Au cours de la dernière décennie, les cybermenaces ont sans doute été la plus grande préoccupation des entreprises et des consommateurs. C'est pourquoi la confidentialité sur Internet est une préoccupation majeure pour 92 % des Américains. En réponse, la Californie a voté la loi California Consumer Privacy Act (CCPA) le 28 juin 2018 pour donner aux consommateurs plus de contrôle sur leurs données.
La loi a été promulguée le 1er janvier 2020 et son application est assurée par le bureau de l'Attorney General de Californie. Les entreprises qui collectent des données personnelles auprès des résidents californiens doivent s'y conformer.
Dans cet article, vous découvrirez tout ce que vous devez savoir sur la loi CCPA et son impact sur votre entreprise.
La loi California Consumer Privacy Act (CCPA) est une loi qui donne aux résidents californiens le droit de savoir quelles informations personnelles sont collectées à leur sujet, le droit de faire supprimer ces informations et le droit de refuser leur vente.
La loi s'applique à toute entreprise à but lucratif qui exerce ses activités en Californie et qui répond à un ou plusieurs des critères suivants :
Il existe quatre exigences principales pour les entreprises :
De plus, les entreprises doivent fournir un lien clair et bien en vue sur leur page d'accueil intitulé « Ne pas vendre mes informations personnelles » qui mène les consommateurs à une page de refus.
Par rapport au RGPD, la loi CCPA a une définition plus large des données sensibles. Le RGPD vise à protéger des données spécifiques, tandis que la loi de protection des données de la Californie est plus préoccupée par ce qui constitue des informations sensibles.
Par exemple, les données olfactives, l'historique de navigation sur les sites web et les enregistrements d'activité des utilisateurs sont inclus. Selon l'AB 375, les « informations personnelles » désignent :
Le bureau du procureur général de Californie est chargé de faire respecter la loi en cas de violation de la loi CCPA. Il peut imposer des sanctions civiles allant jusqu'à 2 500 dollars par violation, ou 7 500 dollars par violation intentionnelle.
La loi CCPA donne également aux consommateurs le droit de déposer un droit d'action privé si leurs informations personnelles font l'objet d'une violation en raison de l'échec de la mise en place de mesures de sécurité raisonnables. Dans de tels cas, les consommateurs peuvent obtenir des dommages-intérêts allant jusqu'à 750 dollars par consommateur et par incident ou des dommages-intérêts effectifs, selon le montant le plus élevé.
Un « tiers » est défini comme une personne ou une entité non soumise à la loi CCPA. Cela inclut les entreprises exemptées et les fournisseurs de services qui traitent des informations personnelles pour le compte d'une entreprise.
Les tiers peuvent également inclure des courtiers en données, qui sont des entreprises qui achètent et vendent des informations personnelles. Les courtiers en données ne sont actuellement pas assujettis à la loi CCPA, mais le seront en 2023.
L'exemption la plus notable concerne les entreprises régies par d'autres lois sur la protection de la vie privée, telles que la loi Gramm-Leach-Bliley Act (GLBA) ou la loi Health Insurance Portability and Accountability Act (HIPAA).
Les autres exemptions de la loi CCPA sont notamment les suivantes :
La loi CCPA exempte également les entreprises dont le chiffre d'affaires annuel est inférieur à 25 millions de dollars, les entreprises qui ne vendent pas d'informations personnelles et les entreprises qui ne recueillent qu'une quantité limitée d'informations personnelles.
La loi CCPA laisse une certaine marge de manœuvre aux entreprises pour se conformer à la loi. Cependant, il est important de noter que la loi s'applique à toutes les entreprises qui collectent les informations personnelles des résidents de Californie.
La loi CCPA est souvent considérée comme le RGPD de Californie. Cependant, ce n'est pas tout à fait exact. Outre la protection des droits à la confidentialité des données pour les citoyens de l'UE, le Règlement Général sur la Protection des Données présente plusieurs différences par rapport à la loi CCPA.
Tout d'abord, la loi CCPA ne s'applique qu'aux informations personnelles, tandis que le RGPD s'applique à toutes les données. Cela inclut à la fois les données personnelles et les données non personnelles.
Deuxièmement, elle donne aux consommateurs le droit de savoir quelles informations personnelles sont recueillies à leur sujet, le droit de supprimer leurs informations personnelles et le droit de refuser que leurs informations personnelles soient vendues. Le RGPD donne aux consommateurs tous ces droits ainsi que le droit d'accéder à leurs données personnelles, le droit de changer d'avis (acceptation/refus) et le droit de recevoir une copie de leurs données dans un format portable.
Troisièmement, la loi CCPA ne s'applique qu'aux entreprises qui collectent ou vendent les informations personnelles des résidents de Californie. Le RGPD s'applique à toute entreprise qui traite ou a l'intention de traiter les données des citoyens de l'UE, quel que soit l'endroit où l'entreprise est située.
Quatrièmement, elle s'applique aux entreprises dont le chiffre d'affaires annuel s'élève à plus de 25 millions de dollars. Le RGPD s'applique à toute entreprise qui traite ou a l'intention de traiter les données des citoyens de l'UE, quelle que soit la taille l'entreprise.
Les organismes de réglementation informent les entreprises qui enfreignent la loi, qui ont ensuite 30 jours pour résoudre le problème. Si le problème n'est pas résolu dans ce délai, l'entreprise est condamnée à une amende pouvant aller jusqu'à 7 500 dollars pour chaque enregistrement.
Bien que 7 500 dollars puissent sembler abordables pour les grandes entreprises, ce n'est pas nécessairement le cas. Ce chiffre peut augmenter de façon exponentielle si l'on tient compte du nombre d'enregistrements affectés par violation.
En outre, la loi CCPA permet aux consommateurs de déposer un droit d'action privé si leurs informations personnelles non chiffrées ou non expurgées sont soumises à un accès non autorisé et à une exfiltration, un vol ou une divulgation en raison de la violation de la loi CCPA par l'entreprise.
Cela signifie que les consommateurs particuliers peuvent poursuivre les entreprises en dommages-intérêts, ce qui peut coûter cher. En outre, l'Attorney General a le droit d'intenter une action civile contre les entreprises pour violation de la loi.
Ainsi, les entreprises qui enfreignent la loi CCPA s'exposent non seulement à des pénalités financières, mais également à des risques pour leur réputation. Les consommateurs sont de plus en plus conscients de leurs droits en matière de confidentialité des données et sont plus susceptibles d'intenter des actions en justice contre les entreprises qui les enfreignent.
Par ailleurs, la loi californienne sur la protection de la vie privée exige que les entreprises proposent aux consommateurs une option leur permettant de refuser le partage des données en utilisant avec pied de page clairement visible sur les sites web. Le non-respect de cette réglementation peut entraîner des sanctions allant de 100 à 750 dollars par infraction. De plus, un tel manquement ouvre une voie supplémentaire permettant aux consommateurs d'intenter des poursuites judiciaires à l'égard des entreprises en infraction avec cette loi.
Au-delà des pénalités et des poursuites judiciaires, vous devez également faire face à d'autres coûts liés à la violation. Il peut s'agir d'informer les consommateurs de cette violation, de leur octroyer des services de surveillance du crédit et de gérer les conséquences du point de vue des relations publiques.
Tous ces coûts peuvent s'additionner et soulignent l'importance de la conformité à la loi CCPA. La compréhension de la loi et la prise de mesures pour la respecter peuvent contribuer à protéger votre entreprise contre les pénalités coûteuses et les préjudices sur la réputation.
Avec tous ces enjeux, les entreprises doivent comprendre la loi CCPA et prendre les mesures nécessaires pour assurer la conformité.
La conformité à la loi CCPA peut représenter un défi, mais vous pouvez prendre quelques mesures pour vous assurer que votre entreprise respecte la loi.
La première étape consiste à déterminer si la loi CCPA s'applique à votre entreprise. Elle s'applique à toute entreprise à but lucratif qui fait des affaires en Californie et répond à un ou plusieurs des critères suivants :
Si la loi CCPA s'applique à votre entreprise, vous devez prendre des mesures pour assurer la conformité.
L'étape suivante consiste à identifier les informations personnelles que vous collectez et stockez. La loi CCPA définit les informations personnelles comme « des informations qui identifient ou décrivent un consommateur ou un ménage particulier, s'y rapportent, sont susceptibles d'y être associées, ou pourraient raisonnablement y être liées, directement ou indirectement. ».
Il s'agit notamment des noms, adresses, adresses e-mail, numéros de téléphone, numéros de sécurité sociale, numéros de permis de conduire, etc. Une fois que vous avez identifié les informations personnelles que vous collectez et stockez, vous devez prendre des mesures pour protéger ces informations.
La loi CCPA exige que les entreprises prennent des mesures de sécurité raisonnables pour protéger les informations personnelles des consommateurs contre tout accès non autorisé et toute destruction, utilisation, modification ou divulgation non autorisée. Cela implique de chiffrer les informations personnelles et de s'assurer que seuls les employés autorisés y ont accès.
Vous devez également auditer votre cadre de confidentialité et de sécurité des informations pour assurer la conformité à la loi CCPA. Cela implique de vous assurer que vous disposez d'une politique de conservation des données, de comprendre comment les informations personnelles sont collectées et utilisées, et de vous assurer que les consommateurs peuvent exercer leurs droits en vertu de la loi.
La loi CCPA donne aux consommateurs le droit de savoir quelles informations personnelles sont collectées à leur sujet, le droit de savoir comment ces informations sont utilisées, le droit de les supprimer et le droit de refuser le partage de données.
Vous devez vous assurer que vous disposez de politiques et de procédures pour garantir ces droits.
La conformité à la loi CCPA est un effort d'équipe. Il est important d'impliquer toutes les équipes et tous les services dans le processus de conformité à la loi CCPA, du service informatique au service marketing.
Chaque équipe a des responsabilités différentes en ce qui concerne la loi CCPA. Par exemple, l'équipe marketing doit s'assurer qu'elle ne recueille pas ou n'utilise pas d'informations personnelles d'une manière interdite par la loi CCPA. L'équipe informatique doit s'assurer que les informations personnelles sont correctement protégées.
Une fois que vous avez impliqué toutes les équipes et tous les départements, vous devez élaborer un plan de conformité à la loi CCPA. Ce plan doit inclure les mesures que vous prenez pour vous conformer à la loi, qui est responsable de la conformité à la loi CCPA et comment vous allez surveiller la conformité.
Il est important de noter que la loi CCPA est une loi fluide. Elle évolue constamment et de nouvelles réglementations peuvent être ajoutées à tout moment. Par conséquent, il est important de réviser régulièrement votre plan de conformité à la loi CCPA et de vous assurer qu'il est à jour.
Lorsque vous vous préparez à vous conformer à la loi CCPA, vous pouvez vous attendre à des perturbations à tous les niveaux de l'entreprise. Pour assurer le succès du déploiement du plan CCPA, il est important de mettre sur pied un groupe de travail désigné.
Ce groupe de travail pour le plan CCPA doit être responsable du développement et de la mise en œuvre du plan de conformité à la loi CCPA. Le groupe de travail doit également être chargé de former les employés à la loi CCPA et de s'assurer que tous les employés connaissent leurs obligations en vertu de la loi.
Une fois que vous avez élaboré un plan de conformité à la loi CCPA, vous devez mettre en place des politiques et des procédures de conformité à la loi CCPA. Ces politiques et procédures doivent être conçues pour aider votre entreprise à se conformer à la loi.
Dans vos politiques et procédures de conformité à la loi CCPA, vous pouvez notamment inclure les politiques de conservation des données, les processus de refus et les programmes de formation.
La loi CCPA s'applique aux résidents de Californie. Cependant, il n'est pas logique d'avoir des cadres de sécurité distincts si vous servez également des clients de l'extérieur de l'État ou prévoyez de le faire. Par conséquent, vous devez traiter chaque client comme un résident de Californie pour assurer la conformité à la loi CCPA.
Cela implique de s'assurer que toutes les informations personnelles sont correctement sécurisées et que seuls les employés autorisés peuvent accéder à ces informations. Il s'agit également de veiller à ce que les consommateurs puissent exercer leurs droits en vertu de la loi CCPA, quel que soit leur lieu de résidence.
Ce faisant, vous évitez à l'entreprise d'avoir à s'adapter aux cadres de sécurité d'autres États au fur et à mesure de leur mise en œuvre.
La conformité à la loi CCPA ne doit pas être considérée comme un événement unique. Elle doit plutôt être intégrée à la culture de votre entreprise. La conformité à la loi CCPA doit être un processus continu régulièrement examiné et mis à jour selon les besoins.
Pour cela, vous pouvez par exemple intégrer la conformité à la loi CCPA au processus d'intégration de vos employés. Cela permettra de vous assurer que tous les nouveaux employés connaissent et comprennent leurs obligations en vertu de la loi.
En intégrant la conformité à la loi CCPA à la culture de votre entreprise, vous pouvez vous assurer que la conformité à la loi CCPA est considérée comme une priorité et que les employés sont toujours conscients de leurs obligations en vertu de la loi.
Comme pour les autres activités, les employés jouent un rôle central dans la capacité de votre entreprise à atteindre et maintenir la conformité à la loi CCPA. Les entreprises doivent prendre des mesures raisonnables pour s'assurer que les employés comprennent la loi CCPA et le fait qu'elle s'applique à leurs fonctions.
Pour cela, elles peuvent organiser une formation régulière à la loi CCPA pour tous les employés. Cette formation doit être conçue pour aider les employés à comprendre la loi CCPA et son impact sur leur travail quotidien.
En formant régulièrement le personnel, vous pouvez vous assurer que les employés sont toujours à jour sur la loi CCPA et qu'ils comprennent leurs obligations en vertu de la loi.
Enfin, vous devez surveiller la conformité à la loi CCPA. Cela inclut l'audit régulier de votre cadre de confidentialité et de sécurité des informations, la garantie que les consommateurs peuvent exercer leurs droits en vertu de la loi CCPA et le suivi des modifications.
En surveillant votre conformité à la loi CCPA, vous pouvez vous assurer que votre entreprise reste conforme.
En novembre 2020, les Californiens ont voté en faveur de la Proposition 24, également connue sous le nom de California Privacy Rights Act (CPRA). Le CPRA modifie la loi CCPA de plusieurs façons et entre en vigueur en janvier 2023.
L'un des changements les plus importants est la création d'un nouvel organisme responsable de l'application de la loi, la California Privacy Protection Agency (CPPA). Le CPPA aura le pouvoir d'enquêter sur les plaintes, d'imposer des amendes et de créer des réglementations.
L'expansion du droit privé d'action de la loi CCPA constitue un autre changement clé. En vertu de la loi CCPA, seuls les consommateurs dont les informations personnelles non chiffrées ou non expurgées font l'objet d'un accès non autorisé, d'une exfiltration, d'un vol ou d'une divulgation à la suite d'une violation d'une entreprise peuvent déposer un droit privé d'action.
Le CPRA étend ce droit d'action privé pour inclure toute violation de la loi CCPA, qu'il y ait ou non un risque de préjudice. Cette évolution signifie que davantage de consommateurs seront en mesure de poursuivre les entreprises en cas de violation de la loi CCPA, et que les dommages-intérêts potentiels seront plus élevés.
Enfin, le CPRA renforce les exigences de la loi CCPA en matière de possibilité de refus pour le consommateur. En vertu de la loi CCPA, les entreprises sont tenues de fournir un lien « Ne pas vendre mes informations personnelles » sur leur page d'accueil.
Le CPRA va encore plus loin en demandant aux entreprises d'indiquer explicitement dans leurs politiques de confidentialité si elles vendent les informations personnelles des consommateurs et le type d'informations personnelles qu'elles vendent. Si une entreprise vend des informations personnelles, elle doit également fournir un bouton de refus sur chaque page où les informations personnelles sont collectées.
Le CPRA donne également aux consommateurs le droit de refuser la vente de leurs informations personnelles sensibles, comme l'origine ethnique, la religion et l'orientation sexuelle.
Face à l'augmentation des préoccupations relatives à la confidentialité des données, vous pouvez vous attendre à ce que davantage de réglementations apparaissent et à ce que les réglementations existantes soient mises à jour. Par conséquent, vous devez être plus prudent et plus réfléchi dans la façon dont vous gérez les données des consommateurs.
La conformité et la gouvernance des données peuvent être intimidantes, ce qui est tout à fait compréhensible, en particulier avec les réglementations émergentes et en constante évolution. Pour commencer, vous avez besoin d'une fonctionnalité d'archivage qui vous permet de trouver rapidement les informations pertinentes. À cet égard, Veritas peut vous aider.
En tirant parti du portefeuille de conformité numérique de Veritas, vous bénéficiez d'une visibilité et d'un contrôle accrus des données et des réglementations. Il vous donne la possibilité de capturer, d'archiver et de trouver les données pertinentes dans plus de 120 sources de contenu. Cela vous permet d'optimiser la conformité des données et de remédier aux failles de votre gouvernance des données.
La loi California Consumer Privacy Act est une loi révolutionnaire qui donne aux consommateurs plus de contrôle sur leurs informations personnelles. La loi CCPA oblige les entreprises à prendre des mesures pour protéger les informations personnelles et permet aux consommateurs d'exercer plusieurs droits, y compris le droit de refuser la vente de leurs informations personnelles.
Mais maintenant, avec l'arrivée imminente de la loi CPRA, vous devez également commencer à vous préparer aux nouveaux changements. Le CPRA modifie la loi CCPA de plusieurs façons et entre en vigueur en janvier 2023.
Contactez-nous dès aujourd'hui pour en savoir plus sur la façon dont nous pouvons vous aider à maintenir la conformité dans votre entreprise.
Les clients de Veritas comprennent 95 % des entreprises du Fortune 100, et NetBackup™ est le premier choix pour les entreprises qui souhaitent protéger un volume important de données.
Découvrez comment Veritas assure la protection totale de vos données sur les charges de travail virtuelles, physiques, sur Cloud et héritées avec ses services de protection des données pour les entreprises.