Lorsqu'on leur demande comment ils gèrent leur vie privée en ligne, seulement 21 % des adultes américains déclarent avoir confiance dans le fait que ceux qui ont accès à leurs informations personnelles feront ce qu'il faut, selon une enquête menée par le Pew Research Center.

Alors que les gens partagent de plus en plus leurs informations personnelles avec les entreprises, ils sont de plus en plus préoccupés par ce que ces entreprises font de leurs données et pourquoi. Les gouvernements du monde entier en prennent note et adoptent des lois sur la confidentialité des données, y compris le Règlement général sur la protection des données (RGPD) de l'UE et la California Consumer Privacy Act (CCPA) aux États-Unis.

Alors, comment la législation CCPA impacte-t-elle les entreprises ? Cet article offre une introduction claire aux essentiels de la CCPA, telle que modifiée par la California Privacy Rights Act. Continuez à lire pour découvrir qui doit se conformer à la CCPA, ce que la loi exige, les pénalités pour non-conformité, et plus encore.

Qu'est-ce que la California Consumer Privacy Act (CCPA) ?

La California Consumer Privacy Act de 2018 donne aux résidents californiens une plus grande visibilité et un plus grand contrôle sur la manière dont les entreprises collectent et utilisent leurs informations personnelles.

La loi exige des entreprises qu'elles mettent en œuvre une série d'initiatives de confidentialité, allant de la publication d'une politique de confidentialité facilement accessible à la possibilité pour les consommateurs de refuser la collecte de données. La CCPA donne également aux résidents californiens des droits spécifiques concernant qui peut collecter ou traiter leurs données et à quelles fins.

Qui doit se conformer à la CCPA ?

CCPA s'applique aux organisations à but lucratif qui collectent les informations personnelles des résidents californiens. Mais toutes les entreprises ne sont pas soumises à la loi sur la confidentialité des données. Pour être dans le champ d'application de la CCPA telle que modifiée par la CPRA, l'organisation doit également répondre à l'un de ces trois critères :

• Dépasse 25 millions de dollars de chiffre d'affaires annuel brut
• Achète, vend, reçoit ou partage à des fins commerciales les informations personnelles de 100 000 consommateurs, ménages ou appareils ou plus
• Gagne 50 % ou plus de son chiffre d'affaires annuel en vendant ou en partageant des données personnelles

Définition des informations personnelles selon la CCPA

Parce que la CCPA régule ce que les entreprises peuvent et ne peuvent pas faire avec les informations personnelles, il est important de comprendre ce qui qualifie en tant que données personnelles. Le texte de la CCPA définit les informations personnelles comme tout « information qui identifie, concerne, décrit, est capable d'être associée ou pourrait raisonnablement être liée, directement ou indirectement, à un consommateur ou un ménage particulier. »

Pour clarifier, les informations personnelles sont tout ce qui peut être lié à un consommateur ou un ménage spécifique. Cela inclut les noms et adresses, les numéros de sécurité sociale et les identifiants d'appareils tels que les adresses IP.

Les données personnelles n'incluent pas les informations accessibles au public, comme les registres des taxes foncières. Les données agrégées ne sont également pas considérées comme des informations personnelles, ni les informations de santé qui sont régies par d'autres législations telles que HIPAA ou la loi californienne sur la confidentialité des informations médicales.

Droits des consommateurs selon la CCPA

Selon la CCPA, les organisations doivent respecter les droits des consommateurs concernant leurs données personnelles. Ces droits incluent :

Droit de savoir

Les consommateurs ont le droit de savoir quelles informations personnelles les concernant sont vendues ou partagées, et à qui. Ainsi, si vous collectez des informations sur des consommateurs protégés par la CCPA, vous devez les informer au moment de la collecte des données (ou avant).

Droit d'accès

Les consommateurs ont le droit d'accéder aux informations personnelles que vous avez collectées à leur sujet. Si vous recevez une demande d'un consommateur, vous avez 45 jours pour leur fournir les informations dans un format facilement utilisable, gratuitement. Les consommateurs doivent également avoir un accès facile à votre politique de confidentialité complète.

Droit de suppression

Les consommateurs peuvent demander que vous supprimiez leurs informations personnelles et que vous ordonniez à vos prestataires de services de faire de même. Il existe des exceptions, telles que si votre entreprise est légalement tenue de conserver les informations.

Droit à l'information

Les organisations doivent faciliter l'accès des consommateurs aux informations sur leur politique de confidentialité et à leurs efforts de conformité à la CCPA. Cela inclut les coordonnées pour soumettre des demandes liées aux droits des consommateurs.

Droit de refus

Si votre organisation vend ou partage les informations personnelles d'un consommateur, vous êtes tenu de leur donner la possibilité de refuser. Cela inclut une page web offrant clairement une option de refus avec un lien vers votre politique de confidentialité. Vous devez également donner aux consommateurs le droit de refuser les futures actions de marketing.

Droit à un traitement équitable

Les organisations ne peuvent pas discriminer les consommateurs qui exercent leurs droits en vertu de la CCPA.

Droit de rectification

Les consommateurs ont le droit de corriger les informations personnelles inexactes qu'une entreprise détient à leur sujet. Ce droit a été octroyé par la CPRA.

Droit de limiter l'utilisation et la divulgation des informations personnelles sensibles

Les consommateurs ont également le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles collectées à leur sujet. Par exemple, ils peuvent demander à une entreprise d'utiliser uniquement leurs données de géolocalisation précises pour leur fournir les services qu'ils ont demandés. Ce droit a été octroyé par la CPRA.

CCPA vs CPRA : comparaison des lois sur la protection des données

CPRA est une initiative de vote qui a été adoptée en novembre 2020. Elle ne remplace pas le CCPA. Elle le modifie et inclut des protections supplémentaires pour les consommateurs.

La majorité des dispositions de la CPRA sont entrées en vigueur le 1er janvier 2023 et sont applicables aujourd'hui. Cependant, l'Agence de Protection de la Vie Privée de Californie (CPPA) a finalisé des réglementations supplémentaires pour étoffer les nouvelles exigences de la loi le 29 mars 2023. L'application de ces nouvelles réglementations a commencé le 29 mars 2024.

Pour vous aider à comprendre et à respecter les exigences applicables aujourd'hui, voici un aperçu des principaux changements :

• Établissement de l'Agence de Protection de la Vie Privée de Californie (CPPA) : Cette agence a été créée pour mettre en œuvre et faire respecter la loi. Bien que la CPPA dispose de tous les pouvoirs administratifs, autorité et juridiction nécessaires à cet effet, le procureur général de Californie conserve l'autorité de faire respecter la loi civile.
• Mise à jour des critères de qualification : Deux des trois critères de conformité à la CPRA ont changé. Elle s'applique désormais aux organisations à but lucratif qui achètent, vendent ou partagent les informations personnelles de 100 000 consommateurs ou ménages ou plus (auparavant, elle n'incluait pas « partager » et le seuil était de 50 000). Elle s'applique également aux organisations à but lucratif qui gagnent 50 % ou plus de leurs revenus annuels en partageant des informations personnelles, et non plus seulement en les vendant.
• Ajout de deux droits des consommateurs : La CPRA ajoute deux droits supplémentaires aux droits originaux du CCPA. Ces nouveaux droits sont le droit de corriger des informations personnelles inexactes et le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles. Davantage de détails sur tous les droits des consommateurs du CCPA peuvent être trouvés ci-dessous.
• Définition d'un nouveau sous-ensemble d'informations personnelles : La CPRA définit un nouveau sous-ensemble d'informations personnelles connu sous le nom d'« informations personnelles sensibles ». Les IPS peuvent révéler les origines raciales ou ethniques d'une personne ainsi que les numéros de passeport, la géolocalisation précise, les données biométriques, les messages texte, et plus encore. Les organisations doivent permettre aux consommateurs de refuser l'utilisation et la divulgation de leurs IPS.

Comment se conformer aux exigences du CCPA 

Pour être conforme à la loi, les entreprises doivent suivre les exigences clés ci-dessous. Celles-ci incluent les exigences du CCPA et du CPRA. 

1. Établir un objectif légitime de collecte d'informations personnelles

Le CCPA exige que les entreprises concernées divulguent l'objectif commercial ou professionnel de la collecte ou de la vente d'informations personnelles au moment de la collecte.

Pour respecter cette exigence, les organisations doivent d'abord déterminer cet objectif.

L'objectif commercial signifie que les informations personnelles sont utilisées à des fins opérationnelles pour une entreprise ou un prestataire de services. Le CCPA définit 7 types d'objectifs commerciaux : 

• Audit des interactions avec les consommateurs, comme le comptage des impressions publicitaires
• Détection et prévention des incidents de sécurité
• Débogage pour identifier et réparer les erreurs de fonctionnalité
• Utilisation à court terme qui n'implique pas la création d'un profil client
• Fourniture de services tels que le support client et l'exécution des commandes
• Réalisation de recherches et de développement internes
• Vérification de la qualité et de la sécurité d'un appareil, comme la réalisation de mises à niveau de l'appareil.

Un but commercial signifie que les informations personnelles sont utilisées pour faire avancer les intérêts commerciaux ou économiques d'une personne. Par exemple, une entreprise peut utiliser des données personnelles pour inciter les individus à acheter une propriété, s'abonner à des services ou échanger des produits. Le CCPA ne fournit pas une liste de buts commerciaux comme il le fait pour les buts commerciaux.

2. Réaliser un inventaire des données.

Ensuite, effectuez un inventaire exhaustif de toutes les données collectées, traitées et stockées par votre organisation. Identifiez les sources de données, où elles sont stockées, comment elles sont utilisées et qui y a accès. Au cours de ce processus, vous devrez également comprendre combien de temps vous allez conserver ces données.

Vous pouvez formaliser cela dans une politique de conservation des données. Cette politique doit spécifier combien de temps les données des consommateurs seront conservées et les procédures pour supprimer en toute sécurité les données dont vous n'avez plus besoin.

3. Ajouter un bouton de désinscription au site web.

Le CCPA exige que les organisations offrent aux consommateurs la possibilité de se désinscrire de la vente ou du partage de leurs informations personnelles.

Pour répondre à cette exigence, vous devez publier un lien de désinscription "Ne vendez ou ne partagez pas mes informations personnelles" dans un endroit clair et visible sur votre site web.

4. Créer un processus pour répondre aux demandes des clients et les enregistrer.

Vous devrez également développer des processus pour traiter les demandes des consommateurs concernant leurs droits en tant que sujets des données. Cela peut inclure des demandes pour :

• Obtenir une copie de leurs informations personnelles.
• Mettre à jour des informations personnelles inexactes ou incomplètes.
• Se désinscrire ou demander une limitation de la vente ou du partage de leurs informations personnelles.
• Faire supprimer leurs informations personnelles.

Ces processus doivent être efficaces, transparents et conformes aux exigences du CCPA et du CPRA. Les exigences varient en fonction de la demande. Par exemple, pour les demandes de désinscription, les organisations doivent fournir un lien de désinscription et répondre dès que possible avec un maximum de 15 jours ouvrables à partir de la date à laquelle elles ont reçu la demande. Pour les demandes de connaissance, de suppression et de correction, les organisations doivent répondre dans les 45 jours civils, ou 90 jours si elles notifient le consommateur. Elles doivent également désigner au moins deux méthodes pour que les consommateurs soumettent leurs demandes, comme un numéro gratuit, une adresse e-mail, un formulaire sur le site web ou un formulaire papier (sauf si elles opèrent exclusivement en ligne).

5. Créer et mettre à jour une politique de confidentialité annuellement.

Une politique de confidentialité doit décrire les pratiques de confidentialité de votre organisation et les droits de confidentialité des consommateurs. Cela implique de spécifier les moyens désignés que les consommateurs peuvent utiliser pour soumettre leurs demandes de connaissance, de suppression et de correction, avec des instructions claires.

Cette politique doit être mise à jour au moins tous les 12 mois pour refléter les processus actuels de votre organisation pour collecter, vendre, traiter, gérer ou partager les données des consommateurs.

6. Créer un avis de confidentialité lors de la collecte.

Les organisations doivent avoir un avis de confidentialité au moment ou avant la collecte pour informer les consommateurs des informations personnelles qu'elles collectent. Cela signifie qu'une organisation peut lier l'avis sur leur page d'accueil ou sur une page web où les consommateurs passent une commande ou fournissent leurs informations personnelles pour une autre raison.

Cet avis doit inclure :

• Les catégories d'informations personnelles qu'elle a collectées sur ce consommateur.
• Les catégories de sources à partir desquelles les informations personnelles sont collectées.
• Le but commercial ou commercial de la collecte, de la vente ou du partage d'informations personnelles.
• Les catégories de tiers auxquels l'entreprise divulgue des informations personnelles.
• Les informations personnelles spécifiques qu'elle a collectées sur ce consommateur.

Comme l'exige une nouvelle disposition du CPRA, cet avis doit également inclure :

• les catégories d'informations sensibles collectées et si elles sont vendues ou partagées.
• la durée de conservation de chaque catégorie d'informations personnelles, ou les critères qui seraient utilisés pour déterminer la période de conservation.

De plus, l'avis doit contenir un lien vers la politique de confidentialité de votre organisation afin que les consommateurs puissent obtenir une description plus complète de leurs droits à la vie privée et des pratiques de confidentialité de l'organisation s'ils le souhaitent.

7. Mettre en œuvre des mesures de protection des données

La CCPA exige que les organisations mettent en place des mesures de sécurité raisonnables pour protéger les informations personnelles qu'elles collectent. Ces mesures peuvent inclure :

• Restreindre la collecte d'informations personnelles au minimum nécessaire
• Crypter ou anonymiser les informations personnelles que vous collectez
• Créer une politique interne de protection des données pour sensibiliser les employés à leurs rôles et responsabilités
• Réaliser des évaluations d'impact sur la protection des données (ce modèle peut aider)
• Mettre en œuvre des contrôles d'accès
• Effectuer des évaluations des risques et des tests de vulnérabilité pour identifier et traiter les risques

8. Gérer les relations avec les tiers

La gestion des risques des tiers est également une partie clé de la conformité à la CCPA. Les organisations doivent établir un accord de traitement des données avec les prestataires de services, les sous-traitants et les tiers susceptibles de recevoir des informations personnelles de l'organisation. Ces accords doivent stipuler des conditions conformes aux exigences de la CCPA et de la CPRA, incluant le traitement des informations personnelles conformément aux instructions de votre organisation et l'assistance dans le traitement des demandes de droits des consommateurs.

Les organisations doivent également effectuer des évaluations des risques des fournisseurs pour identifier et atténuer tout risque de sécurité supplémentaire.

9. Compléter la formation CCPA

La formation des employés est une autre mesure de sécurité que vous pouvez mettre en place pour protéger les données des consommateurs.

La formation CCPA est requise pour toutes les personnes responsables du traitement des demandes de renseignements des consommateurs sur les pratiques de confidentialité d'une entreprise. Cette formation doit expliquer quels sont les droits des consommateurs en vertu de la loi et comment ils peuvent exercer ces droits.

Tout le personnel impliqué dans la collecte, le stockage, le traitement, la vente ou le partage des informations personnelles des consommateurs doit recevoir une formation sur la confidentialité des données pour les aider à gérer de manière sécurisée les différentes catégories de données personnelles.

10. Surveiller la conformité

Pour garantir la conformité continue aux exigences de la CCPA et de la CPRA, vous devez régulièrement surveiller et auditer les pratiques de données de votre organisation et vous tenir au courant de toute mise à jour ou modification des réglementations CCPA et CPRA. L'automatisation peut aider à simplifier la surveillance continue.

Liste de vérification de conformité CCPA

Pour vous aider à évaluer l'état de préparation de la conformité CCPA de votre entreprise, téléchargez la liste de vérification de conformité CCPA ci-dessous.

Sanctions pour non-conformité à la CCPA

Les organisations doivent répondre aux demandes des consommateurs d'exercer leurs droits en vertu de la CCPA dans les 45 jours suivant la réception. Si l'organisation ne parvient pas à remédier à une violation dans les 30 jours suivant la notification, elle est passible d'une amende pouvant aller jusqu'à 7 500 $ par violation de la part du procureur général de Californie. En cas de violation des données, les consommateurs peuvent réclamer des dommages et intérêts jusqu'à 750 $ par violation.

Bien que les dispositions de la CPRA ne soient pas encore applicables, les entreprises gérant de grands volumes de données personnelles des résidents californiens encourent toujours des amendes et des pénalités importantes pour violation des dispositions de la CCPA, comme le règlement de 1,2 million de dollars de Sephora.

CCPA et RGPD : Comparaison des lois sur la confidentialité des données

Le Règlement général sur la protection des données (RGPD) et la CCPA sont considérés comme certaines des lois les plus strictes au monde en matière de confidentialité des données, et les deux partagent plusieurs principes communs.

D'une part, les deux lois exigent que les organisations honorent la demande d'un client de se retirer du traitement de leurs données personnelles. Le RGPD et la CCPA exigent également que les organisations notifient les consommateurs en cas de violation des données. Les deux protègent les droits des consommateurs de demander l'effacement de leurs données personnelles et leur portabilité.

Cela dit, les deux lois ne sont pas interchangeables. Il y a des différences dans les détails de la législation. Par exemple, le RGPD a des exigences relatives aux transferts internationaux de données via des mécanismes tels que les Clauses Contractuelles Types, tandis que la CPRA n'a pas de dispositions spécifiques pour les transferts internationaux de données.

Mais la principale différence à noter est que, selon le RGPD, les informations personnelles sont des informations pouvant être liées à un individu particulier (personne concernée). Le RGPD a une définition large des données personnelles, englobant toute information pouvant identifier directement ou indirectement un individu. La CCPA a également une définition large des informations personnelles, mais elle ne se base pas uniquement sur le lien avec un individu particulier. Elle inclut également des données liées aux ménages.

Simplifiez la conformité en matière de sécurité et de confidentialité avec Secureframe

Que votre organisation doive se conformer à des législations comme la CCPA ou le RGPD, obtenir un rapport SOC 2 pour répondre aux exigences des clients, ou simplement souhaitiez créer un programme de cybersécurité plus mature, Secureframe peut aider votre organisation à réduire les efforts et les coûts de gestion d'un programme de confidentialité et de sécurité des données.

Avec Secureframe, vous pouvez :

• Mettre en place les bonnes politiques et procédures de confidentialité des données
• Distribuer et suivre la formation des employés
• Automatiser la collecte de preuves pour la conformité à la CCPA et à d'autres cadres
• Rester à jour avec les dernières exigences en matière de confidentialité des données
• Mapper les contrôles et les tests que vous mettez en place pour la conformité à la CCPA à d'autres cadres pour accélérer le temps de conformité et réduire les travaux en double
• Connectez-vous à plus de 150 intégrations pour surveiller en continu votre pile technologique
• Simplifiez les examens des fournisseurs, les évaluations des risques et le suivi des accès

Pour voir pourquoi 97 % des utilisateurs de Secureframe ont déclaré avoir renforcé leur posture de sécurité et de conformité, demandez une démonstration dès aujourd'hui.