte auprès du Colorado Attorney General.
06
obligations du responsable de traitement et du sous-traitant
les contrats entre responsable de traitement et sous-traitant doivent préciser les instructions de traitement, la confidentialité, la suppression ou le retour des données en fin de service et l'assistance aux demandes des consommateurs. Yovale agit comme votre sous-traitant en vertu d'un contrat écrit aligné sur C.R.S. § 6-1-1305.

comment Yovale s'en occupe

intégré à la plateforme. pas un plugin que vous installez.

Yovale livre la conformité CPA sous forme de must-use plugin signé — partie intégrante de l'hébergement, pas quelque chose que vous installez depuis le répertoire WordPress. il est figé en version, récupéré depuis R2 avec vérification SHA-256, puis déposé dans un répertoire mu-plugins monté par site lors du provisionnement. les mises à jour passent par le même canal que les mises à jour de votre hébergement.

GPC honoré à l'edge worker

chaque requête vers un site Yovale est inspectée au Cloudflare edge worker pour l'en-tête Sec-GPC: 1 et tout signal Universal Opt-Out équivalent. quand le signal est présent et que le visiteur est résident du Colorado, la vente, la publicité ciblée et le profilage sont bloqués avant qu'aucun analytics, pixel publicitaire ou tag tiers ne s'exécute. l'opt-out atterrit automatiquement dans votre journal d'audit.

portail privacy

/.well-known/privacy sur chaque site Yovale. les résidents du Colorado peuvent soumettre leurs demandes d'accès, de rectification, de suppression et de portabilité sans ouvrir de ticket support. chaque demande apparaît dans l'onglet Conformité de votre dashboard avec un compteur SLA de 45 jours et un flux d'appel en un clic.

workflow d'appel

lorsqu'une demande est refusée, le consommateur reçoit un lien d'appel en un clic. l'appel ouvre un cas distinct avec son propre SLA de 45 jours dans votre dashboard, la décision d'origine étant jointe. si vous refusez l'appel, la plateforme joint automatiquement le lien de plainte auprès du Colorado AG.

contrat sous-traitant signé

contrat responsable-sous-traitant pré-signé conforme à C.R.S. § 6-1-1305. liste chaque sous-traitant (Cloudflare, Anexia, R2), les limites de finalité, la confidentialité, la suppression en fin de service et l'assistance aux demandes des consommateurs et aux évaluations d'impact. téléchargement PDF depuis le dashboard.

plugin vs plateforme

pourquoi l'infrastructure bat un plugin.

plugin CPA WordPress typique

ne peut pas honorer GPC de manière fiable — le JS du bandeau s'exécute après le déclenchement de l'analytics et des pixels publicitaires
stocke les signaux d'opt-out dans wp_options — lent, non typé, casse avec l'object caching
se met à jour via wp-admin — vous le maintenez, vous le cassez, vous déboguez les conflits
coûte $49 à $149/an par site et couvre rarement le workflow d'appel
casse quand vous changez d'hébergeur ; historique d'opt-out et dossiers d'appel perdus

l'approche intégrée de Yovale

GPC honoré au Cloudflare edge worker — avant WordPress, avant les pixels, avant l'analytics
journal d'audit dans une base dédiée, interrogeable, ne bloque jamais le rendu de la page
les mises à jour passent par la plateforme — vous ne les voyez pas, vous ne les cassez pas
inclus dans chaque offre ($149 / $249 / $499 par an), sans frais de conformité par site
vous suit pour toujours — l'historique d'opt-out et d'appel vous appartient et reste exportable

votre dashboard

14 réglementations. un switch chacune. tout est automatique.

Réglementations14

OPT-IN

CPA

Colorado Privacy Act

OPT-IN

CCPA

California Consumer Privacy Act

VCDPA

Virginia Consumer Data Protection Act

CTDPA

Connecticut Data Privacy Act

TDPSA

Texas Data Privacy and Security Act

+ 9 autres réglementations · toutes opt-in

CPA

Colorado Privacy Act

OPT-IN

En vigueur

1er juillet 2023

Mode de consentement

Opt-out (opt-in pour les données sensibles)

Autorité

Colorado AG

Amende max

$20,000

Exigences clés

Opt-out pour la vente, la publicité ciblée, le profilage
Universal Opt-Out Mechanism (GPC) honoré
Opt-in pour les données sensibles
Réponse aux demandes sous 45 jours
Procédure d'appel sous 45 jours

questions courantes

CPA + Yovale, les réponses.

le CPA s'applique-t-il à mon site ?

il s'applique si vous contrôlez ou traitez les données personnelles de 100 000 résidents du Colorado ou plus sur une année civile, ou de 25 000 ou plus dès lors que vous tirez un revenu ou recevez une remise sur des biens ou services issus de la vente de données personnelles. contrairement à la Californie, il n'y a pas de seuil minimum de chiffre d'affaires. les organismes publics, les entités couvertes par HIPAA et les données éducatives couvertes par FERPA sont hors champ. si vous êtes en dessous des seuils, vous n'êtes pas directement concerné, mais Yovale active les mêmes protections par défaut pour que votre site soit prêt si vous les franchissez.

comment honorez-vous concrètement Global Privacy Control ?

chaque requête vers un site Yovale passe par un Cloudflare edge worker qui inspecte l'en-tête Sec-GPC. si le visiteur est détecté comme résident du Colorado et que Sec-GPC: 1 est défini, le worker injecte un état d'opt-out dans la requête avant que WordPress ne la voie. analytics, pixels publicitaires et tags tiers qui auraient posé des cookies de vente ou de publicité ciblée sont supprimés au rendu HTML. l'opt-out est tracé avec horodatage et région déduite de l'IP. aucun clic sur le bandeau requis — le signal est le choix.

quelle différence entre le CPA, le CCPA et le VCDPA ?

les trois donnent aux consommateurs du Colorado, de Californie et de Virginie un opt-out pour la vente et la publicité ciblée, plus les droits d'accès, de suppression et de portabilité. le CPA est le plus strict sur le Universal Opt-Out Mechanism — les responsables de traitement doivent honorer par défaut les signaux navigateur comme GPC. il s'aligne sur la Virginie en exigeant un OPT-IN pour les données sensibles, alors que la Californie n'offre qu'un opt-out de limitation d'usage. le plafond du CPA à $20,000 par violation est plus élevé que les $7,500 du VCDPA. Yovale couvre les trois régimes depuis une seule plateforme.

qu'est-ce qu'une donnée sensible au sens du CPA ?

les données sensibles couvrent l'origine raciale ou ethnique, la religion, les diagnostics de santé mentale ou physique, l'orientation sexuelle ou la vie sexuelle, la nationalité ou le statut d'immigration, les données génétiques ou biométriques traitées pour identifier une personne de manière unique, la géolocalisation précise et les données personnelles d'un enfant connu. le MU-plugin de Yovale bloque tout plugin ou script touchant une catégorie sensible tant que le consommateur n'a pas activement opté in via l'UI de consentement.

le délai de régularisation de 60 jours est-il toujours en vigueur ?

non. la disposition de 60 jours de droit de régularisation du Colorado Privacy Act a pris fin le 1er janvier 2025. depuis, le Colorado Attorney General peut poursuivre une violation directement au titre du Colorado Consumer Protection Act, avec des sanctions civiles jusqu'à $20,000 par violation. Yovale livre chaque site avec une posture de conformité complète dès le premier jour, donc il n'y a rien à régulariser quand une demande arrive.

que se passe-t-il si je refuse une demande ?

la plateforme envoie au consommateur une notification de refus avec un lien d'appel en un clic. l'appel ouvre un cas distinct dans votre dashboard Conformité avec son propre SLA de 45 jours, prorogeable de 60 jours quand cela est raisonnablement nécessaire. si vous refusez aussi l'appel, Yovale joint automatiquement un lien pour que le consommateur dépose une plainte auprès du Colorado Attorney General, conformément à C.R.S. § 6-1-1306.

déployez un site WordPress conforme au CPA en 60 secondes.

chaque site Yovale est prêt pour le CPA dès le moment où vous déployez. GPC honoré à l'edge. flux opt-in pour les données sensibles. workflow d'appel live dans le dashboard. démarrez l'essai Growth et consultez votre premier dashboard de conformité.

démarrer l'essai gratuitessai Growth · sans carte bancaire · CPA actif dès la première minute