La nouvelle année est arrivée – et avec elle, la loi la plus stricte sur la protection de la vie privée aux États-Unis à ce jour : la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act – CCPA). Toutes les organisations doivent y prêter attention, même si elles n’exercent pas leurs activités en Californie. Des lois similaires sur la confidentialité des données sont actuellement en cours d’examen dans huit autres États, dont l’Illinois, le Maryland, le Massachusetts, le Nevada et l’État de New York. Voici ce que vous devez savoir pour vous préparer à la CCPA et minimiser les risques et l’impact commercial de la non-conformité.

Qu’est-ce que l’ACCP et est-ce que cela m’affectera ?

L’objectif de la CCPA est de permettre aux résidents de Californie de mieux contrôler leurs données personnelles et de pénaliser les entreprises qui divulguent ces informations. La loi s’applique aux entreprises à but lucratif dont le chiffre d’affaires annuel brut est supérieur à 25 millions de dollars et qui vendent ou partagent des informations sur 50 000 consommateurs ou plus, ou qui tirent plus de la moitié de leur chiffre d’affaires de la vente d’informations personnelles. La CCPA définit les données personnelles comme tout ce qui identifie, concerne, décrit ou peut raisonnablement être associé à un consommateur. La nouvelle loi donne aux consommateurs californiens le droit de :

  1. Sachez quelles informations personnelles sont collectées.
  2. Savoir si leurs données personnelles sont vendues ou divulguées, et à qui.
  3. Dites non à la vente d’informations personnelles et demandez leur suppression.
  4. Accéder à leurs informations personnelles.
  5. L’égalité de service et de prix, même s’ils exercent leurs droits en matière de protection de la vie privée.

L’impact financier de la non-conformité s’accumule rapidement. Les amendes commencent par des sanctions civiles pouvant aller jusqu’à 7 500 dollars par infraction, sans limitation du nombre d’infractions. Les dommages-intérêts légaux liés aux violations vont de 100 à 750 dollars par consommateur et par incident, ou les dommages réels, le montant le plus élevé étant retenu. Heureusement, il existe un délai de grâce. L’application de la loi sur la protection des consommateurs ne commencera pas avant le 1er juillet 2020.

Trois mesures à prendre dès maintenant pour se conformer à la loi sur la protection des consommateurs :

1. Créez un inventaire central de toutes les données relevant du champ d’application de la CCPA.
Commencez par dresser un inventaire de toutes les informations que possède l’organisation et qui pourraient relever du champ d’application de la CCPA. Notez pourquoi elles sont collectées et quels sont les profils de consommateurs, les vendeurs, les tiers et les prestataires de services concernés. N’attendez pas la dernière minute. Ces données sont souvent décentralisées sur différents disques durs, fichiers et feuilles de calcul. Le recours à la technologie peut alléger le fardeau et faciliter le processus de classification des données.

2. Intégrer l’ACCP dans votre programme existant de gestion des risques et de conformité.
Il s’agit d’une étape très importante – une approche autonome de la conformité peut permettre de lancer des initiatives, mais la valeur à long terme est limitée, et vous n’aurez pas une vision claire de l’ensemble du paysage de la gestion des risques et de la conformité. Pour intégrer l’ACCP dans votre programme global de gestion des risques et de la conformité, assurez-vous d’abord que vous disposez d’une structure de gouvernance et de gestion solide. Ensuite, créez un cadre pour comprendre les impacts en amont et en aval des exigences de conformité et des responsabilités spécifiques, et validez les exigences de l’ACCP par rapport à ce cadre.

3. Tirez parti de la technologie pour simplifier la mise en conformité.
La technologie appropriée est la meilleure défense contre les violations involontaires de la loi sur la protection des données. Elle facilite l’ensemble du processus, y compris la collecte et le contrôle de grands volumes d’informations, la mesure de la conformité au moyen d’indicateurs de performance clés et la réponse aux demandes. La technologie peut effectuer une évaluation de la maturité des procédures de protection de la vie privée de votre organisation par rapport à la loi sur la protection des données. La technologie peut également vous aider à élaborer des questionnaires pour l’analyse de l’impact sur la vie privée (DPIA) afin que vous puissiez mieux comprendre l’importance de certains processus pour la conformité.

La technologie facilite grandement la mise en place et l’application de structures de gestion et de gouvernance appropriées dans tous les domaines. Vous pouvez voir quelles exigences de la CCPA se chevauchent avec celles de l’HIPPA, du GDPR, et plus encore, afin de gérer simultanément toutes les obligations de conformité.

La CCPA n’est probablement que le début d’une longue et constante montée en puissance de la législation sur la protection de la vie privée. Avec les outils, l’état d’esprit, les meilleures pratiques et les processus adéquats, les responsables de la gestion des risques et de la conformité peuvent se préparer à la CCPA et construire une base solide pour se préparer à cette nouvelle vague réglementaire.