Conformité à la CCPA et à l'ACPR

Contacter un expert

Retour à tous les cas d'utilisation

L'ACCP, l'ACPR et la gestion des risques liés aux tiers

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) réglemente la collecte et la vente par les entreprises des données des consommateurs afin de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler la manière dont ces informations sont utilisées. Le CCPA a été élargi en 2023 avec le California Privacy Rights Act (CPRA), ajoutant de nouvelles obligations de conformité qui imposent des accords stricts avec des tiers pour garantir la collecte, l'utilisation et l'élimination sécurisées des informations sur les consommateurs.

La CCPA et la CPRA s'appliquent aux données relatives aux consommateurs collectées auprès de tout résident de Californie, que ce soit par une entreprise dont le siège social se trouve dans cet État ou par une entreprise qui y fait des affaires. Si une entreprise est jugée responsable d'une sanction civile en vertu de la CCPA, la sanction peut atteindre 7 500 dollars par violation intentionnelle et 2 500 dollars par violation non intentionnelle. Le tribunal peut également ordonner le versement de dommages-intérêts aux consommateurs.

Les organisations doivent donc s'assurer que leurs partenaires et fournisseurs de services tiers sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants au moyen d'une évaluation approfondie de la sécurité.

Règlements applicables

  • 1798.81.5 (b) "Une entreprise qui possède, concède sous licence ou conserve des informations personnelles sur un résident californien doit mettre en œuvre et maintenir des procédures et des pratiques de sécurité raisonnables et adaptées à la nature des informations, afin de protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés".
  • 1798.140(c) "Autorise, sous réserve d'un accord avec le contractant [ou le prestataire de services], l'entreprise à contrôler le respect du contrat par le contractant [ou le prestataire de services] par le biais de mesures, y compris, mais sans s'y limiter, des examens manuels continus et des analyses automatisées, ainsi que des évaluations régulières, des audits ou d'autres tests techniques et opérationnels au moins une fois tous les 12 mois".
  • 1798.185 (b) "Soumettre régulièrement à l'Agence californienne de protection de la vie privée une évaluation des risques concernant leur traitement des informations personnelles".
  • 1798.100 (d) "Une entreprise... doit conclure un accord avec ce tiers, ce prestataire de services ou ce contractant, qui : ... oblige le tiers, le prestataire de services ou le contractant à se conformer aux obligations applicables en vertu du présent titre et oblige ces personnes à fournir le même niveau de protection de la vie privée que celui exigé par le présent titre ; exige du tiers, du prestataire de services ou du contractant qu'il informe l'entreprise s'il détermine qu'il ne peut plus respecter ses obligations en vertu du présent titre."
  • 1798.185 (a) "Réaliser un audit de cybersécurité sur une base annuelle, y compris en définissant la portée de l'audit et en établissant un processus pour s'assurer que les audits sont complets et indépendants. Les facteurs à prendre en considération pour déterminer si le traitement peut entraîner un risque important pour la sécurité des informations à caractère personnel comprennent la taille et la complexité de l'entreprise, ainsi que la nature et l'étendue des activités de traitement."

Répondre aux exigences du TPRM de l'ACCP

Voici comment Prevalent peut vous aider à mettre en œuvre les meilleures pratiques de gestion des risques liés aux tiers de l'ACCP :

Meilleures pratiques de l'ACCP

Comment nous aidons

Découverte et cartographie des données

Prevalent prend en charge les évaluations planifiées pour identifier les flux de données entre les relations, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation, grâce à une capacité unique de cartographie des relations. Il génère automatiquement un registre des risques mettant en évidence les principaux domaines de risque afin d'améliorer la visibilité des données.

Évaluation des risques liés aux fournisseurs

Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à la CCPA en utilisant le Prevalent Compliance Framework (PCF). Un questionnaire spécifique permet d'identifier les risques identifiés au cours de l'évaluation et de les mettre en correspondance avec les contrôles, afin d'obtenir une vision claire des points chauds potentiels.

Réponse aux risques

Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Il accélère la réponse grâce à des règles de flux de travail prédéfinies qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les traite immédiatement.

Suivi de la conformité et rapports

Prevalent établit des rapports sur la CCPA à l'aide du cadre de conformité Prevalent qui met automatiquement en correspondance les risques et les réponses avec les contrôles, fournit un pourcentage de conformité et des rapports spécifiques aux parties prenantes afin d'apporter de la visibilité à la sécurité des données.

Surveillance de la notification des violations

Prevalent donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Cette base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des fournisseurs en cas de violation de données.

Demandes d'accès au sujet

Prevalent permet aux fournisseurs et aux utilisateurs de l'entreprise de déclencher des flux de travail de demande d'accès en fonction des demandes qu'ils reçoivent, en utilisant une évaluation proactive pour capturer les données pertinentes. Grâce à la carte des relations, les équipes chargées des risques et de la protection de la vie privée peuvent visualiser avec qui les données sont partagées et qui est exposé aux données de ce fournisseur.

Gestion des contrats avec les fournisseurs

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs, y compris les capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Avec Prevalent, les équipes chargées des achats et des affaires juridiques disposent d'une solution unique pour faire respecter les dispositions des contrats de vente et les indicateurs de performance, et pour simplifier la gestion et la révision.

Ressources complémentaires

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Livre blanc

Manuel de conformité pour les tiers : Règlement sur la protection des données

Blog

Développer une politique de gestion des risques liés aux tiers : Guide de bonnes pratiques

Liste de contrôle

Liste de contrôle de la conformité des tiers à la CCPA

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.