En tant que chef d'entreprise, votre priorité doit être de répondre aux besoins des consommateurs pour qu'ils continuent à utiliser vos services. Traditionnellement, cela impliquait de proposer des produits irréprochables, au bon prix.
Cependant, vous devez proposer beaucoup plus que ça pour convaincre les consommateurs modernes. Par exemple, votre marque a besoin de valeurs pertinentes et le parcours client doit être fluide et agréable. Et en raison des récents problèmes en matière de cybersécurité et de violations des données, les consommateurs doivent savoir qu'ils peuvent vous faire confiance avec leurs données.
Selon le l'étude de PEW, l'inquiétude concernant l'utilisation des données par les entreprises est largement répandue parmi les Américains, 79 % d'entre eux se disant préoccupés par cette question. Par conséquent, la plupart des consommateurs ne sont prêts à partager leurs données qu'avec certaines marques.
Pour aider à protéger ses résidents, la Californie a adopté une approche progressive et stricte de la réglementation sur la confidentialité des données. En première ligne de ces efforts figure la loi California Consumer Privacy Act (CCPA), adoptée en 2018 et entrée en vigueur en janvier 2020.
Mais à l'avenir, les entreprises qui ciblent les résidents de Californie devront également se conformer à des réglementations plus strictes. Cela se fera dans le cadre de la loi CPRA (California Privacy Rights Act) de 2020, une extension de la loi CCPA.
Compte tenu de l'impact et des ramifications potentielles de cette loi, il est important de comprendre ce qu'elle implique de s'y préparer. Dans cet article, vous apprendrez tout ce qu'il y a à savoir sur la loi CPRA.
Avant d'aborder les implications de la loi CPRA pour votre entreprise, il est essentiel d'examiner la nature actuelle de la réglementation californienne en matière de protection de la confidentialité. Étant donné que la CPRA s'appuie sur la CCPA, il est important de comprendre cette loi.
Pour commencer, il faut savoir que la loi CCPA a été promulguée en réponse à l'indignation du public à la suite de violations de données à grande échelle. Elle permet aux résidents californiens de mieux contrôler leurs informations personnelles en :
La loi s'applique à toute société à but lucratif qui exerce ses activités en Californie, qu'elle y soit établie physiquement ou non. En cas de non-conformité, une entreprise peut se voir infliger une amende allant jusqu'à 7 500 dollars par infraction.
La CPRA est une extension de la CCPA adoptée par les électeurs californiens en 2020. La loi entrera en vigueur en janvier 2023 et donnera aux résidents californiens un plus grand contrôle sur leurs données.
La CPRA s'appuie sur les réglementations déjà existantes définies par la CCPA. Mais elle comprend également de nouvelles dispositions destinées à protéger davantage la confidentialité des consommateurs. Par exemple, la CPRA va :
En outre, la CPRA élargira la définition des informations personnelles pour inclure des éléments tels que les adresses IP, les données biométriques et de géolocalisation.
Non, la CPRA ne remplace pas la CCPA. Elle s'appuie sur les réglementations existantes pour créer un cadre encore plus solide pour la protection de la confidentialité des consommateurs. Les entreprises qui se conforment à la CCPA devront également se conformer à la CPRA lorsqu'elle entrera en vigueur en 2023.
Maintenant que vous connaissez les principes de base de la loi CPRA, examinons plus en détail ce qu'elle implique.
Comme mentionné précédemment, la CPRA s'appuie sur les réglementations existantes définies par la CCPA. Mais elle comprend également de nouvelles dispositions conçues pour renforcer la protection de la confidentialité des consommateurs.
La loi CPRA s'applique à toute société à but lucratif qui exerce des activités en Californie et qui recueille les informations personnelles de résidents californiens, qu'elle y soit ou non physiquement présente.
La CPRA implique la mise en conformité de moins d'entreprises. Cependant, celles qui y sont admissibles, devront en faire beaucoup plus pour assurer leur conformité.
Une fois la loi en vigueur :
Un autre changement clé est que la CPRA élargit la définition des informations personnelles sensibles. Dans le cadre de la CPRA, les informations personnelles sensibles comprennent les éléments suivants :
Il s'agit d'une extension importante par rapport à la CCPA, qui ne comprenait que les numéros de sécurité sociale et de permis de conduire.
La définition élargie des informations personnelles sensibles signifie que les entreprises doivent prendre des précautions supplémentaires pour protéger ce type de données. Elles auront également besoin du consentement explicite du consommateur avant de les recueillir, de les utiliser ou de les partager.
Outre une définition plus large des informations sensibles, la CPRA étend également les droits des consommateurs. La CPRA donnera aux résidents californiens le droit de :
Ces droits sont similaires à ceux établis par la CCPA. Mais la CPRA va encore plus loin en donnant aux consommateurs le droit de dicter la façon dont vous utilisez leurs données.
Par exemple, en vertu de la CPRA, si un consommateur refuse que ses données soient vendues, vous devrez cesser de les vendre. Ainsi, contrairement à la CCPA, il ne s'agit pas d'informer les clients de la manière dont vous utilisez leurs données, mais d'obtenir leur accord préalable.
En vertu des lois californiennes sur la confidentialité, les entreprises doivent inclure un lien indiquant la mention « Ne pas vendre mes informations personnelles » sur la page d'accueil de leur site. Il doit diriger vers une page dédiée où les consommateurs peuvent exercer leurs droits de refus.
Avec la CPRA, vous devrez également ajouter un deuxième lien intitulé « Limiter l'utilisation de mes informations personnelles sensibles ». Il doit renvoyer à une page dédiée où les utilisateurs peuvent décider de la manière dont vous pouvez utiliser leurs informations personnelles. En outre, tant que l'intention du client est claire, vous pouvez le laisser l'exprimer d'une autre manière.
La CPRA créera une nouvelle agence d'État, la loi californienne sur la protection de la vie privée (CPPA), pour appliquer ces règles. La CPPA aura le pouvoir d'imposer des amendes allant jusqu'à 7 500 dollars pour chaque infraction. Et elle pourra également intenter une action civile contre les entreprises qui enfreignent la loi.
Il s'agit d'un grand pas en avant, étant donné que la CCPA confiait l'application de la loi au bureau du procureur général de l'État. La CPPA disposera de plus de ressources et sera mieux équipée que le bureau du procureur général pour faire appliquer la loi.
La CCPA permet aux consommateurs de refuser que vous vendiez leurs données. La CPRA va encore plus loin en donnant aux personnes le droit de refuser toute divulgation ou tout partage de leurs informations avec des tiers, que cela implique ou non des informations de paiement.
À l'ère du Big Data, le profilage des données est un atout inestimable pour les entreprises. Il les aide à cibler les publicités, à personnaliser le contenu et à améliorer l'expérience client.
Toutefois, la CPRA imposera certaines restrictions à la prise de décision automatisée. Les entreprises pourront toujours l'utiliser, mais elles devront d'abord obtenir le consentement explicite du consommateur. Et elles devront expliquer le fonctionnement du processus de manière à ce qu'il soit facile à comprendre pour les consommateurs.
La CPRA donnera également aux consommateurs le droit de corriger toute donnée inexacte ou incomplète que les entreprises ont à leur sujet. Cela contraste fortement avec la CCPA, qui permet uniquement aux consommateurs de demander la suppression de leurs données.
Désormais, si un consommateur estime que certaines de vos informations le concernant sont erronées, il peut vous contacter et vous demander de les corriger. Si vous ne respectez pas leur demande, il peut déposer une plainte auprès de la CPPA.
Conformément à la CCPA, les entreprises doivent fournir des explications détaillées sur les données qu'elles collectent, la façon dont elles les utilisent et si elles les partagent avec d'autres parties. Mais ce n'est pas tout. Pour chaque catégorie de données, vous devez informer la personne concernée de la durée de conservation des données ou expliquer les méthodes permettant de déterminer cette durée.
En outre, la CPRA imposera certaines restrictions quant à la durée pendant laquelle les entreprises peuvent conserver les données des consommateurs. Les entreprises ne peuvent conserver les données qu'aussi longtemps que nécessaire pour atteindre l'objectif pour lequel elles ont été collectées.
Il s'agit de l'un des principaux changements par rapport à la loi CCPA, qui permettait aux entreprises de conserver les données jusqu'à sept ans. La CPRA obligera les entreprises à réévaluer leurs pratiques de conservation des données et à s'assurer qu'elles ne conservent pas les données plus longtemps que nécessaire.
Outre les principales caractéristiques du règlement, la CPRA apportera également quelques autres changements notables, notamment :
La CPRA a été décrite comme le « RGPD de Californie ». Et s'il est vrai qu'il existe des similitudes entre les deux réglementations, il existe également des différences fondamentales.
Tout d'abord, la CPRA a un champ d'application beaucoup plus restreint que le RGPD. Elle ne s'applique qu'aux entreprises qui ont des activités en Californie ou qui traitent les données de résidents californiens. En revanche, le RGPD s'applique à toute entreprise qui traite les données des citoyens de l'UE, quel que soit leur emplacement.
Deuxièmement, la CPRA donne aux consommateurs plus de droits que le RGPD. Par exemple, la CPRA donne aux consommateurs le droit de refuser toute divulgation ou partage de leurs informations avec des tiers, qu'elles impliquent ou non un paiement. Le RGPD permet uniquement aux individus de refuser l'utilisation de données personnelles à des fins de marketing.
Enfin, la CPRA est beaucoup plus indulgente en matière d'application. L'amende maximale pour une violation de la CPRA est de 7 500 dollars, tandis que pour une violation du RGPD le montant peut atteindre jusqu'à 20 millions d'euros (soit environ 24 millions de dollars).
La CPRA est la loi sur la protection de la vie privée la plus complète des États-Unis. D'autres États suivront probablement l'exemple de la Californie et adopteront eux-mêmes des lois similaires. Cela signifie que la conformité à la CPRA n'est pas seulement une bonne idée, mais qu'elle est essentielle pour les entreprises qui veulent garder une longueur d'avance.
Si votre entreprise collecte des informations personnelles de résidents californiens, vous devez commencer à vous préparer à la CPRA dès maintenant. Ainsi, lorsque la loi entrera en vigueur en 2023, vous serez en mesure de vous y conformer facilement.
Si votre entreprise est soumise à la CCPA, vous avez déjà fait une bonne partie du chemin en ce qui concerne la conformité à la CPRA. Mais il reste encore quelques étapes clés que vous devez franchir.
Avant de pouvoir atteindre la conformité à la CPRA, vous devez d'abord déterminer les points sur lesquels vous devez travailler. Effectuez une évaluation des lacunes afin d'identifier les domaines dans lesquels vos pratiques de protection de la confidentialité ne répondent pas aux normes de la CPRA.
Une fois que vous savez ce qui doit changer, vous pouvez mettre à jour votre politique de confidentialité. Assurez-vous que votre politique est claire et concise et couvre toutes les bases. Incluez des informations sur les données personnelles que vous collectez, les raisons pour lesquelles vous les collectez, la manière dont vous les utilisez et la durée de leur conservation.
Après avoir mis à jour votre politique de confidentialité, il est temps d'appliquer les modifications à vos pratiques de traitement des données. Si la CPRA vous oblige à modifier la manière dont vous collectez ou traitez les données, assurez-vous que ces changements sont pris en compte dans vos systèmes et processus.
Vos employés sont la clé de votre conformité à la CPRA. Ils doivent être à jour sur la loi et les pratiques de confidentialité de votre entreprise. Assurez-vous qu'ils savent ce qu'ils peuvent et ne peuvent pas faire avec les données à caractère personnel et qu'ils comprennent les dispositions de refus de la CPRA.
La définition des informations personnelles sensibles de la CPRA est plus large que celle de la CCPA. Les informations personnelles comprendront désormais la race, l'origine ethnique, l'orientation sexuelle et les données relatives à la santé. Vous devez identifier toutes les façons dont vous collectez et utilisez ce type d'informations. Vous pourrez alors déterminer si ces utilisations sont conformes ou non à la CPRA.
Une cartographie des données vous aidera à garder une trace de toutes les données personnelles que vous collectez, de leur provenance et de leur destination. Il s'agit d'un outil précieux pour la conformité à la CPRA, car il vous permet de voir rapidement si vous répondez ou non aux exigences de la loi.
En vertu de la CPRA, les entreprises doivent fournir à leurs clients certaines informations avant de recueillir des données personnelles. Celles-ci comprennent les coordonnées de votre entreprise et une description des droits du client en vertu de la CPRA.
Vous devez également obtenir le consentement explicite des clients avant de recueillir des informations personnelles sensibles. Incluez donc les liens obligatoires permettant de refuser l'utilisation des informations personnelles.
Si vous partagez des données personnelles avec des tiers, vous devez avoir des contrats qui garantissent la conformité à la CPRA. Ces contrats doivent stipuler que le tiers n'utilisera les données qu'aux fins spécifiées dans le contrat et qu'il protégera les données conformément aux exigences de la CPRA.
Compte tenu des conséquences de la non-conformité, il sera essentiel d'effectuer régulièrement des analyses des risques liés à la confidentialité. Et la meilleure façon de les réaliser est d'utiliser un logiciel de gestion des étiquettes. Ce logiciel vous aidera à identifier et à évaluer les risques, afin que vous puissiez prendre des mesures pour les limiter.
De plus, le logiciel de gestion des balises vous aidera à gérer les consentements, à suivre les refus d'utilisation des données et à générer des rapports. Ces fonctionnalités seront d'une aide précieuse pour assurer la conformité à la CPRA.
Il existe plusieurs pièges potentiels en matière d'application et de litige dans le cadre de la CPRA. Pour les éviter, vous devez connaître la loi et vos droits et obligations.
Voici quelques éléments à connaître :
Le minimalisme en matière de données est le seul moyen de collecter et de conserver les données dont vous avez besoin à des fins spécifiques. Il s'agit d'une bonne stratégie de conformité à la CPRA, car elle réduit le risque de violation de données et d'utilisation non autorisée de données personnelles.
La sécurité doit être une priorité absolue pour toute entreprise, mais elle est particulièrement importante pour la gestion des données personnelles. La loi CCPA exige que les entreprises prennent des mesures de sécurité raisonnables pour protéger les informations personnelles contre tout accès non autorisé et toute destruction ou utilisation.
Voici quelques-unes des mesures que vous pouvez prendre pour renforcer votre sécurité :
La conformité à la CPRA peut sembler fastidieuse, mais elle en vaut la peine. Elle présente de nombreux avantages pour les entreprises, notamment :
Avec l'entrée en vigueur de la CPRA, il est essentiel d'améliorer vos politiques et procédures de conformité et de gouvernance des données. N'oubliez pas que d'autres réglementations sur la confidentialité des données peuvent apparaître au fil du temps. Il ne s'agit donc pas seulement de se conformer à la CPRA, mais de s'assurer que vous adoptez des pratiques idéales de traitement des données.
Dans cette optique, il est important de disposer de capacités d'archivage des données pour aider à conserver et à accélérer la récupération des informations pertinentes. C'est dans une telle situation qu'une solution comme le portefeuille Veritas Digital Compliance s'avère utile.
L'archivage des données vous aide à indexer, rechercher et auditer les données tout en garantissant la sécurité et la confidentialité des informations.
Le portefeuille inclut également Data Insight, qui utilise le Machine Learning pour identifier les données sensibles sur l'ensemble du réseau d'une organisation. Cette solution vous donne une visibilité sur l'accès aux données ainsi que sur leur utilisation et leur partage. Par conséquent, vous pouvez prendre des mesures pour atténuer les risques et améliorer la conformité.
La CPRA est une loi complexe qui impose de nombreuses exigences. D'autres États suivront probablement l'exemple de la Californie et adopteront eux-mêmes des lois similaires. Cela signifie que la conformité à la CPRA n'est pas seulement une bonne idée, mais qu'elle est essentielle pour les entreprises qui veulent garder une longueur d'avance.
Si votre entreprise collecte des informations personnelles de résidents californiens, vous devez commencer à vous préparer à la CPRA dès maintenant. Ainsi, lorsque la loi entrera en vigueur en 2023, vous serez en mesure de vous y conformer facilement.
Effectuez une évaluation de vos lacunes afin d'identifier les domaines dans lesquels vos pratiques de protection de la confidentialité ne répondent pas aux normes de la CPRA et mettez à jour votre politique de gestion de la vie privée pour refléter la nouvelle loi. La conformité à la CPRA peut sembler fastidieuse, mais elle en vaut la peine.
Contactez-nous dès aujourd'hui pour en savoir plus sur la façon dont nous pouvons vous aider à maintenir la conformité dans votre entreprise.
Veritas compte parmi ses clients 95 % des entreprises du Fortune 100, et NetBackup™ est le premier choix des entreprises qui cherchent à protéger de grandes quantités de données.
Découvrez comment Veritas assure la protection totale de vos données sur les charges de travail virtuelles, physiques, , en nuage et héritées avec ses services de protection des données pour les entreprises.