Avez-vous fêté la nouvelle année avec des confettis... et une nouvelle politique de protection de la vie privée de l'ACCP ?
Les Californiens ont passé le 1er janvier 2020 comme la plupart des autres Américains : ils ont pris (et rompu) les résolutions du Nouvel An, regardé les matchs de football universitaire et fait leurs adieux à 2019.
Mais les Californiens se sont également réveillés ce jour-là avec de nouveaux droits en matière de protection de la vie privée qui leur ont été accordés à la suite de l'adoption de la loi sur la protection de la vie privée. Loi californienne sur la protection de la vie privée des consommateurs, une loi sur la protection de la vie privée, la première aux États-Unis, qui donne aux individus le droit de connaître, d'accéder et de supprimer les informations personnelles que les entreprises collectent à leur sujet.
Pour les entreprises soumises à la CCPA, la loi impose un certain nombre d'obligations de conformité à partir du 1er janvier 2020 (pensez-y comme des résolutions obligatoires du Nouvel An). Ces obligations sont tellement uniques que le procureur général de Californie, Xavier Becerra, a récemment invoqué Star Trek pour les décrire, déclarant que la nouvelle loi californienne sur la protection de la vie privée allait "là où personne n'est allé auparavant".
Les exigences de la politique de protection de la vie privée de la CCPA en sont un parfait exemple : elles sont compliquées, nombreuses et, dans certains cas, inédites. Dans ce blog, nous explorons les éléments requis d'une politique de confidentialité conforme à la CCPA et discutons de la façon dont les entreprises peuvent naviguer dans cette nouvelle frontière.
Objectifs de la politique de confidentialité
Selon la CCPA, l'objectif d'une politique de protection de la vie privée est de fournir aux consommateurs une description complète des pratiques en ligne et hors ligne d'une entreprise concernant la collecte, l'utilisation, la divulgation et la vente de données à caractère personnel, ainsi que des droits des consommateurs concernant leurs données à caractère personnel. (La référence aux "pratiques hors ligne" signifie que la politique de protection de la vie privée doit également décrire les informations personnelles que l'entreprise recueille hors ligne, par exemple dans le cadre de l'utilisation de caméras de sécurité et de télévision en circuit fermé).
"Facile à lire, compréhensible et accessible à tous
La politique de protection de la vie privée doit également être "facile à lire" et "compréhensible" pour un consommateur moyen. (Compte tenu de la quantité d'informations qui doivent figurer dans la politique de confidentialité, cette tâche est plus facile à dire qu'à faire).
La politique de protection de la vie privée doit être rédigée dans un langage clair et simple. Elle doit être présentée sous une forme qui attire l'attention du consommateur et rend la politique lisible, et elle doit être disponible dans la ou les langues dans lesquelles l'entreprise fournit habituellement des contrats et des annonces aux consommateurs.
La politique de protection de la vie privée doit également être accessible aux consommateurs handicapés et doit être disponible pour que les consommateurs puissent l'imprimer en tant que document séparé.
Conseil de pro n° 1 :
La politique de confidentialité exigée par la CCPA s'ajoute aux politiques de confidentialité exigées par d'autres lois californiennes, telles que la loi californienne sur la protection de la vie privée en ligne ("CalOPPA").
Oui, mais que doit contenir la politique de protection de la vie privée de la CCPA ?
Préparez-vous. La liste est longue. La politique de confidentialité doit :
1 - Expliquez qu'un consommateur a le droit de demander à l'entreprise de divulguer les informations personnelles qu'elle recueille, utilise, divulgue et vend. Pour ce faire, la politique de protection de la vie privée doit
- Fournir des instructions pour l'introduction d'une demande de connaissance vérifiable par le consommateur et fournir des liens vers un formulaire de demande en ligne ou un portail permettant d'introduire la demande, s'il est proposé par l'entreprise ;
- décrire la procédure que l'entreprise utilisera pour vérifier la demande du consommateur, y compris toute information que le consommateur doit fournir. S'il n'existe pas de méthode raisonnable permettant à une entreprise de vérifier l'identité du consommateur avec le degré de certitude requis par la CCPA et que c'est le cas pour tous les consommateurs dont l'entreprise détient des informations personnelles, la politique de protection de la vie privée doit l'indiquer ;
- décrire les pratiques de l'entreprise en matière de collecte d'informations personnelles. La politique de protection de la vie privée doit
- Décrire les catégories d'informations personnelles que l'entreprise a collectées sur les consommateurs au cours des 12 derniers mois ; et
- Pour chaque catégorie d'informations personnelles collectées, indiquez les catégories de sources à partir desquelles ces informations ont été collectées (c'est-à-dire auprès du consommateur ou d'une autre source tierce), le(s) but(s) professionnel(s) ou commercial(s) pour lesquels les informations ont été collectées, et les catégories de tiers avec lesquels l'entreprise partage les informations personnelles.
- décrire les pratiques de l'entreprise en matière de divulgation ou de vente d'informations personnelles. La politique de protection de la vie privée doit
- Indiquez si l'entreprise a divulgué ou vendu des informations personnelles à des tiers à des fins professionnelles ou commerciales au cours des 12 derniers mois ;
- Dresser la liste des catégories d'informations à caractère personnel, le cas échéant, qu'il a divulguées ou vendues à des tiers à des fins professionnelles ou commerciales au cours des 12 derniers mois ; et
- Indiquez si l'entreprise vend ou non des informations personnelles sur des mineurs de moins de 16 ans sans autorisation expresse.
2 - Expliquer qu'un consommateur a le droit de demander la suppression de ses données personnelles collectées ou conservées par l'entreprise. La politique de protection de la vie privée doit
A. Fournir des instructions pour l'introduction d'une demande de suppression vérifiable par le consommateur et fournir des liens vers un formulaire de demande en ligne ou un portail permettant d'introduire la demande, si l'entreprise le propose ; et
B. Décrire la procédure que l'entreprise utilisera pour vérifier la demande du consommateur, y compris toute information que le consommateur doit fournir.
Conseil de pro n°2 :
La politique de confidentialité de l'ACCP doit être mise à jour au moins une fois tous les 12 mois.
3 - Décrire le droit du consommateur de refuser la vente d'informations personnelles. Pour ce faire, la politique de protection de la vie privée doit
A. Fournir des instructions pour l'introduction d'une demande de suppression vérifiable par le consommateur et fournir des liens vers un formulaire de demande en ligne ou un portail permettant d'introduire la demande, si l'entreprise le propose ; et
B. Décrire la procédure que l'entreprise utilisera pour vérifier la demande du consommateur, y compris toute information que le consommateur doit fournir.
4 - Expliquer que le consommateur a le droit de ne pas être traité différemment parce qu'il a exercé les droits à la vie privée conférés par la CCPA ;
5 - Expliquer comment un consommateur peut désigner un agent autorisé pour faire une demande au titre de la CCPA en son nom ;
6 - Fournir aux consommateurs une personne de contact à qui ils peuvent peuvent poser des questions ou faire part de leurs préoccupations concernant les politiques et pratiques de l'entreprise en matière de protection de la vie privée. les politiques et pratiques de l'entreprise en matière de protection de la vie privée ;
7 - Indiquer la date de la dernière mise à jour de la politique de confidentialité.
8 - Si une entreprise, seule ou en association, achète, reçoit, vend ou partage annuellement achète, reçoit, vend ou partage les informations personnelles de 4 millions de consommateurs ou plus, la politique de protection de la vie privée doit également faire état des paramètres suivants pour l'année civile précédente :
A. le nombre de demandes de connaissance, de suppression et d'exclusion que l'entreprise a reçues, auxquelles elle a donné suite en tout ou en partie, et qu'elle a refusées ; et
B. Le nombre médian de jours dans lesquels l'entreprise a répondu de manière substantielle aux demandes d'information, aux demandes de suppression et aux demandes d'exclusion.
Publication de la politique de confidentialité
Les entreprises sont tenues d'afficher leur politique de protection de la vie privée sur la page d'accueil de leur site web (ou sur la page d'accueil d'une application mobile) à l'aide d'un lien bien visible comportant le mot "privacy" (protection de la vie privée). Une entreprise qui n'exploite pas de site web doit mettre sa politique de confidentialité à la disposition des consommateurs de manière visible (par exemple en l'affichant de manière visible sur le site de l'entreprise).
Vous n'avez pas encore de politique de protection de la vie privée au sens de la CCPA ?
La liste des "incontournables" de la politique de confidentialité de l'ACCP est pour le moins intimidante. Mais ne jetez pas l'éponge si votre entreprise n'a pas été en mesure de publier une politique de confidentialité conforme à la CCPA d'ici le 1er janvier 2020.
Le procureur général Becerra a déclaré que son bureau ferait preuve de bienveillance à l'égard des entreprises qui s'efforcent de bonne foi de se conformer à la loi, tandis que son bureau ferait un exemple des entreprises qui n'agissent pas correctement. Alors, continuez. Et vivez longtemps et prospèrement.
[bctt tweet="Le procureur général de Californie a déclaré que son bureau ferait un exemple des entreprises qui n'agissent pas correctement dans le cadre de la loi sur la protection des consommateurs." via="yes"]