En-tête d'article de blog sur les données personnelles
En-tête d'article de blog sur les données personnelles

Comment deux nouvelles modifications de la CCPA influencent les obligations de conformité des entreprises

Stacey Garrett |

En juin 2018, la Californie a innové en devenant le premier État du pays à adopter une loi complète sur la confidentialité des données.

La nouvelle loi, appelée Loi californienne sur la protection de la vie privée des consommateursLa loi sur la protection des données personnelles (CCPA) donne aux Californiens de nouveaux droits importants pour contrôler leurs informations personnelles et exige que les entreprises couvertes par la CCPA soient transparentes sur la façon dont elles collectent, utilisent et partagent ces informations. La loi entrera en vigueur le 1er janvier 2020, soit dans deux mois.

Bien que les consommateurs californiens aient accueilli favorablement les idées de transparence et de contrôle, la CCPA, telle qu'elle a été adoptée à l'origine, était difficile à gérer pour les entreprises. La loi s'élevait à une longueur de plus de 10 000 mots, était rédigé en moins d'une semaine et, dans certains cas, était désespérément vague.

Il contenait des incohérences et des renvois à des sections qui n'existaient pas. Dire que l'ACCP avait besoin d'une bonne révision et d'un polissage est un euphémisme, c'est le moins que l'on puisse dire. La législature californienne a corrigé certaines de ces erreurs de rédaction en apportant des modifications mineures au début de l'année.

Plus récemment, l'État de Californie a apporté quelques bonnes nouvelles et quelques conseils aux entreprises sous la forme de deux amendements majeurs de l'ACCP et le projet de règlement d'application publié par le bureau de l'Attorney General. Dans ce billet, nous analysons ces deux amendements et la manière dont ils allègent - mais n'éliminent pas - la charge de la conformité pour les entreprises soumises à la loi sur les pratiques commerciales déloyales. Dans ce billet à venir nous examinerons les projet de règlement d'application publiées le 10 octobre 2019 et ce qu'elles signifient pour les entreprises.

eBook : Confidentialité des données : Pourquoi est-ce si important aujourd'hui ? Pourquoi les équipes juridiques doivent-elles s'en préoccuper ?

Deux modifications récentes de l'ACCP

Le 11 octobre 2019, le gouverneur Gavin Newsom a signé deux amendements qui a considérablement réduit l'application de la CCPA pour un an. Ces modifications sont souvent appelées "exemption pour les employés" et "exemption pour les entreprises" (ou B2B), mais le mot "exemption" en exagère l'effet. En fait, ces modifications limitent certains droits (et obligations commerciales) de ces groupes pour une année. Ces deux groupes auront droit à complet Les droits conférés par l'ACCP à partir du 1er janvier 2021 (à moins que l'ACCP ne soit à nouveau modifiée d'ici là).

> Le limité exception pour certains droits des travailleurs pendant un an

Projet de loi 25 de l'Assemblée a modifié la CCPA afin d'exclure les informations personnelles que les entreprises collectent sur les candidats à l'emploi, les employés, les propriétaires, les directeurs, les responsables et les sous-traitants de la protection de la vie privée. certains Droits de l'ACCP pendant un an. Cet amendement a été incorporé dans le CCPA à l'article 1798.145(h) du code civil. À la suite de cet amendement, les candidats à l'emploi et les employés ne sera pas ont le droit de demander à connaître ou à supprimer les informations que leur employeur ou ancien employeur a recueillies à leur sujet jusqu'au 1er janvier 2021.

Mais ne vous y trompez pas : à partir du 1er janvier 2020 - soit dans deux mois - les candidats à l'emploi et les salariés aura certains droits en vertu de la CCPA. Tout d'abord, les entreprises soumises à la loi sur la protection des données seront tenues de remettre aux candidats à l'emploi et aux employés une "notification au moment de la collecte" qui les informe (1) des catégories d'informations personnelles que l'entreprise recueille à leur sujet et (2) de la finalité de l'utilisation de ces informations. L'avis au moment de la collecte doit être remis au candidat à l'emploi ou à l'employé au plus tard le moment où les informations sont collectées.

Cela signifie que si une entreprise couverte accepte des candidatures à un emploi ou des CV en ligne, elle doit fournir au candidat un avis au moment de la collecte (par le biais d'une fenêtre contextuelle ou d'un lien) au moment où le demandeur d'emploi remplit une demande d'emploi ou télécharge un curriculum vitae, ou avant cette date. De même, les employés actuels auront droit à un avis au moment de la collecte pour les informer des catégories d'informations personnelles que l'entreprise recueille à leur sujet pendant qu'ils sont au travail, et des raisons pour lesquelles elles sont utilisées.

Le droit à un avis de collecte n'est pas le seul droit que les candidats à l'emploi et les employés obtiendront en vertu de la CCPA à partir de janvier 2020. Les candidats à l'emploi et les employés ont également le droit de poursuivre les entreprises si leurs informations personnelles sensibles non cryptées et non expurgées (telles que le numéro de sécurité sociale, le numéro de permis de conduire, les informations médicales ou les informations relatives à l'assurance maladie) font l'objet d'une violation en raison de l'obligation de l'entreprise de mettre en œuvre et de maintenir des procédures et des pratiques raisonnables en matière de sécurité. En cas de violation de données de ce type, la CCPA permet aux consommateurs - y compris les candidats à l'emploi et les employés - de percevoir des dommages-intérêts réels ou des dommages-intérêts légaux de $100 à $750 par consommateur et par incident, le montant le plus élevé étant retenu. Il s'agit de change la donne, parce que la Californie est le seulement L'État membre de l'Union européenne qui prévoit des dommages-intérêts légaux en cas d'atteinte à la protection des données.

[bctt tweet="La Californie est la seulement L'État qui prévoit des dommages-intérêts légaux en cas de violation de données." username="MitratechLegal"]

> L'exception "d'entreprise à entreprise" est également limitée et expire dans un an.

La deuxième modification la plus importante de l'ACCP est la suivante Projet de loi 1335 de l'AssembléeCette disposition exclut les informations personnelles collectées par une entreprise lorsqu'elle communique avec un consommateur agissant pour le compte d'une autre organisation et que la communication a lieu uniquement dans le cadre d'une transaction commerciale. En d'autres termes, les personnes dont les informations personnelles sont collectées dans un contexte commercial, ou dans un canal B2B, ne pas ont le droit, conféré par la CCPA, de recevoir un avis de collecte ou d'accéder à leurs données à caractère personnel ou de les supprimer.

Cet amendement a été intégré à la loi sur la protection des données dans le code civil (Civil Code §1798.145(n)(1)). Toutefois, à l'instar de l'exception limitée aux données relatives aux employés évoquée ci-dessus, il serait erroné de penser que les informations personnelles collectées dans un contexte interentreprises sont entièrement "exemptées" de la loi sur la protection des données. Comme les candidats à l'emploi et les employés, une personne dont les informations personnelles sensibles sont collectées dans un contexte interentreprises a le droit d'intenter une action en justice pour des dommages réels et légaux si leurs informations sensibles sont violées sous une forme non chiffrée ou non expurgée en raison du manquement de l'entreprise à mettre en œuvre et à maintenir des procédures et des pratiques de sécurité raisonnables.

Et, comme l'amendement relatif aux employés, l'exclusion des données collectées dans un contexte interentreprises des droits de savoir et de suppression expirera le 1er janvier 2021, ce qui signifie que les consommateurs dont les informations personnelles sont collectées dans un contexte interentreprises auront le droit de savoir et de supprimer leurs données. complet Les droits conférés par le CCPA prennent effet à cette date (à moins que la loi ne soit à nouveau modifiée).

Prochaine étape : les propositions de règlement

Le 10 octobre 2019, le bureau du procureur général de Californie a publié des propositions de règlement qui fournissent aux entreprises des conseils spécifiques concernant : (1) les avis que les entreprises doivent fournir aux consommateurs en vertu de la CCPA ; (2) les pratiques de l'entreprise pour traiter les demandes des consommateurs faites en vertu de la CCPA ; (3) les pratiques de l'entreprise pour vérifier l'identité du consommateur qui fait ces demandes ; (4) les pratiques de l'entreprise concernant les informations personnelles des mineurs, et (5) l'offre d'incitations financières par l'entreprise. La période de consultation publique sur les règlements proposés se termine le 6 décembre 2019.

Nous allons discuter de chacun d'entre eux dans les prochains articles du blog.