Le 1er janvier 2020, la nouvelle loi californienne sur la protection des consommateurs (CCPA – California Consumer Privacy Act) est entrée en vigueur, donnant aux résidents de l’État un plus grand contrôle sur l’utilisation et la vente de leurs données personnelles.
Dans cet article, nous examinons les exigences de la CCPA en matière de sécurité des données pour les entreprises et les conséquences de la non-conformité à cette loi.
Qu’est-ce que la loi californienne sur la protection des consommateurs ?
La Californie a déjà adopté certaines des lois les plus strictes des États-Unis en matière de protection de la vie privée des consommateurs, mais avec la CCPA, ce concept va un peu plus loin.
La CCPA a été assimilée au Règlement général sur la protection des données (RGPD) de l’Union européenne, car elle donne aux résidents californiens des droits similaires sur les données personnelles collectées et utilisées par les entreprises.
La CCPA exige des entreprises d’informer les résidents californiens des catégories de données qu’elles collectent, avant ou au moment de la collecte. Ces derniers ont un droit d’accès à toutes leurs informations personnelles qui sont détenues par une entreprise et un droit de savoir avec qui ces données personnelles ont été partagées.
Ils ont également le droit de refuser et d’empêcher que leurs données personnelles soient vendues. Par ailleurs, ils peuvent demander que leurs données personnelles soient supprimées. Ils ont le droit à l’égalité des services et des prix et ne peuvent faire l’objet d’une discrimination ou se voir refuser des biens ou des services ou des niveaux de service s’ils choisissent de ne pas vendre leurs données personnelles.
Qui doit se conformer à la CCPA ?
Depuis le 1er janvier 2020, la CCPA s’applique à toutes les entreprises qui font des affaires avec des résidents de la Californie, peu importe le lieu où l’entreprise est basée, si l’une des conditions suivantes est remplie :
- L’entreprise génère des revenus d’au moins 22696000 euros par an
- La société recueille, achète, vend ou partage les données personnelles d’au moins 50 000 personnes
- L’entreprise tire au moins 50 % de ses revenus de la vente de données à caractère personnel.
L’ACCP ne s’applique pas aux institutions d’assurance, aux agents et aux organisations de soutien, qui sont couverts par différentes lois des États.
Exigences de la CCPA en matière de sécurité des données
LA CCPA ne précise pas quelles mesures de sécurité doivent être mises en œuvre pour protéger les données personnelles des résidents de la Californie. Cependant, les entreprises ont le devoir de mettre en œuvre des mesures de sécurité raisonnables en fonction du niveau de risque, conformément aux autres lois de l’État.
Selon la CCPA, des sanctions peuvent être appliquées en cas de « violation de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables ».
Étant donné qu’une action en justice peut être engagée contre les entreprises en cas de violation de données personnelles, il est important que les entreprises veillent à ce que des mesures appropriées soient prises pour les protéger et pour empêcher la violation des données.
LA CCPA ne précise pas quels contrôles doivent être mis en œuvre ni ce qui constitue des « procédures et pratiques de sécurité raisonnables ».
Un rapport sur les atteintes à la protection des données de 2016, publié par le procureur général de Californie, constitue un bon guide. Il comprend une liste de 20 contrôles qui, selon le Centre pour la sécurité sur Internet (CIS), sont nécessaires pour se protéger contre les vecteurs de cyberattaques connus. Ces contrôles devraient donc servir de guide pour les exigences de la CCPA en matière de sécurité des données.
Comment TitanHQ peut vous aider à vous conformer aux exigences de la CCPA en matière de sécurité des données ?
L’email est le vecteur d’attaque le plus couramment utilisé pour le phishing et pour la diffusion de malwares. Des mesures de protection doivent donc être mises en place pour assurer la sécurité des systèmes de messagerie électronique.
Les attaques de phishing ont souvent un composant web où les informations d’identification sont récoltées, et de nombreux téléchargements de malwares se font via Internet. Les contrôles sur Internet sont par conséquent essentiels pour protéger les entreprises contre les cyberattaques et les violations de données.
En raison du risque d’attaque via la messagerie électronique et le web, la protection des emails et des navigateurs figure parmi les premières mesures recommandées par le CIS.
C’est un domaine dans lequel TitanHQ peut apporter son aide. Nous avons développé deux puissantes solutions de sécurité basées dans le cloud et qui peuvent vous aider à répondre aux exigences de la CCPA en matière de protection des données.
SpamTitan Email Security est une puissante solution de filtrage du spam qui protège les boîtes de réception de vos employés des menaces basées sur la messagerie électronique. SpamTitan intègre plusieurs couches de contrôles antispam et antiphishing, dont le Sender Policy Framework (SPF), le protocole Domain-based Message Authentication (DMARC), le Realtime Blackhole List (SURBL), l’analyse bayésienne, et bien d’autres. SpamTitan utilise deux moteurs antivirus pour bloquer les menaces de malwares connues et le sandboxing pour protéger contre les vulnérabilités et la perte de données liées aux attaques du type « zero day ».
WebTitan est une solution de filtrage DNS basée dans le cloud. Elle protège vos employés contre les menaces web et les attaques de phishing. Elle empêche également les utilisateurs de réseaux câblés et sans fil d’accéder à des sites web malveillants.
Ces solutions vous aideront à assumer vos responsabilités en matière de sécurité de la messagerie électronique et du web et à protéger votre organisation contre les attaques de phishing et de malwares et contre les téléchargements de ransomwares. Ensemble, ces solutions vous aideront à prévenir les coûteuses atteintes à la protection des données et à éviter les amendes de l’ACCP qui en résultent.
Sanctions en cas de non-respect de la CCPA
Chaque violation intentionnelle est passible d’une amende maximale jusqu’à environ 6 800 euros par dossier. Les violations involontaires sont passibles d’une amende jusqu’à environ 2 269 euros par dossier.
Il existe également une cause d’action privée au sein de l’ACCP. En cas d’atteinte à la protection de leurs données, les victimes peuvent intenter une action en justice pour une violation de la CCPA. Ceci peut impliquer le paiement de dommages-intérêts légaux de 90 à 680 euros pour chaque résident californien touché par la violation.
Il est également possible de demander des dommages-intérêts réels – le montant le plus élevé étant retenu – ainsi que d’autres mesures de redressement déterminées par les tribunaux. Les recours collectifs sont également autorisés en vertu de la CCPA. Et pour finir, sachez que le procureur général de Californie peut dans ce cas intenter une action en justice contre la société plutôt que d’autoriser l’introduction de poursuites civiles.