Êtes-vous prêt pour la loi california sur la protection des consommateurs?

Certaines des sociétés de technologie les plus connues ont leur siège en Californie, un État qui a adopté le 28 juin 2018 la California Consumer Privacy Act of 2018 (CCPA). La CCPA n'entrera en vigueur que le 1er janvier 2020, mais devrait toucher les entreprises de toute la Californie, des États-Unis et même du monde entier. La CCPA aura un impact sur la manière dont les entreprises peuvent gérer les données des clients, et beaucoup la considèrent comme la loi de protection des données la plus stricte de l’histoire des États-Unis.

Si vous ressentez un sentiment de déjà vu, vous n'êtes pas seul. En mai dernier, le règlement général sur la protection des données de l'Union européenne (UE) est entré en vigueur. Le GDPR a été un sujet brûlant ici à PCMag. La loi a été adoptée outre-Atlantique, mais, en réalité, elle a laissé une empreinte sur les entreprises du monde entier car elle s’applique à tous les citoyens de l’UE, quel que soit leur lieu de résidence. À l'instar du RGPD, l'impact du nouveau CCPA aura des conséquences d'une portée considérable, allant au-delà du cadre de son état d'origine. Nous avons rencontré quelques experts pour en apprendre davantage sur le CCPA et sur certaines de ses implications attendues.

Le CCPA et vous: une introduction

Le CCPA établit le droit du consommateur de demander aux entreprises de divulguer le type de données recueillies à leur sujet. Sauf si vous utilisez un outil tel qu'un réseau privé virtuel (VPN), il est pratiquement certain que d'innombrables entreprises collectent des informations sur vous chaque fois que vous êtes en ligne. Dire ce genre de transparence que l'ACCP apportera est un gros problème serait un euphémisme.

John Tsopanis est responsable de la protection de la vie privée chez 1touch.io, une entreprise qui aide les entreprises à comprendre les données personnelles qu’elles gèrent. Tsopanis a consacré ces dernières années aux activités de conseil GDPR pour les entreprises et se prépare à faire de même avec le CCPA. Tsopanis explique le CCPA en termes simples.

"Le 1er janvier 2020, un résident de Californie aura le droit de demander à n'importe quelle grande entreprise américaine: 'Traitez-vous certaines de mes informations?'", A déclaré Tsopanis. "Dans les 45 jours, cette société sera obligée de répondre avec un rapport détaillant les 12 derniers mois. Elle devra indiquer les catégories spécifiques d'informations personnelles dont elle dispose sur cette personne, avec qui elle les partage et quelles en sont les raisons Ils doivent donner cette information aux résidents de la Californie - tous les 40 millions d’entre eux - dans les délais."

Différences entre GDPR et CCPA

Il existe des différences substantielles entre ce que fait le GDPR et ce que couvre le CCPA. Pour commencer, l'ACCP utilisera une base de consentement pour le consentement, alors que le RGPD utilise une base d'adhésion. Cela signifie essentiellement que les utilisateurs devront contacter activement les entreprises pour savoir quel type d'informations sont utilisées. De plus, le GDPR s'applique à toute organisation qui détient des données personnelles sur des citoyens de l'UE.

En revanche, la CCPA ne s’applique qu’aux entreprises à but lucratif qui traitent des données relatives aux résidents de la Californie. L'organisation doit générer au moins 24 millions de dollars de revenus annuels, gérer les données de 50 000 personnes ou générer au moins la moitié de leurs revenus lors de la vente de données à caractère personnel. Ainsi, si vous possédez une petite boutique et que l’étendue de vos opérations en ligne constitue une page Web répertoriant vos heures et votre adresse, vous n’aurez pas à vous inquiéter de plus en plus de la CCPA. Toutefois, si vous gérez un site Web de commerce électronique par l’intermédiaire d’un fournisseur clé en main ou si vous gérez votre propre site Web de vente au détail par l’intermédiaire d’un service d’hébergement Web général, vous devrez faire attention.

Courtney Bowman est associée au sein du service des litiges du cabinet d’avocats international Proskauer Rose LLP. Bowman explique pourquoi l'ACCP obligera les entreprises à bien réfléchir à l'utilisation de leurs données bien au-delà de 2020. "Cette exigence de 12 mois signifie que les entreprises vont devoir examiner leur politique de confidentialité au moins une fois par an et essayer de déterminer si quelque chose a changé., " elle a dit.

"Ils devront surveiller en permanence les données qu’ils vendent ou divulguent à des tiers afin d’ajuster leurs politiques de confidentialité en conséquence", a poursuivi Bowman. "La loi donne également aux consommateurs le droit d'accéder à leurs informations personnelles ou de les supprimer dans certaines situations, et les entreprises devront s'assurer de pouvoir exercer ce droit rapidement. Cela va obliger les entreprises à cartographier leurs données pour savoir où se trouvent leurs données se trouve également en liaison avec leurs services informatiques pour déterminer ce qu’ils doivent faire pour s’assurer qu’ils peuvent s’acquitter de leurs responsabilités en vertu de la loi."

Le vaste impact de l'ACCP

Au cours des mois qui ont précédé le GDPR, l'un des thèmes récurrents de notre couverture était que, dans notre monde globalisé, le GDPR affecterait des entreprises situées au-delà de l'Europe. Après tout, la plupart des grandes entreprises font des affaires à l'étranger et devront changer leurs opérations en ligne au niveau mondial pour se conformer à la loi. Lors de notre entretien avec Tsopanis, toutefois, il a déclaré que les sociétés américaines devaient encore prendre en compte le CCPA.

"S'agissant des entreprises américaines, le GDPR était principalement axé sur les grandes entreprises opérant sur tous les canaux. Avec, les critères d'admissibilité des entreprises éligibles sont beaucoup plus importants, a déclaré Tsopanis. "Il y a 40 millions de personnes en Californie; 50 000 personnes ne représentent même pas 0, 1% de la population. Je pense que le degré d'exposition des entreprises américaines est considérablement plus élevé que dans le passé dans le cadre du RGPD".

Tsopanis offre l'exemple du géant de la restauration rapide Wendy's. "Wendy's est la 999ème société du classement Fortune 1000 et réalise un chiffre d'affaires annuel de 1, 2 milliard de dollars, soit 48 fois le seuil d'applicabilité fixé par cette loi. Au minimum, 1 000 milliards de sociétés américaines doivent se conformer cette loi, et des ordres de grandeur significatifs supérieurs à ceux de la catégorie des 25 millions de dollars ".

Nous ne considérons peut-être pas Wendy's comme une société de technologie, mais elles collectent leur juste part d'informations utilisateur. Ils sont également un exemple parfait de la façon dont les entreprises de toutes sortes seront touchées par le CCPA. Lorsque vous visitez leur site Web, commandez des aliments via leur système de point de vente ou utilisez simplement le Wi-Fi dans votre restaurant Wendy's local, la société collecte vos informations et en Californie, au moins, Tous seront soumis à la réglementation de l'ACCP. Si une entreprise aussi «petite» que Wendy's recueille autant de données sur les utilisateurs, il est carrément effrayant de penser à ce que les grandes sociétés collectent. En termes simples, le CCPA aura d’énormes conséquences.

Découvertes de données importantes

L’un des effets les plus importants de la CCPA est que les Américains seront enfin en mesure de découvrir la grande quantité de données achetées et vendues par les entreprises. "Ce projet de loi va permettre au peuple américain de découvrir enfin la masse des organisations d'acheteurs et de vendeurs de données qui étaient auparavant totalement anonymes. Cela entraînera un changement culturel spectaculaire dans la manière dont la confidentialité des données est perçue et, finalement, un point, a conduit à une loi fédérale harmonisée sur la protection de la vie privée ", a déclaré Tsopanis.

Quand le Cambridge Analytica le scandale a éclaté, il a attiré l'attention de millions de personnes, technologues ou non. Cela inquiétait beaucoup les gens de savoir qui collectait leurs informations et ce qui en était fait, et l'ACCP est en partie une réponse à cette question. Tsopanis affirme que les révélations qui en résulteront seront massives.

"Pour chaque journaliste du pays, il s'agit d'une aubaine. La Californie génère une économie de 2, 7 billions de dollars - la cinquième en importance au monde - et repose sur le Big Data. Chaque demande d'accès émanant de chaque entreprise Fortune 1000 va révéler tout un réseau d’entreprises d’achat et de vente de données qui feront l’objet d’un examen approfondi ", a expliqué Tsopanis. "Nous ne savons pas exactement ce que nous trouverons lorsque les gens commenceront à recevoir leurs rapports de données, mais il y aura sûrement des révélations intéressantes."

Seulement 18 mois pour se préparer

Si nous avons appris quelque chose de GDPR, c'est que les entreprises doivent planifier le plus tôt possible pour être prêtes pour la date limite. Dans cet esprit, les entreprises américaines n’ont pas beaucoup de temps. Le GDPR a été adopté en avril 2016 et les entreprises ont eu un peu plus de deux ans pour s'adapter et se conformer à la réglementation. Étant donné que la CCPA entre en vigueur au début de 2020, cela signifie que les grandes entreprises n'ont plus que 18 mois pour se préparer.

Cette échéance risque fort de stresser même le professionnel de la technologie le plus aguerri. "La quantité de travail à effectuer en 18 mois est supérieure à celle nécessaire pour le RPGD, avec moins de temps pour le faire et avec des sociétés américaines arrivant à un niveau de maturité de la vie privée inférieur à celui de l'Europe", prévient Tsopanis.

Pour se mettre en conformité, le vétéran de la sécurité recommande aux entreprises de prendre bien soin de développer leurs processus. "Au cours des six prochains mois, les organisations doivent développer une sorte de méthode de suivi des informations personnelles dans l'ensemble de l'organisation", a déclaré Tsopanis. "Ils ont besoin d'un moyen d'accéder facilement aux informations personnelles qui ont été envoyées à quelle tierce partie et à quelle heure. Ils doivent ensuite pouvoir suivre ces informations au cours des 12 mois précédant la mise en œuvre et être prêts à fournir ces informations sur demande lorsque le règlement entre en jeu.

"Cela nécessitera essentiellement que presque toutes les grandes entreprises américaines mènent des activités d'identification de données importantes et soient en mesure d'automatiser et de répondre aux demandes d'accès aux données des résidents de la Californie à la date d'application", a poursuivi Tsopanis. "Il est également important de noter que, lorsque la loi sera adoptée en 2020, ils devront être en mesure de fournir un rapport sur les informations des utilisateurs au cours des 12 derniers mois. Cela signifie en réalité que les entreprises doivent suivre ces données le 1er janvier 2019."

Selon Bowman, d’un point de vue juridique, des modifications pourraient être apportées avant la date limite. "Nous nous attendons à voir certaines modifications apportées à la loi avant son entrée en vigueur", a-t-elle déclaré. "Comme il a été rédigé assez rapidement, même après son entrée en vigueur, il est possible que nous ne comprenions pas bien certaines zones d'ombre. Après tout, il a fallu des années au GDPR pour le rédiger, et il y a encore de nombreuses parties. qui sont ambigus ".