Adoptée initialement en juin 2018 et en vigueur depuis janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) réglemente la collecte et la vente des données des consommateurs par les entreprises, dans le but de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler l'utilisation de ces informations.
La CCPA a été élargie en 2023 avec la California Privacy Rights Act (CPRA), qui ajoute de nouvelles obligations de conformité imposant des accords stricts avec les tiers afin de garantir la sécurité de la collecte, de l'utilisation et de la suppression des informations des consommateurs. Bien que largement identique à la CCPA, la CPRA :
- Ajoute du contenu afin de mieux l'aligner sur le règlement général sur la protection des données (RGPD) de l'UE.
- Augmente les sanctions en cas d'infraction
- Autorise la création de l'Agence californienne de protection de la vie privée.
Cet article examine les principales exigences de la CCPA, les personnes auxquelles elle s'applique et la manière dont les organisations peuvent s'assurer que leurs tiers protègent les données de leurs clients. Pour plus de simplicité, cet article fait référence aux deux réglementations (CCPA et CPRA) sous le nom de CCPA.
Comment la CCPA définit-elle les informations personnelles ?
Commençons par définir ce qu'est une « information personnelle ». La CCPA définit les informations personnelles sensibles comme « des informations qui identifient, concernent, décrivent, peuvent raisonnablement être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un foyer particulier ».
Quelles sont les obligations imposées par la CCPA aux entreprises (et à leurs tiers) ?
La CCPA oblige les entreprises à informer les résidents californiens de la collecte de données avant de procéder à cette collecte. Elle permet aux consommateurs d'accéder à toutes les données personnelles détenues par une entreprise et de recevoir des informations sur les personnes ou les organisations avec lesquelles ces données ont été partagées. Elle permet également aux consommateurs de se désinscrire et d'empêcher que leurs données personnelles soient vendues ou partagées avec un tiers.
À qui s'applique la CCPA ?
Bien que la CCPA soit techniquement une loi de l'État de Californie, son influence s'étend bien au-delà des frontières du Golden State. La surveillance de la CCPA ne se limite pas aux entreprises dont le siège social est situé en Californie, ni même aux entreprises opérant physiquement en Californie : la CCPA s'applique aux données des consommateurs collectées auprès de tout résident de Californie.
Étant donné que la Californie compte environ 40 millions d'habitants et serait la cinquième économie mondiale si elle était un pays à part entière, il y a de fortes chances que si votre entreprise collecte des données sur les consommateurs, vous ayez collecté les données d'un résident californien. En fait, de nombreuses entreprises choisissent de traiter chaque consommateur comme s'il était un résident californien et se préparent donc à se conformer à la CCPA dans l'ensemble de leurs activités.
Quelles sont les sanctions en cas de non-conformité à la CCPA ?
Si une entreprise est jugée responsable d'une sanction civile en vertu de la CCPA, la sanction peut atteindre 7 500 dollars par infraction intentionnelle et 2 500 dollars par infraction non intentionnelle. Le tribunal peut également ordonner des dommages-intérêts légaux pour les consommateurs.
Liste de contrôle : quatre exigences clés en matière de conformité à la CCPA pour les tiers
[Section 1798.100 du CCPA](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.) stipule qu'une entreprise qui collecte les informations personnelles d'un consommateur et les vend ou les partage avec un tiers doit conclure un accord avec ce tiers qui « oblige le tiers, le prestataire de services ou le sous-traitant à se conformer » aux réglementations de confidentialité de la CCPA. Les organisations doivent donc s'assurer que leurs partenaires tiers et leurs prestataires de services sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants au moyen d'une évaluation approfondie de la sécurité. La section 1798.185 (15) du CCPA stipule que « les entreprises dont le traitement des informations personnelles des consommateurs présente un risque important pour la confidentialité ou la sécurité des consommateurs » sont tenues de réaliser des audits annuels de cybersécurité et de soumettre une évaluation des risques à l'Agence californienne de protection de la vie privée. Les dispositions spécifiques du CCPA que les organisations doivent examiner comprennent :
| 1798.81.5 (b), mise en œuvre et maintien de procédures et pratiques de sécurité raisonnables | Pour toute norme réglementaire, les organisations doivent s'assurer qu'elles mesurent les risques corrects et appliquent les contrôles appropriés. Dans le cas du CCPA, cela pourrait signifier utiliser les contrôles de sécurité critiques du Center for Internet Security (CIS) comme cadre de référence.
Recherchez une solution qui évalue non seulement les contrôles de confidentialité des tiers, mais aussi les risques plus généraux liés aux tiers à l'aide d'une vaste bibliothèque d'évaluations approuvées par des auditeurs. |
| 1798.100 (d), conclure un accord qui oblige le tiers à se conformer aux obligations applicables | Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs, y compris des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la sortie.
Avec Prevalent, les équipes chargées des achats et des affaires juridiques disposent d'une solution unique pour faire respecter les dispositions des contrats de vente et les indicateurs de performance, et pour simplifier la gestion et la révision. |
| 1798.140 (c), examens manuels continus, analyses automatisées et évaluations régulières, audits | Pour éviter les risques opérationnels et de réputation ainsi que les perturbations commerciales, les organisations doivent s'assurer que leurs partenaires et tiers respectent des mesures de sécurité raisonnables. Cependant, tenter d'évaluer les tiers à l'aide de questionnaires manuels et de feuilles de calcul n'est ni cohérent ni évolutif.
Recherchez des plateformes tierces de gestion des risques qui automatisent les évaluations régulières et assurent une surveillance continue afin d'obtenir une vue d'ensemble des risques liés à un fournisseur. |
| 1798.185 (a) réaliser un audit de cybersécurité chaque année ; et (b) soumettre régulièrement une évaluation des risques à la CCPA. | La plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques généraux. La conformité à la CCPA nécessite une compréhension technique du traitement des données, en particulier des contrôles de sécurité critiques CIS, qui sont proposés comme cadre pour garantir une sécurité adéquate des données.
Recherchez des solutions qui mettent en correspondance les réponses des évaluations tierces avec les contrôles de sécurité critiques du CIS afin de garantir une couverture complète de la CCPA et d'aider à distinguer les systèmes correctement conçus des fonctionnalités de sécurité et de confidentialité « rajoutées » afin d'assurer une conformité totale. Recherchez des rapports efficaces pour satisfaire aux exigences d'audit et de conformité de la CCPA, ainsi que pour présenter les conclusions au conseil d'administration et à la direction. |
Ce n'est qu'une fois que votre entreprise aura identifié les tiers auxquels vous vendez des données sur les consommateurs que vous pourrez commencer à prendre des mesures pour garantir la conformité à la CCPA, telles que la mise à jour de vos accords juridiques avec les tiers ou l'ouverture de canaux de communication en cas de violation. Ensuite, dans le cadre de ce processus, étendez votre recherche auxquatrièmes et n-ièmes parties. L'identification des relations entre votre organisation et les tiers , ainsi qu'entre ces derniers et leurs propres tiers , permettra de mettre en évidence les dépendances et de visualiser les chemins d'information, ce qui simplifiera considérablement le processus de reporting.
Comment Prevalent peut aider
Prevalent fournit aux entreprises une solution complète pour gérer leurs relations avec des tiers afin de se conformer à la loi CCPA. Notre plateforme de gestion des risques liés aux tiers facilite les tâches suivantes :
- Découvrez et cartographiez les données entre les relations de troisième,quatrième
et n-ième partie. - Effectuer des auto-évaluations pour comprendre la maturité des processus internes, ainsi que des propriétaires de données.
- Évaluer les contrôles des tiers en matière de protection de la vie privée
- Automatisez la réponse aux risques lorsque les réponses des tiers ne correspondent pas aux attentes.
- Rapport sur la conformité à la CCPA avec fonctionnalité de rapport intégrée
- Recevoir des notifications automatisées en cas de violation des données afin de comprendre les risques éventuels pour les données de vos clients
- Centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs.
Pour plus d'informations sur la manière dont Prevalent peut aider les organisations à évaluer leurs contrôles de sécurité des données tierces afin de se conformer aux exigences de la CCPA, consultez le livre blanc intitulé « The CCPA Third-Party Compliance Checklist » ( Liste de contrôle de conformité des tiers à la CCPA) ou demandez une démonstration dès aujourd'hui. Pour découvrir comment la gestion des risques liés aux tiers s'applique à d'autres réglementations en matière de confidentialité, téléchargez le manuel « The Third-Party Compliance Handbook: Data Privacy Regulations » (Manuel de conformité des tiers : réglementations en matière de confidentialité des données ).
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
