Pourquoi la sécurité des données est-elle essentielle pour la conformité au CCPA

La California Consumer Privacy Act de 2018 (CCPA) est une loi sur la protection de la vie privée qui accorde aux consommateurs et aux employés de Californie des droits légaux sur la manière dont leurs données sont collectées, stockées, vendues et partagées. Cette loi constitue une étape importante dans le domaine de la protection des données et des consommateurs aux États-Unis, affectant directement les résidents de Californie.

La CCPA exige que les organisations respectent les droits légaux des résidents de Californie en matière de gestion de leurs données, leur accordant ainsi un contrôle accru sur leurs informations personnelles.

En vertu du CCPA, les consommateurs ont le droit de savoir quelles données personnelles sont collectées à leur sujet, dans quel but elles sont utilisées et avec qui elles sont partagées.

Les Californiens ont également le droit de demander la suppression de leurs données, de refuser la vente de leurs informations personnelles et de recevoir un service et un prix équitables de la part des entreprises, même s'ils exercent leurs droits à la vie privée.

La CCPA a été promulguée le 1er janvier 2020 et a depuis été mise à jour par le California Privacy Rights Act (CPRA). L'amendement et l'élargissement du CPRA, entrés en vigueur en janvier 2023, ont ajouté de nouvelles dispositions, une agence d'application dédiée et une nouvelle catégorie de données appelée « informations personnelles sensibles ».

Non-conformité au CCPA

Lorsque des organisations sont jugées non conformes au CCPA, elles peuvent faire face à de lourdes amendes, des sanctions et des dommages à leur réputation.

En vertu du CPRA, la California Privacy Protection Agency (auparavant le procureur général de Californie sous le CCPA) peut infliger une amende de 2 500 $ à toute entreprise qui enfreint le CCPA, par violation, c’est-à-dire pour chaque personne dont les données sont concernées. Ce montant passe à 7 500 $ pour chaque incident de sécurité des données impliquant les informations personnelles (PI) de mineurs ou en cas de violations intentionnelles.

Le non-respect du CCPA crée également des risques juridiques.

En vertu du CCPA, les consommateurs disposent d’un droit d’action privé en cas de divulgation ou de vol de données personnelles non chiffrées ou non expurgées. Bien que ce droit soit relativement limité, il permet tout de même aux individus de poursuivre une entreprise qui expose leurs données lors d’une violation de données. Il convient de noter que ce droit d’action privé s’applique spécifiquement aux violations de certains types de données personnelles non chiffrées et non expurgées résultant du manquement d’une entreprise à maintenir des mesures de sécurité raisonnables.

Qu'est-ce qui constitue des informations personnelles

Les informations personnelles sont définies par le CCPA comme « des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d’être associées à, ou pourraient raisonnablement être reliées, directement ou indirectement, à un consommateur ou un foyer particulier ».

Les catégories de données personnelles comprennent :

• Identifiants tels que le nom, l'identifiant personnel unique, l'identifiant en ligne, l'adresse IP, le numéro de sécurité sociale, le numéro de permis de conduire, le numéro de passeport, etc.
• Les dossiers clients contiennent des informations telles que l'adresse, le numéro de téléphone, le numéro de police d'assurance, l'historique d'emploi et le numéro de compte bancaire.
• Caractéristiques des classifications protégées en vertu de la loi californienne ou fédérale
• Informations commerciales
• Informations biométriques telles que la couleur des cheveux, les empreintes digitales, les scans de la rétine
• Informations sur l'activité sur Internet ou d'autres réseaux électroniques, telles que l'historique de navigation et l'historique de recherche
• Données de géolocalisation
• Informations audio, électroniques, visuelles, thermiques, olfactives ou similaires
• Informations professionnelles ou liées à l'emploi
• Informations sur la formation
• Inférences

Étant donné la définition large des informations personnelles par la loi et les droits étendus qu'elle accorde aux consommateurs, les entreprises doivent adopter une approche globale de la gestion des données.

Ils doivent s'assurer de disposer des processus et des systèmes nécessaires pour répondre aux demandes des consommateurs, sécuriser les informations personnelles et tenir des registres détaillés des activités de traitement des données.

Déterminer vos obligations de conformité à la CCPA

La conformité au CCPA est essentielle pour les organisations du monde entier qui remplissent les critères suivants, et pas seulement pour celles basées en Californie ou aux États-Unis :

• Avoir des employés situés en Californie
• Fournir des biens ou des services à des personnes situées en Californie ou résidant en Californie
• Interagir avec des tiers qui fournissent des données sur les résidents de Californie
• Toute entité à but lucratif qui a :
• A réalisé plus de 25 millions de dollars de chiffre d'affaires brut annuel au cours des dernières années civilesome text
  • A reçu 50 % ou plus de son chiffre d'affaires annuel provenant de la vente des informations personnelles des consommateurs
  • A partagé, vendu ou acheté les informations personnelles de 100 000 foyers, consommateurs ou appareils à des fins commerciales

Selon l'État de Californie, « la CCPA ne s'applique généralement pas aux organisations à but non lucratif ni aux agences gouvernementales. »

La conformité au CCPA est un défi mondial, car la loi s'applique aux entreprises à but lucratif, quel que soit leur emplacement, dès lors qu'elles vendent leurs produits ou services aux Californiens.

Naviguer dans les exigences du CCPA : ce que vous devez savoir

Décomposons les principales exigences du CCPA, en termes de dispositions relatives aux droits des consommateurs, de mesures de protection des données et d'obligations de notification.

Dispositions relatives aux droits des consommateurs

En vertu du CCPA, les résidents de Californie bénéficient de plusieurs droits essentiels concernant leurs informations personnelles (PI), que les entreprises doivent respecter :

1. Droit de savoir : Les entreprises doivent divulguer les informations personnelles qu'elles collectent, les finalités pour lesquelles ces informations sont utilisées, et indiquer si elles sont utilisées pour la vente ou le partage d'informations personnelles, à la demande du consommateur. Les consommateurs ont également le droit de recevoir une copie de toutes les informations personnelles collectées à leur sujet dans un format pouvant être transmis ailleurs.
2. Droit à l'effacement : Les consommateurs peuvent soumettre des demandes aux entreprises pour que leurs informations personnelles soient supprimées.
3. Droit de refus : Les consommateurs ont le droit de refuser la vente ou le partage de leurs informations personnelles par les entreprises. Pour les mineurs de moins de 16 ans, un consentement explicite est requis pour vendre leurs informations personnelles. Ils ont également le droit d’éviter la collecte de données, sauf si celle-ci est destinée à un objectif spécifique, c’est-à-dire des données qui ne sont pas « raisonnablement nécessaires et proportionnées ».
4. Droit à la non-discrimination : Les entreprises ne peuvent pas discriminer les consommateurs qui exercent leurs droits en vertu du CCPA en refusant des biens ou des services ou en appliquant des prix différents.

À compter du 1er janvier 2023, les consommateurs bénéficient de nouveaux droits en plus de ceux mentionnés ci-dessus, tels que :

1. Le droit de corriger les informations personnelles inexactes qu'une entreprise détient à leur sujet ; et
2. Le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles collectées à leur sujet.

Mesures de protection des données

Les entreprises doivent mettre en place des mesures de protection pour sécuriser et protéger les données contre les violations de données. La CCPA définit cette obligation comme la mise en œuvre de « procédures et pratiques de sécurité raisonnables, appropriées à la nature des informations personnelles, afin de protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ou illégaux ».

Pour les entreprises qui ne savent pas par où commencer, le NIST Cybersecurity Framework « offre une taxonomie de résultats de cybersécurité de haut niveau qui peut être utilisée par toute organisation — quelle que soit sa taille, son secteur ou sa maturité — pour mieux comprendre, évaluer, hiérarchiser et communiquer ses efforts en matière de cybersécurité. »

Obligations de notification

Les entreprises soumises au CCPA ont plusieurs obligations de notification ou avis de confidentialité, notamment :

• Avis lors de la collecte : Au moment ou avant de collecter des informations personnelles, les entreprises doivent fournir aux consommateurs un avis expliquant les catégories d'informations personnelles qui seront collectées et les finalités pour lesquelles elles seront utilisées.

• Mises à jour de la politique de confidentialité : Les entreprises doivent mettre à jour leur politique de confidentialité au moins une fois tous les 12 mois, en détaillant les informations requises par le CCPA, telles qu'une description des droits des consommateurs et les catégories de données personnelles collectées.

• Avis de refus : Les entreprises qui vendent des informations personnelles doivent fournir un avis clair et visible informant les consommateurs de leur droit de refuser la vente de leurs informations personnelles.

Surmonter les défis courants de la conformité au CCPA

Explorons quelques défis typiques auxquels les organisations sont confrontées pour se conformer au CCPA, notamment en ce qui concerne la gestion de l'inventaire des données, le partage de données avec des tiers et le maintien des normes de sécurité des données.

Gestion de l'inventaire des données

De nombreuses organisations disposent d'un écosystème de données complexe et à grande échelle. En conséquence, elles peinent à développer un inventaire complet de toutes les données dans leur système—sans compter qu'elles peuvent être dispersées entre différents départements, systèmes et solutions de stockage.

Les organisations peuvent mettre en place des outils et des pratiques de cartographie des données permettant d’identifier et de classer les informations personnelles pour surmonter ce défi, associés à des listes de contrôle de conformité, des audits réguliers et des mises à jour de l’inventaire des données.

Partage de données avec des tiers

Le CCPA exige que les organisations gèrent avec soin les informations personnelles qu'elles partagent avec des tiers, en s'assurant que ces tiers respectent les dispositions du CCPA. Cependant, lorsqu'une organisation traite avec de nombreux tiers, chacun ayant ses propres pratiques de gestion et de sécurité des données, cela devient particulièrement difficile.

Les organisations doivent effectuer une diligence raisonnable auprès de leurs tiers afin de s'assurer qu'ils disposent de mesures adéquates en matière de confidentialité et de sécurité. Les contrats et accords avec les tiers doivent explicitement préciser les exigences de conformité au CCPA.

Des audits ou évaluations réguliers doivent également surveiller la conformité des tiers, tout en identifiant les catégories de tiers afin de déterminer les données partagées du point de vue de la divulgation.

Maintenir les normes de sécurité des données

La CCPA exige que les entreprises mettent en place des mesures de sécurité raisonnables pour protéger les informations personnelles qu'elles collectent. Cependant, les menaces informatiques et leur évolution constante rendent la conformité à la CCPA un défi permanent.

Les organisations peuvent relever ce défi en mettant en place un programme de cybersécurité complet comprenant des évaluations régulières des risques, des programmes de formation pour les employés, des plans de réponse aux incidents et le déploiement de technologies de sécurité avancées.

Approches stratégiques pour la conformité à la CCPA

Pour répondre efficacement aux exigences du CCPA (California Consumer Privacy Act), les organisations doivent adopter des approches stratégiques axées sur la découverte, la classification et la gouvernance des données.

Découverte complète des données

Comprenez les informations personnelles que vous collectez, stockez et traitez grâce à un processus approfondi de découverte des données.

Tirer parti de plates-formes de sécurité des données comme Cyera peut considérablement simplifier et accélérer le processus de découverte des données, en vous indiquant où vos données (structurées et non structurées) sont stockées et qui y a accès. Ces outils révèlent des données cachées dont vous n'aviez peut-être pas connaissance tout en identifiant les risques en temps réel.

Classification des données

Classez les données en fonction de leur niveau de sensibilité et de leur pertinence par rapport aux réglementations CCPA. La classification des données révolutionne la gestion des données en aidant les organisations à comprendre la valeur et les risques associés à leurs données. Des plateformes spécifiques comme Cyera proposent une classification alimentée par l’IA qui classe vos données avec précision, sans réglage manuel.

Mise en place de cadres de gouvernance des données robustes

Les cadres de gouvernance des données jouent un rôle essentiel dans la conformité au CCPA, car ils aident à organiser, sécuriser et standardiser les données au sein de l'organisation. Ils établissent des politiques et des procédures claires pour la gestion des données, y compris la manière dont les données sont collectées, stockées, utilisées et partagées.

Une gouvernance efficace des données garantit que toutes les pratiques de gestion des données sont conformes au CCPA et aux autres lois applicables, réduisant ainsi le risque de non-conformité.

Exploiter les plateformes de sécurité des données pour la conformité au CCPA

Pour se conformer au CCPA, les organisations peuvent tirer parti de plateformes de sécurité des données qui offrent des solutions complètes pour la découverte automatisée des données, l'évaluation des risques et la protection des données.

Inventaire des informations personnelles

Comprendre l'étendue et la nature des informations personnelles (IP) qu'une organisation collecte, traite et stocke est l'un des fondements essentiels du CCPA.

Les plateformes de sécurité des données facilitent ce processus en automatisant la découverte des données. Elles analysent les référentiels de données de l'organisation à travers différents environnements – IaaS/PaaS/SaaS et sur site – afin d'identifier et de catégoriser les informations personnelles et sensibles pertinentes pour le CCPA. Cette automatisation permet de gagner un temps et des ressources considérables, d'améliorer la visibilité des données et de réduire le risque d'erreur humaine ou de négligence.

Évaluation des risques

Les plateformes de sécurité des données offrent des capacités d'évaluation automatisée des risques qui évaluent les vulnérabilités potentielles et les menaces pesant sur la confidentialité, l'intégrité et la disponibilité des informations personnelles. Ces évaluations sont essentielles pour identifier et hiérarchiser les zones à haut risque nécessitant une attention immédiate et pour recommander des mesures de sécurité afin d'atténuer les risques identifiés.

Protection des données 

Les plateformes de sécurité des données offrent un éventail de fonctionnalités de protection des données conçues pour protéger les informations personnelles contre les accès non autorisés et les cybermenaces, en fournissant un aperçu des mesures de sécurité essentielles telles que le chiffrement, les contrôles d'accès, le masquage des données, le hachage des données, ainsi que de nombreuses autres fonctionnalités clés qui contribuent à sécuriser les données sensibles.

Cyera : Simplifier la conformité CCPA pour les organisations

Si votre entreprise est soumise à la CCPA, les consommateurs ont le droit d’attendre de vous que vous : 

• Savoir où se trouve leur information personnelle
• Appliquer des mesures de sécurité appropriées aux informations personnelles
• Répondre aux droits de confidentialité des consommateurs (par exemple, demande de renseignements ou de suppression)

Cyera vous aide à répondre automatiquement et à grande échelle à ces questions pour toutes vos données. Cyera aide les entreprises à satisfaire aux exigences du CCPA en :

• Inventorier toutes les informations personnelles conformément aux définitions du CCPA
• Classification efficace des informations personnelles et des informations personnelles sensibles
• Signaler et alerter instantanément sur les risques potentiels de conformité à la vie privée

La plateforme de sécurité des données de Cyera offre une compréhension approfondie de vos données, vous permettant d’appliquer les contrôles appropriés pour démontrer la conformité en matière de confidentialité.

Assurer la conformité à long terme avec le CCPA

La surveillance continue des pratiques de données et du paysage réglementaire devrait être une priorité absolue pour toute organisation afin d'assurer la conformité à long terme et de s'adapter rapidement à tout changement ou mise à jour.

L'utilisation de plateformes de sécurité des données comme Cyera pour permettre une gestion efficace des données, effectuer des audits et des évaluations réguliers, et appliquer des politiques de gouvernance strictes est cruciale pour maintenir la transparence et la responsabilité.

Lorsque cela est soutenu par une formation continue des employés sur les exigences de la CCPA et les meilleures pratiques en matière de confidentialité des données, les organisations sont en mesure de favoriser une culture de sensibilisation à la vie privée et de conformité.

Sécurisez votre parcours de conformité CCPA avec Cyera

La conformité à la CCPA n'est pas seulement une exigence réglementaire, mais aussi un élément essentiel de l'engagement d'une organisation à respecter et à protéger les données des consommateurs.

La plateforme de sécurité des données de Cyera offre une solution pour répondre aux exigences rigoureuses du CCPA, garantissant que votre organisation puisse gérer et protéger les informations personnelles de manière efficace et en toute confiance.

Pour ceux qui souhaitent simplifier leur conformité au CCPA et renforcer leur posture de sécurité des données, découvrez comment Cyera peut renforcer vos efforts en matière de confidentialité des données et vous aider à atteindre la conformité au CCPA.

Planifiez une démo dès aujourd'hui.