Le California Consumer Privacy Act, également connu sous le nom de CCPA, entre en vigueur le 1er janvier 2020. En raison de cette législation imminente, Internet a été inondé de nouvelles sur le California Consumer Privacy Act, dont la plupart n'ont couvert que partiellement l'applicabilité, les règles et les éventuelles sanctions du California Consumer Privacy Act. Cela nous a incités à créer un guide détaillé sur cette loi et à vous fournir toutes les informations que vous devez connaître avant son entrée en vigueur.
Qu'accomplira le CCPA ?
Le but du California Consumer Privacy Act est assez simple. Son principal objectif est de sécuriser les informations personnelles des individus en obligeant les entreprises à obtenir leur consentement avant de collecter ou de traiter des données sensibles ou personnelles. Selon un large consensus, le California Consumer Privacy Act changera la façon dont les entreprises pensent aux données utilisateur. Cette réglementation sera le premier droit à la vie privée des consommateurs que la Californie ait adopté et pourrait constituer un grand pas en avant pour garantir la protection des données à tous les niveaux, car de nombreux autres États ont également commencé à travailler sur leurs réglementations en matière de données.
Le CCPA est-il la version californienne du RGPD ?
Si nous devions faire une comparaison directe entre le California Consumer Privacy Act et le RGPD, il existe quelques similitudes fondamentales entre les deux. Les deux lois sont centrées sur la manière dont les informations personnelles sont traitées. Le California Consumer Privacy Act et le RGPD sont créés pour protéger les individus, et ces lois s'appliquent à toute personne qui fait des affaires dans le cadre de chaque sphère de contrôle de la loi.
Bien qu'il y ait quelques similitudes fondamentales entre les deux, dans certains cas, elles servent à mettre en évidence les différences. En tant que la plus large des deux, le RGPD couvre également les bases légales et les principes du traitement des données personnelles, des mesures de sécurité spécifiques des données et des codes de conduite. En revanche, contrairement au RGPD, le Consumer Privacy Act exige que les entreprises publient régulièrement des informations à jour sur leurs pratiques de vente d'informations personnelles et qu'elles permettent spécifiquement aux individus de choisir de ne pas vendre leurs données personnelles.
Avec tout cela à l'esprit, à bien des égards, le Consumer Privacy Act est la version californienne du RGPD. Il ressemble ouvertement à la loi européenne dans certains segments importants, mais diffère finalement d'elle en ce qui concerne certaines exigences en matière d'informations personnelles.
Que doit contenir une politique de confidentialité conforme au CCPA ?
Cette partie du California Consumer Protection Act sera probablement la plus difficile à remplir pour les entreprises simplement parce qu'elle inclut de nombreuses conditions différentes qu'elles doivent remplir pour être conformes au CCPA. Cela dit, le texte du California Consumer Privacy Act comprend toutes les informations dont vous avez besoin pour assurer la conformité. Voici un bref aperçu du California Consumer Privacy Act :
- Droits des consommateurs du CCPA - Le Consumer Privacy Act spécifie clairement tous les droits à la vie privée des consommateurs. Plus important encore, la définition de la vie privée des consommateurs précise que ces derniers ont le droit d'accéder aux informations personnelles. Ils peuvent le faire gratuitement, deux fois par an.
- Demande d'accès et de suppression - Cette exigence du CCPA s'appuie sur la première disposition en fournissant aux utilisateurs un canal fiable par lequel ils peuvent accéder et demander la suppression de leurs données personnelles. Cela inclut une page Web et un numéro sans frais.
- Page "Ne vendez pas mes informations" - Les entreprises conformes au Consumer Privacy Act qui vendent les informations personnelles de leurs utilisateurs doivent fournir une page Web permettant aux utilisateurs de refuser que leurs données personnelles soient vendues.
- Catégories d'informations personnelles collectées - Chaque entreprise doit fournir une liste détaillée des catégories d'informations personnelles collectées au cours des douze derniers mois. Cela inclut les identifiants de données personnelles, les informations professionnelles et éducatives, les caractéristiques légales protégées et d'autres catégories d'informations personnelles répertoriées dans le California Consumer Protection Act.
- Sources d'informations personnelles - En plus d'informer leurs clients sur le type de données personnelles qu'ils collectent, le California Consumer Privacy Act ordonne également aux entreprises de divulguer leurs sources d'informations personnelles. Pour être plus précis, le Consumer Privacy Act dicte que les entreprises doivent seulement lister les catégories de sources, sans nommer directement la source.
- Raison de la collecte des informations personnelles - Les lois sur la confidentialité des consommateurs dictent également que les entreprises doivent informer les consommateurs de l'objectif de la collecte de leurs données personnelles. Cette disposition du California Consumer Privacy Act est une clause considérablement standard déjà établie dans de nombreuses politiques de confidentialité.
- Données personnelles que vous avez vendues - Si une entreprise vend des informations personnelles, elle est tenue de répertorier toutes les catégories d'informations personnelles qu'elle a vendues au cours de l'année précédente.
- Données personnelles que vous avez divulguées pour des raisons commerciales - Enfin, mais non moins important, le CCPA Consumer Credit Protection Act exige que chaque entreprise répertorie chaque catégorie de données personnelles qu'elle a divulguées pour des raisons commerciales. Le Consumer Privacy Act donne sept catégories spécifiques d'activités, allant de la sécurité à l'exécution de services, en passant par l'audit et les tests.
Quelles sont les sanctions en cas de non-conformité ?
Le CCPA s'applique à toute entreprise à but lucratif qui collecte des données auprès des résidents de Californie. En conséquence, toute entreprise qui ne se conforme pas aux réglementations du California Consumer Privacy Act peut être soumise à des sanctions préétablies. Le montant de l'amende dépend du fait que la non-conformité soit intentionnelle ou non. S'il s'avère être ce dernier cas, la peine maximale prévue par le CCPA est de 2 500 $. En revanche, si la violation est intentionnelle, le Consumer Privacy Act prescrit une amende civile maximale de 7 500 $. Compte tenu de ces deux éléments, il reste à déterminer ce qui constitue exactement une violation et quand le California Consumer Privacy Act la considérera comme intentionnelle.
Comment rendre un site Web conforme au CCPA ?
Cela dit, entrons probablement dans le sujet le plus important de cet article, comment se conformer au California Consumer Privacy Act. Sans aucun doute, vous aurez du travail à faire pour y parvenir, mais l'effort à fournir dépendra du fait que vous avez déjà mis en œuvre des changements conformément au RGPD. Voici un aperçu détaillé de ce que vous pouvez faire pour rendre votre site conforme au California Consumer Privacy Act.
Vous n'avez pas de conformité RGPD
Si vous partez de zéro, les étapes requises sont un peu plus compliquées et nécessiteront beaucoup plus d'efforts pour être accomplies. Vous devrez respecter toutes les exigences uniques énoncées dans cette loi californienne sur la vie privée, ainsi que toutes les autres exigences qui se recoupent également avec le RGPD. La section ci-dessous comprend certains des droits à la vie privée des consommateurs les plus critiques sur lesquels le RGPD touche.
Vous avez déjà une conformité RGPD
Si votre site Web est déjà conforme au RGPD, vous n'aurez pas à apporter de grands changements pour répondre aux réglementations de conformité du CCPA. Étant donné que le RGPD est plus large car il s'applique à toutes les organisations, il couvre la plupart des choses auxquelles vous devez vous préoccuper en ce qui concerne le California Information Privacy Act. Pour être conforme au RGPD, entre autres choses, votre site Web doit :
- Avoir une politique de confidentialité rédigée avec précision
- Obtenir le consentement pour utiliser des cookies
- Fournir un accès et un droit de suppression aux informations personnelles des utilisateurs
- Disposer de systèmes de sécurité appropriés
Indépendamment de la situation dans laquelle vous vous trouvez, l'accent principal du Consumer Privacy Act et du RGPD est que les propriétaires de sites Web doivent développer des systèmes pour leurs plateformes, qui peuvent notifier et protéger les utilisateurs. Ils doivent également protéger les informations personnelles des utilisateurs en cas de violations de données, de fuites ou de menaces concernant les données personnelles en général. Il reste encore plus que suffisamment de temps pour rendre votre site conforme aux exigences du California Consumer Privacy Act, alors assurez-vous d'être minutieux et de cocher toutes les cases car cela peut vous éviter beaucoup de problèmes et de maux de tête à l'avenir.
Pour en savoir plus sur la façon dont la solution d'entreprise Hideez peut renforcer votre conformité au CCPA avec des systèmes d'authentification appropriés - planifiez une démo :