Le Protection de la vie privée des consommateurs californiens (CCPA) entrera en vigueur dans quelques mois, et plus tôt ce mois-ci, Le procureur général de Californie, Xavier Becerra Le gouvernement a publié des orientations initiales très attendues sur la mise en œuvre de la loi : elles sont particulièrement intéressantes car le bureau du procureur général sera chargé de son application. Si le règlement a certes introduit une certaine incertitude, il a également amplifié l'inquiétude quant à la meilleure façon de se préparer à l'entrée en vigueur du CCPA, et au-delà.
Du spécifique au général
Les premières évaluations du Règlement n'ont pas été unanimement positives, mais l'attention s'est rapidement portée sur ses répercussions pratiques. Il est remarquable que le Règlement s'étende de la profondeur à l'écosystème forestier.
Par exemple:
– le Règlement est très précis sur la manière dont les entreprises couvertes doivent vérifier l’identité des non-titulaires de compte pour les demandes relatives aux catégories de renseignements personnels ou aux renseignements personnels spécifiques qui ont été collectés à leur sujet.
– le Règlement fournit des détails détaillés sur l’endroit et la manière dont les boutons destinés à faciliter les demandes de « désinscription » ou de « ne pas vendre » doivent être affichés sur les sites Web des entreprises
– Et – probablement encore plus important – le règlement stipule désormais que les entreprises auront 15 jours pour mettre en œuvre la désactivation des demandes de vente de données.
Entre-temps, le bureau du procureur général de Californie a expliqué dans l'exposé des motifs ci-joint que l'intention de la loi est de restaurer le contrôle des consommateurs sur leurs données et d'assurer la transparence sur « la manière dont les entreprises collectent, utilisent et partagent les informations personnelles et sur ce que les entreprises doivent faire pour se conformer au CCPA ».
La transparence, dans ce sens, est plus que la somme totale des parties.
La route vers la ruine est pavée de bonnes intentions
La conformité en matière de confidentialité étant un domaine émergent aux États-Unis, l'accent sera probablement mis, à court terme, sur les points essentiels : s'assurer que les notifications, les politiques et les processus d'acheminement des demandes nécessaires sont en place. Tous ces éléments sont évidemment nécessaires, mais se concentrer sur les points essentiels risque de perdre de vue l'essentiel, ce qui est l'objectif de la loi.
Même si les entreprises parviennent à obtenir les bons détails, elles risquent de tomber dans le piège de ne se contenter que des détails, au détriment de la création de programmes reproductibles, démontrables et durables.
Par exemple, il est essentiel d'utiliser un langage clair et explicite dans la déclaration de confidentialité initiale. Mais sans informations basées sur les données concernant l'utilisation des données dans le cadre d'un processus métier (et sans pouvoir signaler si les données sont utilisées à d'autres fins), la transparence se limite à la politique de confidentialité.
L'évolution des directives met également en évidence les pièges d'une approche manuelle, constamment en phase de rattrapage et reproductible uniquement si la réglementation reste inchangée. Si les entreprises souhaitent faire de la confidentialité un principe opérationnel clé et une valeur ajoutée pour l'entreprise, elles devront éviter de s'enliser dans un cycle de changements coûteux et perturbateurs simplement pour suivre l'évolution de la réglementation.
Pour mettre en place une stratégie d'opérationnalisation de la confidentialité durable, reproductible et démontrable, les entreprises doivent s'appuyer sur des bases solides, automatisées et extensibles. C'est là qu'entre en jeu une intelligence des données cohérente et respectueuse de la confidentialité.
Une jungle ou un jardin ?
L'intelligence cohérente des données permet aux entreprises de s'adapter lorsque de nouvelles exigences émergent afin que les changements ne déséquilibrent pas massivement l'écosystème et ne compromettent pas les stratégies de confidentialité avec les parties prenantes de l'entreprise.
Prenons quelques exemples pour illustrer ce point.
Par exemple, dans le cas de la vérification demandes d'accès aux données pour les non-titulaires de compte, les entreprises doivent être en mesure de prendre deux ou trois points de données (selon la nature de la demande) et de filtrer des milliers, voire des millions d'individus pour cibler un consommateur spécifique, puis de répondre avec un rapport clair, complet et actuel.
De même, pour répondre aux demandes de désinscription ou de non-vente, les entreprises devront être en mesure de :
– vérifier l’identité de la personne spécifique qui fait la demande
– déterminer quelles catégories et quels attributs de données sont collectés dans le contexte d’un processus métier ou d’un flux de données spécifique pour ces individus
– identifier avec quels tiers les données sont partagées, transférées ou vendues
– cesser les ventes et les transferts de données pendant un an, ou jusqu’à ce que le consommateur revienne aux ventes de données
Ce que stipule désormais le Règlement, c'est que toutes ces étapes doivent être réalisées et complétées dans un délai de 15 jours.
Ces deux exemples montrent la complexité d’une approche manuelle – couper à travers la jungle avec une machette par analogie – qui est l’exact opposé de ce qui est répétable.
Lorsque les entreprises disposent d'une vue actualisée, précise et précise des données personnelles collectées et traitées, alimentée par la découverte et la classification automatisées, même à grande échelle et avec une complexité accrue, elles peuvent exploiter cette vue centrée sur l'identité, basée sur l'intelligence des données, pour réagir avec précision et rapidité. De plus, les analystes peuvent vérifier l'identité des personnes non titulaires de compte par une simple requête, sans perdre de temps.
De même, lorsqu'un consommateur fait une demande de désinscription, cette vue centrée sur l'identité permet aux analystes d'identifier précisément les données de qui, quels types de données, pour quels flux de données et les ventes de données de tiers associés doivent être suspendus.
De plus, l'effort supplémentaire nécessaire pour s'adapter aux nouvelles exigences est minimisé, puisqu'il s'agit de modifier la manière dont les rapports sont générés, et non la manière dont les opérations de confidentialité sont mises en œuvre. De plus, le travail d'intelligence des données réalisé pour la stratégie de confidentialité et la conformité peut facilement être transposé à des domaines tels que l'analyse de données, la gouvernance et la sécurité, plutôt que de se limiter à la seule conformité à la confidentialité.
Grâce à la cohésion entre l’intelligence des données, la gestion des droits sur les données et les rapports avancés, les entreprises peuvent réduire radicalement la complexité des étapes distinctes et cloisonnées.
Regard vers l'horizon
Il ne fait aucun doute que la conformité au CCPA impliquera de se conformer aux spécificités du Règlement CA AG. Le défi plus large auquel nos clients sont confrontés est de passer d'un mode réactif à une intégration de la protection de la vie privée au cœur de leurs activités et de leurs valeurs d'entreprise.
Pour obtenir les détails exacts et s'assurer de passer de l'essentiel à l'essentiel, ils constatent que l'opérationnalisation doit s'appuyer directement sur des données intelligentes et respectueuses de la vie privée. Pour concrétiser leur engagement en matière de protection de la vie privée, ils commencent par une vue centrée sur l'identité de toutes leurs données, puis exploitent ces informations à grande échelle pour gérer, gouverner et protéger les données personnelles, et automatiser les dernières exigences du CCPA.
C'est précisément l'objectif pour lequel BigID a été fondé. Nous avons accompagné des entreprises qui considèrent la conformité comme un tremplin vers une stratégie de confidentialité globale et qui perçoivent les obstacles d'un mode réactif comme un obstacle à la réalisation de cet objectif.
Pour en savoir plus sur l'approche de BigID en matière d'automatisation de la conformité CCPA et de l'intelligence des données respectueuse de la confidentialité, téléchargez notre livre blanc ici.
Auteur
