Skip to content
Voir tous les articles

Règlements mis à jour du CCPA : Travailler sur l'impact opérationnel

Un nouvel ensemble de réglementations modifiées pour la loi californienne sur la protection de la vie privée des consommateurs (CCPA) est disponible : bien que la première loi américaine sur la protection de la vie privée ne soit pas applicable par le bureau du procureur général avant le 1er juillet 2020, ces réglementations supplémentaires à la loi constituent des conseils essentiels pour les entreprises sur la conformité et les procédures permettant aux consommateurs d'exercer leurs nouveaux droits.

Comme ce fut le cas pour la première série de propositions de réglementation publiées en octobre dernier, les nouvelles réglementations introduisent en premier lieu des impacts opérationnels spécifiques. Plus généralement, ces mises à jour obligent les entreprises concernées à élaborer une stratégie de conformité en matière de confidentialité durable, reproductible et démontrable.

Nous avons vu de nombreuses entreprises opter pour une approche « CCPA light » afin de ne pas avoir à gérer un volume important de DSAR. Ces dernières mises à jour soulignent cependant la nécessité de ces deux approches. connaissance approfondie des données d'entreprise et la capacité de lier automatiquement les connaissances en matière de données aux exigences de reporting et de catégorisation afin de réduire les frais manuels et de gérer les risques de conformité.

Chez BigID, nous avons identifié cinq éléments importants de la réglementation qui remettent en question la stratégie derrière l'approche de conformité « CCPA light » et soulignent les avantages à long terme d'une approche axée sur les données qui peut être facilement intégrée à la gestion des flux de travail :

1. Clarification de la définition des renseignements personnels (RP)

Ce que cela signifie: Les données sont considérées comme des informations personnelles selon que l'entreprise conserve des informations d'une manière qui « identifie, se rapporte à, décrit, est raisonnablement susceptible d'être associée à, ou pourrait être raisonnablement liée, directement ou indirectement, à un consommateur ou à un ménage particulier… Par exemple, si une entreprise collecte les adresses IP des visiteurs de son site Web mais ne lie pas l'adresse IP à un consommateur ou à un ménage particulier, et ne pourrait pas raisonnablement lier l'adresse IP à un consommateur ou à un ménage particulier, alors l'adresse IP ne serait pas une « information personnelle ».

Impact: Déterminer quels types de données et quels attributs sont couverts par la loi est la pierre angulaire des programmes de conformitéL'exemple de la langue et de l'adresse IP semble indiquer que si un attribut de données n'est pas directement associé à un consommateur, et qu'il n'existe aucune méthode raisonnable pour l'associer à un consommateur, il ne constitue pas une information personnelle. Malgré l'ambiguïté de la langue, les entreprises doivent néanmoins déterminer avec certitude si un attribut de données est lié pour constituer une information personnelle. La seule façon de procéder est de cartographie des données, classification et application de l'apprentissage automatique pour comprendre le contexte du traitement des données.

2. Obligations en matière de tenue de registres (généralités)

Ce que cela signifieLes entreprises doivent conserver un enregistrement des demandes DSAR pendant au moins 24 mois. Cet enregistrement peut être conservé sous forme de ticket ou de journal, à condition d'inclure la date et la nature de la demande, son mode de présentation, la date et la nature de la réponse de l'entreprise, ainsi que les motifs du refus. Ces informations ne peuvent être utilisées que pour se conformer à la loi CCPA. L'entreprise doit mettre en place des mesures de sécurité techniques et administratives appropriées pour la conservation de ces enregistrements.

ImpactLe règlement du procureur général établit des exigences de documentation qui n'existaient pas dans la version initiale de la loi. Les entreprises doivent désormais être en mesure de conserver des enregistrements de chaque demande DSAR, et non plus seulement d'y répondre. Pour les organisations qui traitent manuellement les DSAR, ce règlement entraîne des frais supplémentaires liés à la documentation. La création et la maintenance de cette documentation ajoutent un autre coût direct aux programmes de confidentialité, en particulier si le collecte de données et réception des DSAR Les processus sont des éléments disparates avec des processus incohérents.

3. Obligations de tenue de registres (spécifiques aux grandes entreprises)

Ce que cela signifie:Une entreprise qui achète, reçoit, vend ou partage chaque année (à des fins commerciales) les informations personnelles de 4 millions ou plus de consommateurs au cours d'une année civile doit fournir les mesures suivantes dans sa politique de confidentialité : (1) nombre de demandes reçues/respectées/refusées, (2) nombre de demandes de suppression reçues/respectées/refusées par cette entreprise, (3) nombre de demandes de désinscription reçues/respectées/refusées, et (4) nombre médian ou moyen de jours qu'il a fallu à l'entreprise pour répondre de manière substantielle à ces demandes.

ImpactLes entreprises qui traitent les données de plus de quatre millions de consommateurs devront non seulement comptabiliser les données incluses dans chaque DSAR, mais aussi la manière dont elles gèrent les droits sur les données de manière plus générale. L'assemblage de ces indicateurs entraînera non seulement des frais supplémentaires, mais aussi une complexité accrue en l'absence d'un programme de confidentialité bien structuré intégrant les flux de travail et inventaire des données.

4. Interdictions de la « demande de renseignements » du DSAR

Ce que cela signifie:En réponse à une demande DSAR d'un consommateur visant à obtenir des informations, la réponse de l'entreprise ne peut pas divulguer le numéro de sécurité sociale, le numéro de permis de conduire ou tout autre numéro d'identification émis par le gouvernement, le numéro de compte financier, tout numéro d'assurance maladie ou d'identification médicale, un mot de passe de compte, ou des questions et réponses de sécurité, ou des données biométriques uniques générées à partir de mesures ou d'analyses techniques de caractéristiques humaines.

ImpactBien que les entreprises soient tenues d'informer leurs consommateurs de la possession de ces informations, elles ne peuvent pas révéler les attributs de données en texte clair. Elles doivent donc envisager d'autres méthodes, comme le masquage de champs et d'attributs de données spécifiques. Tout outil de reporting efficace doit permettre aux clients de configurer le masquage pour chaque étape du cycle de vie de la demande.

5. Clarification de la définition de « ménage » :

Ce que cela signifie:La définition d'un ménage est clarifiée pour signifier une personne ou un groupe de personnes qui : (1) résident à la même adresse, (2) partagent un appareil commun ou le même service fourni par une entreprise, et (3) sont identifiées par l'entreprise comme partageant le même compte de groupe ou identifiant unique.

ImpactLes appareils domestiques connectés IoT comme Alexa, Ring, Roomba, les téléviseurs intelligents et les voitures connectées génèrent d'énormes quantités de données. Ces données IoT sont généralement transmises au sein des entreprises grâce à des technologies de streaming. Les entreprises doivent être capables de découvrir et de classer les données en mouvement, puis de les corréler avec le « foyer » d'origine. De plus, elles doivent être en mesure d'identifier les personnes qui vivent dans le même foyer.

La direction prise par le bureau du procureur général est claire : une plus grande responsabilisation en matière de traitement et de collecte des données, et des exigences plus strictes pour démontrer que les entreprises concernées prennent ces exigences au sérieux. Ces mises à jour apportent non seulement plus de clarté, mais soulignent également la complexité croissante de la mise en œuvre de cette première loi complète sur la protection de la vie privée aux États-Unis, et d'autres sont à venir.

Nombre de nos clients ont investi dans la découverte de données et l'automatisation de la conformité en matière de confidentialité afin de renforcer et de préserver la confiance envers leur marque. L'intégration de la découverte et de la classification des données personnelles à une gestion avancée des droits sur les données offre l'avantage supplémentaire de garantir efficacité, automatisation et précision face à l'évolution des exigences réglementaires en matière de confidentialité. Connaître vos données facilite une réponse agile à l'évolution des exigences en matière de reporting : Découvrez comment BigID vous aide avec une démonstration personnalisée 1:1.