De nombreuses organisations s'efforcent de comprendre la loi californienne sur la protection de la vie privée des consommateurs de 2018, que la législature californienne a adoptée en juin 2018. Elle entrera en vigueur à compter du 1er janvier 2020. Le procureur général de Californie est chargé de faire respecter la loi.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) confère aux résidents californiens de nombreux nouveaux droits concernant la manière dont leurs informations personnelles sont collectées et utilisées.
Les conséquences du non-respect des exigences de la CCPA peuvent être lourdes. Une amende civile pouvant aller jusqu'à $7 500 pour chaque infraction est possible, et les résidents californiens peuvent obtenir jusqu'à $750 par incident ou par dommages réels, selon le montant le plus élevé.
Les organisations doivent comprendre cette loi californienne sur la confidentialité et les moyens pratiques de s’y conformer.
Il est important de garder à l'esprit que la loi pourrait être modifiée en 2019. Adoptée rapidement en 2018, après seulement une semaine de débats, la loi devrait recevoir, au cours de l'année prochaine, d'importantes demandes de lobbying et d'amendements de la part de diverses organisations qui collectent et utilisent les données personnelles des résidents californiens. De plus, la loi exige que le procureur général de Californie élabore des directives spécifiques sur la manière dont les organisations doivent s'y conformer. doit se conformer au CCPA.
Comprendre comment le CCPA s'applique à votre organisation
La première étape consiste à déterminer si et comment la loi californienne sur la protection de la vie privée s'applique à votre organisation. La CCPA s'applique à toutes les organisations qui collectent des données personnelles de résidents californiens et qui répondent à au moins un des seuils suivants :
- a un chiffre d'affaires brut annuel supérieur à $25 millions ;
- achète, reçoit, vend ou partage chaque année les informations personnelles de 50 000 résidents, ménages ou appareils californiens ou plus ; et
- tire 50% ou plus de son chiffre d'affaires annuel de la vente des informations personnelles des résidents de Californie.
La loi accorde aux résidents de Californie les droits fondamentaux suivants auprès des organisations soumises au CCPA — ci-après dénommées organisations couvertes :
- le droit de demander à une organisation couverte de divulguer les catégories et les types spécifiques d'informations personnelles qu'elle collecte sur les résidents de Californie, les types de sources à partir desquelles ces informations sont collectées, les objectifs commerciaux de la collecte ou de la vente des informations et les catégories de tiers avec lesquels les informations sont partagées ;
- le droit de demander la suppression des informations personnelles collectées ;
- le droit de refuser la vente des informations personnelles collectées ; et
- le droit à un service et à un prix égaux si les droits CCPA sont exercés.
La loi interdit également aux organisations couvertes de vendre les informations personnelles des résidents californiens de moins de 16 ans, à moins que ces résidents n'autorisent explicitement la vente.
Bien que la loi californienne sur la protection de la vie privée ne s'applique qu'aux informations personnelles des résidents californiens, de nombreuses organisations concernées collectent des informations personnelles de résidents de plusieurs États. Ces organisations devront décider si elles traiteront toutes les informations personnelles conformément aux exigences de la CCPA ou si elles créeront des processus distincts pour traiter uniquement les informations personnelles des résidents californiens.
Parce que d’autres États s’inspirent souvent de ces pratiques. Lois californiennes sur la confidentialité des données — comme dans le cas des rapports sur les violations de la sécurité des données, par exemple — et si les clients non californiens peuvent ne pas apprécier d'avoir moins de protections pour leurs informations personnelles, il est probable que de nombreuses organisations couvertes détermineront qu'il est préférable d'avoir une approche commune pour gérer les informations personnelles de leurs clients.
Créer un inventaire d'informations personnelles
CCPA définit largement Les renseignements personnels sont des renseignements qui « identifient, concernent, décrivent, peuvent être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur [résident californien] ou à un foyer particulier ». Voici quelques exemples de renseignements personnels :
- identifiants personnels, y compris votre vrai nom, votre adresse postale, votre adresse e-mail, votre numéro de sécurité sociale, votre numéro de permis de conduire ou votre numéro de passeport ;
- informations biométriques;
- données de géolocalisation;
- historique de navigation sur Internet ;
- des informations professionnelles ou liées à l'emploi; et
- déductions tirées d’informations personnelles pour créer un profil sur un résident de Californie.
Afin de mettre en œuvre les contrôles et processus appropriés pour protéger les informations personnelles, les organisations concernées doivent créer un inventaire identifiant et cartographiant comment et quand ces informations sont collectées, utilisées, stockées et détruites, ainsi que leur circulation interne et externe. Il sera difficile pour une organisation concernée de se conformer à la loi californienne sur la protection de la vie privée si elle ne comprend pas les informations personnelles qu'elle détient et les processus de traitement des données connexes qu'elle doit protéger.
Un inventaire des informations personnelles peut également aider à identifier les possibilités de pseudonymiser ou de dépersonnaliser les informations personnelles collectées.
Les petites organisations couvertes peuvent être en mesure d'inventorier manuellement leurs informations personnelles collectées, mais les grandes organisations couvertes devront probablement utiliser un outil de mappage de données tel que OneTrust ou BigID.
Mettre en œuvre les meilleures pratiques en matière de cybersécurité
La conformité à la CCPA obligera les organisations concernées à mettre en œuvre des contrôles et processus de sécurité appropriés pour protéger les informations personnelles. La loi permet aux résidents californiens d'obtenir une indemnisation si leurs informations personnelles font l'objet d'un accès non autorisé, d'une exfiltration, d'un vol ou d'une divulgation résultant d'un manquement de l'entreprise à son obligation de mettre en œuvre et de maintenir des procédures et pratiques de sécurité raisonnables.
Les contrôles varient selon les organisations concernées, en fonction du type et de la quantité de données personnelles collectées, ainsi que des processus utilisés pour interagir avec ces données. Les organisations concernées doivent utiliser une approche basée sur les risques une approche qui protège de manière appropriée les informations personnelles tout en permettant le traitement et le stockage commerciaux nécessaires.
Il n’est pas nécessaire de réinventer la roue ; basez votre programme de cybersécurité sur un ensemble de bonnes pratiques de cybersécurité largement utilisées et acceptées, telles que celles du NIST. Cadre de cybersécurité ou les contrôles de sécurité critiques du Center for Internet Security. Les entreprises peuvent également se conformer à une norme de cybersécurité sectorielle, telle que PCI DSS. Cela permettra à votre organisation de démontrer qu'elle a mis en place des contrôles appropriés et raisonnables pour protéger les informations personnelles et qu'elle respecte les meilleures pratiques de sécurité.
Développer un processus de réponse et de notification en cas de violation des informations personnelles
Afin de se conformer à la loi californienne sur la protection de la vie privée, les organisations concernées doivent se préparer à une violation de données personnelles. Disposer de procédures bien définies et documentées, adaptées et réalistes pour votre organisation facilitera grandement la mise en place d'une réponse rapide et coordonnée.
À un niveau élevé, votre processus de violation des informations personnelles doit inclure :
- une procédure détaillée sur la manière dont vous informerez le procureur général de Californie et les partenaires commerciaux appropriés, le type d'informations que la notification fournira et qui, au sein de votre organisation, effectuera la notification en cas de violation des informations personnelles ; et
- une procédure détaillée sur la manière dont les résidents californiens touchés par une violation des informations personnelles seront informés et sur la rapidité avec laquelle la notification aura lieu.
Les organisations couvertes doivent, à l’avance, définir soigneusement les processus de communication et de confinement ; il peut être stressant et long de comprendre cela au milieu d’une violation.
Assurez-vous de tester soigneusement les procédures de votre organisation en cas de violation de données personnelles au moins une fois par an. Il est préférable de ne pas les tester pour la première fois lors d'une véritable violation.
La confidentialité des données est devenue primordiale. Le RGPD est entré en vigueur en mai 2018 et… Le CCPA se profileLes organisations qui collectent ou traitent des informations personnelles doivent se préparer à un contrôle et une réglementation accrus de leurs pratiques de traitement et de protection des informations personnelles. Grâce à une analyse, une planification et une conception rigoureuses, les organisations concernées peuvent se conformer avec succès au CCPA.