Blog

Comment préparer votre organisation au California Consumer Privacy Act

Qu



Vous avez vu d’autres organisations se battre avec le RGPD. Vous avez des amis qui travaillent dans le secteur de la santé et discutent de la HIPAA. Aucune de ces législations ne s’applique toutefois à votre entreprise, qui opère entièrement aux États-Unis. Le respect de la confidentialité n’est tout simplement pas une préoccupation… n’est-ce pas ?

Pas si vite : si votre organisation exerce une activité importante en Californie, il existe une nouvelle réglementation dont vous devrez tenir compte : Projet de loi 375 de l'Assemblée , également connu sous le nom de California Consumer Privacy Act. Cela promet de créer de nouvelles vagues en faveur de la vie privée aux États-Unis. Si vous voulez éviter de patauger sous la nouvelle marée, écoutez.



Qu'est-ce que la loi californienne sur la protection de la vie privée des consommateurs ?

Le California Consumer Privacy Act (CCPA) est une législation sur la protection de la vie privée entrée en vigueur en janvier 2020. Appelée par certains sous le nom de GDPR-lite, la législation tente de limiter la vente non autorisée d'informations personnelles (IP) des résidents de Californie. La loi introduit également des « droits » des personnes concernées, une notion moins répandue aux États-Unis que dans l’Union européenne. Bien que fortement critiqué , elle innove néanmoins en matière de vie privée aux États-Unis puisque les résidents californiens disposeront d’un nouvel outil pour savoir ce qui se passe réellement avec leurs données après leur collecte.

À qui s’applique le CCPA ?

Comme son nom l'indique, la CCPA impose de nouvelles exigences en matière de confidentialité à un ensemble spécifique d'organisations : les entreprises. La législation ne s'applique pas aux bureaux du secteur public ou aux organisations à but non lucratif.En vertu du CCPA, une organisation est une entreprise si elle exploite :



'au profit ou au bénéfice financier de ses actionnaires ou autres propriétaires

La taille est une autre condition pour que la loi s’applique. Pour que votre entreprise réponde à la définition d’« entreprise » en vertu du CCPA, elle doit :

  • Avoir un revenu annuel brut de plus de 25 000 000 $,
  • Tirer 50 % de ses revenus annuels de la vente d’informations personnelles, ou
  • Bénéficiez du traitement des données d’au moins 50 000 personnes concernées.

La loi s’applique aussi bien aux grandes entreprises qu’aux petites filiales, y compris celles qui partagent des marques ou des marques déposées.

Cela peut ressembler à une exemption pour les petites entreprises, mais ce n’est pas si simple. Pour commencer, toutes les startups, en particulier celles qui développent des technologies Internet des objets, devront accorder une attention très particulière aux projections de bénéfices et aux ventes unitaires. La loi s’applique également à un certain nombre d’identifiants en ligne, ce qui signifie qu’elle affectera les entreprises ayant des ventes en ligne robustes, des sites Web populaires et des analyses détaillées.Le CCPA s'applique uniquement aux informations personnelles des résidents de Californie,cependant, si le site Web de votre entreprise ne reçoit pas de visiteurs réguliers du Golden State, vous pourriez en être exempté.

Il existe également quelques exceptions. Par exemple, en raison d’une législation similaire déjà en vigueur pour les secteurs suivants, vous n’aurez pas à tenir compte du CCPA si vous êtes :

  • Soins de santé du fournisseur d'assurance maladie
  • Institution financière
  • Agence d'évaluation du crédit

Quelles sont les sanctions en cas de non-respect du CCPA ?

Cette loi permet au procureur général de Californie d'engager des poursuites civiles contre les entreprises qui ne respectent pas les réglementations CCPA. Il y a une pénalité de 2 500 $ US pour chaque infraction (lire : chaque client ou utilisateur concerné), et si vos infractions sont considérées comme intentionnelles, cette somme s'élève à 7 500 $ par incident.

Voici un exemple : si vous stockez des informations personnelles en texte brut et que votre base de données est piratée, vous vous exposez à une amende minimale de 125 000 000 $ (un minimum de 50 000 personnes concernées x 2 500 $). Si vous aviez été prévenu de ce problème à l'avance et choisi de ne pas agir, ce montant pourrait potentiellement tripler pour atteindre 375 000 000 $.

Il va sans dire que cela suffit à faire sombrer la plupart des entreprises, mais comme mentionné ci-dessus, seules les entreprises gagnant au moins 25 millions de dollars par an sont concernées, et même dans ce cas, une part substantielle de leurs bénéfices doit provenir du traitement des données personnelles. En d’autres termes, la plupart des organisations ne sont pas concernées par le CCPA.

Quels changements le CCPA apporte-t-il ?

L’une des mesures les plus positives du CCPA consiste à ouvrir un dialogue sur le droit à la vie privée des consommateurs aux États-Unis. Bien que le CCPA n'accorde pas la confidentialité par défaut, les personnes qui souhaitent se retirer de la collecte ou du partage excessif de données doivent avoir la possibilité de le faire. La confidentialité n’est pas seulement « agréable à avoir » ou « facultative » ; c'est un droit fondamental dont tout résident de Californie devrait bénéficier.

Grâce au CCPA, les résidents de Californie peuvent désormais :

  • Demandez aux entreprises de divulguer les catégories et les éléments spécifiques des IP. Le CCPA accorde un délai de 45 jours pour se conformer aux demandes vérifiées des consommateurs.
  • Sachez où les informations sont collectées. Les entreprises doivent être en mesure de divulguer les catégories de sources d'information. À l’heure actuelle, les « catégories » acceptables sont encore définies par la loi.
  • Comprendre l’objectif de l’entreprise en matière de collecte et de vente d’informations personnelles. La manière dont une entreprise peut utiliser les informations personnelles est limitée par la loi.
  • Empêcher une entreprise de vendre ses données, c'est ce que l'on appelle le droit de « désinscription ». Les entreprises qui souhaitent vendre des informations doivent en informer les utilisateurs.
  • Connaître les catégories de tiers avec lesquels les informations sont partagées.
  • Demander à une entreprise de supprimer ses informations personnelles. Les entreprises doivent supprimer les informations sur demande, à moins qu'elles ne puissent fournir la preuve que les informations sont nécessaires à des pratiques exemptées, telles que le respect d'autres lois.
  • Recevez leurs informations personnelles par courrier ou par voie électronique. Les informations doivent être portables et permettre aux consommateurs de les transmettre à d'autres organisations.

Le CCPA contient également des dispositions explicites contre l’ingérence dans les droits des consommateurs à la vie privée. Les organisations ne peuvent pas facturer ou discriminer les clients qui font valoir leurs droits à la vie privée. Une entreprise ne peut pas facturer de frais, exiger la création d'un compte ou fournir une qualité de service inférieure si un consommateur les conteste en vertu du CCPA.En vertu du CCPA, un géant des médias sociaux ne pourrait, par exemple, offrir la confidentialité qu’en payant un supplément.

Qu'est-ce qui compte comme information personnelle en vertu du CCPA ?

Chaque fois qu’une nouvelle législation sur la protection de la vie privée entre en vigueur, il est essentiel de comprendre la définition que donne la loi des renseignements personnels. La nouvelle loi californienne, en particulier, tente d’être aussi directe que possible si les informations sont « personnelles », avec des exemples détaillés visant à réduire les failles potentielles.En vertu du CCPA, les informations personnelles signifient :

'les informations qui identifient, concernent, décrivent, sont susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier».

Ceci comprend:

  • Identifiants personnels (nom, adresse, numéro de compte).
  • Données classifiées protégées par la loi étatique ou fédérale.
  • Informations commerciales, telles que l'historique des achats.
  • Informations biométriques.
  • Informations sur le réseau électronique, y compris l'historique du navigateur, l'historique des recherches ou les interactions avec des appareils, des applications ou des sites Web.
  • Données de géolocalisation.
  • Informations audio, visuelles, thermiques ou similaires.
  • Informations sur l'emploi, y compris les données sur les employés.
  • Formation scolaire.
  • Autres informations pouvant être utilisées pour créer un profil, y compris les déductions tirées d'identifiants, de préférences, de comportements ou d'autres tendances psychologiques.

Il existe une exemption pour les informations personnelles déjà publiques, mais méfiez-vous avant de commencer à supprimer des profils de Facebook.Accessible au public en vertu du CCPA signifie :

'informations légalement mises à disposition à partir des archives du gouvernement fédéral, étatique ou local».

Les données collectées à l’insu du consommateur, les ensembles de données collectés dans un but différent, anonymisés ou agrégés ne sont pas exonérés de la loi. De plus, la CCPA ne classe pas les données biométriques, y compris les identifiants faciaux, comme informations accessibles au public. Si votre organisation envisage d’ajouter des fonctionnalités de reconnaissance faciale, le CCPA s’appliquera toujours.

Compte tenu du niveau de détail, les organisations doivent supposer que toutes les informations collectées sur leurs clients sont des « informations personnelles » au sens du CCPA, à moins qu’elles ne soient informées du contraire par une expertise juridique. Cependant, depuis mars 2019, données des employés semble également exempté en vertu de la loi.

Que peut faire mon entreprise pour être prête ?

Tout d’abord, sachez que la vie privée évolue. En plus du CCPA, d'autres lois sur la protection de la vie privée entrent en vigueur mondial . Si vous collectez des PI, confirmez toujours d'où viennent vos clients et quelles lois s'appliquent. Pour le CCPA, vous devrez savoir quelles informations vous collectez, à quoi votre organisation les utilise et où elles résident au cas où un client demanderait leur effacement. Vous devrez mettre à jour tous les enregistrements ou profils pour inclure la possibilité du client de se désinscrire et vous assurer qu’ils ne sont pas inclus dans les informations vendues.

Vous aurez également besoin de messages clairs sur les informations que vous collectez, le moment où vous les collectez, la manière dont vous les collectez et les raisons pour lesquelles vous devez les traiter. En vertu du CCPA, une entreprise qui collecte des informations personnelles sur les consommateurs doit divulguer :

  1. Les catégories d’informations personnelles qu’il a collectées sur ce consommateur.
  2. Les catégories de sources à partir desquelles les informations personnelles sont collectées.
  3. L'objectif commercial ou commercial de la collecte ou de la vente d'informations personnelles.
  4. Les catégories de tiers avec lesquels l'entreprise partage des informations personnelles.
  5. Les informations personnelles spécifiques que l'entreprise a collectées sur ce consommateur.

Il y a également des aspects opérationnels à considérer. Par exemple, vous souhaiterez probablement nommer un responsable de la conformité chargé de traiter les demandes, d'analyser vos projections et votre ensemble de données PI pour voir si vous êtes concerné (et conforme), et d'introduire des processus de gestion plus respectueux de la vie privée, tels que la suppression automatique des données. si le compte d'un utilisateur est inactif pendant une période de temps spécifique.

Un devoir de vérification des demandes des consommateurs

Lorsqu’elle décrit les droits des consommateurs, la CCPA indique clairement que les informations ne doivent être transmises qu’à partir de « demandes vérifiées des consommateurs ». Il s’agit de demandes formulées par le consommateur, son tuteur légal ou une autre personne physique inscrite auprès de l’État pour agir au nom du consommateur. Les entreprises, à leur tour, doivent pouvoir vérifier l'identité de la personne, son droit de faire une demande d'information. Si une entreprise ne peut pas vérifier le consommateur, elle n'est pas obligée de fournir des informations.

Cette distinction peut paraître minime, mais elle peut faire une grande différence pour les consommateurs et les organisations. Premièrement, en exigeant des « demandes vérifiées des consommateurs », la CCPA inclut dans la législation des mesures actives pour éviter la fraude. Autrement, il serait facile pour les usurpateurs d'accéder à des informations sensibles sur demande ; en vérifiant les demandes, les entreprises peuvent confirmer qu'elles traitent avec la bonne partie. La vérification de la demande confirme également que la personne concernée est un résident de Californie et que la loi s'applique.

Désinscriptions actives et spécificités pour les mineurs

Qu’en est-il des clients qui souhaitent exercer activement leurs droits en matière de confidentialité ? Le CCPA inclut des exigences sur la manière dont les clients peuvent entrer en contact et indiquez clairement que leur IP ne vous appartient pas. Les clients doivent pouvoir entrer en contact par e-mail ou par téléphone. Configurez un numéro 1-800 pour les demandes des clients.Sur votre site Web, incluez une page qui permet aux clients de refuser directement de vendre leurs données. Cette page doit être intitulée « Ne pas vendre mes informations personnelles ». Vous pouvez exclure la page « Ne pas vendre » uniquement si les clients peuvent se désinscrire sur une page spécifiquement pour les droits à la vie privée des résidents de Californie.

Si votre entreprise collecte des données auprès de mineurs, les règles changent légèrement. Au lieu de permettre aux mineurs de se désinscrire,Le CCPA indique clairement que les clients de moins de 16 ans doivent s'inscrire et donner activement leur autorisation pour la vente de leurs données. Si le consommateur a moins de 13 ans, vous devez recevoir le consentement de son parent ou tuteur légal.Les services, programmes et entreprises qui collectent ou traitent des informations doivent toujours faire preuve de prudence. En plus du CCPA, le gouvernement fédéral Loi sur la protection de la vie privée en ligne des enfants s'appliquera aux données de tous les clients de moins de 13 ans.

Aller de l'avant

Pour les entreprises qui profitent des données personnelles, la nouvelle loi californienne sur la confidentialité peut constituer un avertissement. Une étude en USA aujourd'hui a révélé que les Américains sont plus préoccupés par la confidentialité des données que par la création d'emplois.

Il y a des pressions pour que la confidentialité des données devienne une loi fédérale, mais comme le rapporte Neema Singh Guliani dans le Washington Post , ce que certaines entreprises pourraient vouloir, c'est une loi fédérale plus faible qui puisse annuler le CCPA. Pendant ce temps, les défenseurs de la vie privée, y compris les créateurs du navigateur de confidentialité Courageux , craignent que le CCPA ne aille pas assez loin et comporte trop de failles pouvant être exploitées. Reste à savoir si des modifications supplémentaires seront inscrites dans la loi. Cependant, étant donné les lourdes sanctions en cas de non-respect, la préparation est certainement la solution la plus judicieuse.

^