Liste de contrôle de conformité CCPA : Guide de la loi californienne sur la protection de la vie privée des consommateurs

Qu'est-ce que le CCPA ?

Le CCPA, ou le Loi californienne sur la protection de la vie privée des consommateurs, est une loi complète sur la protection de la vie privée promulguée dans l'État de Californie. accorde aux consommateurs certains droits concernant la collecte, l'utilisation et la divulgation de leurs renseignements personnels par les entreprises.

La loi exige que les entreprises fournissent des informations claires et transparentes sur les données privées qu’elles collectent, permettent aux consommateurs de refuser la vente de leurs informations et leur permettent d’y accéder, de les supprimer ou de les corriger sur demande.

De plus, la CCPA impose diverses obligations aux entreprises. Par exemple, elles doivent mettre en œuvre des mesures de sécurité raisonnables et obtenir le consentement des mineurs avant de collecter leurs informations pour se conformer.

Pourquoi la CCPA a-t-elle été promulguée ?

La CCPA a été promulguée pour améliorer protection de la vie privée des consommateurs Cette mesure vise à offrir aux résidents de Californie un meilleur contrôle sur leurs informations. Elle a été conçue pour répondre aux préoccupations concernant la collecte, l'utilisation et le partage de ces données par les entreprises, notamment dans le monde numérique.

La réglementation CCPA vise à donner plus de pouvoir aux consommateurs en leur offrant des droits et des choix, notamment le droit de savoir quelles données personnelles des résidents californiens sont collectées et comment elles sont utilisées. Les consommateurs peuvent également refuser que les entreprises vendent leurs informations et ont le droit d'en demander la suppression.

La CCPA vise à responsabiliser les entreprises en matière de protection de la vie privée des consommateurs et à accroître la transparence de leurs pratiques en matière de données. Globalement, la CCPA reflète les préoccupations croissantes concernant la confidentialité à l'ère numérique et vise à renforcer les droits à la vie privée et la protection des consommateurs californiens.

Quels types de données sont réglementés par le CCPA ?

La CCPA réglemente plusieurs types de données personnelles afin de protéger la vie privée des résidents californiens. Voici les principaux types de données couverts par la CCPA :

Données personnelles

Selon la CCPA, les informations personnelles sont toutes les informations qui identifient, concernent, décrivent ou pourraient raisonnablement être rattachées à un consommateur ou à un foyer particulier dans l'État. Cela peut inclure le nom, l'adresse, l'adresse courriel, le numéro de sécurité sociale, l'historique de navigation sur Internet, les données de géolocalisation, les informations biométriques (par exemple, les empreintes digitales, l'ADN), etc.

Informations personnelles sensibles

La CCPA définit les données personnelles comme tout identifiant gouvernemental permettant d'identifier une personne. Certains identifiants, comme le numéro de sécurité sociale, peuvent se superposer à des données personnelles. Cependant, ces informations incluent également les identifiants de compte personnel, les comptes financiers et les numéros de carte de crédit et de débit des résidents californiens, ainsi que les mots de passe, codes d'accès et codes de sécurité leur donnant accès à leurs comptes.

Informations commerciales

La CCPA garantit aux consommateurs le droit à la protection de leurs données personnelles, même lors d'un achat ou d'une consommation. Elle couvre les enregistrements des produits ou services achetés, obtenus ou envisagés, ainsi que l'historique des transactions et les données de paiement. Par exemple, si quelqu'un achète un smartphone, des informations telles que la marque, le modèle, la date d'achat et le prix constituent des informations commerciales.

Cette catégorie couvre également les articles promotionnels, les échantillons ou les cadeaux reçus. Toute information sur les tendances de consommation d'un consommateur est une information protégée.

Activité Internet ou réseau

L'activité Internet d'un individu comprend des données concernant les interactions en ligne, notamment l'historique de navigation, l'historique de recherche et les informations sur l'interaction d'un consommateur avec des sites Web, des applications ou des publicités.

Les URL qu'ils consultent, les sites web et pages qu'ils consultent, ainsi que leurs requêtes de recherche peuvent révéler leurs intérêts, leurs besoins et leurs intentions. La CCPA confère donc aux consommateurs le droit de préserver la confidentialité de ces informations.

Inférences tirées des données

Le CCPA inclut des données dérivées des catégories ci-dessus pour créer des profils ou des prédictions sur les caractéristiques, les préférences, le comportement et les attitudes d'une personne.

Quelles entreprises sont réglementées par le CCPA ?

La CCPA régit diverses entreprises et organisations répondant à certains critères. Voici un aperçu des personnes soumises aux lois de la CCPA et des principaux critères commerciaux :

Entreprises

La CCPA s'applique principalement aux entreprises. Selon la CCPA, une « entreprise » est définie comme une entité à but lucratif exerçant ses activités en Californie et répondant à un ou plusieurs des critères suivants :

• A un chiffre d'affaires brut annuel de $25 millions ou plus.
• Achète, reçoit ou vend les informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus chaque année.
• Tire 50% ou plus de son chiffre d'affaires annuel de la vente de données sur les consommateurs.

Fournisseurs de services

La CCPA s'applique également aux prestataires de services qui traitent des données personnelles pour le compte des entreprises concernées. Ces prestataires sont soumis à certaines obligations contractuelles, mais disposent de droits limités quant à l'utilisation des données à leurs propres fins.

Tierces parties

Les entreprises qui reçoivent des données personnelles d'entreprises concernées à des fins commerciales doivent également se conformer aux exigences du CCPA. Ces tiers sont tenus de traiter ces informations de manière responsable et de ne pas les utiliser à des fins autres que celles spécifiées dans leurs accords avec les entreprises concernées.

Sanctions en cas de non-respect de la CCPA

L'application de la CCPA a débuté le 1er juillet 2020, et des cas de violation et des mesures d'application ont été signalés depuis. Le Bureau du procureur général de Californie est chargé de l'application de la CCPA, et les entreprises qui ne la respectent pas s'exposent à des sanctions, des amendes et d'autres conséquences.

Le non-respect du CCPA peut entraîner des sanctions et des pénalités importantes pour les entreprises, sous forme d'amendes et de sanctions. Les sanctions spécifiques en cas de non-respect du CCPA peuvent varier selon la nature et la gravité de l'infraction, mais peuvent inclure :

• Amendes civiles : La CCPA prévoit des amendes civiles pouvant aller jusqu'à 2 500 TP4T par infraction ou jusqu'à 7 500 TP4T par infraction intentionnelle. Ces amendes peuvent vite s'accumuler, surtout lorsqu'une entreprise a enfreint plusieurs dispositions de la CCPA.
• Droit privé d'action : La CCPA accorde aux consommateurs un droit d’action privé dans certains cas. violations de données résultant de l'incapacité d'une entreprise à mettre en œuvre des mesures de sécurité raisonnables. Cela peut donner lieu à des poursuites individuelles ou collectives, pouvant entraîner des dommages financiers et des frais juridiques importants pour les entreprises jugées responsables.
• Mesures injonctives : Le procureur général peut demander une injonction, qui peut obliger une entreprise à cesser certaines activités de traitement de données ou à prendre des mesures spécifiques pour se conformer au CCPA.
• Atteinte à la réputation : Le non-respect du CCPA peut entraîner une publicité négative, nuire à la réputation d'une entreprise et perdre la confiance des clients, ce qui peut avoir des conséquences financières et opérationnelles à long terme.
• Coûts de remise en état : Les entreprises peuvent avoir besoin d’investir dans des ressources supplémentaires, telles que du personnel, de la technologie et des infrastructures, pour se conformer au CCPA, ce qui peut entraîner des coûts supplémentaires.

Les entreprises qui n'ont pas respecté le CCPA et ont été pénalisées

L'application de la CCPA peut entraîner des amendes et des sanctions en cas de non-respect, et les organisations sont tenues de prendre au sérieux la réglementation sur la confidentialité des données afin de protéger les droits des résidents californiens. Voici quelques exemples d'entreprises qui n'ont pas respecté ces exigences et ont été sanctionnées.

Zoom Video Communications, Inc

En mars 2020, Zoom fait l'objet d'un examen minutieux pour avoir prétendument violé la CCPAL'entreprise a été accusée de ne pas avoir clairement divulgué la manière dont elle collectait et partageait les données des utilisateurs. Zoom a ensuite conclu un accord avec le bureau du procureur général, acceptant d'améliorer ses pratiques de confidentialité et de sécurité afin de garantir sa conformité avec la CCPA.

Zynga Inc

En décembre 2020, le procureur général a annoncé un accord avec Zynga, un développeur de jeux mobiles. Zynga aurait a violé les exigences de conformité CCPA en omettant d'informer les utilisateurs sur la manière dont leurs données étaient collectées et partagées de manière adéquate. L'accord a contraint Zynga à payer une amende et à mettre en œuvre des améliorations en matière de confidentialité des données.

Salesforce

En juin 2021, l'organisation à but non lucratif Californians for Consumer Privacy a déposé une plainte auprès du procureur général, accusant Salesforce ne respecte pas la loi CCPALa plainte affirmait que Salesforce n'avait pas respecté les demandes de suppression de données des utilisateurs, entre autres violations. Salesforce a nié ces allégations.

Les différences entre le CCPA et le CPRA

La CCPA et la CPRA (California Privacy Rights Act) sont deux lois sur la confidentialité des données promulguées en Californie. Cependant, elles diffèrent sur certains points. Voici une comparaison simple :

1. Portée: La CCPA exige que les entreprises répondent à certains critères et traitent les informations personnelles des résidents de Californie, tandis que la CPRA élargit le champ d'application pour s'appliquer aux entreprises qui dépassent certains seuils et traitent les données des résidents de Californie à plus grande échelle.
2. Définitions : CPRA introduit de nouvelles définitions telles que « informations personnelles sensibles » et « partage » qui ne sont pas explicitement définies dans le CCPA.
3. Droits des consommateurs : La CCPA et la CPRA accordent des droits similaires aux consommateurs, tels que le droit de savoir, le droit de supprimer et le droit de refuser la vente de leurs données. Cependant, la CPRA renforce certains de ces droits et en introduit de nouveaux, comme le droit de corriger les inexactitudes et de limiter l'utilisation des informations sensibles. La CCPA impose aux entreprises de répondre aux demandes d'accès ou de suppression des données personnelles des consommateurs dans un délai de 45 jours. Si nécessaire, ce délai peut être prolongé de 45 jours supplémentaires, moyennant un préavis au consommateur.
4. Obligations des entreprises : La CPRA introduit des obligations supplémentaires pour les entreprises, telles que la mise en œuvre de mesures de sécurité raisonnables et la réalisation régulière d'audits de cybersécurité. Elle introduit également une nouvelle catégorie de « prestataires de services » avec des obligations spécifiques.
5. Application : La CCPA et la CPRA accordent toutes deux des pouvoirs d'application au bureau du procureur général de Californie, mais la CPRA établit également une nouvelle agence californienne de protection de la vie privée (CPPA) pour faire respecter la loi.
6. Pénalités : La CCPA impose des amendes pour certaines violations, mais la CPRA introduit des amendes plus élevées pour les violations impliquant les informations des mineurs et augmente les amendes potentielles pour certaines autres violations.
7. Droit privé d'action : La CCPA permet aux consommateurs d'intenter des poursuites privées pour certaines violations de données, tandis que la CPRA étend le droit d'action privé pour couvrir des types supplémentaires de violations et introduit une nouvelle exigence d'adhésion pour que les entreprises partagent les informations des consommateurs.

RGPD vs CCPA : lois sur la protection des droits des consommateurs et la confidentialité

Le Règlement général sur la protection des données (RGPD) Il s'agit d'une loi sur la confidentialité et la sécurité des données, élaborée et adoptée par l'Union européenne (UE). Si le CCPA et le RGPD partagent certaines similitudes, ils présentent également des différences quant à leur portée, leurs exigences et leur applicabilité.

1. Portée: Le RGPD est une législation complète qui s'applique à toutes les entreprises qui traitent des données personnelles de personnes physiques dans l'UE, quel que soit leur emplacement. En revanche, le CCPA s'applique aux entreprises qui collectent des données personnelles auprès de consommateurs en Californie et qui atteignent certains seuils de chiffre d'affaires ou de collecte de données, quel que soit leur emplacement physique.
2. Droits des consommateurs : Le RGPD et le CCPA accordent tous deux certains droits aux consommateurs concernant leurs données. Ces droits incluent le droit de savoir quelles informations sont collectées, d'y accéder, de les corriger, de les supprimer et de s'opposer à leur vente. Cependant, le CCPA prévoit également un droit d'action privé pour certains accès non autorisés aux données, permettant aux consommateurs d'intenter des poursuites contre les entreprises pour obtenir des dommages et intérêts, tandis que le RGPD ne prévoit pas explicitement de droit d'action privé.
3. Exigences en matière de consentement : Le RGPD exige que les entreprises obtiennent le consentement explicite des personnes avant de traiter leurs données personnelles, à quelques exceptions près. La conformité au CCPA, en revanche, exige le droit de refuser la vente de données personnelles, plutôt que d'obtenir le consentement explicite des personnes concernées. consentement explicite pour le traitement des données.
4. Transfert de données : Une autre différence réside dans la manière dont les deux législations gèrent le transfert transfrontalier de données personnelles. Le RGPD impose des exigences strictes en matière de transfert de données personnelles vers des pays hors UE, sauf si certaines garanties sont en place. Le CCPA ne contient pas de dispositions explicites à ce sujet. transferts internationaux de données.
5. Application et sanctions : Le RGPD prévoit des amendes substantielles en cas de non-conformité, avec des pénalités pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé étant retenu. Le CCPA, quant à lui, prévoit des amendes civiles pouvant atteindre $2 500 par violation ou $7 500 par violation intentionnelle, et accorde aux consommateurs un droit d'action privé pour certaines violations de données.
6. Obligations commerciales : Le RGPD et le CCPA Le RGPD impose diverses obligations aux entreprises, telles que le maintien de mesures de sécurité adéquates, la fourniture d'informations claires sur la confidentialité et la réponse rapide aux demandes des consommateurs. Cependant, le RGPD impose des exigences plus complètes aux responsables du traitement et aux sous-traitants, notamment des analyses d'impact obligatoires relatives à la protection des données, la nomination de délégués à la protection des données dans certains cas et le respect de bases juridiques spécifiques pour le traitement des données. En savoir plus sur le RGPD différence entre le RGPD et le CCPA.

Droits à la confidentialité des données des employés du CCPA

Les employés californiens bénéficient de certains droits en vertu du CCPA concernant leurs informations. Voici une explication simple de ces droits :

1. Droit à l'avis : Les employés ont le droit d’être informés des catégories de données collectées par leur employeur et des finalités pour lesquelles elles sont utilisées au moment de la collecte ou avant.
2. Droit d'accès : Les employés peuvent demander l'accès aux informations collectées, utilisées, divulguées ou vendues par leur employeur. Cela inclut le droit de connaître les données spécifiques collectées et les catégories de tiers avec lesquels ces informations sont partagées.
3. Droit de suppression : Les employés ont le droit de demander la suppression de leurs informations personnelles collectées ou conservées par leur employeur, sous réserve de certaines exceptions, telles que des obligations légales ou des fins commerciales légitimes.
4. Droit de retrait de la vente : Les employés peuvent refuser que leur employeur vende leurs informations à des tiers, le cas échéant.
5. Droit à la non-discrimination : Les employés ont le droit de ne pas être discriminés dans l'exercice de leurs droits en vertu de la CCPA. Cela signifie que les employeurs ne peuvent pas refuser ou restreindre les avantages, opportunités ou services liés à l'emploi aux employés qui exercent leurs droits en vertu de la CCPA.
6. Droit à la notification de la collecte de données : Les employés ont le droit d’être informés des catégories de renseignements personnels que leur employeur recueille, ainsi que des fins auxquelles ces renseignements sont utilisés, avant ou au moment de la collecte.
7. Droit de rectification des informations personnelles : Les employés ont le droit de demander la correction des données personnelles inexactes collectées par leur employeur, le cas échéant.

Liste de contrôle de conformité CCPA pour la protection des données personnelles

Téléchargez la liste de contrôle de préparation au CCPA pour décomposer 5 domaines que vous devez couvrir afin de devenir conforme au CCPA, notamment :

1. Carte et inventaire des données clients
   • Identifiez toutes les sources de collecte de données clients (par exemple, sites Web, applications mobiles, interactions en magasin).
   • Créez un inventaire complet de toutes les informations personnelles collectées, stockées, traitées et partagées.
   • Catégorisez les données par type (par exemple, identifiants, informations commerciales, activité Internet) et maintenez une carte de données à jour.
2. Respecter automatiquement les droits des consommateurs en matière de données
   • Mettre en œuvre des systèmes pour gérer et automatiser les réponses aux demandes des consommateurs concernant l’accès aux données, la suppression et le refus des ventes de données.
   • Assurez-vous que des mécanismes sont en place pour permettre aux consommateurs de soumettre facilement des demandes vérifiables (par exemple, des formulaires en ligne, des coordonnées dédiées, etc.).
   • Suivez et documentez chaque demande et son état d’exécution pour garantir le respect de l’exigence de réponse de 45 jours.
3. Mettre à jour la politique de confidentialité et les notifications de divulgation
   • Révisez et mettez à jour votre politique de confidentialité pour refléter les pratiques actuelles en matière de données et les exigences du CCPA.
   • Inclure des informations détaillées sur les catégories d’informations personnelles collectées, les finalités de la collecte de ces informations et les tiers avec lesquels elles sont partagées.
   • Assurez-vous que les consommateurs connaissent leurs droits CCPA grâce à des notifications de divulgation claires et accessibles.
4. Définir les seuils de violation et les flux de travail de l'équipe de confidentialité pour la réponse aux violations
   • Établir des critères spécifiques pour ce qui constitue une violation de données en vertu du CCPA
   • Élaborez un plan détaillé de réponse aux violations, comprenant des procédures de notification et des délais.
   • Désignez une équipe de confidentialité chargée de gérer les fuites et les violations de données et décrivez leurs rôles et responsabilités.
5. Validez et testez tout, des demandes d'accès au partage de données en passant par les politiques de sécurité
   • Effectuer des audits réguliers pour vérifier l’efficacité des processus liés aux demandes d’accès aux données des consommateurs, aux accords de partage de données et aux mesures de sécurité.
   • Effectuer des tests de pénétration et des évaluations de sécurité pour identifier et atténuer les vulnérabilités.
   • Former le personnel à la conformité CCPA et aux meilleures pratiques pour gérer les informations personnelles en toute sécurité.
   • Documenter et examiner tous les résultats des tests et les conclusions des audits pour garantir une amélioration continue et la conformité.

Cette liste de contrôle garantit une approche complète pour vous aider à atteindre et à maintenir la conformité réglementaire, couvrant tous les domaines clés, de la gestion des données à la réponse aux violations et aux mises à jour des politiques.

Atteignez la conformité CCPA avec BigID

BigID Permet aux organisations de respecter et de gérer les exigences du CCPA grâce à une approche automatisée et évolutive pour découvrir, cartographier et gérer les informations personnelles concernées par le CCPA. Avec BigID, les organisations peuvent :

• Découvrir et classer toutes les données impactées par le CCPA dans les sources de données d'entreprise
• Index CCPA par individu à automatiser les droits sur les données
• Opérationnaliser la cartographie et la surveillance des flux de données grâce à l'intelligence des données
• Intégrez-vous aux flux de travail pour une orchestration de bout en bout
• Répondre aux demandes d'accès aux données des personnes concernées (DSAR)
• Gérer, surveiller et valider le partage de données par des tiers

Souhaitez-vous voir comment BigID aide votre organisation à devancer le CCPA ?

Réserver une démonstration.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.