Introducing G2.ai, the future of software buying.Try now
Catégorie Chiffrement

CCPA : Tout ce que vous devez savoir

15 Octobre 2019
Merry Marwig, CIPP/US
MMC
par Merry Marwig, CIPP/US

Dans cet article

Dans cet article

À la suite d'une couverture médiatique extensive du scandale Facebook-Cambridge Analytica, de la violation de données d'Equifax et de d'innombrables autres violations de données connues, les consommateurs sont devenus plus conscients de la manière dont leurs données personnelles sont utilisées et mal utilisées par les entreprises.

En 2016, l'Union européenne a adopté le Règlement général sur la protection des données (RGPD) qui vise à protéger les données et la vie privée des consommateurs. Aux États-Unis, aucune loi nationale de ce type n'existe. En l'absence d'une législation complète sur la confidentialité des consommateurs au niveau fédéral, le membre de l'assemblée de Californie Ed Chau a déposé le projet de loi 375 de l'Assemblée, qui est devenu plus tard la loi sur la confidentialité la plus stricte et la plus étendue du pays — la California Consumer Privacy Act (CCPA). « La Californie a franchi une étape historique en adoptant une législation pour protéger les enfants et les consommateurs en leur donnant le contrôle de leurs propres données personnelles. Les consommateurs devraient avoir le droit de choisir comment leurs informations personnelles sont collectées et utilisées par les entreprises. Ce sont vos données, votre vie privée, votre choix », a déclaré le membre de l'assemblée Ed Chau lorsque le projet de loi CCPA a été adopté.

C'est un changement bienvenu pour les consommateurs, mais qu'est-ce que cela signifie pour les entreprises ?

Bonne question. Les entreprises et les groupes industriels se sont souvent plaints que la CCPA telle qu'elle est rédigée est vague et dans certains domaines incohérente avec les lois actuelles. Les récentes directives et amendements d'octobre 2019 ont aidé à clarifier ces ambiguïtés et à éliminer les incohérences dans la loi. Mais avec des définitions et des devoirs en constante évolution, les entreprises sont maintenant dans une course contre la montre pour mettre en œuvre un programme de confidentialité conforme avant que la CCPA et ses amendements n'entrent en vigueur le 1er janvier 2020. Réalisant que bricoler un programme de confidentialité en interne pourrait laisser les entreprises à risque, beaucoup se tournent vers des consultants, des prestataires de services et des fournisseurs de logiciels pour assurer la conformité avec la loi.

Qu'est-ce que la CCPA exactement et à qui s'applique-t-elle ?

La California Consumer Privacy Act (CCPA) est une loi sur la protection de la vie privée et des consommateurs qui donne aux consommateurs californiens plus de contrôle sur les données personnelles que les entreprises collectent, vendent et partagent. Les consommateurs auront accès aux données relatives aux informations personnelles collectées et à celles qui ont été partagées ou vendues, et à qui elles ont été vendues. Les individus auront également la possibilité de refuser la collecte et la vente de leurs données personnelles et, par la loi, ne seront pas discriminés pour avoir demandé ces informations ou pour avoir refusé la collecte de données.

La CCPA s'applique aux entreprises à but lucratif opérant dans l'État de Californie qui répondent à une ou plusieurs des exigences suivantes :

    • Avoir des revenus annuels bruts supérieurs à 25 millions de dollars
    • Acheter ou recevoir annuellement des informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus
    • Tirer 50 % ou plus de ses revenus annuels de la vente de données personnelles des clients

La CCPA ne s'applique pas aux données des consommateurs collectées ou vendues entièrement en dehors de la Californie, ni aux organisations à but non lucratif.

Sachez où votre entreprise stocke les données des consommateurs

Pour se conformer à la CCPA, il est nécessaire de savoir où votre entreprise stocke ses données de consommateurs. De nombreuses entreprises y parviennent en réalisant un inventaire des données, suivi d'une enquête sur le flux de données pour comprendre comment les données sont utilisées à l'intérieur et à l'extérieur de l'organisation.

Les questions auxquelles les entreprises devraient être en mesure de répondre incluent : où les données des consommateurs sont obtenues et stockées, et si elles doivent être sécurisées ; si les données des consommateurs répondent aux exigences de la CCPA lors de la collecte ; quel type de données des consommateurs est-ce et à quelles fins commerciales est-il utilisé ; quels tiers ont accès aux données et comment les catégorisent-ils ; et si les données doivent être cryptées, expurgées, anonymisées ou éliminées.

Définition des informations personnelles selon la CCPA

« Informations personnelles » signifie des informations qui identifient, se rapportent à, décrivent, sont capables d'être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier. (Référence 1798.140). Cela n'inclut pas les informations disponibles publiquement qui sont rendues disponibles par les dossiers des gouvernements fédéral, étatique et local.

Types de données personnelles protégées par la CCPA :

Les données des consommateurs protégées par la CCPA incluent :

    • Identifiants tels qu'un vrai nom, un alias, une adresse postale, un identifiant personnel unique, une adresse de protocole Internet, une adresse e-mail, un nom de compte, un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de passeport ou d'autres identifiants similaires.
    • Informations commerciales, y compris les enregistrements de biens personnels, les produits ou services achetés, obtenus ou envisagés, ou d'autres historiques ou tendances d'achat ou de consommation.
    • Informations biométriques, y compris les caractéristiques physiologiques, biologiques ou comportementales d'un individu, y compris l'ADN d'un individu, les images de l'iris, de la rétine, des empreintes digitales, du visage, de la main, des motifs de veines, des enregistrements vocaux, des empreintes faciales, un modèle de minuties, des empreintes vocales, des motifs ou rythmes de frappe, des motifs ou rythmes de démarche, et des données de sommeil, de santé ou d'exercice contenant des informations d'identification.
    • Informations sur l'activité Internet ou autre réseau électronique, y compris l'historique de navigation, l'historique de recherche et les informations concernant l'interaction d'un consommateur avec un site Web, une application ou une publicité.
    • Données de géolocalisation
    • Informations audio, électroniques, visuelles, thermiques, olfactives ou similaires.
    • Informations professionnelles ou liées à l'emploi qui ne sont pas disponibles publiquement.
    • Informations éducatives qui ne sont pas disponibles publiquement.
    • Inférences tirées pour créer un profil sur un consommateur reflétant les préférences, caractéristiques, tendances psychologiques, préférences, prédispositions, comportement, attitudes, intelligence, capacités et aptitudes du consommateur.
    • « Identifiant probabiliste » signifie l'identification d'un consommateur ou d'un appareil à un degré de certitude plus probable qu'improbable basé sur n'importe quelles catégories d'informations personnelles incluses dans, ou similaires aux catégories énumérées dans la définition des informations personnelles.
    • « Identifiant unique » ou « Identifiant personnel unique » signifie un identifiant persistant qui peut être utilisé pour reconnaître un consommateur, une famille ou un appareil qui est lié à un consommateur ou une famille, au fil du temps et à travers différents services, y compris, mais sans s'y limiter, un identifiant d'appareil ; une adresse de protocole Internet ; des cookies, balises, balises pixel, identifiants publicitaires mobiles ou technologie similaire ; un numéro de client, un pseudonyme unique ou un alias d'utilisateur ; des numéros de téléphone, ou d'autres formes d'identifiants persistants ou probabilistes qui peuvent être utilisés pour identifier un consommateur ou un appareil particulier. Aux fins de cette subdivision, « famille » signifie un parent ou tuteur légal et tout enfant mineur sur lequel le parent ou tuteur a la garde.
    • Données historiques ; les consommateurs ont le droit d'accéder aux données datant des 12 derniers mois.
    • Types de catégories de données collectées sur le consommateur et vendues ou partagées à des tiers.

Anonymisez toutes les données des consommateurs que vous pouvez

Une bonne nouvelle -- les données désidentifiées, anonymisées ou agrégées ne sont pas soumises à la CCPA. Là où c'est possible pour votre entreprise, réduisez la quantité d'informations personnellement identifiables (PII) stockées sur vos systèmes.

Données désidentifiées selon la CCPA

Les données « désidentifiées » signifient des informations qui ne peuvent raisonnablement pas identifier, se rapporter à, décrire, être capables d'être associées à, ou être liées, directement ou indirectement, à un consommateur particulier, à condition qu'une entreprise qui utilise des informations désidentifiées (1798.140).

La désidentification des données, ou l'anonymisation des données, inclut la suppression des identifiants personnels tels que les noms et les quasi-identifiants comme les dates de naissance. La CCPA interdit que les données désidentifiées soient réidentifiées et exige des contrôles pour s'assurer que les tentatives de le faire sont interdites.

Chiffrez, masquez, pseudonymisez et expurgez les données des consommateurs que vous devez conserver.

Qu'est-ce que le chiffrement ? En plus d'être votre grâce salvatrice concernant la législation CCPA, le chiffrement est un moyen pour les entreprises de convertir leurs données sensibles en code, les rendant illisibles pour quiconque sauf ceux qui ont les clés de déchiffrement.

La CCPA appelle explicitement les entreprises à chiffrer les informations personnellement identifiables (PII) détenues sur les consommateurs. Cela vise à empêcher l'utilisation en cas de piratage, de fuite, de vol ou de divulgation illégale des données. Pour répondre à ces exigences, le logiciel de chiffrement utilise la cryptographie pour masquer les fichiers, le texte et les données, protégeant les informations des parties non désirées. Les données chiffrées sont transcrites en texte chiffré où elles deviennent inutilisables pour ceux qui n'ont pas de clé de chiffrement pour déchiffrer les informations. Les entreprises utilisent ces outils pour s'assurer que leurs données sensibles sont sécurisées même en cas de violation.

 

Pseudonymisation des données selon la CCPA

Cela rend les informations personnelles non attribuables à un consommateur spécifique sans l'utilisation d'informations supplémentaires, à condition que les informations supplémentaires soient conservées séparément et soient soumises à des mesures techniques et organisationnelles pour garantir que les informations personnelles ne sont pas attribuées à un consommateur identifié ou identifiable. » (1798.140).

Le masquage des données, ou l'obfuscation des données, est une stratégie pour prévenir l'utilisation abusive des données par les employés ou les menaces internes. Les données des consommateurs conservent leurs caractéristiques d'identification comme la tranche d'âge et le code postal par exemple, mais suppriment les informations d'identification telles que le nom, les adresses, les numéros de téléphone et d'autres données sensibles. Cela permet à l'entreprise d'utiliser des données réalistes pour les tests et le développement, sans exposer les informations personnellement identifiables aux utilisateurs quotidiens. Le logiciel de masquage des données protège les données importantes d'une organisation en les déguisant avec des caractères aléatoires ou d'autres données afin qu'elles soient toujours utilisables par l'organisation mais pas par des forces extérieures.

L'expurgation des données est une méthode où les informations sont conservées, mais uniquement visibles pour les utilisateurs ayant les bonnes autorisations. Par exemple, au lieu de montrer à un utilisateur non privilégié le numéro de sécurité sociale d'un consommateur, l'utilisateur non privilégié verrait xxx-xx-xxxx.

Logiciel de conformité CCPA

Quel type de logiciel les entreprises utilisent-elles pour se conformer à la CCPA ? En bref, toute une série de logiciels et de services de protection des données, y compris :

Logiciels :

  • Logiciel de confidentialité des données - Le logiciel de confidentialité des données est utilisé pour trouver, organiser et livrer des données sensibles d'une manière qui respecte les normes de conformité.
  • Logiciel d'inventaire ou de cartographie des données - Le logiciel d'inventaire des données aide les entreprises à découvrir où se trouvent leurs données sensibles.
  • Logiciel de sécurité centré sur les données - Le logiciel de sécurité centré sur les données aide les entreprises à découvrir leur découverte de données, à gérer les politiques, à gérer le contrôle d'accès et à surveiller l'utilisation des données.
  • Logiciel de prévention des pertes de données (DLP) - Le logiciel DLP facilite l'identification et la découverte des données, et détecte les fuites ou l'utilisation abusive des données.
  • Logiciel de gouvernance des données - Le logiciel de gouvernance des données applique les politiques liées aux données et maintient la qualité des données.
  • Logiciel de chiffrement - Le logiciel de chiffrement permet aux entreprises de stocker en toute sécurité les données des consommateurs afin que les pirates ne puissent pas les utiliser en cas de violation de données.
  • Logiciel de gestion des clés de chiffrement - Le logiciel de gestion des clés de chiffrement gère l'administration, la distribution et le stockage des clés de chiffrement.
  • Logiciel de masquage des données - Le logiciel de masquage des données déguise les données des consommateurs collectées par une entreprise avec des caractères aléatoires ou d'autres données afin qu'elles soient inutilisables par des acteurs extérieurs, mais toujours utilisables au sein de l'organisation.
  • Logiciel de réponse aux incidents - Le logiciel de réponse aux incidents aide à arrêter les violations de données.
  • Logiciel de centre de contact - Selon la CCPA, les entreprises doivent fournir un numéro gratuit pour que les consommateurs californiens puissent demander leurs données ou demander leur suppression. Le logiciel de centre de contact peut aider à gérer ces appels.
  • Logiciel de gestion des risques des fournisseurs - Le logiciel de gestion des risques des fournisseurs aide à s'assurer que vos fournisseurs utilisent correctement vos données.
  • Logiciel de gestion des demandes d'accès aux données des sujets (DSAR) - Le logiciel de gestion DSAR offre un moyen de gérer les demandes des consommateurs pour des informations personnelles ou des demandes de suppression de données.
  • Logiciel de gestion du consentement ou de l'opt-in/out - Le logiciel de gestion du consentement suit les demandes de désinscription pour éviter la vente ou la distribution non autorisée de données des consommateurs.
  • Logiciel de gestion des politiques et des avis - Le logiciel de gestion des politiques et des avis gère les termes, conditions et divulgations.
  • Logiciel de gestion des divulgations - Le logiciel de gestion des divulgations consolide les informations de conformité.
  • Logiciel de gestion des risques des tiers et des fournisseurs - Le logiciel de gestion des risques des tiers et des fournisseurs recueille et gère les données de risque des fournisseurs pour protéger les entreprises contre des problèmes tels que les violations de données ou la non-conformité.

Services :

  • Services de confidentialité - Les consultants en services de confidentialité aident les entreprises à atteindre la conformité à la CCPA et à d'autres réglementations sur la confidentialité.
  • Fournisseurs de services de sécurité des données - Les fournisseurs de sécurité des données aident les entreprises à protéger leurs données.
  • Fournisseurs de services de réponse aux incidents - Les fournisseurs de services de réponse aux incidents aident dans les efforts de remédiation après une cyberattaque.

Alors, la CCPA est-elle une loi sur la cybersécurité ?

En bref, oui. La CCPA est à la fois une loi sur la confidentialité des consommateurs et une loi sur la cybersécurité, car elle est prescriptive sur la manière dont les entreprises doivent sécuriser les informations personnellement identifiables (PII) des consommateurs et les données connexes en cas de violation de données. Plus précisément, la CCPA souligne la nécessité de chiffrer et d'anonymiser les données identifiables des consommateurs pour éviter les amendes.

Amendes pour non-chiffrement selon la CCPA

Toute information personnelle des consommateurs non chiffrée ou non expurgée qui est piratée, volée, accédée par un utilisateur non autorisé ou autrement divulguée est sujette à une action civile pour récupérer des dommages d'au moins 100 $ et pas plus de 750 $ par consommateur par incident, ou des dommages réels, selon le montant le plus élevé. (Paraphrasant la Section 1798.150)

Pénalités pour non-conformité à la CCPA

Si le procureur général de Californie notifie à une entreprise une non-conformité à la CCPA, l'entreprise doit remédier à ces violations dans les 30 jours ou peut être soumise à des pénalités civiles. La non-conformité intentionnelle entraînera des amendes allant jusqu'à 7 500 $ pour chaque violation. (Paraphrasant la Section 1798.155)

Violations de données et recours légaux des consommateurs

Vous n'avez pas pris la peine de chiffrer vos données sensibles des consommateurs ? Préparez-vous à débourser de l'argent. Les consommateurs ont un recours légal s'ils découvrent que des données des consommateurs en texte clair, non chiffrées ou non expurgées ont été piratées, volées ou autrement divulguées en raison de l'incapacité de l'entreprise à maintenir des protocoles de sécurité raisonnables. Les consommateurs doivent notifier à l'entreprise la divulgation de leurs données personnelles et les entreprises ont 30 jours pour remédier au problème. Si le problème n'est pas résolu de manière satisfaisante à ce moment-là, les consommateurs peuvent notifier le procureur général (AG) et l'AG déterminera s'ils poursuivront l'entreprise. Si l'AG constate que l'entreprise a intentionnellement violé les dispositions de la CCPA, l'entreprise peut être responsable de pénalités civiles allant jusqu'à 7 500 $ pour chaque violation. Si l'AG ne poursuit pas dans les 6 mois, les consommateurs peuvent intenter une action civile pour récupérer des dommages d'au moins 100 $ et pas plus de 750 $ par incident, peuvent demander aux tribunaux une injonction ou une déclaration de soulagement, ou tout autre soulagement jugé approprié par les tribunaux.

Amendements à la CCPA

Les entreprises ont longtemps soutenu que la CCPA avait des directives de conformité vagues, que les délais étaient irréalisables et qu'elle contenait des obligations contradictoires envers les consommateurs basées sur les lois existantes. Le 11 octobre 2019, plusieurs amendements à la CPPA ont été adoptés pour fournir des clarifications, traiter les incongruités et fournir des extensions de délais de conformité à certains groupes.

Un regard vers l'avenir sur les futures réglementations en matière de confidentialité

La CCPA n'est que le début. En regardant vers l'avenir, les entreprises devraient s'attendre à un patchwork de réglementations en matière de confidentialité dans les années à venir. Plus de la moitié des États américains ont proposé une forme de législation sur la confidentialité des consommateurs en 2019, mais beaucoup de ces projets de loi n'ont pas encore été adoptés pour devenir loi. Des États comme le Connecticut, la Louisiane et le Texas ont adopté des lois mettant en place des groupes de travail sur la confidentialité des consommateurs pour étudier la question.

Un patchwork de réglementations sur la confidentialité basées sur les États rendra la conformité encore plus difficile à atteindre. Une législation sur la confidentialité a été discutée au niveau fédéral américain pour supplanter la législation des États, mais les projets de loi ont été bloqués au Congrès. Quoi qu'il en soit, les entreprises peuvent s'attendre à plus de réglementations sur la confidentialité des données dans un avenir proche. Commencez à préparer vos stratégies commerciales pour vous adapter à un paysage juridique en évolution.

*Avertissement : Je ne suis pas avocat et je ne donne pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé.*

Vous voulez en savoir plus sur Logiciel de cryptage ? Découvrez les produits Chiffrement.

Merry Marwig, CIPP/US
MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Explorer d'autres articles G2

Quels fournisseurs de salles de données sécurisées offrent une intégration transparente avec les outils financiers ?
Compréhension du Langage Naturel (CLN)
Quel est le meilleur logiciel pour la surveillance d'un environnement multi-base de données ?
Meilleures plateformes pour sécuriser les charges de travail Kubernetes