Nous utilisons des cookies pour garantir que nous vous offrons la meilleure expérience sur notre site Web.

Guide de conformité CCPA : Comment rendre votre entreprise conforme à la CCPA

Au cours des dernières années, les entreprises ont lutté contre la menace de violations de données et de cyberattaques, et les clients tentent de trouver de nouveaux moyens de protéger leur vie privée en ligne et d'empêcher que leurs données ne soient partagées avec des tiers.

Depuis 2018, le California Consumer Privacy Act et d’autres, comme le RGPD, imposent aux entreprises l’obligation légale de protéger les données des utilisateurs. En conséquence, d’autres États commencent à emboîter le pas.

Cet article vous expliquera tout ce que vous devez savoir sur la conformité CCPA, y compris les droits des consommateurs, les types de données couvertes, la formation, etc., pour garantir la conformité de votre entreprise et la sécurité des données de vos clients.

Si vous recherchez des produits qui peuvent vous aider à atteindre la conformité CCPA etgérer de grandes quantités de données privées, cela sera également abordé plus loin dans l'article lorsque nous parlerons de services commestockage cloud cryptéce qui peut aider les entreprises à se conformer aux lois. En attendant, apprenons-en davantage sur la façon d’atteindre la conformité CCPA.

Table des matières

  1. Qui doit se conformer au CCPA ?
  2. Droits des consommateurs en vertu du CCPA
  3. Types de données couvertes par le CCPA
  4. Conformité CCPA vs conformité RGPD
  1. Créer une politique de confidentialité claire et transparente
  2. Assurez-vous que les utilisateurs peuvent vous contacter
  3. Participez à la formation sur la conformité CCPA
  4. Réaliser des audits de données
  5. Répondre aux exigences de sécurité
  6. Sanctions en cas de non-respect

Conformité CCPA : ce que vous devez savoir

La California Consumer Privacy Act (CCPA) a été créée en 2018 pourprévenir les violations de donnéesen raison de contrôles d’accès et de gestion de la confidentialité mal définis par Big Tech.

Le CCPA a été créé grâce àHIPAA pour les données médicaleset LeRèglement Général sur la Protection des Données(RGPD) en Europe. Le RGPD ouvre la voie à une expérience Internet plus privée, donnant à chacun le droit de savoir quand, où et comment ses informations personnelles sont collectées et lui permettant de s'y désinscrire s'il le souhaite.

Toutes les organisations doivent suivre les réglementations établies par le CCPA pour protéger les résidents de Californie. Pour se conformer au CCPA, toutes les organisations doivent :

  • Soyez transparent sur la collecte et l’utilisation des données.
  • Répondre aux demandes des clients.
  • Mettre en œuvre des mesures de sécurité pour protéger les données des utilisateurs.

Grâce à la conformité CCPA, les entreprises doivent prendre les mesures nécessaires pour protéger les données des utilisateurs plutôt que d'en tirer profit. C'est donc une grande étape pour garantirles entreprises peuvent protéger leurs consommateurs.

Qui doit se conformer au CCPA ?

Toute organisation qui collecte des données sur les résidents californiens CCPA. Les experts dans ce domaine prédisent que grâce àRèglements de conformité CCPA, d’autres États emboîteront le pas et mettront en œuvre des lois etréglementations pour protéger les données des utilisateurs.

Voici les exigences spécifiques qui relèvent de la réglementation CCPA :

  • Avoir un revenu brut supérieur à 25 millions de dollars par an.
  • Achetez, vendez ou partagez les données de 100 00 résidents, foyers ou appareils californiens ou plus.
  • Gagnez 50 % ou plus des résidents annuels en vendant les informations personnelles des résidents californiens.

Bien que le CCPA définisse les organisations comme celles qui collectent, vendent ou divulguent des informations personnelles,organisations à but non lucratifou les agences gouvernementales sont exemptées de certaines réglementations de conformité CCPA.

Même si votre entreprise ne travaille pas avec des données provenant de Californie, il est essentiel de rester à jour avec d'autres données.réglementations ou lois commercialesqui ont été ou sont considérés comme étant adoptés dans ces États. Certains États qui ont emboîté le pas après l’entrée en vigueur du CCPA comprennent :

  • Colorado : Colorado Privacy Act (CPA), en vigueur le 1er juillet 2023.
  • Connecticut : Connecticut Data Privacy Act (CTDPA), en vigueur à compter du 1er juillet 2023.
  • Floride : la plupart des dispositions sont entrées en vigueur le 1er juillet 2024.

Certains États qui ont des lois sur la protection de la vie privée qui entreront en vigueur à l'avenir comprennent :

  • Delaware : Loi du Delaware sur la confidentialité des données personnelles en vigueur le 1er janvier 2025.
  • Iowa : Loi sur la protection des données des consommateurs de l'Iowa (ICDPA), 1er janvier 2025.
  • Indiana : Loi sur la protection des données des consommateurs de l'Indiana, 1er janvier 2026.

L’avenir s’annonce donc prometteur en matière de protection des données des consommateurs, et les entreprises doivent commencer à prendre des mesures, comme choisir un système sécurisé.fournisseur de stockage cloud, pour s'assurer qu'ils sont prêts pour un avenir où la confidentialité des consommateurs sera renforcée en se renseignant davantage sur les réglementations en matière de protection des données.

Source : loi Bloomberg

Droits des consommateurs en vertu du CCPA

Les consommateurs disposent des droits suivants s’ils souhaitent savoir comment les entreprises traitent leurs données. Ils ont le droit de :

  • Savoir quoiinformations personnellesest collecté.
  • Demandez à une entreprise de supprimer des informations personnelles.
  • Refuser la vente d'informations personnelles.
  • Demander le contrôle de leurs données pour éviter toute discrimination.

Le CCPA a été modifié en 2020 et des mesures supplémentaires de protection de la vie privée ont été mises en œuvre le 1er janvier 2023. Depuis lors, les consommateurs disposent de davantage de droits en plus de ceux ci-dessus. La politique nouvellement modifiée comprend ces droits :

  • Le droit de corriger les informations personnelles inexactes qu'une entreprise possède à son sujet ; et
  • Le droit de limiter l’utilisation et la divulgation des informations personnelles sensibles collectées à leur sujet.

La conformité CCPA exige que les entreprises honorent l’une des demandes suivantes :

  • Données qu’ils collectent et stockent.
  • Sources à partir desquelles les données sont collectées (par exemple, financières, contacts, médicales).
  • Le but de l’organisation pour la collecte et la vente des données des utilisateurs.
  • Une liste de tiers qui ont accès aux données d’un utilisateur.

Les organisations doivent prendre les actions suivantes à la demande d’un utilisateur :

  • Demandez à l'organisation de supprimer ses données.
  • Interdire la vente de leurs données.

Types de données couvertes par le CCPA

Le CCPA parle d’informations personnelles et d’informations personnelles sensibles dans ses lignes directrices.

Les informations personnelles font référence à «les informations qui vous identifient, se rapportent ou pourraient raisonnablement être liées à vous ou à votre foyer.Cela pourrait inclure des informations telles que :

  • Votre nom,
  • Numéro de sécurité sociale,
  • Adresse email,
  • Registres des produits achetés,
  • Historique de navigation,
  • Données de géolocalisation,
  • Empreintes digitales.

Il est également possible que des déductions puissent être faites à partir d'autres informations personnelles collectées sur un utilisateur pourcréer un profil de donnéesen fonction de leurs préférences et créer des annonces personnalisées.

Informations personnelles sensibles, définies comme« un sous-ensemble spécifique de renseignements personnels qui comprend certains identifiants »,est également inclus dans le type de données couvertes par le CCPA. Ce type de données comprend :

  • Connexion au compte
  • Détails financiers : (numéro de carte de débit ou de crédit avec code de sécurité)
  • Mot de passe ou autres identifiants de compte
  • Géolocalisation précise
  • Contenu des e-mails ou des SMS
  • Informations biométriques
  • Données de santé
  • Croyances raciales, religieuses ou philosophiques
Source : Sécurité

Il est important de noter que les informations personnelles ne couvrent pas certains types d’informations. Les informations accessibles au public, telles que les licences professionnelles, les biens immobiliers ou les registres de propriété, sont légalement mises à la disposition du grand public.

Le CCPA et le RGPD sont deux lois essentielles qui protègent les données des consommateurs, mais il existe quelques différences clés, à savoir :

  1. Applicabilité :Le RGPD s'applique à toute organisation qui traite des données sur les résidents de l'UE. La conformité CCPA s'applique uniquement aux organisations dont le chiffre d'affaires annuel est supérieur à 25 millions de dollars ou qui comptent plus de 50 000 utilisateurs en Californie.
  2. Portée:Le champ d’application du CCPA s’étend aux données personnelles relatives à un foyer ou à un appareil ; le champ d’application du RGPD ne s’applique pas à ces données.
  3. Données sensibles :Le RGPD comporte une catégorie pour les « données personnelles sensibles », interdisant leur traitement à moins que des exigences spécifiques ne soient remplies. Le CCPA ne définit pas les données personnelles sensibles.
  4. Consentement:Le RGPD exige que les utilisateurs donnent un consentement clair et affirmatif avant que des données ne soient traitées, tandis que le CCPA permet aux utilisateurs de se retirer de la collecte de données.
  5. Application :Les autorités des États membres de l’UE appliquent le RGPD et le bureau du procureur général de Californie applique le CCPA.

Les organisations qui espèrent se conformer au CCPA et au RGPD devront bien comprendre les différences entre les deux lois pour garantir la protection des données de leurs clients.

Comment se conformer à la CCPA

La mise en conformité CCPA pour votre entreprise dépendra d’abord de votre conformité aux exigences précédemment énoncées dans cet article. À partir de là, vous pouvez suivre les étapes suivantes pour démarrer votre entreprise sur la voie de la conformité CCPA.

Créer une politique de confidentialité claire et transparente

Le CCPA vous oblige à indiquer clairement les types de données que votre entreprise collecte auprès des clients. Votre politique de confidentialité doit donc en informer les utilisateurs en incluant :

  • Type d'informations collectées et traitées.
  • Finalité(s) de la collecte et du traitement de ces informations.
  • Comment vous collectez et traitez ces informations, par exemple les trackers dans le navigateur.
  • Comment les informations personnelles sont utilisées, par exemple, publicité, analyses.
  • Comment les informations peuvent être partagées avec des tiers.
  • Comment les individus peuvent demander l’accès, la modification, le déplacement ou la suppression de leurs données personnelles.
  • Procédure de vérification de l’identité pour soumettre une demande d’accès à une personne concernée.

Les nouvelles modifications de 2023 mentionnées précédemment devraient également inclure les éléments suivants :

  • Une clause listant quelles données personnelles collectées sont classées comme sensibles, le cas échéant.
  • Une déclaration informant que vos clients ont le droit de faire corriger ou mettre à jour les informations qu'ils ont partagées avec vous.
  • Comment les individus peuvent refuser que leurs données soient vendues ou partagées ; votre site Web doit comporter un lien clair « Ne pas vendre ou partager mes informations personnelles ».

Assurez-vous que les utilisateurs peuvent vous contacter

La conformité CCPA nécessite des méthodes de contact claires et simples permettant aux clients de contacter votre entreprise. Rendez ces coordonnées faciles à voir et à trouver sur votre site Web pour contribuer à renforcer la confiance de vos clients.

Les entreprises doivent répondre aux demandes des utilisateurs vérifiés dans un délai de 45 jours, bien que ce délai puisse être prolongé de 45 jours supplémentaires dans certaines circonstances. Pour traiter ces demandes, votre entreprise doit disposer des systèmes appropriés pour répondre à l'accès aux données, à la suppression ou à la désinscription du service.

Participez à la formation sur la conformité CCPA

CCPAformation à la conformitéest une exigence pour toutes les organisations traitant des informations provenant de résidents californiens. Toutes les personnes chargées du traitement des données des consommateurs ou du traitement des demandes doivent suivre cette formation.

Il est recommandé aux employés de participer à la formation chaque année pour se tenir au courant des nouvelles politiques ou réglementations.

Réaliser des audits de données

La conformité au CCPA sera plus facile si votre entreprise maintient des informations précises et facilesenregistrements accessibles des données clients. Des audits et des formations réguliers aideront les entreprises à prévenir les problèmes avant qu'ils ne surviennent et à éviter d'éventuelles amendes en cas de violation de données.

Des audits réguliers aident également les entreprises sur le plan juridique en fournissant une documentation décrivantcomment les données sont stockées et protégéeset démontrer un engagement envers la conformité au CCPA.

Répondre aux exigences de sécurité

La conformité au CCPA exige des mesures raisonnablesmesures de sécurité pour les entreprisesqui protègent les données des consommateurs et préviennent les violations ou les accès non autorisés.

Cryptagepermet aux entreprises de respecter les normes de sécurité CCPA en convertissant les données dans un format illisible, appelé texte chiffré, accessible uniquement par une clé de déchiffrement, les protégeant ainsi des cyberattaques ou des pirates.

Sanctions en cas de non-respect

Le procureur général de Californie peut imposer des sanctions en cas de non-respect de la CCPA. La sanction civile maximale pour une violation involontaire de la CCPA est de 2 500 $ par violation ou de 7 500 $ pour les violations intentionnelles.

Les violations peuvent inclure :

  • Ne pas avoir dePolitique de confidentialité conforme au CCPA.
  • Ne pas répondre à une demande de divulgation de données d'un consommateur, comme l'exige le CCPA.
  • Ne pas fournir la bonne notification des données personnelles collectées.
  • Ne pas permettre aux utilisateurs de refuser la vente de leurs informations personnelles.
  • Avoir des politiques discriminatoires à l’encontre des utilisateurs qui exercent les droits CCPA.

Si une entreprise ne répond pas aux exigences du CCPA, elle dispose de 30 jours pour remédier aux problèmes. Si les normes de conformité ne sont toujours pas respectées, le procureur général peut imposer une amende à l'entreprise pour violation intentionnelle des exigences du CCPA.

En cas de violation de données, les consommateurs peuvent réclamer jusqu'à 750 $ par consommateur et par incident ou demander des dommages supplémentaires en fonction de l'ampleur et de l'impact de la violation de données.

Comment Internxt peut aider votre entreprise à sécuriser les données privées

Internxt Driveest unStockage cloud RGPDplate-forme offrant une suite cryptée de services pour aider votre entreprise à respecter la conformité CCPA et à garantir que toutes les données sensibles que votre entreprise doit stocker restent confidentielles avec notrestockage cloud sécurisésolution pour se protéger contre les violations de données.

StagiaireStockage cloud pour les forfaits professionnelsest unstockage cloud cryptéplateforme sur laquelle vous pouvez gérer jusqu'à 100 utilisateurs et allouer jusqu'à 2 To de stockage pour chaque utilisateur. Avec Drive, vous pouvez partager, télécharger et stocker des fichiers, et l'utilisateur détient la clé de déchiffrement de ces informations, empêchant ainsi tout accès non autorisé aux données.

Pour les entreprises disposant de grands ensembles de données,Stockage d'objets Internxt S3est une méthode abordable et sécurisée pour gérer des informations sensibles. Internxt S3 a le même engagement en matière de confidentialité et de sécurité que tous les produits Internxt, pour un coût pouvant aller jusqu'àAWS, Azure et Google 80 % moins chersavec un coût nul pour le transfert de données.

Alors que de plus en plus d'États et de pays mettent en œuvre des lois et réglementations sur la confidentialité pour protéger les données des utilisateurs, choisissez Internxt comme système sécurisé.stockage en nuageLe fournisseur peut vous aider à pérenniser votre entreprise en respectant la conformité CCPA et d’autres réglementations.

Lire aussi