CCPA et gestion des risques liés aux tiers
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act)réglemente la collecte et la vente de données sur les consommateurs par les entreprises afin de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler l'utilisation de ces informations. La CCPA sera mise à jour en 2023 avec des sanctions plus sévères dans le cadre de la loi californienne sur les droits à la vie privée (California Privacy Rights Act).
La CCPA s'applique aux données des consommateurs collectées auprès de tout résident de Californie, que ce soit par une entreprise dont le siège social est situé dans cet État ou qui y exerce simplement ses activités.
Les organisations doivent donc s'assurer que leurs partenaires et fournisseurs de services tiers sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants au moyen d'une évaluation approfondie de la sécurité.
Règlements applicables
- 1798.81.5 (b) « Une entreprise qui détient, concède sous licence ou conserve des informations personnelles concernant un résident californien doit mettre en œuvre et maintenir des procédures et pratiques de sécurité raisonnables et adaptées à la nature des informations, afin de protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés. »
- 1798.185 (a) "Réaliser un audit de cybersécurité sur une base annuelle, y compris en définissant la portée de l'audit et en établissant un processus pour s'assurer que les audits sont complets et indépendants. Les facteurs à prendre en considération pour déterminer si le traitement peut entraîner un risque important pour la sécurité des informations à caractère personnel comprennent la taille et la complexité de l'entreprise, ainsi que la nature et l'étendue des activités de traitement."
- 1798.140(c)« Autorise, sous réserve d'accord avec le contractant [ou le prestataire de services], l'entreprise à contrôler le respect du contrat par le contractant [ou le prestataire de services] au moyen de mesures comprenant, sans s'y limiter, des examens manuels continus et des analyses automatisées, ainsi que des évaluations, audits ou autres tests techniques et opérationnels réguliers, au moins une fois tous les 12 mois. »
- 1798.185 (b) "Soumettre régulièrement à l'Agence californienne de protection de la vie privée une évaluation des risques concernant leur traitement des informations personnelles".
Répondre aux exigences du TPRM de l'ACCP
Voici comment Prevalent peut vous aider à mettre en œuvre les meilleures pratiques de gestion des risques liés aux tiers de l'ACCP :
Meilleures pratiques de l'ACCP
Comment nous aidons
Découverte et cartographie des données
Prevalent prend en charge les évaluations planifiées pour identifier les flux de données entre les relations, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation, grâce à une capacité unique de cartographie des relations. Il génère automatiquement un registre des risques mettant en évidence les principaux domaines de risque afin d'améliorer la visibilité des données.
Auto-évaluations
Prevalent réalise une évaluation de l'impact sur la vie privée (PIA) ciblant les données commerciales et personnelles les plus sensibles ainsi que les processus commerciaux présentant le risque le plus élevé. Elle évalue l'origine, la nature et la gravité du risque potentiel, et formule des recommandations visant à atténuer les risques identifiés afin de garantir le respect futur des réglementations en matière de confidentialité.
Évaluation des risques liés aux fournisseurs
Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à la CCPA en utilisant le Prevalent Compliance Framework (PCF). Un questionnaire spécifique permet d'identifier les risques identifiés au cours de l'évaluation et de les mettre en correspondance avec les contrôles, afin d'obtenir une vision claire des points chauds potentiels.
Réponse aux risques
Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Il accélère la réponse grâce à des règles de flux de travail prédéfinies qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les traite immédiatement.
Suivi de la conformité et rapports
Prevalent établit des rapports sur la CCPA à l'aide du cadre de conformité Prevalent qui met automatiquement en correspondance les risques et les réponses avec les contrôles, fournit un pourcentage de conformité et des rapports spécifiques aux parties prenantes afin d'apporter de la visibilité à la sécurité des données.
Surveillance de la notification des violations
Prevalent donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Cette base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des fournisseurs en cas de violation de données.
Demandes d'accès au sujet
Prevalent permet aux fournisseurs et aux utilisateurs de l'entreprise de déclencher des flux de travail de demande d'accès en fonction des demandes qu'ils reçoivent, en utilisant une évaluation proactive pour capturer les données pertinentes. Grâce à la carte des relations, les équipes chargées des risques et de la protection de la vie privée peuvent visualiser avec qui les données sont partagées et qui est exposé aux données de ce fournisseur.
