Ruée vers l'or de l'ACCP
Ruée vers l'or de l'ACCP

Êtes-vous prêt pour une "ruée vers l'or" dans les litiges relatifs à la protection des données de la CCPA ?

Steven O'Donnell |

À partir du mois de juillet, la loi californienne sur la protection de la vie privée des consommateurs entrera en vigueur. Cette entrée en vigueur sera-t-elle rapidement suivie d'une avalanche de litiges ? Et comment les entreprises peuvent-elles éviter de s'y laisser entraîner ?

L'ACCP a connu plus que sa part de modifications et amendements au fil du temps. Une chose qui est restée inébranlable est le fait que le bureau du procureur général de Californie n'a pas l'intention de relâcher ses efforts en matière d'application de la loimême avec les perturbations imposées par COVID-19 :

"Pour l'instant, nous nous engageons à appliquer la loi dès la finalisation des règles ou le 1er juillet, selon la première éventualité. Nous sommes tous conscients de la nouvelle réalité créée par COVID-19 et de la valeur accrue de la protection de la vie privée des consommateurs en ligne qui en découle".

Les modifications apportées à la loi sur la protection des données et les autres réglementations qui ont vu le jour ou ont été proposées dans diverses régions, nations et États, ne font que souligner la nature changeante du paysage de la protection de la vie privée. Des efforts tels que ceux entrepris par le Commission du droit uniforme visent à unifier de manière cohérente les lois américaines sur la protection de la vie privée, mais personne ne sait quand cela se produira.

TAP Workflow Automation pour les besoins de votre entreprise

La solution flexible, intuitive et sans code pour les utilisateurs professionnels.

Cinq faits essentiels sur la nouvelle réalité de la protection des données

En attendant ? L'arrivée de l'application de la loi sur la protection des données fait du respect de la confidentialité des données une réalité urgente pour les entreprises. des centaines de milliers d'entreprises qui font du commerce avec les Californiens.

Comme on le souligne souvent, "la réglementation engendre des litiges". surtout lorsqu'une nouvelle loi donne aux plaignants le droit de réclamer des dommages-intérêts aux entreprises qui l'ont violée. La CCPA ne sera pas différente, puisqu'il pourrait y avoir une véritable nouvelle ruée vers l'or en Californie alors que des avocats agressifs intentent des actions en justice.  Certains n'ont pas pris la peine d'attendre le début de l'application de la loi.

Il y a cinq faits essentiels que les services juridiques des entreprises et les équipes chargées de la gestion des risques et de la conformité sont désormais obligés d'accepter cette situation - et de l'utiliser pour guider leurs actions alors que nous pénétrons dans ce nouveau territoire inexploré :

Se préparer aux changements qui s'annoncent

L'application de la loi sur la protection des données est une certitude, mais l'avènement futur d'autres réglementations sur la protection des données dans d'autres lieux et d'autres secteurs est tout aussi certain. Même lorsque des règles strictes ont déjà été mises en place ? Il y a la possibilité de nouveau restrictions.

Par exemple, les partisans de l'ACCP proposent aujourd'hui de mettre en place un système d'information sur les droits de l'homme. Loi californienne sur les droits à la vie privée (CPRA) qui renforcerait les droits des consommateurs et augmenterait le risque pour les entreprises encore plus loin.  Il est donc essentiel de rester conscient des obligations qui vous incombent en vertu de la législation actuelle et d'anticiper les modifications potentielles ou les nouvelles législations.

Pour faire face aux autres changements à venir, les entreprises doivent d'abord admettre qu'il s'agit de la nouvelle réalité des affaires. Ensuite, elles doivent être prêtes à adopter les données cadres de gouvernance et outils qui leur donnent la la flexibilité et l'agilité qu'ils doivent maintenir en conformité. Ce n'est qu'à cette condition qu'ils pourront faire face non seulement à une réglementation accrue sur un plus grand nombre de marchés, mais aussi au fait que ces réglementations sont fluides et sujettes à des révisions et à des modifications constantes.

La pandémie a renforcé la surveillance de la confidentialité des données

Comme nous l'avons mentionné plus haut, les régulateurs, dans l'ensemble, ne sont pas disposés à relâcher leur vigilance en matière d'application de la législation sur la protection de la vie privée simplement en raison d'une crise de santé publique d'une ampleur sans précédent. Au contraire, de nouveaux appels sont lancés presque quotidiennement en faveur d'une meilleure application de la protection des données. plus les règles relatives à la confidentialité des données qui ont découlé de la pandémie.

Il y a quelques mois, combien d'Américains utilisaient Zoom ? Mais aujourd'hui, il y a multiplication des poursuites judiciaires autres menaces juridiques La plateforme n'étant pas préparée à devenir l'épine dorsale du télétravail, elle a fait l'objet de nombreuses critiques. Y compris, bien sûr, une demande de nouvelles réglementations pour des services tels que Zoom.

L'utilisation de technologies telles que l'IA pour contenir le virus a suscité des inquiétudes concernant la confidentialité des données, ainsi que la manière dont les données sont traitées dans d'autres domaines des soins de santé. Il existe déjà des projets de loi fédéraux en cours de présentation limiter la divulgation de données aux gouvernements, parmi d'autres protections proposées.

Les processus opérationnels créent désormais des risques

Les processus d'entreprise qui sont fondamentaux pour de nombreuses organisations ? Pour plusieurs raisons, ils sont aujourd'hui une source de risque pour ces entreprises. Un risque que les régulateurs et les plaideurs privés ne seront que trop heureux d'en être la cible.

Badge de conformité de l'ACCPTout d'abord, il y a le simple fait que ces Les processus peuvent ne pas avoir a été réorganisée pour se conformer à la CCPA ou à d'autres réglementations en matière de protection de la vie privée.  Pourquoi Une entreprise peut-elle ne pas le faire ? Il se peut qu'elle ait une compréhension incomplète de la réglementation ou de ses implications pour son activité, ou qu'elle n'ait tout simplement pas consacré les ressources appropriées à la mise en conformité - soit parce qu'elle n'en voyait pas la nécessité, soit parce qu'elle n'en avait pas les moyens, soit parce qu'elle estimait que ses systèmes et processus existants étaient "suffisamment bons" pour ne pas avoir à s'en préoccuper.

Mais la complexité du respect de la confidentialité des données peut s'avérer être un obstacle à la mise en place d'une politique de protection de la vie privée. un écueil très profond et très dangereux pour ceux qui ne sont pas préparés. D'autant plus que des lois comme la CCPA rendent les entreprises responsables des erreurs de traitement des données commises par leurs partenaires et les tiers. Une surveillance déficiente, des processus manuels et centrés sur le papier, et des pratiques de stockage de données dépassées sont la recette d'une répression réglementaire.

Dans une situation comme celle de la pandémie de COVID-19, la les dangers d'une mauvaise gestion de la confidentialité des données ne font que s'amplifier lorsque les employés travaillent à distance. Dans le cadre de leur travail, à quelles IIP accèdent-ils concernant les clients et les prospects ? Avec qui les partagent-ils ? Sur quels appareils ?

Pour rendre ces processus conformes, il suffit de s'engager à mettre en place les bons outils. En particulier automatisation du flux de travail pour remplacer les processus obsolètes et non conformes par des versions automatisées où la conformité à la CCPA est intégrée dès le départ, même pour les employés à distance.

Une préparation précoce permet d'atténuer ces risques

L'adoption d'une approche proactive de la conformité à la loi CCPA ou à d'autres lois sur la protection de la vie privée permet d'éviter les maux de tête opérationnels, les atteintes à la réputation et les préjudices causés aux résultats par les pénalités et les pertes liées aux litiges.

Quelques-unes des mesures à prendre ? La mise en place d'un cadre de gouvernance des données est une première étape essentielle, et la détermination de vos objectifs en matière d'utilisation des données est un élément clé. La mise en place d'un tel cadre implique l'engagement et le travail d'un large éventail de parties prenantes dans toute organisation, mais c'est obligatoire - et les résultats à long terme en valent la peine.

Vous devez ensuite identifier les pratiques et processus susceptibles de poser problème lorsqu'il s'agit de risques liés à la confidentialité des données. À partir de là, il s'agit d'explorer et d'évaluer les solutions disponibles pour réorganiser ces processus et vous doter de l'agilité, de la réactivité, de la transparence et du contrôle nécessaires à une mise en conformité efficace.

Les plaignants et les plaideurs se profilent à l'horizon

Pour sortir un instant du cadre de la confidentialité des données, examinons un domaine un peu plus établi dans les litiges liés au numérique. Le nombre de procès intentés en vertu du titre III de l'Americans with Disabilities Act (ADA) a continué d'augmenter en 2019, battant le record de l'année précédente en dépassant les 10 millions d'euros. 3 000 nouveaux cas d'accessibilité de sites web.  C'est une leçon qui ne devrait pas être perdue pour les entreprises confrontées à la CCPA : Une fois de plus, presque toute nouvelle réglementation offre une nouvelle voie aux plaignants qui cherchent à trouver un filon.

En fait, des actions ont déjà été intentées contre des entreprises telles que Salesforce, Ring, et Clearview AI pour des violations présumées de la CCPA. Et comme nous l'avons mentionné plus haut, Zoom a fait l'objet de trois recours collectifs en vertu de la CCPA depuis le 30 mars.

Vie privée CCPA

Dans le dossier de Clearview AI, il est allégué que l'entreprise enfreint également la loi de l'Illinois sur la protection de l'environnement et les droits de l'homme. Loi sur la confidentialité des informations biométriques (BIPA)qui a été une "une source constante de litiges depuis lors" Elle est entrée en vigueur en 2008 et a donné lieu à des centaines d'affaires. Il pourrait s'agir d'un signe avant-coureur d'un avenir sous la CCPA où les affaires prolifèrent frénétiquement. Il faut également tenir compte du fait que le BIPA traite d'un spectre plus étroit de la confidentialité des données que la loi californienne.

Nouvelles complications liées au travail à distance

Une autre ride ? Les le passage soudain à la main-d'œuvre à distance a fait naître de nouveaux risques. Lorsque les employés sont de plus en plus dispersés, mais qu'ils peuvent toujours accéder aux données personnelles des clients, les dangers d'une mauvaise manipulation de ces informations augmentent. Et comme nous l'avons vu, les régulateurs et les avocats ne sont pas disposés à donner un laissez-passer à une entreprise, COVID-19 ou non.

Certaines entreprises ont déjà pris des mesures pour intégrer la conformité avec le CCPA, le GDPR et d'autres réglementations sur la confidentialité des données dans leurs opérations. Elles l'ont fait en réorganisant les processus de base à l'aide de nouvelles solutions telles que automatisation du flux de travail ou des outils pour découverte et stockage les données réelles détenues par leurs entreprises.

Il incombe donc à tous entreprise concernée par l'ACCP pour en savoir plus sur les différentes solutions à sa disposition pour surmonter les difficultés de l'entreprise. risques posés par la CCPA. Il s'agit là d'une première étape essentielle pour éviter d'être victime de cette "ruée vers l'or" des temps modernes.

Pour en savoir plus sur la manière de naviguer dans les complexités juridiques et de conformité d'un environnement de travail à domicile, veuillez contacter consultez ce webinaire.