Sécurité des données selon la loi CCPA : ce que vous devez savoir

Aug 29, 2023
Share

La loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPALa loi californienne sur la protection de la vie privée confère aux consommateurs et aux employés résidant en Californie des droits légaux concernant la collecte, le stockage, la vente et le partage de leurs données. À moins d'empêcher activement les résidents californiens de consulter votre site web ou de faire affaire avec vous, vous devez respecter ces droits pour être en conformité avec la loi.

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) est entrée en vigueur le 1er janvier 2020 et a depuis été modifiée par la loi californienne sur les droits à la vie privée (CPRA). La modification apportée par la CPRA, promulguée en janvier 2023, a ajouté de nouvelles dispositions, une agence chargée de son application et une nouvelle catégorie de données : les « informations personnelles sensibles ».

Toute organisation à but lucratif, aux États-Unis ou dans le monde, peut être soumise à la CCPA (tenue de s'y conformer) si elle :

  • Avoir des travailleurs situés en Californie
  • Fournir des biens ou des services à des personnes situées en Californie ou résidant en Californie
  • Interagir avec des tiers qui fournissent des données sur les résidents de Californie

La CCPA ne concerne pas uniquement les entreprises californiennes. Se conformer à la CCPA est un défi mondial. Si vous faites affaire avec des résidents californiens (qui sont au moins 39 millions), vous devez vous conformer à la CCPA, quel que soit l'endroit où se situent vos activités.

Pour être soumise à la CCPA, une entreprise devra soit :

a) Avoir réalisé un chiffre d'affaires brut supérieur à 25 millions de dollars au cours de la dernière année civile ou

b) Obtenir 50 % ou plus des revenus annuels provenant de la vente des renseignements personnels des consommateurs ou

(c) Partager, vendre ou acheter les renseignements personnels de 100 000 ménages, consommateurs ou appareils à des fins commerciales.

Comme avec le Règlement général européen sur la protection des données (RGPDToute violation du CCPA expose votre entreprise à des sanctions financières. En vertu du CPRA, l'Agence californienne de protection de la vie privée (anciennement le procureur général de Californie en vertu du CCPA) peut infliger une amende de 2 500 $ par infraction, soit par donnée personnelle compromise, à toute entreprise qui enfreint le CCPA. Ce montant passe à 7 500 $ en cas d'incident de sécurité des données impliquant des données de mineurs ou en cas de violation intentionnelle.

Le non-respect du CCPA engendre également des risques juridiques. En vertu du CCPA, les consommateurs disposent d'un droit d'action privé en cas de divulgation ou de vol d'informations personnelles non chiffrées ou non expurgées. Bien que relativement limité, ce droit permet néanmoins aux particuliers de poursuivre une entreprise qui expose leurs données lors d'une divulgation ou d'un vol. violation de données.

Ce que les entreprises doivent faire pour se conformer à la CCPA

Être soumis à la CCPA signifie que, pour rester conformes, les entreprises doivent être en mesure de :

Répondre aux demandes de données des consommateurs

La loi CCPA donne aux consommateurs et aux employés le droit de contrôler ce qui arrive à leurs données et d'exiger qu'elles soient protégées.

Les consommateurs ont droit à :

  • Savoir quand leurs renseignements personnels sont recueillis et pourquoi
  • Supprimer leurs informations personnelles après avoir fait une demande
  • Corriger l'inexactitude PI
  • Refuser que leurs données soient vendues ou partagées
  • Limitez ce qui arrive à leurs PI
  • Recevez une copie de toutes les données personnelles collectées à leur sujet dans un format pouvant être envoyé ailleurs.
  • Plus précisément, limiter l’utilisation des informations personnelles sensibles (IPS).
  • Évitez la collecte de données à moins qu'elle ne soit destinée à un but précis, c'est-à-dire les données qui ne sont pas « raisonnablement nécessaires et proportionnées ».

Protéger les données

Les entreprises doivent également mettre en place des mesures de protection des données afin de les sécuriser et de les protéger contre les violations de données. La CCPA définit cette obligation comme la mise en œuvre de « procédures et pratiques de sécurité raisonnables et adaptées à la nature des renseignements personnels afin de protéger ces renseignements contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ou illégaux ».

Pour les entreprises qui ne savent pas par où commencer, Centre pour la sécurité Internet (CIS)Ce document, qui recense 18 mesures de sécurité importantes pour une meilleure cybersécurité, peut fournir des indications utiles. Le CIS définit la « protection des données » comme « les processus et les contrôles techniques permettant d’identifier, de classer, de traiter, de conserver et de supprimer les données en toute sécurité ».

Effectuer des évaluations régulières des risques liés à la protection de la vie privée

Les entreprises doivent régulièrement examiner si leurs pratiques de traitement des données clients mettent en péril la confidentialité des données de ces derniers et soumettre les résultats à l'autorité de contrôle compétente. Toute activité de traitement de données à risque devra être signalée. Ce principe est similaire à l'analyse d'impact relative à la protection des données (AIPD) prévue par le RGPD.

Définitions des données du CCPA que vous devez connaître

Pour être conforme au CCPA, vous devez savoir quelles données sont concernées. Le CCPA contient plus de 30 définitions ; vous pouvez consulter le document. Liste complète iciVoici quelques définitions de données essentielles que les responsables de la sécurité des données doivent connaître :

  • Informations personnelles (IP). La CCPA définit cela comme un large éventail de données, notamment le nom et l'adresse complets d'une personne, son historique d'achats, son historique de navigation, ses antécédents scolaires et professionnels, ses enregistrements vocaux ou visuels, ses adresses électroniques et autres informations de contact, son numéro de sécurité sociale, son numéro de permis de conduire, ses données biométriques, son historique de navigation sur Internet, ses données de géolocalisation, et plus encore.
  • Informations personnelles sensibles (IPS). Une catégorie particulière d'informations personnelles créée par la CPRA, les données personnelles sensibles, désigne le numéro de sécurité sociale, le permis de conduire, la carte d'identité ou le numéro de passeport d'une personne, ainsi que les données qui exposent les informations d'identification d'un compte, comme les identifiants de connexion, les détails des comptes financiers et les numéros de carte de débit ou de crédit, ainsi que leurs codes de sécurité ou d'accès associés et leur géolocalisation exacte.
  • Informations agrégées sur les consommateurs. Informations relatives à un groupe ou une catégorie de consommateurs qui ne peuvent pas être facilement rattachées à un individu.
  • Informations dépersonnalisées. Les données qui ne peuvent être facilement reliées à un consommateur spécifique ni utilisées pour recueillir des informations à son sujet. Pour que des données soient qualifiées d'anonymisées, une entreprise doit prendre des mesures, notamment en obligeant contractuellement toute personne avec laquelle les données sont partagées à garantir qu'elles ne puissent être associées à aucun individu ni foyer.
  • Traitement. Cela concerne toute action, comme l'utilisation de données pour le ciblage publicitaire ou une série d'actions effectuées sur des informations personnelles. Ce traitement peut être automatisé ou entièrement manuel.
  • Tierce personne. Toute entreprise ou personne différente de celle avec laquelle le consommateur a choisi d'interagir. Sont exclus les sous-traitants affiliés à l'entreprise d'origine.
  • Identifiant unique ou Identifiant personnel unique. Toute étiquette ou tout marqueur permettant de reconnaître une personne, sa famille ou un appareil au fil du temps et sur différents services. Il peut s'agir de cookies, d'adresses IP, de numéros de téléphone ou de numéros de client. En d'autres termes, c'est un moyen d'identifier une personne ou son appareil de manière constante.

Données non couvertes par la CCPA

Bien que la CCPA s'applique à de nombreux types d'informations personnelles, elle ne couvre pas les informations de santé personnelles (PHI) collectées ou traitées par toute entreprise déjà couverte par la loi HIPAA (Health Insurance Portability and Accountability Act)HIPAALes données des essais cliniques ne sont pas non plus prises en compte.

La loi CCPA ne couvre pas les informations accessibles au public, c'est-à-dire les données figurant dans les registres des administrations fédérales, étatiques ou locales. Elle n'inclut pas non plus les informations sur les consommateurs anonymisées ou agrégées.

Comment Cyera aide les entreprises à se conformer au CCPA

Si vous êtes une entreprise soumise à la CCPA, les consommateurs sont en droit d'attendre de vous que :

  1. Sachez où se trouvent leurs données.
  2. Nous le traitons en toute sécurité en fonction de sa nature.
  3. Nous n'allons pas laisser cela se retrouver en vente sur le dark web suite à une fuite de données.

Cyera vous permet de répondre à ces questions pour toutes vos données, automatiquement et à grande échelle. Cyera aide les entreprises à se conformer aux exigences du CCPA. par:

  • Recenser toutes leurs informations personnelles conformément aux définitions du CCPA.
  • Découverte et classification efficaces des informations personnelles sensibles.
  • Identification et traitement immédiats des risques potentiels de non-conformité au CCPA.
  • Réaliser des évaluations régulières des risques liés à la protection des données.

Découvrez comment Cyera peut vous aider à vous conformer au CCPA. planifier une démonstration aujourd'hui.

Share