Sécurité des données CCPA : Ce que vous devez savoir

La California Consumer Privacy Act de 2018 (CCPA) est une loi sur la protection de la vie privée qui accorde aux consommateurs et aux employés basés en Californie des droits légaux concernant la manière dont leurs données sont collectées, stockées, vendues et partagées. À moins de bloquer activement l'accès de votre site web ou de vos services aux résidents californiens, vous devez être en mesure de respecter ces droits afin de rester en conformité.

La CCPA est entrée en vigueur le 1er janvier 2020 et a depuis été modifiée par le California Privacy Rights Act (CPRA). L'amendement CPRA, adopté en janvier 2023, a ajouté de nouvelles dispositions, une agence d'application dédiée et une nouvelle catégorie de données appelée « informations personnelles sensibles ».

Toute organisation à but lucratif aux États-Unis ou dans le monde peut être soumise (tenue de se conformer) au CCPA si elle :

• Avoir des employés situés en Californie
• Fournir des biens ou des services aux personnes situées en Californie ou aux résidents de Californie
• Interagir avec des tiers qui fournissent des données sur les résidents de Californie
  

Le CCPA ne concerne pas uniquement les entreprises californiennes. Se conformer au CCPA est un défi mondial. Si vous faites des affaires avec des résidents californiens (dont il existe au moins 39 millions), vous devez vous conformer au CCPA, quelle que soit la localisation de vos opérations.

Pour être soumis à la CCPA, une entreprise devra soit :

(a) Avoir réalisé plus de 25 millions de dollars de chiffre d'affaires brut au cours du dernier exercice civil ou

(b) Obtenir 50% ou plus du revenu annuel de la vente d'informations personnelles des consommateurs ou

(c) Partager, vendre ou acheter les informations personnelles de 100 000 foyers, consommateurs ou appareils à des fins commerciales.

Comme pour le Règlement général sur la protection des données européen (RGPD), enfreindre le CCPA expose votre entreprise à des sanctions financières. En vertu du CPRA, la California Privacy Protection Agency (auparavant le procureur général de Californie sous le CCPA) peut infliger une amende de 2 500 $ à toute entreprise qui enfreint le CCPA pour chaque incident, c'est-à-dire pour chaque personne dont les données sont concernées. Ce montant passe à 7 500 $ pour chaque incident de sécurité des données impliquant des données appartenant à des mineurs ou en cas de violations intentionnelles.

Le non-respect du CCPA entraîne également des risques juridiques. En vertu du CCPA, les consommateurs disposent d’un droit d’action privé en cas de divulgation ou de vol de données personnelles non chiffrées ou non caviardées. Bien que ce droit soit relativement limité, il permet tout de même aux individus de poursuivre une entreprise qui laisse leurs données être exposées lors d’une violation de données.

Ce que les entreprises doivent faire pour se conformer à la CCPA

Être soumis à la CCPA signifie que, pour rester en conformité, les entreprises doivent être en mesure de :  

Respecter les demandes de données des consommateurs

Le CCPA donne aux consommateurs et aux employés le droit de contrôler ce qu'il advient de leurs données et d'attendre qu'elles soient protégées.

Les consommateurs ont le droit de :

• Savoir quand leurs informations personnelles (PI) sont collectées et pourquoi
• Supprimer leurs données personnelles après avoir fait une demande
• Corriger les PI inexactes
• Se désinscrire de la vente ou du partage de leurs données
• Limiter ce qui arrive à leurs PI
• Recevoir une copie de toutes les informations personnelles (PI) collectées à leur sujet dans un format pouvant être envoyé ailleurs
• Plus précisément, limitez l'utilisation des informations personnelles sensibles (SPI)
• Évitez la collecte de données sauf si elle répond à un objectif précis, c'est-à-dire des données qui ne sont pas « raisonnablement nécessaires et proportionnées ».

Protéger les données

Les entreprises doivent également mettre en place des mesures de protection pour sécuriser les données et les protéger contre les violations de données. La CCPA définit cette obligation comme la mise en œuvre de \"procédures et pratiques de sécurité raisonnables, adaptées à la nature des informations personnelles, afin de protéger ces informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ou illégaux.\"

Pour les entreprises qui ne savent pas par où commencer, le Center for Internet Security (CIS), qui répertorie 18 contrôles de sécurité importants pour améliorer la posture en cybersécurité, peut offrir quelques orientations. Le CIS décrit la « protection des données » comme « des processus et des contrôles techniques permettant d’identifier, de classer, de manipuler de manière sécurisée, de conserver et d’éliminer les données. »

Réaliser régulièrement des évaluations des risques liés à la vie privée

Les entreprises doivent régulièrement examiner si leur manière de traiter les données des clients met en danger la vie privée de ces derniers et soumettre les résultats à l'autorité de régulation. Toute activité de traitement de données présentant un risque devra être signalée. Ce concept est similaire au processus d'Évaluation d'Impact sur la Protection des Données (DPIA) du RGPD.

Définitions des données CCPA à connaître

Pour être conforme au CCPA, vous devez savoir quelles données sont concernées. Le CCPA contient plus de 30 définitions ; vous pouvez consulter la liste complète ici. Parmi les principales définitions de données couvertes dont les responsables de la sécurité des données doivent avoir connaissance, on trouve notamment les suivantes : 

• Informations personnelles (PI). Le CCPA définit cela comme un large éventail de données, y compris le nom complet et l'adresse d'une personne, l'historique d'achats, l'historique de navigation, les antécédents scolaires et professionnels, les enregistrements vocaux ou visuels, les adresses e-mail et autres informations de contact, le numéro de sécurité sociale, le numéro de permis de conduire, les données biométriques, l'historique de navigation sur Internet, les données de géolocalisation, et bien plus encore.
• Informations personnelles sensibles (SPI). Une catégorie particulière de données personnelles créée par la CPRA, les données personnelles sensibles font référence au numéro de sécurité sociale d'une personne, à son permis de conduire, à son numéro d'identité d'État ou de passeport, ainsi qu'aux données exposant les identifiants de compte d'une personne, comme les identifiants de connexion, les informations de compte financier, les numéros de carte de débit ou de crédit accompagnés de leurs codes de sécurité ou d'accès associés, et la géolocalisation précise.
• Informations agrégées sur les consommateurs. Informations relatives à un groupe ou une catégorie de consommateurs qui ne peuvent pas être facilement rattachées à un individu.
• Informations déidentifiées. Données qui ne peuvent pas être facilement reliées ou utilisées pour obtenir des informations sur un consommateur spécifique. Pour qu'une donnée soit considérée comme déidentifiée, une entreprise doit prendre des mesures, notamment l'obligation contractuelle pour toute personne avec qui les données sont partagées de garantir que ces données ne puissent pas être rattachées à un individu ou à un foyer.
• Traitement. Cela fait référence à toute action, comme l’utilisation de données pour cibler des publicités ou une série d’actions effectuées sur des informations personnelles. Le traitement peut être automatisé ou entièrement manuel.
• Tiers. Toute entreprise ou personne différente de celle avec laquelle un consommateur a choisi d'interagir. Cela n'inclut pas les sous-traitants affiliés à l'entreprise d'origine.
• Identifiant unique ou Identifiant personnel unique. Tout tag ou marqueur pouvant être utilisé pour reconnaître une personne, sa famille ou un appareil au fil du temps et à travers différents services. Cela peut inclure des cookies, des adresses IP, des numéros de téléphone ou des numéros de client. En termes simples, c'est un moyen d'identifier quelqu'un ou son appareil de manière cohérente.

Données non couvertes par la CCPA

Bien que le CCPA s'applique à de nombreux types d'informations personnelles, il ne couvre pas les informations de santé personnelles (PHI) collectées ou traitées par toute entreprise déjà couverte par la loi Health Insurance Portability and Accountability Act (HIPAA). Les données issues des essais cliniques ne sont pas non plus couvertes.

La CCPA ne couvre pas les informations accessibles au public, c'est-à-dire les données pouvant être trouvées dans les registres des administrations fédérales, étatiques ou locales. Elle n'inclut pas non plus les informations des consommateurs dé-identifiées ou agrégées.

Comment Cyera aide les entreprises à se conformer au CCPA

Si votre entreprise est soumise à la CCPA, les consommateurs ont le droit d’attendre de vous que vous :

1. Sachez où se trouvent leurs données.
2. Le traitent de manière sécurisée en fonction de ce que c'est.
3. Ne vont pas laisser cela finir en vente sur le dark web à cause d'une violation de données.

Cyera vous permet de répondre automatiquement et à grande échelle à ces questions pour l'ensemble de vos données. Cyera aide les entreprises à répondre aux exigences du CCPA en :

• Inventorier toutes leurs informations personnelles conformément aux définitions du CCPA.
• Découvrir et classer efficacement les informations personnelles sensibles.
• Signaler et traiter instantanément les risques potentiels de non-conformité au CCPA.
• Réaliser régulièrement des évaluations des risques liés à la confidentialité des données.

Découvrez comment Cyera peut vous aider à répondre aux exigences de conformité CCPA en planifiant une démo dès aujourd'hui.