Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO

Qu'est-ce que la California Consumer Privacy Act (CCPA)?

Accueil Glossaire Qu’est-ce que la California Consumer Privacy Act (CCPA)?

La CCPA (California Consumer Privacy Act) est une loi sur la protection des données promulguée en 2018 pour protéger les informations personnelles identifiables (IPI) des résidents de Californie. La loi est entrée en vigueur en janvier 2020. L’objectif législatif de la CCPA était de lutter contre la hausse des incidents de violations de données dans les industries de la technologie, des médias, du divertissement et des télécommunications.

CCPA

La CCPA garantit que les résidents de Californie ont le contrôle sur la manière dont les entreprises gèrent leurs informations personnelles identifiables (IPI). Elle garantit également que les entreprises respectent les demandes des résidents de Californie en matière d’accès et de suppression de leurs IPI, ainsi que leur capacité à refuser le partage et la vente de leurs informations personnelles.

Qu’est-ce que la Conformité CCPA?

Modélisée d’après le Règlement général sur la protection des données de l’Union européenne (RGPD), la CCPA stipule que les entreprises collectant des IPI auprès des résidents de Californie doivent fournir des informations sur la manière dont les données sont collectées. Elle présente également des similitudes avec la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (PIPEDA). Pour qu’une entreprise s’assure qu’elle est en conformité, elle peut avoir besoin d’ajuster sa politique de confidentialité pour inclure:

  • Les informations collectées et traitées par l’entreprise
  • La raison pour laquelle les informations sont collectées et traitées
  • Les méthodes utilisées pour collecter et traiter les informations personnelles
  • Les actions que les résidents doivent entreprendre pour demander l’accès, le changement, le transfert ou la suppression de leurs données personnelles
  • La méthode à utiliser pour vérifier l’identité de la personne qui soumet une telle demande
  • La vente des IPI des utilisateurs et comment ils peuvent refuser la vente de leurs données

Quelle est la portée géographique de la CCPA ?

La CCPA est une loi sur la confidentialité des données applicable à l’échelle de l’État, mais elle s’applique aux entreprises du monde entier, à condition qu’elles traitent des IPI appartenant à des résidents de Californie. La loi est considérée comme l’une des lois sur la confidentialité les plus strictes aux États-Unis.

Organisations tenues de se conformer à la CCPA

La CCPA s’applique à toutes les entreprises à but lucratif qui collectent et contrôlent des IPI appartenant à des résidents de Californie. Elle s’applique également aux entreprises à but lucratif en Californie qui répondent à l’un des critères suivants :

  • Chiffre d’affaires annuel brut de plus de 25 millions de dollars
  • 50 % ou plus du chiffre d’affaires annuel provient de la vente d’IPI appartenant à des résidents de Californie
  • Achète, reçoit ou vend les IPI de 50 000 résidents, ménages ou appareils de Californie ou plus chaque année

Organisations non soumises à la CCPA

La CCPA ne s’applique pas aux organisations à but non lucratif, aux petites entreprises qui ne remplissent pas les seuils de revenus, et à celles qui ne traitent pas de grandes quantités d’IPI appartenant à des résidents de Californie.

D’autres situations où la CCPA ne s’applique pas comprennent:

Lorsqu’aucun IPI n’est impliqué

La CCPA se concentre principalement sur les IPI. Les informations disponibles publiquement, à savoir les informations légalement accessibles dans les registres du gouvernement fédéral, de l’État et local, ne sont pas soumises à la CCPA.

Lorsque d’autres lois et réglementations s’appliquent

Certaines industries sont déjà régies par d’autres réglementations en matière de protection des données. Ces lois comprennent la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la Loi Gramm-Leach-Bliley (GLBA), et la Loi sur la rédaction équitable des rapports de crédit (FCRA). La CCPA exempte les données qui sont déjà couvertes par ces lois.

Dispositions clés de la CCPA

Bien que la CCPA soit comparée au RGPD, elle a une définition beaucoup plus large de la conformité réglementaire. La CCPA définit les données protégées par les IPI comme celles qui identifient, sont liées à, décrivent, peuvent être associées à, ou pourraient raisonnablement être liées à une personne particulière.

La CCPA donne aux résidents de Californie le droit de demander à une entreprise de divulguer l’un des éléments suivants:

  • Toutes les données collectées sur le consommateur
  • Les catégories de sources à partir desquelles les informations sont collectées
  • La raison commerciale de la collecte de ces informations
  • Tout tiers avec lequel les informations sont partagées

Pour les entreprises, la CCPA définit la raison commerciale comme l’utilisation d’informations personnelles dans le cadre des opérations commerciales, à condition que leur utilisation soit raisonnablement nécessaire et proportionnée pour atteindre l’objectif pour lequel les informations ont été collectées ou traitées. Selon la CCPA, la raison commerciale comprend:

  1. Audit relatif à une interaction en cours avec un consommateur et aux transactions ultérieures avec le consommateur
  2. Surveillance et détection d’incidents de sécurité, protection contre les activités illégales et poursuite des responsables de ces activités
  3. Utilisation à court terme d’informations personnelles, à condition que les informations ne soient pas divulguées à un tiers et qu’elles ne soient pas utilisées pour créer un profil d’un consommateur ou altérer de quelque manière que ce soit l’expérience individuelle d’un consommateur en dehors de l’interaction en cours
  4. Réalisation de recherches internes sur une entreprise pour le développement technologique
  5. Fourniture de services pour le compte de l’entreprise, tels que la gestion des comptes, le service client, le traitement des commandes et des transactions, la vérification des données des clients, le traitement des paiements, la fourniture de publicité ou de marketing et de services analytiques
  6. Fourniture de services pour vérifier ou maintenir la qualité ou la sécurité d’un service ou d’un appareil pour l’entreprise

Informations Personnelles Conformément au CCPA

Le CCPA garantit les droits à la vie privée et la protection des consommateurs résidant en Californie en ce qui concerne leurs informations personnelles identifiables (PII):

  • Le vrai nom d’une personne, alias, adresse postale, identifiant personnel unique, identifiant en ligne, adresse IP, adresse e-mail, nom de compte, numéro de sécurité sociale, numéro de permis de conduire ou numéro de passeport
  • Des informations commerciales telles que des enregistrements de biens personnels, des achats, des historiques d’achat ou de consommation ou des tendances
  • Des données biométriques
  • Des informations sur l’activité sur Internet telles que l’historique de navigation, l’historique de recherche et des informations concernant l’interaction d’un consommateur avec un site Web, une application ou une publicité
  • Des données de géolocalisation
  • Des informations audio, électroniques, visuelles, thermiques, olfactives ou similaires
  • Des informations professionnelles ou liées à l’emploi
  • Des informations sur l’éducation à condition que les informations ne soient pas publiques
  • Des déductions faites pour créer un profil sur un consommateur reflétant l’identité, les préférences, les caractéristiques, les tendances, le comportement, les attitudes et les capacités du consommateur

Sanctions et Amendes pour Non-Conformité au CCPA

La non-conformité au CCPA entraîne des sanctions financières et des amendes. Selon le CCPA, le procureur général de la Californie peut infliger une amende maximale de 7 500 $ par violation pour avoir délibérément ignoré les dispositions du CCPA, ce qui est considéré comme une non-conformité intentionnelle. Ne pas crypter les données utilisateur auxquelles on a eu accès lors d’une violation, ce qui pourrait être considéré comme une non-conformité involontaire, entraîne une amende de 2 500 $ par violation.

Le CCPA accorde également aux consommateurs un droit d’action privée en cas de violation des données due à une non-conformité. Les consommateurs peuvent intenter une action en justice contre une entreprise pour obtenir des dommages et intérêts statutaires en cas de violation. Avant de procéder, un consommateur doit informer une entreprise d’une violation et lui accorder 30 jours pour remédier à la violation. Si l’entreprise ne remédie pas à la violation dans le délai imparti, elle devient passible de dommages et intérêts statutaires pouvant aller jusqu’à 750 $ par consommateur affecté.

Étapes pour Devenir Conforme au CCPA

Il existe plusieurs étapes que les organisations doivent suivre pour devenir et rester conformes au CCPA :

1. Établir l’Obligation Commerciale envers le CCPA

Le CCPA protège toute personne physique résidant en Californie. Le CCPA impose aux résidents de la Californie le droit de savoir quelles informations personnelles les entreprises collectent à leur sujet et comment elles utilisent ces données. Une entreprise doit permettre au client de refuser l’utilisation de ces informations et s’assurer qu’il peut obtenir une copie des informations détenues par l’entreprise sur demande.

2. Cartographier Toutes les Données des Consommateurs Détenues et Collectées

Une fois qu’une entreprise détermine qu’elle est tenue de se conformer au CCPA, la prochaine étape consiste à cartographier toutes les informations personnelles identifiables sous le contrôle de l’entreprise.

3. Évaluer Tous les Tiers avec lesquels les Données des Consommateurs Sont Envoyées et/ou Reçues

La prochaine étape consiste à faire la même chose avec tous les tiers avec lesquels une entreprise partage des informations personnelles identifiables. Dans le cadre de la gestion des risques liés aux tiers d’une organisation (TPRM), ils doivent vérifier que chacun de ces tiers est conforme au CCPA. Cela comprend la révision et la mise à jour de la politique de confidentialité.

4. Faciliter l’Exercice des Droits des Consommateurs Conformément au CCPA

La prochaine étape consiste à créer des processus et des procédures que les consommateurs peuvent utiliser pour exercer leurs droits tels que prévus dans le CCPA.

5. Identifier et Mettre en Œuvre les Changements Opérationnels Nécessaires

Il peut être nécessaire d’apporter certaines modifications opérationnelles pour se conformer au CCPA. Ces changements incluent la manière dont les informations des consommateurs sont collectées et traitées, la manière dont les demandes des consommateurs seront traitées et comment assurer une conformité continue.

6. Former les Employés

La dernière étape consiste à former les employés sur la manière dont la conformité affecte votre entreprise et comment cela impacte le traitement des données des consommateurs. Les équipes doivent être formées sur la façon dont le CCPA définit un consommateur, ce qu’il définit comme des informations personnelles et comment répondre aux demandes des consommateurs.

Comparaison du CCPA avec le RGPD

Le CCPA et le RGPD sont des lois qui réglementent la manière dont les organisations, dans leurs juridictions respectives, traitent les informations personnelles identifiables. Les deux lois donnent aux individus un plus grand pouvoir sur la manière dont les entreprises gèrent leurs informations personnelles.

Le CCPA s’applique aux entreprises qui mènent des activités à but lucratif et qui traitent, collectent ou traitent des informations personnelles de résidents de Californie. Le RGPD, en revanche, donne aux résidents de l’Union européenne (UE) le contrôle sur la manière dont les entreprises collectent et utilisent leurs informations personnelles. Le RGPD est uniformément contraignant dans les 27 États membres de l’UE. Voici un bref aperçu de la comparaison entre le CCPA et le RGPD (adapté d’un document de Baker Law):

Région CCPA RGPD Comparaison
Qui est protégé Les consommateurs résidant en Californie qui sont : Différents mais avec des effets similaires
Quelles informations sont protégées Les données personnelles qui sont destinées à être vendues contre une valeur monétaire Toutes les données personnelles Similaire
Données anonymes, désidentifiées, pseudonymes ou agrégées La désidentification peut être utilisée pour la conformité.
Les données agrégées ne peuvent également pas être “raisonnablement” liées à un individu ou à un petit groupe.		 Le concept d’anonymisation du RGPD exige que les informations identifiables d’une personne soient empêchées de manière irréversible d’être utilisées.
Le RGPD exige la pseudonymisation.		 Essentiellement similaire, mais le RGPD exige la pseudonymisation.
Notification de confidentialité/Droit à l’information Le CCPA donne aux consommateurs le droit de savoir quelles informations sont détenues et d’obtenir une copie de ces informations Le RGPD permet aux individus de savoir combien de temps leurs informations seront conservées Similaire
Sécurité Le CCPA n’impose pas directement de exigences en matière de sécurité des données Prévoit l’exigence de mesures techniques et organisationnelles appropriées pour sécuriser les informations personnelles et réduire les risques de sécurité Le RGPD prévoit la sécurité des informations personnelles, tandis que le CCPA ne le fait pas
Droit d’opposition à la vente d’informations personnelles Le CCPA prévoit le droit de s’opposer à la vente d’informations personnelles Le RGPD permet aux personnes concernées de retirer leur consentement pour les activités de traitement et de ne pas autoriser le traitement de leurs données à des fins de marketing Le CCPA prévoit le droit de s’opposer à la vente d’informations personnelles, tandis que le RGPD ne l’autorise pas explicitement
Enfants Le CCPA traite de la vente d’informations sur les enfants, pas de tout le traitement, et exige que les entreprises obtiennent d’abord un consentement préalable. Les parents doivent donner leur consentement pour les enfants de moins de 13 ans ; les adolescents de 13 à 15 ans peuvent donner leur propre consentement. Le RGPD exige que les parents donnent leur consentement pour le traitement des informations personnelles de leurs enfants dans un environnement en ligne Essentiellement similaire
Droit de divulgation ou d’accès Permet aux consommateurs de savoir quelles informations sont collectées et d’obtenir une copie de ces informations Permet aux individus de savoir combien de temps leurs informations seront conservées Similaire
Droit à la portabilité des données Les consommateurs peuvent exercer leur droit à la portabilité des données Les individus peuvent exercer leur droit à la portabilité des données Similaire
Droit à la suppression Le CCPA prévoit le droit à la suppression Le RGPD prévoit le droit à l’oubli Similaire avec certaines différences, telles que le délai de réponse. En vertu du CCPA, le délai de réponse est de 45 jours, tandis que le RGPD prévoit un délai de réponse de 30 jours.
Droit de rectification Ne prévoit pas le droit de rectification des informations personnelles Prévoit le droit de rectification Le RGPD permet le droit de rectification, tandis que le CCPA ne le fait pas
Droit de limiter le traitement Le CCPA n’a que le droit de s’opposer à la vente d’informations personnelles Prévoit le droit de limiter le traitement Différent
Droit d’opposition au traitement automatisé Non trouvé dans le CCPA Permet le droit de s’opposer au traitement automatisé Différent
Non-discrimination Interdit la discrimination à l’égard des personnes qui exercent leurs droits en matière de confidentialité Interdit la discrimination à l’égard des personnes qui exercent leurs droits en matière de confidentialité Similaire
Réponse aux demandes de droits Prévoit un délai de réponse de 45 jours aux demandes de droits Prévoit un délai de réponse de 30 jours aux demandes de droits Similaire mais avec des délais de réponse différents
Sanctions (actions en justice des particuliers) Le CCPA prévoit un droit d’action privée pour les consommateurs Le RGPD ne mentionne pas le droit d’action privée d’un individu. Différent
Sanctions (amendes civiles) Amendes appliquées par violation (2 500 $ à 7 500 $).
Le consommateur peut poursuivre l’entreprise pour violation (100 $ à 750 $).		 Amende basée sur le chiffre d’affaires mondial annuel (4 % ou 20 millions d’euros) Différent

Figure 1. Comparaison entre le CCPA et le RGPD.

Qu’est-ce que le CPRA ?

En 2020, le California Consumer Privacy Act a été promulgué. Le California Privacy Rights Act (CPRA) est un amendement au CCPA qui entre en vigueur en janvier 2023, avec une application effective en juillet 2023. Le CPRA modifie le CCPA pour inclure davantage de droits à la vie privée pour les résidents de la Californie. Bien que la loi offre principalement les mêmes protections que le CCPA, elle met à jour certaines de ses dispositions et en introduit plusieurs autres.

Le CPRA crée l’Agence de protection de la vie privée de la Californie, chargée de mettre en œuvre et d’appliquer cette loi. Il maintient également le procureur général en tant qu’autorité de mise en application civile.

Communications de contenu sensible et le CCPA

Les entreprises du secteur privé doivent suivre, contrôler et sécuriser les communications numériques des informations personnellement identifiables (PII) appartenant aux résidents de la Californie pour se conformer au CCPA. Historiquement, les entreprises se reposent sur de nombreux outils pour les communications de contenu sensible, adoptant des approches cloisonnées pour les différents canaux de communication (e-mail, partage de fichiers, transfert de fichiers, transfert de fichiers géré, formulaires web et interfaces de programmation d’applications [API]). Cela crée une bifurcation des métadonnées qui rend difficile pour les organisations la mise en place d’une gouvernance centralisée et automatisée des PII et le maintien d’une approche de gestion des risques intégrée.

La plateforme Kiteworks consolide les communications numériques de données confidentielles telles que les PII dans un réseau de contenu privé. Kiteworks unifie, suit, contrôle et sécurise les PII partagées et envoyées au sein et en dehors d’une organisation, ce qui contribue à assurer la conformité réglementaire au CCPA.

Pour plus d’informations sur la manière dont Kiteworks peut créer un réseau de contenu privé pour votre organisation, programmez une démonstration sur mesure dès aujourd’hui.

 

Retour au glossaire de la gestion des risques et de la conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Partagez
Tweetez
Partagez
Get A Demo