Les entreprises ne sont pas prêtes pour la loi sur la protection des renseignements personnels en Californie (CCPA) VPNoverview.com

Les entreprises californiennes s’efforcent de comprendre et de satisfaire aux exigences étendues de la nouvelle loi californienne sur la protection des consommateurs ou de la CCPA. Ce n’est pas une surprise, car il en a été de même avec le règlement général européen sur la protection des données ou le RGPD dans les mois qui ont précédé son entrée en vigueur. Cependant, avec la date limite effective du 1er janvier 2020, qui approche à grands pas, le temps presse pour les entreprises exerçant des activités en Californie ou possédant des données personnelles sur des résidents californiens. Même avec un délai de grâce de six mois avant le début des enquêtes gouvernementales et des mesures d’application, il y a lieu de s’inquiéter.


La réglementation des données est un travail en cours

Aux États-Unis, la réglementation des données est toujours en cours. Depuis 2018, plusieurs États ont introduit et adopté une législation qui reflète certaines des protections fournies par le RGPD. D’autres, en particulier les lois de la Californie et dans une moindre mesure du Vermont, visent à offrir une protection plus large aux consommateurs et vont au-delà des règles de notification des violations de données. Tout comme le RGPD, la California Consumer Privacy Act complète offre aux utilisateurs une multitude de nouveaux droits en matière de contrôle de leurs données.

À compter du 1er janvier 2020, les résidents de la Californie auront le droit de:

  • Savoir quelles données personnelles sont collectées
  • Savoir si leurs données personnelles sont vendues ou divulguées et à qui
  • Dites «non» à la vente de leurs données personnelles
  • Accéder à leurs données personnelles
  • Demander à une entreprise de supprimer toute information personnelle
  • Ne pas faire l’objet de discrimination pour avoir exercé ces droits

Une autre différence avec les lois sur la confidentialité en vigueur dans la plupart des États est que la CCPA s’appliquera à toutes les organisations à but lucratif (ou entités qui contrôlent ou sont contrôlées par de telles entreprises) – indépendamment de leur emplacement – qui font des affaires en Californie et / ou possèdent des informations sur les résidents californiens.

Les entreprises doivent se conformer aux exigences de l’ACCP si elles répondent à N’IMPORTE QUEL des critères suivants:

  • Générer un revenu brut annuel supérieur à 25 millions de dollars
  • Posséder des données personnelles de plus de 50 000 consommateurs, ménages ou appareils
  • Gagnez plus de la moitié des revenus annuels de votre entreprise en vendant des données personnelles

On estime que 500 000 entreprises américaines satisfont à une ou plusieurs de ces exigences et devront donc se conformer.

Changement monumental dans la réglementation américaine sur la confidentialité des données

Le CCPA marque un changement monumental dans la réglementation américaine sur la confidentialité des données. À l’heure actuelle, la réglementation des données est encore une mosaïque de règles et de réglementations différentes dans différents États et secteurs. Pour la plupart des consommateurs, il est impossible de suivre leurs droits. D’un autre côté, de nombreuses entreprises peinent à se conformer et se félicitent d’une plus grande certitude réglementaire. En septembre, 51 PDG de premier plan de sociétés telles qu’Amazon, IBM, Dell, SAP et JP Morgan Chase ont exprimé leurs préoccupations dans une lettre ouverte au Congrès exhortant les décideurs à adopter des lois complètes sur la confidentialité des données des consommateurs.

Dans les mois à venir, sans aucun doute, tous les regards seront tournés vers la Californie. Non seulement de nombreuses sociétés de pointe sont basées dans la Silicon Valley et Palo Alto, notamment Apple, Alphabet Inc. et Google. Avec un PIB de 3000 milliards de dollars (2018), c’est aussi le joyau de la couronne de l’économie des États-Unis, devant des pays comme l’Inde et le Royaume-Uni..

En janvier 2020, la Californie aura également les lois les plus strictes des États-Unis en matière de confidentialité, comparables mais aussi à certains égards différentes du RGPD. Tout comme le RGPD, le CCPA qualifie les «identifiants en ligne» tels que votre adresse IP en tant qu’informations personnelles, ainsi que les identifiants des appareils. Une différence clé est que l’ACCP tient également compte des informations qui peuvent être liées à «un ménage» et pas nécessairement à une personne de ce ménage. Étonnamment, il fait une distinction entre les données personnelles fournies par un consommateur (incluses) et les données personnelles qui ont été achetées ou acquises par le biais d’un tiers (principalement exclu), tout en offrant néanmoins un droit de retrait pour la vente d’informations personnelles..

La conformité à la CCPA pose des défis importants

Pour la plupart des entreprises, ces réglementations en matière de confidentialité nécessitent de grands changements dans la technologie et les processus. Ils doivent comprendre quelles règles s’appliquent à eux et trouver la meilleure façon de gérer leurs données. Pas de surprise, la nouvelle loi sur la confidentialité de CA présentera un certain nombre de défis de conformité pour les organisations de toutes tailles, que ce soit en termes de vente d’informations personnelles, de droits d’accès des personnes concernées, de sécurité des données et de conformité à la sécurité ou d’exigences de la politique de confidentialité..

Malheureusement, la plupart des entreprises semblent manquer d’une feuille de route claire. La société de technologie de confidentialité Ethyca a récemment mené une étude pour comprendre les différentes façons dont les entreprises abordent la confidentialité et la conformité. Le rapport montre que seulement 12% des personnes interrogées pensent avoir atteint un état de conformité ou de préparation à la conformité adéquat, ce qui signifie que 88% ne sont «pas prêts». Plus de 70% n’ont pas de solution d’ingénierie et s’appuient sur des heures de travail et des processus modernisés. La cartographie de base des données reste la principale préoccupation des entreprises en phase de démarrage. Les start-ups sont les moins susceptibles d’avoir des ressources et des processus de confidentialité des données formalisés.

Tout comme nous l’avons vu dans le scandale des données Facebook-Cambridge Analytica, les amendes s’accumulent facilement. En vertu de la CCPA, tous les contrevenants et les parties non conformes peuvent être pénalisés d’amendes pécuniaires en cas de violation. De 750 $ par utilisateur affecté en dommages-intérêts civils, à 2500 $ pour ceux qui manquent d’intention et 7500 $ par violation si intentionnelle.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me