Dans ce dossier spécial, nous allons vous expliquer les exigences de la loi sur la protection de la vie privée des consommateurs de la Californie (CCPA) pour les entreprises.
Nous allons également vous détailler les éléments les plus importants de la CCPA.
Quelles sont les entreprises qui doivent se conformer à la CCPA ?
Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne, qui s’applique à toutes les entreprises qui collectent ou traitent les données des résidents de l’UE, la CCPA ne s’applique qu’aux entreprises à but lucratif qui répondent à certains critères.
Toute entreprise qui répond à un ou plusieurs des critères ci-dessous est tenue de se conformer à la CCPA :
- Avoir un chiffre d’affaires annuel brut supérieur à 22,64 millions d’euros
- Collecter des informations sur 50 000 ménages ou résidents californiens ou plus chaque année
- Gagner 50 % ou plus de son chiffre d’affaires annuel grâce à la vente des données de consommation des résidents de l’état de Californie.
À noter que ces exigences peuvent être actualisées ou étendues à un plus grand nombre d’entreprises. Il est donc dans votre intérêt de vous tenir au courant de toute modification de la CCPA si vous recueillez ou traitez les données des consommateurs américains.
Il n’y a pas que les entreprises ayant leur siège en Californie qui doivent se conformer à la CCPA. En réalité, toute entreprise qui fait des affaires en Californie ; qui collecte ou traite les données des résidents californiens est tenue de se conformer à la CCPA.
Quels sont les droits des consommateurs dans le cadre de la CCPA ?
Le CCPA a été introduit pour donner aux résidents de l’état de Californie un plus grand contrôle sur leurs données personnelles.
Les droits des consommateurs en vertu de la CCPA sont notamment les suivants :
- Droit de savoir quelles données personnelles sont collectées par une entreprise
- Droit de savoir quelles sont les données à caractère personnel détenues par une entreprise
- Droit de savoir comment les données à caractère personnel sont utilisées par une entreprise
- Restriction de l’utilisation et de la vente de données personnelles de mineurs (moins de 13 ans) sans le consentement des parents
- Restriction de l’utilisation et de la vente de données personnelles de mineurs (13-16 ans) sans consentement direct de la personne concernée
- Droit de supprimer toutes les données à caractère personnel détenues par une entreprise
- Droit de refuser la vente de données à caractère personnel
- Droit à la non-discrimination, en termes de prix ou de services, si les droits de la CCPA sont exercés
- Droit d’intenter une action en justice contre les entreprises pour violation de la vie privée et pour non-respect des droits de la CCPA
- Les demandes des consommateurs doivent être confirmées dans les 10 jours et honorées dans les 45 jours
Principales exigences de la CCPA pour les entreprises
Les entreprises doivent veiller à ce que les consommateurs soient informés de la collecte de leurs données personnelles avant que celles-ci ne soient recueillies. Les consommateurs doivent également avoir la possibilité de refuser la collecte ou la vente de leurs données. Par ailleurs, les données à caractère personnel ne doivent être collectées qu’à des fins spécifiques et légitimes.
Une politique de protection de la vie privée à l’échelle de l’entreprise doit être élaborée, maintenue et mise à la disposition des consommateurs. Elle doit expliquer les pratiques de l’entreprise en matière de protection de la vie privée, y compris les données collectées, la manière dont elles sont utilisées et si elles seront vendues ou non. En outre, la politique de protection de la vie privée doit expliquer les droits des consommateurs.
Les entreprises ont aussi l’obligation de maintenir des procédures pour répondre aux demandes des consommateurs d’accéder à leurs données, de supprimer leurs données et de refuser la vente de leurs informations personnelles. De plus, elles doivent élaborer et maintenir des procédures relatives à la collecte et à l’utilisation des informations personnelles des mineurs.
Les entreprises doivent offrir aux consommateurs deux méthodes pour demander des données et faire supprimer leurs données. L’une des méthodes obligatoires est un numéro de téléphone gratuit. Si une entreprise opère principalement en ligne, les entreprises doivent proposer une méthode basée sur le web.
Tout membre du personnel qui traite les données des consommateurs doit recevoir une formation sur les exigences de la CCPA. Quant à la surveillance de la conformité, elle doit être déléguée à une personne ou à une équipe dédiée.
Les entreprises doivent vérifier l’identité du consommateur avant de lui fournir ou de supprimer des données qui lui concernent une fois qu’ils reçoivent une demande.
CCPA et RGPD
La CCPA ne va pas aussi loin que le RGPD en ce qui concerne les exigences de sécurité des données pour les entreprises.
Cette loi ne précise pas les mesures de sécurité qui doivent être mises en œuvre pour protéger les données des consommateurs, mais elle exige que les entreprises mettent en place des protections adéquates pour protéger les données des consommateurs, y compris des mesures pour empêcher l’accès non autorisé aux données personnelles.
N’oubliez pas que des sanctions peuvent être imposées en cas de violation de données et que les consommateurs peuvent intenter une action en justice pour l’exposition de leurs données si l’entreprise détenant ces données a été négligente.
En cas de violation de la CCPA, les consommateurs peuvent être poursuivis en justice. Une violation importante des données pourrait donc s’avérer très coûteuse.
Comment TitanHQ peut vous aider à vous conformer à la CCPA
TitanHQ propose trois solutions qui peuvent aider les entreprises à se conformer à la CCPA. Il s’agit de SpamTitan Email Security, de WebTitan DNS Filtering et d’ArcTitan Email Archiving.
SpamTitan est une puissante solution de sécurité de la messagerie électronique. Elle offre la meilleure protection contre le spam et les principales causes de violation des données, telles que les attaques de phishing et les infections par des malwares.
WebTitan est une solution de filtrage DNS qui offre un niveau de protection supplémentaire contre les attaques de phishing et de malwares. Elle bloque les tentatives des utilisateurs de votre réseau informatique d’accéder à des sites web malveillants tels que ceux utilisés pour le phishing ou pour la diffusion de malwares. Elle peut aussi vous aider à éviter l’exposition des données des consommateurs.
ArcTitan est une solution d’archivage de la messagerie électronique. Elle aide les entreprises à protéger leurs données d’e-mails, à répondre aux exigences de conservation des e-mails, à trouver et à récupérer rapidement les messages électroniques lors du traitement des plaintes des clients.
Enfin, ArcTitan permet aux entreprises de trouver et supprimer rapidement les données personnelles si les consommateurs le demandent.