Avez-vous relevé ces 3 défis cruciaux en matière de conformité à la CCPA ?
Les réglementations en matière de confidentialité des données se multiplient dans les régions, les pays et même les États du monde entier. Le prochain défi à relever pour de nombreux professionnels de la GRC ? La mise en conformité avec la CCPA.
En 2018, la Californie a adopté sa propre loi sur la protection de la vie privée, le California Consumer Privacy Act (CCPA), qui entrera en vigueur le 1er janvier 2020. Avec la cinquième plus grande économie du monde, la Californie est incontournable pour de nombreux spécialistes du marketing, et la conformité à la CCPA est donc obligatoire s'ils veulent continuer à exploiter les richesses du Golden State.
La CCPA a été élaborée pour protéger les droits des consommateurs et renforcer la transparence et la protection de la vie privée lorsqu'il s'agit de leurs informations personnelles. Les Californiens auront désormais le droit de savoir quelles données personnelles sont collectées, si si elles sont partagées, avec qui avec qui elles sont partagées, et peuvent refuser de toute vente de leurs données.
Ils auront également le droit d'accéder eux-mêmes aux données et d'en demander la suppression. Les entreprises ne pourront vendre les données personnelles des consommateurs âgés de 13 à 16 ans qu'avec leur consentement, et les parents ou tuteurs devront consentir à la vente des données des jeunes de moins de 13 ans.
Pas un jumeau du GDPR
Une différence essentielle entre le règlement général sur la protection des données(RGPD) de l'UE et le CCPA réside toutefois dans la question du consentement : La loi californienne n'exige pas La loi californienne n'exige pas le consentement de l'utilisateur pour collecter les données ou les traiter. Une entreprise peut collecter des données comme elle le faisait avant la CCPA, mais elle doit donner aux consommateurs la possibilité de s'y opposer.
Le GDPR, quant à lui, exigences consentement explicite Les entreprises doivent documenter de manière exhaustive l'ensemble de la chaîne de consentement.
Il existe d'autres différences entre les deux textes : Le CCPA s'applique aux résidents californiens, tandis que le GDPR fait référence aux "personnes concernées de l'UE" sans préciser le lieu de résidence ou la citoyenneté. La CCPA protège également les données liées à des ménages spécifiques , alors que le GDPR ne s'applique qu'aux individus.
En outre, le GDPR s'applique à toute entreprise qui collecte et traite les données de ces "sujets", quel que soit son lieu d'implantation. Le CCPA indique que sa compétence ne s'applique qu' aux entreprises qui "font des affaires en Californie", mais ne fournit pas de définition plus précise.
Alors que le GDPR s'applique à toutes les entreprises, publiques et privées, le CCPA se limite aux entreprises à but lucratif dont le chiffre d'affaires dépasse 25 millions de dollars par an, qui traitent les données personnelles de 50 000 consommateurs ou plus et qui tirent la moitié de leurs revenus de la vente de ces données, ce qui réduit considérablement le nombre d'entreprises concernées. Les particularités de la CCPA pourraient encore évoluer d'ici à ce qu'elle entre en vigueur. De nombreux amendements sont en cours d'examen par le corps législatif californien et pourraient avoir une incidence sur divers aspects de la réglementation finale.
La conformité à l'ACCP peut être un avantage concurrentiel
Le GDPR et le CCPA débloquer la visibilité des consommateurs d'accéder aux données personnelles détenues par les entreprises qui les ont collectées. Ces entreprises doivent non seulement fournir cet accès, mais aussi détailler exactement ce qu'elles font avec les données.
La mise en place de cette transparence dans le cadre de la conformité à la loi sur la protection des consommateurs n'est pas nécessairement un inconvénient pour les entreprises. En fait, cela pourrait même s'avérer être le contraire. Une étude menée après l'entrée en vigueur du GDPR a révélé que 62 % des consommateurs britanniques se sentaient plus à l'aise pour partager leurs informations personnelles après l'entrée en vigueur de la loi. En montrant qu'elles sont conformes, les entreprises peuvent prendre les devants sur ce qui est devenu un changement sismique dans l'attitude des consommateurs, où la transparence est le moteur de la confiance.
Trois défis à relever pour se conformer à la loi sur la protection des consommateurs
Les professionnels de la GRC et les gardiens de la confidentialité des données des entreprises qui souhaitent continuer à "faire des affaires" en Californie doivent donc relever trois défis. Et ce, assez rapidement.
Déterminer votre besoin de conformité
Avant toute chose, une entreprise doit déterminer si elle relève ou non du champ d'application du CCPA. Lorsque le GDPR a été annoncé pour la première fois, de nombreuses entreprises non européennes pensaient qu'elles ne relevaient pas de son champ d'application : "Nous ne sommes pas basés dans l'UE et nous n'y avons pas de bureau de vente ou de marketing. Nous sommes donc exemptés." Une erreur qui, heureusement pour elles, ne s'est pas encore traduite par des amendes ou d'autres sanctions en cas de non-conformité.
Dans le cas de la CCPA, les lignes directrices relatives à la taille des entreprises et à la quantité de données qu'elles traitent permettent à certaines d'entre elles de déterminer plus facilement si elles doivent ou non se conformer à la loi. Toutefois, certains points précis de la loi peuvent piquer au vif une entreprise qui ne fait pas attention à la manière dont son équipe de marketing, ses agences externes et ses fournisseurs, ainsi qu'à ses pratiques en matière d'engagement des consommateurs, recueillent des données.
Par exemple ? Dans sa version actuelle, la CCPA protège les informations concernant résidents de Californieet ses règles s'appliquent même lorsqu'ils se trouvent à l'extérieur de l'État. Ainsi, même si vous avez astucieusement géofencé un site web mobile pour qu'il ne recueille les données d'un résident de Los Angeles que lorsqu'il est en voyage à Vegas ou à New York, vous êtes toujours en infraction.
Cela signifie qu'il faut vérifier toutes les campagnes, tous les sites web, tous les canaux sociaux et tous les autres outils d'engagement de votre entreprise pour savoir s'ils répondent à toutes les exigences de la loi sur la protection des consommateurs. Il s'agit également d'intégrer la conformité à la CCPA dans vos processus opérationnels - mais nous y reviendrons dans un prochain article.
Pour commencer précoce hier
Quand une entreprise doit-elle commencer à prendre des mesures pour se conformer à la loi sur la protection des consommateurs ? La vraie question est de savoir pourquoi elle n'a pas encore commencé à se préparer.
Comme l'a fait remarquer un dirigeant à CIO à propos des préparatifs de son entreprise en vue du GDPR, "j'aurais fait avec les données ce que j'ai toujours prôné avec l'agile et le DevOps. J'aurais pris de l'avance sur le problème parce que le seul jour facile, c'est hier."
Pour certaines entreprises, la complexité de la mise en conformité avec le CCPA peut être aussi grande que celle à laquelle elles ont été confrontées avant l'arrivée du GDPR. Auparavant, nombre d'entre elles ne comprenaient pas vraiment les subtilités de leurs propres systèmes et processus, ni la difficulté que représentait leur mise en conformité.
Le défi à relever par les responsables GRC d'une entreprise est donc le suivant : surmonter l'inertie interne qui retarde les efforts de mise en conformité. Surmonter toute inertie interne qui retarde les efforts de mise en conformité. L'un des problèmes peut être que certaines parties prenantes qui affirment que l'entreprise répond aux exigences du GDPR peuvent penser qu'il suffit d'actionner quelques interrupteurs pour se mettre en conformité avec la CCPA. Mais il faut leur montrer que ce n'est pas si simple. Le bon côté des choses ? Les entreprises peuvent appliquer une grande partie des enseignements tirés en 2017-18 pour mettre en place les bons processus et les bonnes politiques cette fois-ci, afin d'être prêtes pour 2020.
Une autre préoccupation ? Ne pas s'enflammer. Une nouvelle étude a révélé que 71 % des professionnels du droit et de la protection de la vie privée pensaient être prêts pour le CCPA dans sept mois. Toutefois, la même étude a révélé qu'ils avaient encore du mal à répondre aux exigences du GDPR, pour les raisons que nous évoquerons plus loin.
Devenir agile en matière de respect de la confidentialité des données
Une entreprise peut tenter de se conformer à la loi sur la protection des données en utilisant des systèmes et des processus traditionnels. C'est le Titanic contre l'iceberg, mais elle pourrait éviter le désastre.
Le problème, c'est qu'il y a encore plus d'icebergs sur le chemin.
Le GDPR n'était qu'un début, et le CCPA en est la suite. Une série de nouvelles lois étatiques sur la protection de la vie privée est en préparation, en grande partie parce que le gouvernement fédéral n'a pas réussi à mettre en place un ensemble complet de réglementations. Ces lois ont été introduites dans neuf États américains. Six de ces propositions s'inspirent de la CCPA, tandis que les autres sont moins strictes. Dans un cas au moins, cependant, WIRED souligne la façon dont l'ACCP est laissée pour compte :
La loi new-yorkaise sur la protection de la vie privée, présentée le mois dernier par le sénateur Kevin Thomas, donnerait aux habitants de l'État de New York plus de contrôle sur leurs données que dans n'importe quel autre État. Elle obligerait également les entreprises à faire passer la vie privée de leurs clients avant leurs propres profits.
Cette mesure vient s'ajouter aux réglementations déjà adoptées par le NYSDFS, qui imposent le respect de la sécurité des données dans le secteur des services financiers.
Pour une entreprise opérant dans plusieurs États (sans parler des autres pays), l'ampleur du défi est évidente : comment rester conforme dans ce paysage réglementaire hétéroclite ?
Dans l'étude DataGrail mentionnée ci-dessus, les professionnels du droit et de la protection de la vie privée ont déclaré qu'ils géraient encore les réglementations au cas par cas. La moitié d'entre eux s'appuient encore sur des processus manuels pour traiter les demandes de droits à la vie privée liées au GDPR, où des dizaines d'employés sont impliqués, créant "des milliers de points de contact avec le potentiel d'introduire une erreur humaine", comme l'indique le rapport.
Imaginez le désordre et le gâchis qu'il y aurait à essayer de gérer de cette manière cinq, dix ou plus de réglementations nationales.
La moitié des entreprises interrogées dans le cadre d'une nouvelle étude de DataGrail s'appuient encore sur des processus manuels pour traiter les demandes de droits à la vie privée dans le cadre du GDPR.
Pour y faire face, il faudra faire preuve d'un niveau d'agilité et de sophistication culturelle et technologique qui pourrait être étranger à bon nombre de ces entreprises. Pourtant, des structures de conformité hautement proactives, flexibles et centralisées devront être mises en place. Les processus opérationnels et les ensembles d'outils doivent être construits autour d'un ADN de légalité, de conformité et de gestion des politiques, permettant à une entreprise de réussir à se lancer sur le marché en s'adaptant efficacement à chaque ensemble de réglementations. C'est loin d'être impossible, comme toute personne travaillant dans le secteur de l'assurance peut vous le dire, et il existe déjà des outils pour y parvenir. outils pour y parvenir.
Conformité à l'ACCP : Préparer l'avenir
Pour le meilleur ou pour le pire, les préoccupations relatives à la confidentialité des données et les lois visant à y répondre vont nous accompagner jusqu'à... eh bien, peut-être même jusqu 'à la fin des temps. Nous pouvons remercier la croissance des médias numériques, de l'internet des objets et de l'IA, ainsi que le besoin correspondant de protéger les informations personnelles dans un monde où ces données sont de plus en plus menacées.
Mais les professionnels de la GRC devraient se réjouir : La mise en place de systèmes et d'une culture appropriés pour se conformer à la loi sur la protection des données dès aujourd'hui crée un cadre efficace, durable et flexible. C'est un cadre sur lequel vous pouvez vous appuyer non seulement pour faire face à la prochaine série de réglementations, mais aussi pour relever tous les nouveaux défis en matière de confidentialité des données qui se présenteront par la suite.
Webinar : Naviguer dans la confidentialité des données pour les opérations juridiques
Deux grands experts montrent comment mettre en œuvre des processus pour réduire les risques liés à la confidentialité des données dans un environnement réglementaire hétéroclite.