Un guide sur le CCPA : la loi californienne sur la protection de la vie privée des consommateurs
Publié: 2021-03-12La California Consumer Privacy Act a été adoptée en 2018. Il s'agit d'une loi d'État qui offre des protections aux résidents de Californie, conçue pour donner aux consommateurs californiens le contrôle de leurs données en ligne et de leurs informations personnelles.
Le CCPA offre aux consommateurs des protections de données, notamment :
Le droit de connaître les renseignements personnels que les entreprises recueillent.
Le droit de supprimer les informations personnelles qui ont été collectées.
Le droit de refuser la vente de leurs informations personnelles.
Le droit à la non-discrimination pour l'exercice de leurs droits CCPA.
Qui doit se soucier de la conformité au CCPA
Le CCPA est une loi californienne uniquement, mais il s'applique à toute organisation exerçant des activités en Californie ou collectant des données sur les utilisateurs californiens. Les protections ne s'appliquent qu'aux résidents de Californie, mais elles s'appliquent même lorsqu'ils sont temporairement en dehors de l'État.
Le CCPA s'applique à :
- Entreprises à but lucratif exerçant des activités en Californie qui génèrent un chiffre d'affaires annuel de plus de 25 millions de dollars.
- Entreprises qui achètent, reçoivent ou vendent les informations personnelles de 50 000 résidents, foyers ou appareils californiens ou plus
- Les entreprises qui tirent 50 % ou plus de leur chiffre d'affaires annuel de la vente des informations personnelles des résidents de Californie.
La Californie est l'État le plus peuplé des États-Unis et abrite la Silicon Valley. Ainsi, au lieu de réglementations fédérales régissant la protection des données pour les consommateurs américains, le CCPA a établi la norme et l'obligation concernant la manière dont les entreprises des États-Unis collectent, stockent, vendent et traitent données personnelles.
En vertu du CCPA, les entreprises peuvent être poursuivies si "des informations personnelles non cryptées et non expurgées ont été volées lors d'une violation de données en raison du manquement de l'entreprise à maintenir des procédures et des pratiques de sécurité raisonnables pour les protéger".
Les avantages du CCPA
L'ACCP n'établit pas automatiquement un environnement numérique sécurisé ; il s'agit d'une feuille de route vers un Internet plus sûr. Cela crée un précédent pour le type de données que nous, en tant que consommateurs, devrions nous attendre à protéger. Il montre également à quel type d'exigences les entreprises doivent s'attendre à se conformer si elles veulent protéger les données des utilisateurs et ouvre la voie à une future réglementation.
L'ACCP a sensibilisé davantage à la manière dont les sites Web collectent, gèrent et vendent des données. Il a fait en sorte que les entreprises soient dans une position où elles doivent divulguer comment elles traitent les données des consommateurs. Bien qu'il n'y ait aucune obligation pour tous les sites Web de renforcer strictement la sécurité de leurs données et que le CCPA soit, pour l'essentiel, dépendant de l'issue des tribunaux, il s'appuie sur des recours collectifs pour régler les affaires. La responsabilité de ne pas se conformer pourrait être suffisante pour apporter des améliorations à la sécurité générale des données.
Inconvénients du CCPA
Alors que le CCPA est la première étape majeure prise aux États-Unis pour améliorer la protection des données pour les consommateurs, il n'est pas sans défauts. Il y a des problèmes avec le CCPA à la fois dans sa portée et dans sa rédaction.
Aucune obligation de maintenir la sécurité des données
Il n'est pas nécessaire de mettre en œuvre et de maintenir une solide pratique de sécurité des données. Le CCPA ne donne vraiment droit aux consommateurs à des dommages-intérêts légaux que s'ils ont fait l'objet d'une violation de données. Il n'y a aucune obligation de maintenir des pratiques de sécurité autres que le fait de ne pas fournir des pratiques de sécurité suffisantes, à la suite d'une violation, vous rendrait responsable des dommages-intérêts légaux aux consommateurs si cela est prouvé devant un tribunal.
Litige
Les affaires sont portées devant le système judiciaire, ce qui permet aux consommateurs de poursuivre les entreprises. Cela pourrait constituer un obstacle à l'entrée pour de nombreux consommateurs, en particulier les consommateurs las de traiter avec le système judiciaire.
Une clause « curative » qui favorise les entreprises
En vertu de la disposition de « réparation » de 30 jours de la CCPA, les consommateurs doivent fournir un avis écrit du problème spécifique avant d'engager toute action en justice contre une entreprise : « Si l'entreprise remédie à la violation constatée et fournit au consommateur une déclaration écrite l'indiquant, des dommages-intérêts légaux sont indisponible."
Comment le CCPA définit les consommateurs
Alors que le RGPD s'applique à toute personne concernée dans l'UE au moment de la collecte ou du traitement, quelle que soit sa nationalité, le CCPA définit le consommateur comme étant un résident californien, même s'il est temporairement hors de l'État. Seule la protection des consommateurs californiens laisse une grande partie du pays sans protection.
Comment le CCPA définit les contrôleurs de données
Le CCPA s'applique aux entreprises qui échangent les données de plus de 50 000 Californiens par an ou qui ont un chiffre d'affaires supérieur à 25 millions de dollars, ou aux entreprises qui tirent plus de 50 % de leur chiffre d'affaires annuel de la vente d'informations personnelles ; Le RGPD s'applique à tous les sites Web, entreprises et organisations dans le monde (contrôleurs de données) s'ils proposent des biens ou des services à des personnes au sein de l'UE.
Autorités de contrôle : pouvoirs d'enquête limités
Les violations du CCPA et la non-conformité sont évaluées par le procureur général de Californie. Seul le Californian AG a le pouvoir d'enquêter sur les violations du CCPA, et les consommateurs ne peuvent engager de poursuites que dans le cas où ils sont impliqués dans une violation - et cela ne fait qu'engager une procédure judiciaire.
Comment se conformer à la CCPA
Pour les entreprises, vous devez vous assurer que votre site Web inclut des informations sur le type de données que vous collectez sur vos utilisateurs, permettre aux utilisateurs de refuser la vente de ces informations et vous devez pouvoir supprimer des informations personnelles lorsqu'une demande de consommateur est faite. .
Auditez les données que vous collectez
Comprenez comment la loi vous affecte. Sachez quel type de données sur les consommateurs vous collectez. Ce ne sont pas seulement les PII, mais aussi les données de suivi Web qui sont impliquées dans la loi.
Votre plus grande responsabilité ne vient peut-être même pas de l'intérieur de votre propre organisation, mais des fournisseurs tiers que vous utilisez en tant que fournisseurs de services Web ou de plug-ins.
Cartographier les données des consommateurs
Depuis le 1er janvier 2020, les consommateurs californiens peuvent demander comment vous collectez leurs données et ce que vous en faites ; vous devriez pouvoir répondre à ces questions. Facilitez la recherche de données pour votre équipe en les rendant indexables et consultables. Commencez à cartographier les données que vous avez découvertes lors de votre audit en demandant :
- Quelles données collectez-vous ?
- Où le stockez-vous ?
- Qui est responsable des données ?
- Comment collectez-vous les données ?
- Avec qui partagez-vous les données ?
- Vendez-vous les données ?
Mettre en œuvre les divulgations de confidentialité
Il est temps de mettre à jour vos informations sur la confidentialité, y compris votre politique de confidentialité, vos conditions générales et votre politique en matière de cookies. Faites des remarques spécifiques sur le type d'informations que vous collectez, comment vous collectez ces informations, quels types de tiers auront accès à ces données et les raisons pour lesquelles vous collectez ces informations.
Rendez vos politiques claires et tenez-les à jour, et donnez à vos utilisateurs la possibilité de se retirer. Vous devriez même envisager d'ajouter un bouton "ne pas vendre mes données" à votre site Web qui permet de revoir vos politiques et la possibilité de refuser certaines pratiques en matière de données.
Élaborer des processus pour les demandes d'information
Vous pourriez être tenu de fournir des copies des données des consommateurs, de supprimer les données à leur demande, d'expliquer les données que vous collectez ou de refuser aux consommateurs la collecte de leurs données. Les entités couvertes peuvent se voir demander par un consommateur :
- Pour obtenir une copie de leurs informations personnelles
- Que leurs informations personnelles soient supprimées
- Quelles catégories de leurs informations personnelles sont vendues
- Pour refuser la vente d'informations personnelles pour les personnes de plus de 16 ans
- Pour accepter la vente d'informations personnelles pour les personnes âgées de 13 à 16 ans
- Pour obtenir le consentement d'un tuteur pour vendre des informations personnelles d'un consommateur de moins de 13 ans
Abordez la confidentialité à tous les niveaux
Maintenez vos logiciels et systèmes à jour et sécurisés. Cela signifie disposer de mots de passe forts et d'une protection contre les logiciels malveillants, ainsi que de la gestion des risques humains. Formez votre équipe afin qu'elle comprenne la loi, comment elle s'applique à elle et comment elle pourrait jouer un rôle dans la protection de vos données.
Adopter une approche basée sur les risques
Protégez votre entreprise en prenant l'initiative de vos pratiques de sécurité des données et en impliquant des experts en sécurité des données, aux côtés des membres de votre équipe, à tous les niveaux de votre organisation. Le risque existe à tous les niveaux. Recueillez les idées et les commentaires de tous les membres de votre organisation et, en équipe, identifiez vos plus grands risques et hiérarchisez leurs correctifs.
Pénalités de non-conformité
Les entreprises ne peuvent pas être poursuivies pour violation du CCPA, sauf en cas de violation de données. Dans des cas spécifiques, les consommateurs ont droit à des dommages-intérêts. Une entreprise n'est pas responsable si elle « remédie » à une non-conformité dans les 30 jours suivant la notification de la non-conformité présumée (bien que certains cas puissent ne pas être en mesure de « remédier »).
Dégâts
Les dommages-intérêts légaux qu'un individu peut recevoir vont de 100 $ à 750 $ par incident ou peuvent correspondre au montant total des dommages pécuniaires réellement subis à la suite de la violation de données. Les tribunaux peuvent également décider de sanctions plus sévères en fonction de la gravité de l'infraction. Considérant qu'une violation de données typique peut affecter des centaines de milliers de consommateurs, ces coûts peuvent s'additionner - mais les consommateurs doivent passer par un litige avant que des amendes ne soient appliquées.
Pénalités
En plus des dommages individuels dus aux consommateurs, les entreprises peuvent faire face à des sanctions civiles en cas d'infraction et de violation du CCPA. Ces sanctions peuvent aller de « 2 500 $ pour une violation non intentionnelle à 7 500 $ pour une violation intentionnelle ».
Notre avis sur le CCPA
Début 2021, il a été révélé que des pirates chinois avaient tenté de voler des données biométriques et des informations d'identification personnelle de plus de 80 % des Américains. Dans certains cas, ils ont réussi. Il n'y a pas seulement un impératif commercial pour renforcer la sécurité des données des consommateurs, mais un impératif de sécurité nationale existe également. Malheureusement, on ne peut pas faire confiance aux États pour appliquer la protection des données de manière égale et simultanée.
En 2019, après qu'une feuille de calcul contenant les noms de 4 457 personnes ainsi que leurs numéros de sécurité sociale, numéros de téléphone et adresses e-mail a été publiée par inadvertance par le département du travail de Géorgie, la Cour suprême de l'État de Géorgie a statué qu'elle n'avait "aucune obligation inhérente". pour protéger les informations personnelles des citoyens qu'il stocke. La décision a réitéré que les personnes chargées des données sensibles, les collecteurs de données, n'avaient aucune obligation de sécuriser ces informations, et c'est un problème.
En l'absence de réglementation fédérale, l'ACCP tente de combler un vide qui doit désespérément être comblé. Il établit des normes de sécurité des données que les entreprises doivent mettre en œuvre et des protections auxquelles les consommateurs doivent s'attendre. Pourtant, il existe de grandes lacunes quant à savoir qui est protégé et quelles entreprises sont responsables, ce qui laisse trop d'ambiguïté et de latitude pour être un moyen de dissuasion efficace ou pour encourager la conformité.
CCPA ≠ RGPD
CCPA est souvent mentionné dans le même souffle que GDPR, mais il n'est pas près d'avoir la portée ou l'impact et est en deçà du GDPR.
Sans les pouvoirs étendus pour auditer, enquêter ou faire respecter les normes de sécurité des données comme avec le RGPD, le CCPA reste un élément dissuasif uniquement parce que la sécurité des données devient une responsabilité plutôt qu'une chose activement étudiée et appliquée.
Contrairement au RGPD, le CCPA n'a pas été aussi efficace pour communiquer ce qui est exigé des entreprises et la manière dont les cas sont traités. Bien que toutes les données sur les amendes GDPR n'aient pas été rendues publiques, il existe plus d'informations disponibles en ce qui concerne les exigences de conformité et les sanctions en cas de non-conformité. Il existe même un site Web indépendant consacré au suivi de l'application du RGPD, et il a été intéressant de suivre chaque pays membre qui applique la conformité au RGPD.
Le RGPD a infligé des centaines de sanctions au cours des dernières années, dont une amende de 18,4 millions de livres sterling à Marriott pour une violation de données en 2018 pour « des mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations ». L'ACCP n'a pas eu la même publicité autour de son application ou de ses répercussions. Sans les sanctions ou les cas dignes d'intérêt, le CCPA pourrait ne pas être suffisamment dissuasif pour résoudre le problème de l'insécurité des données aux États-Unis.
Si les conséquences ne sont pas suffisamment importantes et que l'application de la loi n'est pas cohérente, rapide et efficace, le CCPA pourrait ne pas être suffisamment dissuasif pour que les entreprises prennent au sérieux la question de la sécurité des données.
Nous ne sommes pas des avocats; nous ne pouvons pas vous aider à auditer et à assurer la conformité en matière de cybersécurité, mais nous pouvons créer un site Web qui répondra aux exigences du CCPA, et nous pouvons travailler aux côtés de votre équipe de gestion des données pour créer un environnement numérique qui renforcera la confiance des consommateurs dans votre marque et répondra vos objectifs commerciaux.
Si les réglementations sur la confidentialité des données vous préoccupent au sujet de votre site Web et de sa conformité, lisez notre guide sur le RGPD pour améliorer vos connaissances en matière de réglementation sur la sécurité des données, ou contactez-nous et discutons.