קמעונאית הקוסמטיקה האמריקאית Sephora הסכימה לשלם 2.1 מיליון דולר בגין הפרת ה-California Consumer Privacy Act (CCPA). הפשרה הושגה במסגרת הליך האכיפה הציבורי הראשון אי פעם שנקט התובע הכללי של קליפורניה מכוח החוק. הוא מצא כי ספורה אינה מגלה לצרכניה שהיא מוכרת את המידע האישי שלהם לצדדים שלישיים, וכן שאינה מעבדת את בקשותיהם להימנע ממכירת המידע שלהם (opt-out of sale). התובע הכללי התריע לספורה כי היא מפרה את החוק אבל החברה לא תיקנה את ההפרות בזמן שמוקצה לה.
במסגרת הפשרה, ובנוסף לתשלום הקנס, נקבע כי על ספורה:
- להבהיר במדיניות הפרטיות שלה ובכל הודעה מקוונת אחרת כי היא מוכרת את המידע האישי של צרכניה.
- לספק לצרכנים מנגנונים לבטל את הסכמתם למכירת המידע האישי שלהם.
- לתקן את הסכמיה עם ספקי השירותים שלה כך שיתאמו את דרישות ה-CCPA.
- לספק לתובע הכללי דוחות הנוגעים למכירת מידע אישי על ידה באשר למכירת המידע ולסטטוס של היחסים החוזיים שלה עם ספקי השירותים.
התובע הכללי הודיע כי במקביל להליך מול ספורה, התריע בפני מספר חברות נוספות על הפרתן לכאורה של החובה להימנע ממכירת המידע האישי של צרכנים שביקשו זאת. אם חברות אלה לא יתקנו את ההפרה בתוך מסגרת הזמן של 30 ימים, הם עלולים לדבריו לשאת בהשלכות דומות.