Le CCPA, California Consumer Privacy Act, est juridiquement applicable depuis le 1er juillet de l'année dernière. Il s'agit de la première loi importante sur la protection de la vie privée aux États-Unis concernant le contrôle des données personnelles par les consommateurs. Et, même si cela ne fait même pas un an que l'application légale officielle du CCPA a commencé, les Californiens ont déjà voté pour la loi de suivi, appelée California Privacy Rights Act (CPRA).
Alors, pourquoi ces modifications du CPPA sont-elles importantes et en quoi le CPRA diffère-t-il du CCPA ? Plus important encore, comment les modifications apportées au CPPA affecteront-elles l'application de la confidentialité des données ? Sur cette page, nous discuterons de toutes les nouvelles modifications pour déterminer comment le CPRA modifierait le CCPA.
Qu'est-ce que la nouvelle loi californienne sur la protection de la vie privée (CPRA) ?
En novembre 2020, la nouvelle loi californienne sur les droits à la vie privée a été approuvée par 56 % contre 44 % des électeurs. Bien que la législation CCPA existante était censée aider l'État à adopter une loi plus stricte sur la protection de la vie privée, la nouvelle loi apporte une législation plus stricte, plus proche du RGPD que du CPPA existante.
Le principal objectif de la nouvelle réglementation en vertu du CPRA est de renforcer les exigences en matière de confidentialité et de réduire le risque global sur d'autres points énoncés par la loi précédente. La nouvelle législation entrera en vigueur le 1er janvier 2023 et l'application de la loi commencera six mois plus tard. Cela signifie qu'à partir de ce moment, les entreprises ont deux ans pour se préparer à la nouvelle législation.
CPRA contre CPPA : Quelle est la différence ?
Le public pense à tort que la CPRA est une loi entièrement différente, ce qui n'est pas le cas. La principale différence entre l'ancienne version et la nouvelle est une meilleure protection des consommateurs et des questions de conformité CPRA plus précises pour les entreprises. Dans cet esprit, cette nouvelle législation est une extension de la loi existante. Pour se conformer à la CPRA, les entreprises auront plus de responsabilités qu'elles n'en avaient sous le CPPA.
Le CPRA est souvent considéré comme le CCPA 2. Cependant, si vous avez eu la chance de lire les règles et directives, vous remarquerez également que cette législation présente des similitudes étroites avec le règlement général sur la protection des données (RGPD). Il comporte des éléments similaires que vous pouvez trouver dans les directives de conformité au RGPD, bien que les exigences et les définitions du CCPA soient un peu plus larges.
Les différences mises à part, la similitude cruciale entre les deux que tout le monde devrait prendre en compte est que la conformité ne se limite pas uniquement à l'État de Californie. Il s'étend dans le monde entier et couvre tous les résidents de Californie, quel que soit leur emplacement exact à ce moment-là. Si votre site Web n'empêche pas les résidents de Californie d'y accéder, la conformité est requise pour cela
Application du CCPA et sanctions
Un nouveau changement important est l'introduction de la California Privacy Protection Agency, une organisation de surveillance indépendante créée par l'CCPA. La mission principale du CalPPA est de veiller à ce que les entreprises et les consommateurs soient bien informés de leurs droits et obligations énoncés dans les dispositions du CPRA.
Le CalPPA remplacera le bureau du procureur général en tant que principal organisme de réglementation contrôlant la mise en œuvre des règles de l'ACPL. Quant aux pénalités, elles seront triplées pour les infractions concernant les mineurs de moins de 16 ans (pénalité augmentée à 7 500 $), De plus, le droit d'action privé des consommateurs sera étendu pour couvrir les violations d'adresse e-mail qui se sont produites en combinaison avec un mot de passe et une question et réponse de sécurité permettant l'accès au compte.
Bien que tout cela puisse sembler accablant pour le propriétaire d'entreprise moyen, les entreprises qui se sont déjà préparées à la loi précédente ressentiront un impact minimal des nouvelles règles et directives de confidentialité du CCPA.
Les entreprises qui sont déjà en conformité avec les exigences précédentes, en particulier avec le RGPD, n'auront pas à apporter de modifications importantes. De l'autre côté du spectre, les entreprises qui n'ont pas encore mis en œuvre de changements auront une route difficile devant elles.
La modification la plus importante que les entreprises devront apporter concerne la minimisation des informations personnelles. Dans le cadre du CRPA, les entreprises devront également répondre à des exigences plus strictes en matière de partage de donnéesIls doivent offrir à leurs clients californiens la possibilité de refuser la possibilité de vendre leurs informations personnelles à des tiers. Bien sûr, cette politique de données stricte entraînera également des coûts supplémentaires pour la collecte de données pour les entreprises.
Conseils pour devenir conforme à la CPRA
Lorsque la nouvelle des modifications du CCPA a été publiée pour la première fois, de nombreuses entreprises ont été perturbées par les changements significatifs perçus par rapport aux exigences de conformité originales du CCPA. Et, bien que la nouvelle législation apporte des changements importants et significatifs, ces changements ne sont pas nécessairement mauvais.
Les entreprises qui ont déjà entrepris les étapes nécessaires de conformité à la CCPA sont également en excellente position pour se conformer aux exigences de la CPRA. Voici quelques conseils qui vous aideront à assurer la conformité à l'ACRP :
- Identifier toutes les données personnelles sensibles - Les nouvelles règles de l'ACPL introduisent un nouveau terme, "informations personnelles sensibles". Il s'agit d'un terme très large qui couvre la quasi-totalité de vos données personnelles identifiables, y compris les données génétiques et biométriques.
- Appliquer une politique de suppression plus stricte - L'amendement oblige toutes les entreprises à supprimer les informations personnelles de leurs utilisateurs une fois qu'elles ont atteint leur objectif. En plus d'assurer la conformité CPRA en supprimant régulièrement des données, vous protégerez également votre entreprise, car moins vous avez de données, moins vous risquez de perdre en cas de violation de la sécurité.
- Examiner les accords avec des tiers : la nouvelle législation met également fortement l'accent sur les obligations de confidentialité des données envers les sous-traitants, les fournisseurs de services et d'autres tiers. Les plus importantes exigent que toutes les ventes, partages et divulgations d'informations personnelles soient effectuées conformément à un contrat
- Identifiez s'il y a de nouvelles exceptions – Outre les conseils de conformité CPRA ci-dessus, il y a encore une chose à garder à l'esprit.La nouvelle loi ajoute des exemptions partielles qui n'étaient pas incluses dans la précédenteCelles-ci incluent certaines exemptions pour les données sur le ménage, les dossiers scolaires et de test, et d'autres données personnelles spécifiques.
- Implement MFA for Logins - Les règles CPRA mettent particulièrement en évidence les identifiants de connexion. Pour se conformer à ce nouveau changement, la meilleure façon de procéder serait de mettre en œuvre une authentification multifacteur pour s'assurer que les identifiants de connexion ne donnent pas automatiquement accès au compte et aux données personnelles de l'utilisateur.
Préparez-vous pour CPRA avec Hideez
Malgré les craintes que la CPRA soit trop robuste et compliquée à respecter, elle fournit un mécanisme fiable qui permet aux entreprises de garder le contrôle et de protéger les informations sensibles des utilisateurs. Il s'agit d'une réglementation bienvenue qui contribuera sans aucun doute à améliorer la cyber-résilience mondiale à l'avenir, et Hideez peut vous aider à vous conformer au CPRA.
Nos experts en cybersécurité ont développé une solution d'authentification complète pour les entreprises qui peut garantir une sécurité des informations beaucoup plus forte, ainsi que la conformité aux politiques internes et externes pour les entreprises de tous les secteurs.
Les jetons de sécurité Hideez Key 3 et Hideez Key 4 peuvent rationaliser le processus MFA et offrir une expérience de connexion sans mot de passe aux employés. En appuyant sur un bouton, ils peuvent saisir automatiquement des mots de passe à usage unique sans avoir besoin de sortir leur téléphone, d'exécuter des applications, de trouver leurs comptes et de saisir des mots de passe à l'infini. En outre, une clé Hideez peut stocker jusqu'à 1 000 mots de passe, verrouiller/déverrouiller des PC avec un capteur de proximité et ouvrir un bureau ou d'autres portes compatibles RFID allant bien au-delà de la possession du 2ème facteur, fournissant une clé numérique tout-en-un pour les employés.
Pour en savoir plus sur nos solutions professionnelles, veuillez nous contacter ou planifier une démo gratuite.
