En-tête d'article de blog sur la conformité aux règles de confidentialité des données
En-tête d'article de blog sur la conformité aux règles de confidentialité des données

Pour l'ACCP, le nouveau règlement du GC est un manuel pratique

Stacey Garrett |

Oui, la loi californienne sur la protection de la vie privée des consommateurs est vraiment happening. À l'approche de la date d'entrée en vigueur de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), le 1er janvier 2020, de nombreuses entreprises se rendent compte que la CCPA est une loi de protection de la vie privée. pas s'en aller.

En fait, c'est le contraire qui est vrai : la CCPA et les obligations qu'elle impose aux entreprises concernées viennent de devenir très, très réelles.

Les entreprises savent depuis plus d'un an que la CCPA donne aux consommateurs le droit de savoir quelles informations personnelles les entreprises collectent à leur sujet et comment ces informations sont utilisées. Le CCPA donne également aux consommateurs le droit de refuser la vente de leurs données personnelles à des tiers et de demander aux entreprises d'effacer leurs données personnelles. Les entreprises couvertes par la CCPA savaient également que la CCPA les obligerait à faire ce qui suit quelque chose pour reconnaître ces nouveaux droits.

Mais de quoi s'agit-il exactement ? Le bureau du procureur général de Californie a tenté de répondre à cette question le 10 octobre 2019 en publiant un document intitulé a publié des projets de règlement pour la mise en œuvre de la CCPA (disponible ici). (Le projet de règlement est soumis à une période de consultation publique qui se termine le 6 décembre 2019).

Bien que le projet de règlement ne résolve pas la question de la tous Ils fournissent toutefois des orientations spécifiques pour les entreprises concernant leurs obligations en matière de conformité. En d'autres termes, il s'agit d'un manuel d'instructions pour la mise en place d'un programme de conformité.

eBook : Confidentialité des données : Pourquoi est-ce si important aujourd'hui ? Pourquoi les équipes juridiques doivent-elles s'en préoccuper ?

L'obligation de transparence : Les avis sont nécessaires

Le CCPA exige que les entreprises informent les consommateurs des informations qu'elles collectent, de la manière dont elles les utilisent et si elles les partagent ou les vendent à des tiers. La loi exige également que les entreprises informent les consommateurs de l'existence de leurs droits en vertu de la loi et de la manière de les exercer. La CCPA atteint ces objectifs en exigeant des entreprises qu'elles fournissent aux consommateurs plusieurs avis écrits :

  • Bien que les avis aient chacun un objectif différent, ils doivent tous être rédigés dans un langage clair et simple et éviter tout jargon technique ou juridique.
  • Ils doivent également être présentés dans un format qui attire l'attention du consommateur et rend les avis lisibles, y compris sur les petits écrans.
  • Les avis doivent être disponibles dans la ou les langues dans lesquelles l'entreprise fournit, dans le cadre de ses activités normales, des contrats, des clauses de non-responsabilité, des annonces de vente et d'autres informations aux consommateurs.
  • Les avis doivent être accessibles aux consommateurs handicapés ou, au minimum, fournir des informations sur la manière dont un consommateur handicapé peut accéder à l'avis dans un format alternatif. (Le Lignes directrices sur l'accessibilité du contenu web [WCAG] 2.0 sont les normes généralement reconnues pour déterminer l'accessibilité d'un site web).

Votre entreprise est-elle soumise à la CCPA ?

Toutes les organisations ne sont pas tenues de se conformer à la CCPA. La CCPA s'applique aux organisations à but lucratif qui exercent leurs activités en Californie, qui collectent des informations personnelles sur les consommateurs, qui déterminent l'utilisation de ces informations et qui satisfont à l'un des trois seuils suivants : (1) leurs recettes brutes annuelles dépassent $25 millions d'euros ; (2) seules ou en combinaison, elles achètent, reçoivent, vendent ou partagent chaque année, à des fins commerciales, les informations personnelles de 50 000 consommateurs ou plus ; ou (3) elles tirent 50% ou plus de leurs recettes annuelles de la vente d'informations personnelles sur les consommateurs.

Trois avis requis par l'ACCP

La CCPA exige que les entreprises fournissent trois avis aux consommateursIl s'agit : (1) d'un avis sur la collecte d'informations personnelles, (2) d'un avis sur le droit de refuser la vente d'informations personnelles, et (3) d'un avis sur les incitations financières.

1 - Avis lors de la collecte d'informations personnelles

L'objectif d'une notification au moment de la collecte est d'informer les consommateurs des catégories d'informations personnelles que l'entreprise collectera auprès d'eux et de la ou des raisons pour lesquelles ces informations seront utilisées. La notification au moment de la collecte doit être remise au consommateur avant ou au moment où l'entreprise collecte des informations personnelles.

L'avis de recouvrement doit contenir

(1) Une liste des catégories d'informations à caractère personnel concernant les consommateurs à collecter ;

(2) Pour chaque catégorie d'informations à caractère personnel, la ou les finalités professionnelles ou commerciales pour lesquelles les informations seront utilisées ;

(3) Si l'entreprise vend des informations personnelles, un lien intitulé "Ne pas vendre mes informations personnelles" ou, dans les avis hors ligne, l'adresse web où se trouve le lien "Ne pas vendre" ; et

(4) Un lien vers la politique de confidentialité de l'entreprise.

L'avis de collecte doit être visible ou accessible de manière à ce que les consommateurs puissent le voir avant que des données à caractère personnel ne soient collectées. Lorsqu'une entreprise collecte des données à caractère personnel de consommateurs en ligneIl peut afficher de manière visible un lien vers l'avis de collecte sur la page d'accueil du site web de l'entreprise ou sur la page de téléchargement de l'application mobile, ou sur toutes les pages web où des informations à caractère personnel sont collectées.

Lorsqu'une entreprise recueille des informations personnelles sur les consommateurs hors ligneIl peut inclure l'avis sur les formulaires imprimés qui recueillent les informations, fournir au consommateur une version papier de l'avis lors de l'enlèvement, ou afficher des panneaux bien visibles indiquant aux consommateurs l'adresse web où l'avis peut être consulté.

CCPA Cybersecurity GRC Sign

L'avis de collecte est très important. parce que la CCPA interdit aux entreprises de collecter des catégories d'informations personnelles autres que celles divulguées dans l'avis de collecte. Si l'entreprise a l'intention de collecter d'autres catégories de données à caractère personnel, la CCPA exige qu'elle fournisse un avis de collecte de données à caractère personnel. nouveau Avis à la collecte au moment de la collecte des informations supplémentaires ou avant.

Si une entreprise échoue de donner aux consommateurs un avis au moment de la collecte, comme l'exige la CCPA, l'entreprise n'est pas autorisée à collecter des informations personnelles auprès du consommateur. Il est important de noter que, comme nous l'avons expliqué dans notre dernier post iDans cette série, les candidats à l'emploi, les salariés, les entrepreneurs indépendants et les travailleurs temporaires ont tous droit à des avis à la collecte.

2 - Avis sur le droit de refuser la vente de données personnelles

La notification du droit de refuser la vente d'informations personnelles a pour but d'informer les consommateurs de leur droit d'ordonner à une entreprise qui vend (ou pourrait vendre à l'avenir) leurs informations personnelles de cesser de les vendre et de s'abstenir de les vendre à l'avenir.

Les Avis de droit de retrait doit contenir :

(1) Une description du droit du consommateur de refuser la vente de ses données à caractère personnel ;

(2) Le formulaire web par lequel le consommateur peut soumettre sa demande de non-participation en ligne ou, si l'entreprise n'exploite pas de site web, la méthode hors ligne par laquelle le consommateur peut soumettre sa demande de non-participation ;

(3) les instructions relatives à toute autre méthode par laquelle le consommateur peut soumettre sa demande de non-participation ;

(4) Toute preuve requise lorsqu'un consommateur fait appel à un agent autorisé pour exercer son droit de retrait ; et

(5) Un lien ou l'URL vers la politique de confidentialité de l'entreprise, ou la page web où les consommateurs peuvent accéder à la politique de confidentialité.

Les entreprises concernées qui vendent des informations personnelles aux Californiens doivent fournir un lien clair et visible sur leur page d'accueil Internet, intitulé "Ne pas vendre mes informations personnelles", qui permet au consommateur de refuser la vente de ses informations personnelles. Le bureau du procureur général de Californie travaille à la création d'un bouton ou d'un logo d'exclusion uniforme que les entreprises peuvent utiliser.

3 - Avis d'incitation financière

L'objectif de la notification de l'incitation financière est d'expliquer au consommateur chaque incitation financière ou différence de prix ou de service qu'une entreprise peut offrir en échange de la conservation ou de la vente des informations personnelles d'un consommateur, afin que ce dernier puisse décider en connaissance de cause de participer ou non à l'opération.

Les Avis d'incitation financière doit contenir :

(1) Un résumé succinct de l'incitation financière ou de la différence de prix du service offert ;

(2) Une description des conditions matérielles de l'incitation tarifaire, y compris les catégories de données à caractère personnel concernées par l'incitation financière ou la différence de prix ou de service ;

(3) Comment le consommateur peut accepter l'incitation financière ou la différence de prix ou de service ;

(4) la notification du droit du consommateur de renoncer à tout moment à l'incitation financière et de la manière dont il peut exercer ce droit ; et

(5) Une explication de la raison pour laquelle l'incitation financière ou la différence de prix ou de service est autorisée par la CCPA, y compris :

  • une estimation de bonne foi de la valeur des données du consommateur qui constituent la base de l'incitation financière ou de la différence de prix ou de service ; et
  • Une description de la méthode utilisée par l'entreprise pour calculer la valeur des données du consommateur.

L'avis d'incitation financière doit être disponible en ligne ou dans un autre lieu physique où les consommateurs le verront. avant en acceptant l'incitation financière, la différence de prix ou de service. Si l'entreprise propose l'incitation financière en ligne, l'avis d'incitation financière peut être donné en fournissant un lien vers la section de la politique de confidentialité de l'entreprise qui contient les informations requises.

[bctt tweet="Le bureau du procureur général de Californie travaille à l'élaboration d'un bouton ou d'un logo uniforme d'exclusion de la CCPA que les entreprises pourront utiliser sur leurs sites web." via="yes"]

À suivre : Politiques de protection de la vie privée de la CCPA

Le train de la transparence continue de rouler dans notre suivant où nous aborderons les nouvelles, nombreuses, uniques et très spécifiques divulgations requises pour les politiques de protection de la vie privée conformes à la loi sur la protection des données.

(Alerte au spoiler : il n'y a pas de "taille unique").