Le California Consumer Privacy Act est entré en vigueur le 1er janvier 2020. Cela signifie qu'en un peu moins de deux mois, la Californie sera le premier État à introduire une loi sur la confidentialité clairement définie et précisément définie. Destiné à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de l'État de Californie, le CCPA adopte une vision large de ce qui constitue des données privées. Continuez à lire pour tout savoir sur le CCPA et comment il affecte votre entreprise ou vos informations personnelles.
Qu'est-ce que le CCPA?
Officiellement appelé AB-375, le California Consumer Privacy Act a été rédigé dans le but d'établir une protection pour un sous-ensemble de citoyens américains contre l'exploitation et la vente de leurs informations personnelles sans leur consentement. Le projet de loi a été adopté et promulgué le 28 juin de l'année dernière. Souvent surnommé "le GDPR de la Californie", cette loi sur la confidentialité des données en Californie promet d'apporter les changements tant attendus en matière de sécurité des données et de protection de la vie privée des consommateurs. Alors que la loi sur la confidentialité des informations en Californie ne s'applique qu'aux entreprises qui vendent des biens ou des services aux résidents de la Californie, son application en dehors des États-Unis pourrait accélérer considérablement la propagation mondiale de législations similaires.
Bien sûr, puisque cette loi sur la sécurité des données en Californie est créée pour un lieu différent du GDPR, il existe quelques différences essentielles entre les deux. La principale différence réside dans la portée globale et la portée territoriale de chaque loi et les définitions liées aux données protégées. En examinant les caractéristiques plus spécifiques, une autre différence significative entre les deux lois est que le CCPA, dans certains cas, ne considère que les informations fournies par les utilisateurs, tandis que le GDPR couvre toujours toutes les données personnelles, quelle que soit la source ou que les informations étaient publiques. Cela fait du GDPR une loi beaucoup plus large que le CCPA.
Quelles entreprises sont affectées par le CCPA?
La loi sur la protection des données en Californie définit clairement quel type d'entreprises elle concerne. La loi affecte toutes les entreprises qui font des affaires en Californie, et la seule façon de s'en exempter est de mettre fin à ses activités. Cette loi sera applicable à chaque entreprise qui traite avec des consommateurs californiens et qui répond à au moins l'une des trois exigences suivantes du CCPA :
- A un chiffre d'affaires brut annuel supérieur à 25 millions de dollars ;
- Possède une base de données de 50 000 utilisateurs, foyers ou appareils ou plus ;
- Tire plus de la moitié de son chiffre d'affaires annuel de la vente des données des utilisateurs.
En plus de ces trois seuils, les exigences en matière de politique de confidentialité en Californie indiquent que chaque organisation est tenue de "mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables" pour garantir la protection des données des utilisateurs. Toute entreprise qui relève de l'une de ces catégories et qui ne respecte pas les exigences du CCPA pourrait subir les sanctions et les recours suivants :
- Amendes pouvant aller jusqu'à 7 500 $ pour chaque violation intentionnelle, et jusqu'à 2 500 $ pour chaque violation non intentionnelle ;
- Les entreprises, les associations, les militants et d'autres peuvent exercer leur droit de refus au nom des résidents de la Californie ;
- Les entreprises victimes de vol de données ou de violations de sécurité similaires peuvent être tenues de payer des dommages-intérêts légaux ou des dommages réels, selon le montant le plus élevé.
Avec une telle réglementation, même de grandes entreprises pourraient avoir des difficultés avec la conformité à la législation sur la protection de la vie privée en ligne en Californie. Des entreprises comme Facebook et Google, dont l'ensemble du modèle commercial repose sur la collecte d'informations personnelles, pourraient grandement souffrir si seulement une fraction de leurs utilisateurs commencent à demander à voir et à supprimer les informations qu'ils ont recueillies sur eux. Facebook, en particulier, a fait face à de vives critiques au fil des ans, et il sera intéressant de voir comment la plateforme fera face à la législation à venir.
Un moyen simple de prévenir les violations de données et les amendes résultantes pour non-conformité est d'utiliser la solution d'entreprise Hideez. Nos fonctionnalités de sécurité simples sont conformes au CCPA et incluent la prévention du phishing, la fourniture centralisée d'informations d'identification et la suppression des informations d'identification des anciens employés, et plus encore. Notre solution de gestion des identités et des accès tout-en-unIdentity and Access Management Solution garantit que seuls les utilisateurs autorisés peuvent accéder aux données sensibles. Minimisez le facteur humain sans compliquer la routine quotidienne de vos employés.
Quelles données couvre le CCPA?
D'après ce que nous avons appris jusqu'à présent sur les exigences en matière de politique de confidentialité en Californie, nous pouvons dire que ce règlement à venir peut être résumé dans la définition "informations personnelles identifiantes ou pouvant être liées aux résidents ou aux foyers de la Californie". Pour comprendre pleinement ce que cela signifie, nous devons également savoir ce que couvre le terme "informations personnelles". Dans la forme actuelle du CCPA, cette phrase inclut :
- Des identifiants individuels tels que le nom réel, l'adresse, le numéro de sécurité sociale, le permis de conduire, le numéro de passeport, l'adresse IP, l'adresse e-mail ou tout autre identifiant unique similaire ;
- Des informations commerciales telles que des enregistrements de services, des produits ou des biens personnels achetés, obtenus ou envisagés ;
- Des informations sur le réseau en ligne ou électronique, y compris l'historique des recherches, les tendances de navigation et l'interaction avec un site Web, une application ou une publicité ;
- Des informations audio, visuelles, thermiques ou similaires ;
- Des données biométriques, des informations relatives à l'éducation ou à l'emploi ;
- Des données de géolocalisation.
Conformément aux informations ci-dessus, il est important de se rappeler que le CCPA couvre chaque résident de la Californie. Cela signifie que la réglementation prévue dans cette loi couvre chaque personne se trouvant en Californie autrement que dans un but temporaire. Plus important encore, une telle formulation large du terme "informations personnelles" signifie également que cette législation couvre également les résidents de Californie même lorsqu'ils se déplacent dans d'autres États américains.
Que signifie le CCPA pour la sécurité ?
Bien que certaines entreprises de sécurité des données aient exprimé leur préoccupation selon laquelle les exigences du CCPA seront trop difficiles à appliquer, de nombreuses entreprises qui opèrent en Californie ont déjà commencé à apporter des modifications à leurs politiques en matière de données. Le fait est que le CCPA améliorera indéniablement le paysage actuel de la protection des données.
Les statistiques sur la confidentialité des consommateurs montrent qu'il y a une préoccupation croissante parmi les consommateurs concernant leur vie privée et leur sécurité en ligne. Le CCPA veillera à ce que les lois sur la vente d'informations personnelles actuellement en place soient appliquées de manière transparente, ce qui contribuera à apaiser les préoccupations des consommateurs en matière de confidentialité. Autrement dit, toutes les entreprises qui conservent ou vendent des informations personnelles seront tenues de divulguer les informations et de donner aux clients la possibilité de refuser et de supprimer leurs données personnelles de la base de données de l'entreprise.
Plusieurs amendements législatifs ont déjà suivi l'adoption du CCPA. Bien que la version finale soit encore à appliquer, cette loi sur la protection de la vie privée des consommateurs changera sans aucun doute la manière dont les entreprises considèrent les données utilisateur.