CCPA California AG Blog Post Header
CCPA California AG Blog Post Header

Mise à jour sur la protection des données : le ministre californien de l'agriculture propose des modifications à la loi sur la protection des données (CCPA)

Le bureau du procureur général de Californie a publié le 7 février 2020 une proposition de règlement révisé pour la mise en œuvre de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act - CCPA). Quelles sont les implications pour les entreprises qui tentent de rester en conformité avec cette réglementation historique sur la confidentialité des données ?

La loi californienne de 2018 sur la protection de la vie privée des consommateurs ayant été proposée et signée dans un laps de temps étonnamment court, il n'est pas étonnant que cette loi "complète" sur la protection de la vie privée des consommateurs souffre de quelques redondances et de définitions confuses.

Les experts de Keesal, Young & Logan se sont penchés sur les détails de l'annonce du procureur général. Nous ne nous attarderons donc que sur quelques-unes d'entre elles, qui peuvent avoir un impact direct sur la manière dont une entreprise peut déployer des solutions technologiques telles que l'automatisation des flux de travail pour rédiger et publier des processus qui l'aideront à se conformer à la loi dans les délais impartis.

Conseils sur ce qu'est (ou n'est pas) une "information personnelle"

Il est bon de clarifier ce qui constitue exactement des informations à caractère personnel, et le règlement révisé considérera qu'il y a PI si l'entreprise conserve ces données d'une manière qui identifie, concerne, décrit ou pourrait raisonnablement être liée à un consommateur ou à un ménage en particulier.

Pour un site web, par exemple, le simple fait de collecter les adresses IP des visiteurs du site ne fait pas de ces IP des "informations personnelles". Pas tant qu'elles ne sont pas explicitement liées à un résident ou à un ménage californien particulier.

"Nous l'adorons" - 3 études de cas d'automatisation de flux de travail TAP

Il s'agit d'un paramètre essentiel pour les services juridiques et de conformité qui pourraient vouloir mettre en place des processus visant à recueillir le consentement des visiteurs, ou des processus de découverte pour l'analyse des données existantes, ou encore pour répondre aux demandes des consommateurs dans le cadre de la nouvelle législation.

Normes d'accessibilité

Plutôt que de se contenter d'une déclaration générale selon laquelle les avis et la politique de confidentialité exigés par l'ACCP sur le site web d'une entreprise doivent être accessibles aux personnes handicapées, le règlement de l'ACCP intègre désormais des lignes directrices spécifiques concernant l'accessibilité du contenu web (WCAG 2.1). La réglementation de l'ACCP intègre désormais les lignes directrices et les normes spécifiques des Web Content Accessibility Guidelines (WCAG) 2.1.

Spécifier le bouton Opt-Out

La CCPA exige désormais que les sites web intègrent un bouton "opt-out" uniforme à utiliser comme lien "Ne pas vendre mes informations personnelles". Ce graphique consistera en un bouton rouge ou un interrupteur à bascule qui ne remportera peut-être pas de prix de design, mais qui fera passer le message.

Bouton d'exclusion de l'ACCP

Confirmation de réception et réponses aux demandes de connaissance et de suppression

Les entreprises doivent confirmer la réception d' une demande de connaissance ou de suppression des informations personnelles d'un consommateur dans un délai de 10 jours ouvrables. C'est pourquoi une solution automatisée, où la conformité est mieux assurée et où l'erreur humaine est considérablement réduite, représente une amélioration considérable par rapport aux processus manuels, où les possibilités de risque sont nombreuses.

La confirmation peut être donnée de la même manière que la demande a été faite ; par exemple, une demande faite par téléphone peut être confirmée par téléphone. Les réponses "substantielles" aux demandes de connaissance et de suppression des données à caractère personnel doivent être apportées dans un délai de 45 jours civils.

Confirmation de réception et réponses aux demandes de connaissance et de suppression

Celle-ci permettra à de nombreuses entreprises de se libérer de ce qui semblait être un obstacle de taille à la mise en conformité avec l'ancien libellé de la loi sur la protection des données : En répondant à une demande de renseignements, les entreprises ne sont pas Lorsqu'elles répondent à une demande de renseignements, les entreprises ne sont pas tenues de rechercher des renseignements personnels si elles remplissent toutes les conditions suivantes : A) l'entreprise ne conserve pas les informations personnelles dans un format consultable ou raisonnablement accessible ; B) l'entreprise conserve les informations personnelles uniquement à des fins juridiques ou de conformité ; C) elle ne vend pas les informations personnelles et ne les utilise pas à des fins commerciales ; D) l'entreprise décrit au consommateur les catégories de dossiers susceptibles de contenir des informations personnelles qu'elle n'a pas recherchées parce qu'elle remplit les conditions susmentionnées.

[bctt tweet="La nouvelle proposition d'orientation sur la #CCPA apporte la clarté nécessaire à une réglementation sur la #dataprivacy qui a été promulguée à la hâte en un temps étonnamment court." via="yes"]