CCPA California AG Blog Post Header
CCPA California AG Blog Post Header

Mise à jour sur la protection des données : le ministre californien de l'agriculture propose des modifications à la loi sur la protection des données (CCPA)

Le bureau du procureur général de Californie a publié le 7 février 2020 une proposition de règlement révisé pour la mise en œuvre de la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act - CCPA). Quelles sont les implications pour les entreprises qui tentent de rester en conformité avec cette réglementation historique en matière de confidentialité des données ?

Depuis l'entrée en vigueur de la Loi californienne de 2018 sur la protection de la vie privée des consommateurs a été proposée et signée dans un étonnamment court Il n'est pas étonnant que cette loi "complète" sur la protection de la vie privée des consommateurs souffre de quelques redondances et de définitions confuses.

Les experts de Keesal, Young & Logan ont a creusé dans les détails sur l'annonce du procureur général. Nous nous concentrerons donc sur quelques-unes d'entre elles, qui peuvent avoir un impact direct sur la manière dont une entreprise peut déployer des solutions technologiques. comme l'automatisation du flux de travail d'élaborer et de publier des processus pour les aider assurer la conformité dans les délais avec la loi.

Conseils sur ce qu'est (ou n'est pas) une "information personnelle"

Il est bon de clarifier les points suivants ce qui constitue exactement une information personnelleLe règlement révisé considère qu'il y a PI si l'entreprise conserve ces données d'une manière qui identifie, concerne, décrit ou pourrait raisonnablement être liée à un consommateur ou à un ménage particulier.

Pour un site web, par exemple, la simple collecte des adresses IP des visiteurs du site ne ne font pas de ces adresses IP des "informations personnelles". Pas tant qu'elles ne sont pas explicitement liées à un résident ou à un ménage californien particulier.

"Nous l'adorons" - 3 études de cas d'automatisation de flux de travail TAP

C'est un paramètre essentiel pour les services juridiques et de conformité qui souhaiteraient mettre en place des processus visant à recueillir le consentement des visiteurs, ou des processus de découverte pour l'analyse des données existantes, ou encore pour répondre aux demandes des consommateurs dans le cadre de la nouvelle législation.

Normes d'accessibilité

Plutôt que de se contenter d'une déclaration générale indiquant que les avis et la politique de protection de la vie privée exigés par la CCPA sur le site web d'une entreprise doit être accessible aux personnes handicapées ? Les règlements de l'ACCP intègrent désormais les lignes directrices et les normes spécifiques de la Lignes directrices pour l'accessibilité des contenus web (WCAG) 2.1.

Spécifier le bouton Opt-Out

L'ACCP exige désormais que les sites web intègrent un bouton "opt-out" uniforme à utiliser comme lien "Ne pas vendre mes informations personnelles". Ce graphisme consistera en un bouton rouge ou un interrupteur à bascule qui ne remportera peut-être pas de prix de design, mais qui fera passer le message.

Bouton d'exclusion de l'ACCP

Confirmation de réception et Réponses aux demandes de connaissance et de suppression

Les entreprises doivent confirmer la reçu d'une demande de connaissance ou de suppression des données à caractère personnel d'un consommateur dans les 10 jours ouvrables. C'est pourquoi une solution automatisée, où la conformité est mieux assurée et où l'erreur humaine est considérablement réduite, représente une amélioration considérable par rapport aux processus manuels où les possibilités de risque sont nombreuses.

La confirmation peut être donnée de la même manière que la demande a été faite ; par exemple, une demande faite par téléphone peut être confirmée par téléphone. La confirmation peut être donnée de la même manière que la demande a été faite. réponses "substantielles" effectives les demandes de connaissance et de suppression des données à caractère personnel doivent être formulées dans un délai de 45 jours civils.

Confirmation de réception et Réponses aux demandes de connaissance et de suppression

Celle-ci permettra à de nombreuses entreprises de se libérer de ce qui semblait être un obstacle de taille à la mise en conformité avec l'ancien libellé de la loi sur la protection des données : En répondant à une demande de renseignements, les entreprises ne sont pas sont tenus de rechercher des informations à caractère personnel s'ils remplissent toutes ces conditions : A) L'entreprise ne conserve pas les informations personnelles dans un format consultable ou raisonnablement accessible ; B) l'entreprise conserve les informations personnelles uniquement à des fins juridiques ou de conformité ; C) il ne vend pas les informations personnelles et ne les utilise pas à des fins commerciales ; D) l'entreprise décrit au consommateur les catégories de documents susceptibles de contenir des informations personnelles qu'elle n'a pas recherchées parce qu'elle remplit les conditions précitées.

[bctt tweet="La nouvelle proposition d'orientation sur le #CCPA apporte la clarté nécessaire à une réglementation sur la confidentialité des données qui a été promulguée à la hâte dans un délai étonnamment court." via="yes"]