La loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPA) est la première loi américaine du genre à accorder davantage de droits à la vie privée aux consommateurs résidant dans l'État (Détails de Liste de contrôle de conformité CCPA ici). Empruntant de nombreux principes fondamentaux du règlement général sur la protection des données (RGPD) de l'Union européenne, la loi consacre des droits importants pour les consommateurs en leur accordant un contrôle sans précédent sur leurs les informations personnelles.
Prévue pour entrer en vigueur dans moins de neuf mois, le 1er janvier 2020, la loi oblige les entreprises à comprendre son impact sur la collecte et le traitement des données personnelles des consommateurs. En raison de la portée étendue de ses dispositions, une certaine confusion règne quant à de nombreux détails, dont une grande partie repose sur une disposition fondamentale : ce qui constitue des données personnelles (DP) et en quoi elles diffèrent des données personnelles. les informations personnelles identifiables (IPI).
Comprendre la différence entre les deux est essentiel pour se préparer à satisfaire aux exigences du CCPA, ainsi qu'aux réglementations étatiques et fédérales similaires qui adopteront probablement une approche similaire en matière de données personnelles. Les entreprises qui ne comprennent pas cette distinction s'exposent à un risque accru d'amendes et de recours collectifs au civil.
Quelle est la différence entre les informations personnelles et les informations personnellement identifiables ?
Le point de départ pour comprendre la différence entre PI et PII réside dans la définition des informations personnelles selon le CCPA :
« Informations personnelles » telles que définies à l'article 1798.140 du CCPA
(o) (1) « Renseignements personnels » désigne les renseignements qui identifient, concernent, décrivent, peuvent être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier.
Les principaux points à retenir ici sont les suivants « susceptible d’être associé ou pouvant être raisonnablement lié, directement ou indirectement, à un consommateur ou à un ménage. » Cette définition ouvre la voie à une interprétation juridique extrêmement large de ce qui constitue des informations personnelles, considérant que les informations personnelles désignent toutes les données pouvant être liées à une personne ou à un foyer californien. Cela va bien au-delà des données manifestement associées à une identité, telles que le nom, la date de naissance ou le numéro de sécurité sociale, traditionnellement considérées comme des informations personnelles identifiables. Ce sont finalement ces informations « indirectes », telles que les préférences en matière de produits ou les données de géolocalisation, qui sont importantes, car il est beaucoup plus difficile de les identifier et de les relier à une personne que des informations personnelles identifiables bien structurées.
À mesure que les entreprises multiplient les points de contact avec leurs clients sur de nombreux canaux, elles collectent des pétaoctets de données sur les individus à un rythme effréné. Des données personnelles de toutes sortes, des plus identifiables aux plus indirectes, sont collectées via une multitude d'applications et de bases de données, provoquant une prolifération des données personnelles. Ce volume massif de données étant réparti entre des bases de données structurées et non structurées, dans le centre de données et le cloud, il est difficile pour les organisations d'avoir une vision précise de la propriété des données, de leur emplacement et de leur utilisation. La définition large du CCPA concernant les informations personnelles appartenant à une personne concernée représente peut-être le plus grand défi pour les organisations : se conformer dès le premier jour et maintenir cette conformité face à l'augmentation du volume et de la complexité des données. La nécessité de protéger les droits des personnes concernées à grande échelle exige une approche différente de la découverte et de la corrélation des données, contrairement à celle traditionnellement utilisée par les entreprises.
Découverte de données PI spécialement conçue pour CCPA
La protection des droits relatifs aux données personnelles en vertu du CCPA implique la prise en compte des données de chaque individu, y compris les données personnelles et les données personnelles identifiables. Cependant, traditionnellement, basé sur la classification Les outils de découverte de données ne peuvent pas corréler ni associer des données à un individu. Ils peuvent vous indiquer le type de données dont vous disposez, mais pas leur auteur. Les outils traditionnels de découverte de données s'appuient sur des classificateurs basés sur des expressions régulières pour identifier des types de données bien structurés, comme les informations de carte de paiement à seize chiffres. Ils n'ont pas été conçus pour identifier les données personnelles en fonction de leur lien avec une identité. Par conséquent, ces outils ne peuvent pas aller au-delà des types d'informations personnelles identifiables classiques, ce qui les rend inadaptés et obsolètes pour la découverte et la classification. PI en vertu de la CCPA.
La plateforme de confidentialité des données de BigID est spécialement conçue pour la découverte avancée d'informations personnelles et d'informations personnelles identifiables (IPI) dans les données structurées et non structurées, le Big Data et le cloud, hébergées dans le centre de données et le cloud. BigID adopte une approche moderne de la découverte de données, exploitant la puissance de l'apprentissage automatique pour identifier les informations personnelles difficiles à trouver. L'approche de BigID offre aux entreprises une longueur d'avance pour relever le défi spécifique de la découverte et de la corrélation de toutes les informations personnelles, telles que définies par la CCPA.
• Découverte des PI et PII à l'aide de « l'intelligence d'identité » basée sur le ML pour mesurer l'identifiabilité des données et relier la manière dont chaque attribut PI est connecté à d'autres données liées à la même identité dans l'ensemble de l'entreprise
• Corrélation des informations personnelles à un individu en indexant les données par personne afin de préserver et de protéger les droits des personnes concernées
• Rechercher des informations personnelles dans toutes les sources de données de l’entreprise
• Identifier les PI à l'échelle du pétaoctet
Soyez prêt
Si le RGPD nous a appris quelque chose, c'est que les entreprises doivent se préparer au plus tôt pour être prêtes à respecter l'échéance. Dans cette optique, voici les points les plus importants à considérer en priorité :
1. Assurez-vous que votre équipe partage la même compréhension de la définition des informations personnelles en vertu du CCPA.
2. Élargir la gouvernance des données pour inclure les informations personnelles, et pas seulement les informations personnelles identifiables. Les organisations doivent cartographier leurs bases de données, identifier toutes les informations personnelles par rapport à la norme actuelle d'attributs directement ou indirectement identifiables, et inventorier les données par personne et par État de résidence.
3. Gérer efficacement le consentement et surveiller le traitement. Pour prouver leur conformité et instaurer la confiance des consommateurs, les entreprises doivent examiner les contrôles permettant de gérer les utilisations en aval des données personnelles, tout en permettant de surveiller et de garantir le consentement et l'utilisation des données personnelles de manière appropriée.
Pour en savoir plus sur la manière dont BigID peut vous aider à vous préparer au CCPA, visitez BigID.com/demo
Auteur
