La loi californienne sur la protection de la vie privée des consommateurs (CCPA) : Ce que les responsables du risque et de la conformité doivent savoir.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) entrera en vigueur le 1er janvier 2020 et devrait être la plus stricte des États-Unis en matière de protection de la vie privée. Êtes-vous prêt ? Les inquiétudes concernant les coûts et le manque de préparation sont très répandues. Les initiatives de mise en conformité sont toujours assorties de contreparties financières. Quel est le coût initial des changements nécessaires par rapport aux amendes en cas de non-conformité ? Dans le cas de la CCPA, il ne fait aucun doute que le coût de la non-conformité est réel, avec des amendes pouvant aller jusqu’à 7 500 dollars par infraction. Que votre entreprise exerce ou non des activités en Californie aujourd’hui, il est utile de comprendre la portée de la loi CCPA, son impact sur les entreprises et le rôle que vous jouez dans son application en tant que responsable de la gestion des risques et de la conformité. Si ce n’est pas déjà le cas, des lois similaires affecteront probablement bientôt votre entreprise – des lois ressemblant à la CCPA sont en cours d’adoption dans huit autres États, dont l’Illinois, le Maryland, le Massachusetts, le Nevada et l’État de New York.
Qu’est-ce que l’ACCP ?
La CCPA est une nouvelle loi sur la confidentialité des données qui donne aux consommateurs californiens plus de contrôle sur leurs données personnelles et punit les entreprises qui exposent ces données. Cette loi s’applique aux entreprises dont le chiffre d’affaires annuel est supérieur ou égal à 25 millions de dollars, qui achètent, vendent ou partagent des informations sur 50 000 consommateurs ou plus, ou qui tirent plus de la moitié de leur chiffre d’affaires de la vente d’informations à caractère personnel. La CCPA oblige ces entreprises à divulguer à leurs clients (à leur demande) les données personnelles qu’elles ont collectées, les raisons pour lesquelles elles l’ont été et les tiers qui les ont reçues. L’application de la loi sur la protection des données commence par des sanctions civiles pouvant aller jusqu’à 7 500 dollars par infraction. Les amendes varient en fonction de l’intention de violer les normes de conformité, comme le fait d’indiquer délibérément aux consommateurs le délai de traitement des demandes d’information. L’entreprise dispose d’un délai de 30 jours pour remédier à l’infraction sans encourir de sanction. Un autre type de sanction est l’amende liée aux violations. Les dommages-intérêts légaux liés aux violations vont de 100 à 750 dollars par consommateur et par incident, ou les dommages réels, le montant le plus élevé étant retenu. Les organisations qui n’entrent pas dans le champ d’application de la CCPA peuvent néanmoins se trouver dans le champ d’application pour toute violation affectant les consommateurs – ce qui signifie qu’elles peuvent être frappées par des amendes pour violation, même si elles ne vendent pas d’informations sur les consommateurs.
Quelle est la différence entre le CCPA et le GDPR ?
Le CCPA est très similaire au Règlement général sur la protection des données (RGPD) de l’Europe. La plus grande différence réside dans les personnes concernées. Le GDPR couvre le contrôleur, le processeur et les personnes concernées, tandis que le CCPA couvre les entreprises, les fournisseurs de services, les tiers et les consommateurs. L’autre distinction principale est le type de données qui entre dans le champ d’application de chaque règlement. Le GDPR couvre tout type de données à caractère personnel, tandis que le CCPA intervient lorsque les données sont vendues pour une contrepartie monétaire ou d’une autre valeur (libération, divulgation, transfert ou même location des données).
Que signifie la CCPA pour moi en tant que gestionnaire du risque et de la conformité ?
Les organisations entrant dans le champ d’application de la CCPA doivent mettre en place des procédures pour répondre aux exigences de la réglementation en matière de protection de la vie privée. Ces procédures vont de l’affichage sur le site web d’une bannière indiquant que vous traitez des informations destinées aux consommateurs californiens à la mise en place de procédures claires pour répondre aux demandes de données personnelles, de portabilité des données, d’effacement des données et de refus du traitement des données. Le règlement exige également des réponses rapides et la capacité d’émettre correctement des avis de confidentialité sur la manière dont les informations personnelles sont collectées et utilisées.
La technologie est la meilleure défense d’un gestionnaire de risques et de conformité contre les violations involontaires de la loi sur la protection des consommateurs. L’automatisation rend l’ensemble du processus de conformité transparent, de la collecte d’informations à la réponse aux demandes. L’utilisation d’une plateforme intégrée de gestion des risques va directement dans le sens des exigences, car elle vous permet de.. :
- Réalisez une évaluation de la maturité de vos procédures de protection de la vie privée par rapport à la CCPA et à d’autres réglementations en matière de protection de la vie privée. Identifiez facilement votre niveau de conformité actuel et comparez-le à celui que vous devez atteindre. Une approche de la maturité vous permet de mieux comprendre si vous êtes optimisé pour effectuer les procédures nécessaires à une conformité à long terme avec la CCPA.
- Créez un inventaire centralisé des activités de traitement, des catégories et des sujets en rapport avec la LCAP afin de disposer d’une source unique de vérité permettant de déterminer facilement ce qui relève du champ d’application de n’importe quelle demande. La disposition 1798.110(a)(4) décrit les éléments de données spécifiques qui doivent être inventoriés, ainsi que les preuves qui valident les procédures, les contrôles et la documentation utilisés.
- Élaborer des questionnaires pour l’analyse de l’impact sur la vie privée (DPIA) afin de comprendre facilement l’importance de certains processus pour la conformité à la loi sur la protection des données. Les organisations doivent comprendre l’impact des différents processus, systèmes et autres actifs sur le respect des réglementations du CCPA. La réalisation d’une DPIA vous permet de comprendre ce niveau d’impact et les classifications des différents actifs. Les gestionnaires de risques doivent prévoir d’évaluer l’impact des différents actifs à une fréquence imposée par l’organisation et lorsqu’un événement important se produit (acquisition d’une entreprise, nouvelle offre, modification d’un processus).
- Utilisez des flux de travail automatisés pour accélérer le temps de réponse aux demandes. Lorsqu’une demande leur parvient, qu’il s’agisse d’un accès aux données, d’un effacement ou même d’une notification de violation, les organisations n’ont que 45 jours pour y répondre. Les flux de travail automatisés sont essentiels pour une orchestration rapide et facile entre toutes les parties concernées afin de fournir des réponses aux demandes dans les délais impartis.
Le paysage des risques, déjà complexe, se complique encore à mesure que les réglementations deviennent plus strictes pour répondre aux préoccupations des consommateurs en matière de confidentialité des données. L’utilisation de la technologie facilite la gestion des processus de conformité et donne aux responsables des risques et de la conformité un moyen de prouver que toutes les procédures sont conformes aux nouvelles normes. Pour en savoir plus sur le CCPA et sur ce que vous devez faire pour vous préparer, participez à notre webinaire, CCPA 101 : What is It, and How Will It Impact Your Organization, le jeudi 3 octobre à 1:00pm ET.
