Comprendre l'ACPR : protéger les informations personnelles sensibles et maintenir la conformité

La CCPA/CPRA est un ensemble de réglementations visant à donner aux résidents de Californie un meilleur contrôle sur leurs informations personnelles et sur la manière dont les entreprises peuvent les collecter et les utiliser. La loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) a défini des orientations initiales, et la loi californienne sur les droits à la vie privée (California Privacy Rights Act), adoptée par les électeurs en 2020, a modifié et élargi la loi sur la protection des consommateurs. Dans cet article, nous aborderons ces réglementations importantes et les responsabilités des entreprises à l'égard des consommateurs en ce qui concerne les droits et les pratiques en matière de protection de la vie privée dans le cadre de la CCPA/CPRA.

Qu'est-ce que la loi californienne sur les droits à la vie privée (CPRA) ?

La loi historique a commencé avec le CCPA en 2018, garantissant des droits à la vie privée plus solides pour les consommateurs en Californie. Les piliers fondamentaux de la loi sont centrés sur le consentement du consommateur et comprennent

• Le droit de savoir : Les consommateurs ont le droit de savoir exactement quelles sont les informations personnelles qu'une entreprise collecte à leur sujet, et comment cette entreprise utilise et partage ces données.
• Le droit de suppression : Les consommateurs ont le droit de faire supprimer les informations les concernant des bases de données d'une entreprise, s'ils le souhaitent (à quelques exceptions près).
• Le droit de retrait : Les consommateurs peuvent refuser la vente ou le partage de leurs données personnelles par l'entreprise.
• Le droit à la non-discrimination : Si un consommateur exerce l'un de ces droits en vertu de la CCPA, il a le droit de ne pas faire l'objet de discrimination de la part des prestataires de services.

En 2020, des mesures supplémentaires de protection de la vie privée ont été votées dans le cadre de la loi californienne sur les droits à la vie privée (California Privacy Rights Act - CPRA), qui modifie la loi sur la protection de la vie privée. Il s'agit notamment de

• Le droit de rectification : Les consommateurs ont le droit de faire corriger les informations personnelles inexactes.
• Le droit de limiter : les consommateurs peuvent limiter l'utilisation et la divulgation de leurs informations personnelles sensibles.

Les organisations soumises à la CCPA/CPRA doivent répondre aux personnes qui demandent l'exercice de ces droits des consommateurs, notamment en leur remettant des avis expliquant leurs pratiques en matière de protection de la vie privée. L'ACPR n'est pas une nouvelle loi à part entière, mais simplement une modification de la CCPA existante, c'est pourquoi on parle souvent d'une seule et même loi, ou de CCPA/CPRA.

La CPRA a également créé l'Agence californienne de protection de la vie privée (California Privacy Protection Agency), une administration chargée de l'application de la loi, qui a le pouvoir de mettre en œuvre et d'appliquer la CCPA si nécessaire.

À qui s'applique l'ACPR ?

La CPRA s'applique aux entreprises à but lucratif et aux prestataires de services qui exercent leurs activités en Californie et qui remplissent au moins l'un des critères suivants :

• Avoir des revenus bruts annuels supérieurs à 25 millions de dollars.
• Acheter, vendre ou partager les données à caractère personnel de 100 000 consommateurs ou ménages ou plus.
• Tirer 50% ou plus de leur revenu annuel de la vente ou de l'échange d'informations personnelles.

Il est important de noter que l'ACPR couvre également les sous-traitants et les prestataires de services qui traitent des données pour le compte des entreprises concernées, ce qui fait de la gestion des fournisseurs et de l'évaluation des risques une partie intégrante des programmes de conformité.

Quelle est la différence entre l'ACCP et l'ACPR ?

Alors que la loi sur la protection des consommateurs a introduit des mesures révolutionnaires en matière de protection de la vie privée, l'ACPR a renforcé et étendu ces droits. Les principales différences sont les suivantes :

• Portée des données personnelles : L'ACPR ajoute une nouvelle catégorie pour "les informations personnelles sensibles," donnant aux consommateurs le droit de limiter leur utilisation.
• Renforcement de l'application de la loi : L'ACPR a créé l'ACPR, une agence indépendante chargée de l'application et de la publication de nouvelles réglementations en matière de protection de la vie privée.
• Règles de conservation des données : Les entreprises doivent informer les consommateurs de la durée de conservation de leurs données et mettre en œuvre des politiques formelles de conservation des données.
• Élargissement des droits des consommateurs : Les droits de correction des données et de limitation des données sensibles ont été introduits, ce qui accroît les responsabilités en matière de gestion de la vie privée.
• Obligations contractuelles : L'ACPR impose des exigences plus strictes aux accords conclus avec les prestataires de services, les contractants et les tiers, les obligeant à respecter les normes de l'ACPR en matière de traitement des données.

Nouvelles exigences du règlement de l'ACPR

La mise en conformité comprend désormais plusieurs obligations supplémentaires qui s'ajoutent aux exigences de la CCPA. Il s'agit notamment de

• Évaluations des risques : Les entreprises qui traitent des données à haut risque doivent procéder à des évaluations périodiques de leurs activités de traitement et les documenter.
• Audits de cybersécurité : Certaines organisations doivent faire l'objet d'audits réguliers pour démontrer l'efficacité des contrôles de sécurité.
• Minimisation des données & Conservation : Seules les informations personnelles nécessaires à la finalité déclarée peuvent être collectées, et les périodes de conservation des données doivent être clairement communiquées.
• Gouvernance de l'IA : À mesure que les entreprises déploient des outils d'apprentissage automatique et d'IA, l'ACPR anticipe le besoin de cadres de gouvernance de l'IA pour prévenir l'utilisation abusive des informations personnelles.

Cadre de conformité à l'ACPR

Les organisations peuvent bénéficier d'une liste de contrôle de conformité structurée pour répondre efficacement aux obligations de l'ACPR. Un cadre solide comprend généralement

• Inventaire des données & Mapping : Identifiez toutes les données personnelles et sensibles, leur emplacement et la manière dont elles circulent dans les systèmes.
• Mise à jour de la politique de protection de la vie privée : Veillez à ce que les avis de confidentialité divulguent l'accès aux données, la conservation des données et les droits des consommateurs dans un langage clair et simple.
• Révision des contrats : Mettez à jour les accords avec les fournisseurs de services afin d'y inclure les conditions imposées par l'ACPR pour le traitement des données.
• Technologie de gestion de la vie privée : Mettre en place des outils de gestion de la protection de la vie privée pour la réception et le suivi des demandes des consommateurs.
• Formation & Sensibilisation : Sensibilisez les employés aux obligations légales en matière de protection de la vie privée et à la prévention des menaces d'initiés.
• Suivi & Rapports : Utilisez des tableaux de bord pour mesurer les progrès en matière de conformité et vous préparer à d'éventuels audits de l'ACPP.

Qu'entend-on par "données personnelles sensibles" au sens de l'ACPR ?

Les catégories suivantes sont considérées comme des "informations personnelles sensibles" au sens de l'ACPR :

• Identifiants gouvernementaux : Numéros d'identification émis par le gouvernement, tels que les numéros de sécurité sociale, les numéros de permis de conduire, les numéros de carte d'identité d'État ou les numéros de passeport.
• Informations sur le compte : Identifiants de connexion au compte, numéros de comptes financiers, numéros de cartes de débit ou de crédit, codes de sécurité, identifiants d'accès, mots de passe, etc.
• Données de géolocalisation : Informations telles que l'adresse IP, les données de localisation GPS et les données RF. Données EXIF (Exchangeable Image File Format), qui peuvent produire des coordonnées géographiques permettant de déterminer un emplacement physique.
• L'origine raciale ou ethnique ou le statut d'immigrant.
• Croyances philosophiques ou religieuses.
• Adhésion à un syndicat.
• La correspondance des consommateurs : Le contenu des courriers, des courriels et des messages textuels (sauf si l'entreprise est le destinataire de la communication).
• Informations biométriques : Ou données génétiques permettant d'identifier un consommateur de manière unique.
• Informations personnelles : Concerne la santé, l'orientation sexuelle ou la vie sexuelle d'un consommateur.

Les informations qui identifient le ménage d'un consommateur, ses préférences, ses caractéristiques ou la manière dont il se comporte, ou qui y sont liées, peuvent être considérées comme des catégories d'informations à caractère personnel.

L'ACPR est conçue pour donner aux consommateurs le droit de limiter l'utilisation et la divulgation de leurs informations personnelles à ce qui est nécessaire aux entreprises pour fournir leurs biens et services. Ces entreprises doivent fournir un lien clair sur la page d'accueil de leur site web où les consommateurs peuvent cliquer pour "Limiter l'utilisation de mes informations personnelles sensibles" et exercer leurs droits au titre de l'ACPR.

Pourquoi les entreprises doivent-elles protéger les données personnelles ?

Il y a plusieurs raisons cruciales pour lesquelles les informations personnelles sensibles doivent être protégées.

1. Confiance et fidélisation de la clientèle : La protection des données personnelles sensibles permet non seulement d'instaurer et de maintenir la confiance avec les clients, mais aussi de sauvegarder leurs données en cas de violation, protégeant ainsi les consommateurs contre l'usurpation d'identité. Les consommateurs sont également plus enclins à s'engager avec des entreprises qui protègent leurs informations, ce qui favorise les relations positives.
2. Conformité juridique : La protection des données est requise par la loi. Outre la CCPA/CPRA, d'autres réglementations incluent le règlement général sur la protection des données (RGPD) dans l'Union européenne, HIPAA, HITRUST, PCI DSS, et bien d'autres encore. Les organisations peuvent éviter les sanctions légales en cas d'infraction lorsqu'elles opèrent dans le cadre réglementaire des lois sur la protection de la vie privée.
3. Minimiser les risques et les coûts : Une protection efficace des données minimise le risque de violation des données, qui peut entraîner des amendes, des frais juridiques et des dépenses liées à la résolution de la violation. Les entreprises peuvent également subir des pertes financières importantes en cas de perturbation de la continuité des activités.
4. Gestion de la réputation : En cas de violation de données, la réputation d'une organisation en pâtit et elle perd des consommateurs. De solides mesures de protection des données permettent d'éviter les violations et de minimiser la publicité négative résultant d'une mauvaise manipulation des données sensibles des consommateurs.

En cas de violation, les conséquences peuvent être graves.

• Pénalités et amendes : Le non-respect des lois sur la protection des données peut entraîner de lourdes amendes pour les organisations responsables. Les sanctions prévues par le CCPA/CPRA sont plafonnées à 7 500 dollars par infraction intentionnelle et à 2 500 dollars par infraction non intentionnelle. Ce chiffre peut sembler faible, mais une single donnée sur le consommateur peut constituer une violation unique. Dans le cas d'une violation de données, où des milliers de points de données sont compromis, les pénalités peuvent rapidement devenir importantes.
• Poursuites judiciaires : Les personnes ou les groupes touchés par une violation peuvent intenter une action en justice contre les entreprises qui ne protègent pas leurs données. Ces actions en justice peuvent s'avérer coûteuses, prendre du temps et nuire à la réputation de l'entreprise.
• Perturbations opérationnelles : Dans certains cas, les violations de données peuvent entraîner des problèmes de continuité des activités pendant que la source de la violation est gérée. La perte de productivité pendant cette période est également coûteuse, tout comme les dépenses supplémentaires liées à la récupération des données et aux réparations éventuelles du système.
• Perte de confiance des consommateurs : Les violations peuvent conduire les clients à annuler des contrats ou les consommateurs à décider de faire leurs achats ailleurs, là où leurs données sont peut-être plus sûres. Si une partie suffisante des activités d'une entreprise part vers des pâturages plus sûrs, cela peut être préjudiciable à l'entreprise en tant qu'entreprise en activité.

Les conséquences et les sanctions d'un manquement à l'obligation de protéger correctement les informations personnelles sensibles peuvent être considérables, au-delà de la simple violation de la loi CCPA/CPRA. Si ces réglementations visent à protéger les informations personnelles des consommateurs, elles sont aussi un moyen pour les entreprises de rassurer leurs clients sur la sécurité et l'éthique de leurs activités.

Défis liés à la protection des données personnelles sensibles

La protection des informations personnelles sensibles des consommateurs est une entreprise complexe, en particulier dans le paysage numérique actuel qui évolue rapidement. Voici quelques défis courants que les organisations peuvent rencontrer lorsqu'elles entreprennent de se conformer à la réglementation.

Manque de sensibilisation aux informations d'identification personnelle (PII)

De nombreuses entreprises ont du mal à contrôler l'intégralité des IPI qu'elles possèdent, y compris l'endroit où elles sont stockées et la manière dont elles sont utilisées. Le manque de visibilité peut entraîner des lacunes dans la protection des IIP.

Complications liées à la migration vers l'informatique dématérialisée

Les entreprises peuvent perdre la trace ou l'accès aux données qu'elles migrent, ce qui entraîne des conséquences :

• Transferts de données incomplets.
• Données orphelines dans les systèmes existants.
• Mesures de sécurité incohérentes entre les systèmes sur site et les systèmes en nuage.

Gros volumes de données

Les données collectées peuvent croître de manière exponentielle. Les défis à relever sont les suivants :

• Mettre en œuvre des mesures de sécurité pour tous les ensembles de données.
• Gérer et contrôler efficacement les données.
• Classer et traiter correctement les données.

Mauvaises pratiques en matière de gouvernance des données

Avec les grands ensembles de données et les volumes de stockage importants, il est difficile de superviser la gouvernance des données, ce qui peut entraîner des problèmes :

• Mappage incohérent des données entre les départements.
• Contrôles de qualité insuffisants des données.
• Absence de rôles et de responsabilités clairement définis pour la gestion des données.

Partage de données non sécurisé dans les plateformes de communication

De nombreuses entreprises utilisent des outils de collaboration pour unifier des effectifs diversifiés. Les communications dans ces outils peuvent impliquer un partage de données qui ne respecte pas les politiques d'utilisation acceptable en matière de sécurité des données. Il en résulte que :

• Exposition accidentelle d'informations sensibles.
• Difficulté à suivre et à contrôler le flux de données.
• Risque accru de fuites de données par le biais de canaux non sécurisés.

Réglementations en constante évolution

L'évolution du monde numérique s'accompagne de celle des règles de protection des données qui le régissent. Se tenir au courant des changements réglementaires dans de nombreuses juridictions peut être un défi, en particulier pour les organisations qui opèrent à l'échelle mondiale. La formation continue des employés peut contribuer à réduire l'exposition, mais il s'agit d'un processus permanent.

Menaces internes

Chaque employé et sous-traitant ayant accès à des IPI et à d'autres données sensibles est un point d'aboutissement pour une violation ou une exposition potentielle, que ce soit par malveillance ou par négligence.

Gestion des risques pour les tiers

Assurer la sécurité des données lors de la conclusion de contrats avec des fournisseurs et des partenaires externes qui ont accès à des données sensibles peut s'avérer difficile, en particulier lorsque l'accès se fait à partir de plusieurs appareils.

Équilibrer la sécurité et la facilité d'utilisation

La mise en œuvre de mesures de sécurité solides tout en maintenant des systèmes et des flux de travail conviviaux est un défi permanent pour de nombreuses organisations. Les responsables de la sécurité de l'information doivent trouver un équilibre entre leurs mesures de protection des données et la nécessité de limiter l'informatique parallèle.

Pour relever ces défis, il faut adopter une approche à multiples facettes de la protection des données, comprenant une formation régulière des employés, des solutions technologiques et une culture de sensibilisation à la sécurité sur le lieu de travail.

Impact de l'ACPR

L'ACPR a des effets considérables sur les entreprises et les consommateurs. Pour les entreprises, il renforce les attentes en matière de gouvernance des données, formalise les principes de conformité au GDPR (tels que la minimisation des données) et fait de la protection de la vie privée un sujet de discussion au sein du conseil d'administration. Pour les consommateurs, cela signifie une plus grande transparence, un contrôle renforcé sur les données personnelles et la possibilité de limiter la manière dont les organisations utilisent les informations personnelles sensibles.

En pratique, la conformité à l'ACPR permet de réduire les risques de violation, de soutenir les évaluations des risques et d'aligner les entreprises sur les réglementations mondiales en matière de protection de la vie privée, ce qui facilite l'exercice d'activités dans d'autres juridictions. Si le respect de ces obligations nécessite du temps et des investissements, il permet également d'instaurer la confiance et d'améliorer les relations à long terme avec les clients.

Assurer la conformité de l'ACPR avec Mimecast

Mimecast Aware offre une conformité en temps réel pour les écosystèmes de collaboration complexes qui comblent les lacunes laissées par de nombreuses plateformes existantes. Les organisations peuvent garantir la conformité à la loi CCPA/CPRA avec Aware grâce à une solide gouvernance de l'information, une surveillance à partir d'une plateforme centralisée, un NLP de pointe et une recherche fédérée pour soutenir les enquêtes internes.

Grâce aux solutions de gouvernance des données et de contrôle de la conformité de Mimecast, les entreprises peuvent maintenir une conformité permanente avec les pratiques de partage des données :

• Intégrez vos outils de collaboration existants sans nuire à l'expérience de l'utilisateur final.
• Gagnez du temps et des ressources grâce à des modèles AI/ML exclusifs qui réduisent le nombre de faux positifs et la fatigue liée aux alertes.
• Permettre aux équipes informatiques et de sécurité de personnaliser les règles et les politiques afin d'assurer le suivi des violations.
• Corrigez automatiquement les violations grâce à un coaching en temps réel des employés.
• Préservez le contenu d'un déclencheur de politique afin que vous puissiez en comprendre tout le contexte.
• Utilisez des contrôles d'accès basés sur les rôles (RBAC) et des pistes d'audit pour éviter les violations.
• Contribuer à limiter et à réduire la dépendance à l'égard des solutions informatiques fantômes.

En vous associant à Mimecast, vous pouvez vous assurer que la sécurité de vos données est conforme à toutes les réglementations CCPA/CPRA et autres réglementations nécessaires. Demandez une démonstration pour commencer dès aujourd'hui !