L’application de la loi est imminente : comment les amendes du CCPA se comparent-elles à celles du GDPR ?

Coronavirus ou pas, la date d’entrée en vigueur du California Consumer Privacy Act (CCPA) est toujours fixée au 1er juillet 2020. Les entreprises n’ont que quelques jours pour se mettre en conformité avec la CCPA. Les entreprises qui adhèrent au règlement général européen sur la protection des données (RGPD) ont un avantage, car les deux lois sont similaires en ce qui concerne leurs objectifs, les exigences en matière de divulgation, les exceptions, les droits d’action privés, etc. Toutefois, les deux règlements diffèrent grandement dans les détails.

Voici ce que vous devez savoir pour protéger votre organisation.

Le coût de la non-conformité
L’Union européenne a infligé plus de 153 millions d’euros d’amendes au titre du GDPR. 153 millions d’euros d’amendes GDPR depuis l’entrée en vigueur de la loi en 2018. Les plus petites infractions au GDPR peuvent entraîner des amendes allant de jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise (le montant le plus élevé étant retenu). Les infractions les plus graves peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Une entreprise a été condamnée à une amende de 54 millions d’euros. Les amendes de la CCPA commencent par des sanctions civiles pouvant aller jusqu’à 7 500 dollars par infraction. Les dommages-intérêts légaux liés aux violations vont de 100 à 750 dollars par consommateur et par incident, ou les dommages réels, le montant le plus élevé étant retenu. Si les amendes individuelles prévues par le GDPR peuvent sembler beaucoup plus élevées, le problème est qu’il n’y a pas de plafond pour le nombre d’infractions à la loi sur la protection des données. L’impact financier de la non-conformité au CCPA est donc plus alarmant, car il est plus difficile à planifier. Le coût total des amendes de la loi sur la protection des données peut s’accumuler rapidement et dépasser celui de la loi sur la protection des données. Si 100 000 utilisateurs de la base de données sont touchés par une violation, par exemple, l’amende totale pourrait atteindre 750 millions de dollars. Si l’on considère que 148 millions de personnes ont été récemment affectées par une seule violation de données, le potentiel de sanctions financières importantes est très élevé. Comment se conformer au CCPA
Dans la plupart des cas, les organisations qui ont mis en place un cadre pour se conformer au GDPR peuvent transférer, répliquer ou affiner les processus et les politiques pour le CCPA. Mais étant donné que le CCPA est encore à l’état de projetet qu’une CCPA 2.0 est probableLes responsables de la conformité doivent donc s’attendre à des changements et être prêts à agir.

Voici quatre conseils pour vous aider à vous conformer à la CCPA :

• Enquêtez auprès de toutes les parties prenantes internes sur l’endroit où se trouvent les informations pertinentes. Tout identifiant personnel – nom, adresse postale, permis de conduire, géolocalisation, données biométriques et informations éducatives – entre dans le champ d’application de la CCPA et doit être pris en compte au cours de cette phase.
• Examinez les principales applications commerciales et dressez un inventaire du type d’informations utilisées. Notez pourquoi elles sont collectées et quels sont les profils des consommateurs, les tiers et les fournisseurs de services concernés.
• Examinez attentivement les tiers, car ils peuvent faire partie de pratiquement tous les aspects d’une entreprise. Il est essentiel que les responsables de la gestion des risques et de la conformité sachent quels sont les tiers couverts par leur programme de conformité à la loi sur la protection des données, comment ils traitent les informations et à quelles données spécifiques chaque partie a accès.
• Sachez où se situent les exceptions, car elles sont nombreuses dans le champ d’application de la loi sur la protection des données. Il incombe aux responsables de la gestion des risques et de la conformité de fournir une raison valable expliquant pourquoi l’entreprise prend (ou ne prend pas) des mesures. Créez un inventaire afin d’avoir toujours à portée de main les informations dont vous avez besoin pour prouver vos dires.

Que votre entreprise soit ou non directement concernée par le CCPA, le GDPR ou une législation similaire aujourd’hui, il y a de fortes chances qu’elle le soit bientôt. De nombreux États envisagent de légiférer en matière de protection des données personnelles et il est possible qu’une loi fédérale soit adoptée. Bien qu’important, le fait d’éviter les amendes n’est qu’une raison parmi d’autres pour mettre en place de solides mesures de protection des données. Selon Deloitte, 80 % des consommateurs sont plus enclins d’acheter auprès d’organisations qui protègent leurs données personnelles. Les entreprises qui ne tiennent pas compte de la confidentialité des données seront clairement pénalisées sur de nombreux fronts. Êtes-vous prêts ?

Pour en savoir plus sur la comparaison entre la CCPA et le GDPR, consultez notre infographie. Vous souhaitez en savoir plus sur la conformité à la CCPA ? Nous partageons tout ce que vous devez savoir dans notre récent e-book.