Qu’est-ce que la conformité à la loi CCPA (California Consumer Privacy Act) ?

Le California Consumer Privacy Act (CCPA) a été promulgué en 2018 pour lutter contre les nombreux incidents de violation de données dans les Big Tech, dus à des contrôles d’accès et à une gestion de la vie privée mal définis.

Moulée après le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE), la nouvelle réglementation donne aux utilisateurs plus de contrôle sur les données.

Les entreprises qui collectent des données sur les résidents de Californie doivent fournir des informations sur la manière dont les données sont collectées et donner aux utilisateurs la possibilité de demander, de supprimer ou de protéger leurs données personnelles.

Toute entreprise qui recueille des données sur les résidents de Californie devrait se pencher sur les règles de conformité de la CCPA.

Les experts estiment que les réglementations de la CCPA seront à l’origine de futures lois dans d’autres États des États-Unis d’Amérique afin d’offrir aux utilisateurs un meilleur contrôle de leurs données.

Les entreprises qui ne travaillent pas avec des données californiennes devraient néanmoins suivre les informations relatives à la CCPA afin de comprendre les réglementations si une loi similaire était adoptée dans d’autres États.

D’autres facteurs commerciaux tombent sous le coup de la réglementation de la CCPA :

• Avoir un revenu brut annuel d’au moins 25 millions de dollars.
• Collecter des données à des fins commerciales sur au moins 50 000 consommateurs.
• Au moins 50 % des revenus annuels proviennent de la vente de services ou de produits.

Étant donné que la CCPA donne aux utilisateurs un plus grand contrôle sur leurs données, de nombreuses réglementations définies par les règles de conformité couvrent la manière dont les entreprises collectent et distribuent les informations privées recueillies sur les sites web et par d’autres méthodes numériques.

Les utilisateurs peuvent contacter l’entreprise et demander des informations sur le stockage et l’utilisation de leurs données, et les entreprises doivent répondre à certaines demandes.

La CCPA exige des entreprises qu’elles se conforment aux demandes des utilisateurs en ce qui concerne :

• Toutes les données collectées et stockées.
• Chaque catégorie de sources où les données sont collectées (par exemple, financière, contact, médicale).
• L’objectif commercial de la collecte et de la vente des données des utilisateurs.
• Une liste des tiers ayant accès aux données d’un utilisateur.

En outre, les entreprises doivent prendre des mesures à la suite des demandes des utilisateurs, à savoir :

• Demander la suppression de leurs données.
• Interdire la vente de leurs données.
• Se prémunir contre la discrimination pour avoir demandé le contrôle de leurs données.
• Porter leurs données.

La CCPA est souvent comparée au GDPR de l’UE, mais sa définition de la conformité est beaucoup plus large : les données protégées comprennent toutes les informations personnelles qui “identifient, concernent, décrivent, sont susceptibles d’être associées ou pourraient raisonnablement être liées directement ou indirectement à un consommateur particulier ou à une maison”.

Les dispositions protègent plus que les seules informations de contact. Les données qui ne contiennent pas d’informations de contact peuvent toujours être soumises à la loi sur la protection des données si elles peuvent être utilisées pour identifier une personne.

Par exemple, une adresse, le revenu d’un ménage et d’autres informations spécifiques peuvent permettre d’identifier un consommateur, de sorte que les dispositions de la CCPA s’appliquent à cet enregistrement.

Bien que la CCPA ne couvre pas les données qui ne peuvent pas être utilisées pour identifier un consommateur, les entreprises doivent s’assurer que les données stockées sont anonymisées en toute sécurité. Les données généralisées peuvent souvent être utilisées pour identifier des consommateurs, même si l’enregistrement ne contient pas de nom.

Bien que les dispositions du CCPA soient entrées en vigueur en 2018, les entreprises avaient jusqu’à janvier 2020 pour s’assurer que leurs systèmes étaient conformes. Les entreprises disposent de 45 jours pour répondre à toute demande d’un consommateur en vertu des règles de la CCPA.

Après un audit, l’entreprise peut recevoir des notifications indiquant que les systèmes ne sont pas conformes. L’entreprise dispose alors de 30 jours pour remédier au problème, faute de quoi elle s’expose à des amendes pouvant aller jusqu’à 7 500 dollars pour chaque problème. Les utilisateurs peuvent demander 750 dollars de dommages et intérêts pour chaque violation de données.

Les violations de la conformité exposent également les entreprises à d’autres poursuites judiciaires. Si une violation grave de données affecte de nombreux consommateurs, l’entreprise peut être confrontée à des années de litiges et à des coûts supplémentaires en termes d’honoraires d’avocats et de réparations.

La protection des données étant un élément essentiel de la conformité à la CCPA, la cybersécurité de toute infrastructure stockant des informations sur les utilisateurs doit être une priorité.

Des contrôles d’autorisation et des protections de sécurité médiocres peuvent entraîner des sanctions sévères, c’est pourquoi la CCPA encourage la mise en œuvre d’une meilleure cybersécurité.

La CCPA stipule que les organisations doivent mettre en œuvre des mesures de “sécurité raisonnables”, ce qui laisse une marge d’interprétation quant à la conformité.

La première étape de l’amélioration de la cybersécurité consiste à effectuer une évaluation des risques.

La plupart des organisations ne savent pas comment procéder à une évaluation efficace des risques et font appel à des professionnels qui effectueront un audit, un inventaire de l’infrastructure et une analyse des risques.

Une fois l’évaluation terminée, ces professionnels fourniront des conseils sur l’élaboration et la mise en œuvre de contrôles de cybersécurité.

La mise en conformité avec la CCPA peut s’avérer complexe et déroutante lorsqu’il s’agit de cybersécurité, mais des professionnels connaissant bien le processus peuvent fournir les conseils appropriés pour garantir que chaque étape est franchie comme il se doit.

Les entreprises peuvent suivre six étapes de base pour assurer la conformité à la CCPA :

1. Désigner une équipe ou une personne responsable de la confidentialité des données. Ce rôle doit être axé sur la CCPA et d’autres normes de conformité, ainsi que sur la cybersécurité entourant la protection des données.
2. Inventorier les données pour déterminer ce qui est collecté et doit être protégé. Comprendre comment les données sont collectées et circulent d’un système à l’autre permet d’établir une feuille de route pour la mise en œuvre des contrôles de cybersécurité.
3. Effectuer une évaluation des risques. Au cours de l’évaluation des risques, l’organisation découvrira les données et les systèmes qui stockent ces données afin d’élaborer des stratégies qui incluent l’infrastructure inconnue.
4. Développer et mettre en œuvre des outils qui protègent les données. Ces outils peuvent être des implémentations tierces ou des codes personnalisés pour ajouter des contrôles d’accès aux données.
5. Définir des politiques et une gouvernance pour les données. Ces politiques doivent superviser l’atténuation et la surveillance des données des consommateurs, y compris l’accès des fournisseurs et la gestion des risques de la chaîne d’approvisionnement.
6. Maintenir une piste d’audit de toutes les politiques et procédures utilisées pour la confidentialité des données. Grâce à l’audit et aux traces des politiques, vous pouvez revoir vos politiques et identifier les leçons apprises pour les améliorer à l’avenir.