La California Consumer Privacy Act (CCPA) s’applique aux entreprises à but lucratif qui collectent ou traitent les données des résidents californiens, même si elles sont hors de l’État. Étant donné que la Californie a la plus grande économie des États-Unis, la législation a eu un impact sur les entreprises à travers le pays et au-delà depuis son entrée en vigueur le 1er janvier 2020.
Exigences de conformité CCPA
Les exigences du CCPA visent à donner aux consommateurs californiens plus de contrôle sur la façon dont leurs données sont utilisées, par exemple en ayant le droit de savoir quand leurs informations personnelles sont collectées, d’accéder à leurs données, de les corriger, de demander leur suppression et de refuser que les données soient vendues à des tiers.
Que devriez-vous faire pour vous assurer de vous conformer à la CCPA? Voici un guide pratique étape par étape de la conformité.
Comment se conformer au CCPA - Étape par étape
1. Vérifiez si le CCPA s’applique à votre entreprise
Le CCPA s’applique à toute personne collectant des données sur les citoyens californiens, sous réserve de quelques critères. L’activité doit être exercée à but lucratif (bien que les organisations à but non lucratif puissent être visées par les règles si elles sont détenues ou contrôlées par une entreprise à but lucratif).
Même si vous êtes un organisme à but lucratif, vous serez exempté de la loi si vous répondez à trois critères :
- Revenus annuels bruts supérieurs à 35 millions de dollars
- Recevoir ou divulguer des données sur plus de 50 000 résidents californiens chaque année
- Générer 50 % ou plus de revenus annuels grâce à la vente de données sur les résidents de Californie
2. Comprendre la définition des données personnelles
Les « renseignements personnels » sont définis dans la loi et il est important que vous sachiez quels renseignements sont visés par la définition légale.
La définition stipule que les renseignements personnels sont ceux qui : « identifient, se rapportent à, décrivent, sont susceptibles d’être associés à, ou pourraient raisonnablement être liés directement ou indirectement à un consommateur ou à une maison particulière ».
Les informations personnelles collectées comprennent des données évidentes telles que le nom, l’adresse et le numéro de sécurité sociale, mais elles peuvent également inclure des catégories de données moins évidentes telles que les noms d’utilisateur, l’adresse IP et l’historique de navigation ou d’achat.
3. Auditez vos systèmes de données
Vos systèmes doivent être en mesure d’identifier les résidents californiens, de gérer leurs données conformément à la loi et de stocker leurs données de manière à pouvoir y accéder s’ils demandent leur divulgation, leur suppression ou leur modification conformément à la loi.
Votre système d’inventaire de données doit identifier et classer les données correctement, conserver la preuve du consentement de l’utilisateur aux cookies et à la collecte de données. Dans la plupart des cas, vous aurez besoin d’une politique de cookies sur votre site Web.
Vous aurez également besoin d’un système de suivi de la politique de confidentialité pour montrer quelle version était en place au moment où le consentement a été donné. Il devrait également enregistrer les types de données qui sont vendues, partagées avec des tiers ou utilisées à des fins de marketing.
4. Comprenez quelles sont vos obligations en vertu de la CCPA
Il existe cinq droits clés des consommateurs en vertu de la CCPA :
- Le droit de savoir comment une entreprise recueille et vend vos informations
- Le droit d’accès aux données détenues à votre sujet et à la manière dont elles sont utilisées
- Le droit de supprimer vos informations personnelles, sous réserve de certaines exemptions
- Le droit de refuser que des informations personnelles soient vendues sur
- Le droit de ne pas être discriminé pour avoir exercé les droits du CCPA
Une fois que vous comprenez ces droits, vous pouvez construire un système de conformité à la loi. Notre liste de contrôle pratique de conformité CCPA peut vous aider à comprendre ce que vous devez faire.
5. Mettre à jour votre politique de confidentialité
Le CCPA exige que les entreprises aient une politique de confidentialité qui définit les droits des consommateurs, la façon dont les demandes d’accès aux données peuvent être soumises et les catégories d’informations personnelles que l’entreprise a collectées au cours des 12 mois précédents.
En plus d’une politique de confidentialité solide, vous devez également vous assurer que toutes les personnes qui traitent les données des consommateurs dans votre entreprise sont entièrement formées afin qu’elles le fassent en toute sécurité. Cela devrait être actualisé environ une fois par an. S’assurer que votre cybersécurité est robuste est également une protection importante.
6. Mettre en œuvre des contrôles d’autorisation et d’accès
Votre site doit être configuré pour permettre aux citoyens californiens d’exercer leurs droits CCPA, tels que la notification des données collectées et traitées, la désactivation de la collecte et de la vente de données et la manière dont les données seront utilisées. Assurez-vous de respecter les exigences de retrait du CCPA pour votre site Web en fonction des demandes des consommateurs.
7. Créer une procédure pour répondre aux demandes de droits des consommateurs
Comment un consommateur s’y prendrait-il pour vous demander ses données en vertu de la CCPA ? Vous avez besoin d’un système pour répondre aux demandes de droits des consommateurs:
- Comment les consommateurs peuvent-ils déposer une demande? Est-ce par un email dédié, une ligne téléphonique, un formulaire en ligne ? Vous devez proposer deux mécanismes de demande ou plus. Votre site Web et d’autres documents donnent-ils des informations claires sur la façon de trouver cela?
- Comment allez-vous vérifier les demandes? Vous ne pouvez pas simplement donner des données à quiconque le demande – vous devez être en mesure de confirmer l’identité de la personne qui fait la demande. Vous devrez peut-être utiliser un service de vérification tiers ou une autre méthode de vérification sécurisée.
- Fournir des enregistrements de données – ceux-ci devraient couvrir les 12 mois précédant la demande et les informations devraient être fournies dans un format approprié, gratuitement et dans les 45 jours suivant la demande.
- Stockage des enregistrements de demandes – les détails des demandes de données doivent être conservés pendant 24 mois pour démontrer la conformité et aider en cas de litige. Les consommateurs ne peuvent déposer que deux demandes au cours d’une période de 12 mois, de sorte que les dossiers peuvent aider à compter et à éviter de répondre aux demandes qui dépassent ce chiffre.
8. Maintenance et conformité
La mise en place d’un système conforme à la CCPA n’est pas la fin de l’histoire – vous devriez planifier des examens réguliers de votre approche pour vous assurer que vous suivez les meilleures pratiques. Cela comprend la formation régulière du personnel, la révision annuelle de votre politique de confidentialité, la vérification de la conservation inutile des données et la surveillance des changements juridiques ou des précédents.
CCPA et RGPD similaires ?
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) et leRèglement général sur la protection des données (RGPD) de l’Union européenne représentent deux des réglementations les plus complètes et les plus influentes en matière de protection de la vie privée dans le paysage numérique actuel.
Les deux partagent l’objectif commun de donner aux individus un plus grand contrôle sur leurs données personnelles tout en imposant des obligations strictes aux organisations qui collectent, traitent et stockent ces informations.
Le CCPA, qui traite principalement des droits des résidents californiens, partage plusieurs similitudes avec le RGPD, comme l’octroi aux individus du droit d’accès, de suppression et de refus de la vente de leurs données personnelles. Cependant, le RGPD va plus loin, en introduisant des droits supplémentaires comme la portabilité des données et le « droit à l’oubli ».
Bien que le CCPA et le RGPD diffèrent en termes de portée et de juridiction, ils reflètent tous deux une prise de conscience mondiale croissante de l’importance de la confidentialité des données et de la nécessité de cadres réglementaires solides pour protéger les droits des individus à l’ère numérique. En savoir plus sur CCPA dans notre guide ultime.
Laissez CookieHub vous aider
Si vous avez besoin d’aide pour vous assurer que les cookies de votre site Web sont conformes à la CCPA, contactez CookieHub. Nous pouvons vous aider à gérer vos cookies dans le respect des exigences de conformité CCPA, tout en offrant une expérience fluide et transparente à vos clients.