Après avoir été promulguée en 2018, la California Consumer Privacy Act (CCPA) est devenue exécutoire le 1er juillet de cette année. Cela signifie que les entreprises opérant en Californie ainsi que celles qui réalisent la moitié de leurs revenus grâce à la vente de données clients devront désormais se conformer à la loi ou s'exposer à des amendes. Bien que similaire au règlement général européen sur la protection des données (RGPD), le CCPA a ses propres dispositions avec lesquelles les entreprises devront se familiariser.
Pour en savoir plus sur la CCPA et sur la manière dont elle sera appliquée par le bureau du procureur général de Californie, TechRadar Pro s'est entretenu avec le directeur de SiteLock, Logan Kipp.
Sommaire
Pouvez-vous nous en dire un peu plus sur la California Consumer Privacy Act (CCPA) et ses ramifications sur la manière dont les entreprises traitent les données des consommateurs?
Le California Consumer Privacy Act, ou CCPA, vise à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie. Cette loi s'applique à toute entreprise dans le monde qui reçoit des détails et des données personnelles de tout résident de Californie, directement ou indirectement. La loi s'applique également aux entreprises qui répondent à au moins l'un des critères supplémentaires suivants:
– Réaliser un chiffre d'affaires annuel de plus de 25 millions de dollars (USD) au total (pas seulement en CA)
– Reçoit les données personnelles d'au moins 50000 consommateurs, appareils ou ménages par an, et enfin
– Obtient 50% de plus de ses revenus annuels de la vente d'informations personnelles sur les résidents de Californie.
Comment le CCPA se compare-t-il au RGPD et y a-t-il des différences majeures? Sera-ce plus ou moins efficace?
Le CCPA et le RGPD encouragent tous deux la transparence dans les entreprises et obligent ces entreprises à signaler les violations de données aux consommateurs dans le but de mieux protéger ces consommateurs et leurs informations personnelles. GDPR, qui protège les utilisateurs dans l'Union européenne, définit les informations personnelles comme toute information qui peut identifier quelqu'un directement ou indirectement, tandis que d'autre part, le CCPA définit les données privées plus largement pour inclure toute information qui identifie, concerne, décrit ou peut être associé à quelqu'un directement ou indirectement.
De nombreuses dispositions du RGPD se concentrent davantage sur la portabilité des données à travers les lignes internationales et les capacités des entreprises à traiter les données. L'une des façons les plus notables de les différencier réside dans leurs politiques d'acceptation / de retrait, où le RGPD oblige les utilisateurs à accepter la collecte de données tandis que CCPA n'offre aux consommateurs que le droit de se désinscrire. De plus, l'ACCP exige que les sites incluent un lien «Ne pas vendre mes informations» et modifient leurs politiques de confidentialité pour inclure une divulgation CCPA.
Dans cet esprit, le CCPA sera sans doute beaucoup plus efficace pour protéger les informations des consommateurs contre la vente sur les marchés de l’information des utilisateurs primaires et intermédiaires.
Quelles protections la CCPA offre-t-elle aux consommateurs et pourront-ils intenter une action en justice contre les entreprises qui manipulent mal leurs données?
Le CCPA permet aux consommateurs de mieux contrôler leurs données et de contrôler si les entreprises peuvent les utiliser ou les vendre. Si un consommateur constate qu'une organisation ne se conforme pas, et a la preuve que ses informations ont été prises ou consultées, il peut poursuivre l'entreprise pour son défaut de maintenir des procédures de sécurité raisonnables.
Quelle est l’amende la plus élevée possible en vertu de la CCPA et pensez-vous que le bureau du procureur général de la Californie cherchera à donner l’exemple des premiers délinquants?
Bien que la CCPA soit entrée en vigueur le 1er janvier 2020, l'application de la loi n'a commencé que le 1er juillet. Cela signifie que les organisations doivent maintenant rendre des comptes et peuvent être condamnées à une amende allant jusqu'à 2 500 $ par infraction par négligence ou jusqu'à 7 000 $ par violation intentionnelle.
Quelques semaines seulement après le début de l’application de la loi, je pense que le bureau du procureur général de Californie pourrait chercher à donner l’exemple des délinquants précoces pour envoyer un message fort.
Maintenant que la CCPA est entrée en vigueur, pensez-vous qu'une loi nationale sur la protection des données est plus ou moins susceptible d'être adoptée?
Maintenant que la CCPA est entrée en vigueur, je m'attends à ce qu’une loi nationale soit plus susceptible d’être adoptée au cours des dix prochaines années en raison du soutien écrasant au concept que nous avons vu en Californie, la plus grande économie des États-Unis.
Quelles mesures les petites entreprises peuvent-elles prendre pour s'assurer qu'elles se conforment à la CCPA?
En raison des paramètres CCPA, les petits magasins familiaux sont probablement en clair, mais les petites entreprises à forte croissance devront prendre des mesures pour se conformer à la CCPA. Pour garantir leur conformité, ces entreprises doivent se préparer à améliorer leurs protections de confidentialité et à mettre à jour leurs politiques de confidentialité. Les organisations doivent également mettre en œuvre des mesures de sécurité raisonnables afin de protéger les informations personnelles de leurs consommateurs. Et, pour s'assurer qu'aucun faux pas n'est fait, il est essentiel de former les employés sur la conformité à la CCPA.
Quels conseils donneriez-vous aux organisations qui doivent encore se préparer à la nouvelle législation?
Si une organisation doit encore se préparer à la législation de l'ACCP, elle doit agir rapidement et mettre à jour sa politique de confidentialité. Les pirates ciblent toujours ceux qui s'en doutent le moins, ce qui rend les entreprises mal préparées encore plus souhaitables. Pour lutter contre cela, les organisations devraient envisager de mettre en œuvre des outils de sécurité de premier ordre, de corriger les vulnérabilités et de former les employés à être plus conscients de la cybersécurité afin de garantir la sécurité des informations personnelles de leurs clients.