En BigIDeas en mouvement, un nouveau podcast qui se concentre sur les leaders de l'industrie et les discussions pertinentes autour de la confidentialité, de la sécurité et de la gouvernance des données, le co-auteur du CCPA, Rick Arney, s'entretient avec le PDG de BigID, Dimitri Sirota, sur la façon dont le California Privacy Rights Act (CPRA), la dernière initiative de confidentialité de la Californie, est « CCPA, devenu plus fort ».
La loi californienne sur les droits à la vie privée (CPRA) est la prochaine évolution de la réglementation californienne sur la confidentialité, visant à renforcer, étendre et donner de « véritables dents » aux réglementations établies par la Loi californienne sur la protection de la vie privée des consommateurs (CCPA)Des exigences plus strictes en matière de divulgation de données à une application plus stricte, la CPRA s'appuie sur les protections fondamentales de la CCPA pour donner aux individus plus de contrôle sur leurs données.
Le paysage pré-CCPA : la confidentialité est « hors de contrôle »
Le Le CCPA a changé la façon de penser des organisations et des consommateurs À propos de la vie privée et des droits relatifs aux données aux États-Unis. Mais dans un monde pré-réglementé, convaincre les législateurs d'agir en faveur d'un changement significatif de la législation sur la vie privée représentait un défi, notamment compte tenu du pouvoir et de la taille des organisations financières qui avaient intérêt à maintenir le statu quo.
Lorsqu'Arney a co-rédigé le projet de loi, il s'agissait initialement d'une initiative référendaire, avec suffisamment de signatures pour le soumettre directement aux électeurs. Des groupes d'intérêt ont manifesté leur intérêt, des groupes de discussion se sont concentrés sur le sujet, et un sondage réalisé à 89% a attiré l'attention des législateurs. La Californie a adopté la CCPA afin de conserver sa compétence sur les futurs amendements et modifications de la loi, plutôt que de la soumettre directement au vote – et directement aux électeurs californiens – sous forme de proposition.
Si l'adoption du CCPA a été une mesure importante, l'essentiel est que le législateur californien a le pouvoir de modifier le CCPA. Des projets de loi sont fréquemment proposés à cet effet, ce qui pourrait l'affaiblir.
Le droit de savoir : sensibiliser, créer un mouvement
La popularité du CCPA auprès des Californiens n'a pas été une mince affaire. Historiquement, les initiatives en matière de protection de la vie privée ont rencontré une certaine résistance en raison d'un manque de sensibilisation et de visibilité sur les enjeux réels.
« Si vous demandez aux gens ce qu'ils pensent de la vie privée, presque tout le monde répond : "Oui, je suis pour la vie privée" », explique Arney. Mais dès que des réglementations commencent à mettre en place, susceptibles de compliquer un peu la vie de ces mêmes personnes, elles ont tendance à céder. La CCPA a commencé à inverser la tendance en offrant aux gens la transparence sur les données collectées à leur sujet et sur leur utilisation.
Le « droit de savoir » du CCPA donne aux gens le droit de savoir ce que les informations que les entreprises collectent sur eux : révéler que les entreprises ont accès à leur état de santé, à leurs affiliations religieuses, à leurs opinions politiques, à leurs antécédents sexuels et à une multitude d’autres informations sensibles stockées dans diverses bases de données, souvent destinées à être vendues au plus offrant.
« Quand les gens découvrent leur les informations personnelles « Si l'on peut potentiellement le vendre, cela ne fait que renforcer le mouvement des gens vers plus d'intimité », explique Arney.
En d’autres termes, ces données sont précieux— et les individus ignorent souvent que ces données existent au-delà de leurs propres dossiers personnels. La CCPA les informe non seulement qu'ils ont le droit de savoir, mais tente également de redonner le contrôle de ces données à l'individu, et non au conglomérat.
Quelle est la différence avec le CPRA ?
Les lois sont importantes, mais la capacité de les faire respecter l'est encore plus. C'est un élément central de l'objectif de la CPRA. Arney identifie quelques-uns des points forts de la CPRA. paysage de la vie privée:
Application de la loi
La CPRA renforce sa responsabilité grâce à une approche transformatrice de son application. Elle créerait une nouvelle agence en Californie, chargée de faire appliquer les nouvelles réglementations proposées dans le cadre de l'initiative, ainsi que toutes celles incluses dans la CCPA.
Les pouvoirs d’application de la nouvelle agence comprennent des pouvoirs d’assignation à comparaître et d’audit, ce qui modifierait l’urgence et la manière dont les entreprises adoptent les normes de confidentialité.
Nouveaux droits et sanctions inclus dans la CPRA
- Le droit de refuser la géolocalisation précise, actuellement définie comme inférieure à un tiers de mile.
- Les amendes pour usage abusif des données personnelles des enfants ont été triplées. La CCPA interdit la vente de données personnelles des enfants, et ces nouvelles amendes prévues par la CPRA renforcent cette réglementation.
- Minimisation des données pour empêcher les entreprises de collecter plus d’informations que nécessaire.
Renforcer le sol
Pour faire face aux menaces susmentionnées auxquelles la CCPA est confrontée depuis son adoption, la CPRA veille à ce que la réglementation en vertu de la CCPA ne soit pas affaiblie à l'avenir. La CPRA dispose d'un mécanisme permettant à la législation de modifier continuellement la CPRA – une nécessité compte tenu de l'évolution rapide des technologies –, mais uniquement dans un souci de protection de la vie privée. Si les modifications portent atteinte à la vie privée, le législateur ne pourra pas les adopter.
Essentiellement, cela fait de la CPRA le plancher, et non le plafond, des réglementations et de leur application en matière de protection de la vie privée à l’avenir.
La vie privée à l'ère du coronavirus
C'est un moment intéressant pour la vie privée. Dans le contexte de la Covid-19, « les gens réfléchissent à la vie privée, notamment… au suivi des personnes infectées ».
Cela peut paraître judicieux lorsqu'il s'agit de sauver des vies et de prévenir la propagation de la maladie. Mais cela implique la collecte de données médicales personnelles et le profilage des assurances qui va avec. Au-delà de cela, « nous ne connaissons pas les conséquences de la Covid-19 », explique Arney. implications cela pourrait provenir d'entreprises vendant éventuellement ces données.
Fournir volontairement ces informations est une chose, mais il est important de comprendre (et d'être informé) si elles ne sont pas contrôlées adéquatement. Il existe des moyens d'utiliser ces informations de manière responsable pour ralentir la propagation et de garantir leur contrôle et leur protection : « Il existe des moyens d'utiliser ces informations pour sauver des vies. »
L'avenir de la confidentialité des données : une bonne confidentialité est une bonne affaire
À mesure que la CCPA gagne en popularité dans d'autres États, il devient de plus en plus évident qu'une « bonne protection de la vie privée est une bonne affaire ». De nombreuses entreprises souhaitent qu'elle devienne la norme de facto pour d'autres États, car elle facilite conformité Plus facile.
De l'application publique des réglementations de la CCPA en matière de protection de la vie privée à la création d'un « socle de protection de la vie privée » pour les futures modifications, la CPRA s'appuie sur un héritage évolutif en matière de protection de la vie privée pour préserver les droits individuels. « Je pense », déclare Arney, « que d'autres États vont s'en inspirer et que cela deviendra une norme nationale. Le gouvernement fédéral pourrait éventuellement adopter une loi similaire, et j'espère que cela ressemblera à la CPRA, pour être honnête. »