fin juin 2018, La Californie a adopté AB 375, une loi sur la protection des consommateurs qui pourrait avoir plus de répercussions sur les entreprises américaines que le règlement général sur la Protection des données (RGPD) de l’Union européenne entré en vigueur en mai 2018. La loi californienne n’a pas certaines des exigences les plus onéreuses du RGPD, telles que la fenêtre étroite de 72 heures dans laquelle une entreprise doit signaler une violation. À d’autres égards, cependant, cela va encore plus loin.

L’ACCP adopte une vision plus large que le RGPD de ce qui constitue des données privées., Le défi de la sécurité est donc de localiser et de sécuriser ces données privées.

qu’est-Ce que l’ACCP?

La California Consumer Privacy Act (CCPA) est une loi qui permet à tout consommateur californien d’exiger de voir toutes les informations qu’une entreprise a enregistrées sur eux, ainsi qu’une liste complète de tous les tiers avec lesquels les données sont partagées. En outre, la loi californienne permet aux consommateurs de poursuivre les entreprises si les directives de confidentialité sont violées, même s’il n’y a pas de violation.,

les entreprises Qui ne l’ACCP affecter?

toutes les entreprises qui desservent les résidents de Californie et ont au moins 25 millions de dollars de revenus annuels doivent se conformer à la loi. En outre, les entreprises de toute taille qui ont des données personnelles sur au moins 50 000 personnes ou qui collectent plus de la moitié de leurs revenus provenant de la vente de données personnelles, tombent également sous le coup de la loi. Les entreprises n’ont pas besoin d’être basées en Californie ou d’y avoir une présence physique pour tomber sous le coup de la loi. Ils n’ont même pas besoin d’être basés aux États-Unis.,

Une modification apportée en avril exempte « les institutions d’assurance, les agents et les organisations de soutien” car ils sont déjà soumis à des réglementations similaires en vertu de la loi californienne sur les informations D’assurance et la protection de la vie privée (IIPPA).

quand mon entreprise doit-elle se conformer à la CCPA?

La loi est entrée en vigueur le 1er janvier 2020, mais son application a commencé le 1er juillet.

que se passe-t-il si mon entreprise n’est pas en conformité avec la CCPA?

les entreprises ont 30 jours pour se conformer à la Loi Une fois que les régulateurs les informent d’une violation., Si le problème n’est pas résolu, il y a une amende pouvant aller jusqu’à 7 500 $par enregistrement. « Si vous pensez au nombre d’enregistrements touchés par une violation, cela augmente vraiment très rapidement », explique Debra Farber, directrice principale de la stratégie de confidentialité chez BigID. Puisque le projet de loi a été élaboré et adopté en seulement une semaine, il verra probablement quelques amendements, ajoute-t-elle. « Des choses comme les montants des amendes sont susceptibles de changer. »

Il y a aussi un autre risque financier potentiel, dit Farber. « Le projet de loi prévoit le droit d’une personne de poursuivre en justice, pour la première fois », dit-elle. « Et il permet des recours collectifs pour des dommages-intérêts., »

encore une fois, il y a une fenêtre de 30 jours qui commence lorsque les consommateurs avisent par écrit une entreprise qu’ils croient que leurs droits à la vie privée ont été violés. « Si ce n’est pas guéri, et que le procureur général refuse de poursuivre, alors ils peuvent intenter une action collective », dit Farber. « Et ce n’est pas seulement autour des brèches. »

Par exemple, la loi spécifie que les entreprises doivent avoir un pied de page clairement visible sur les sites Web offrant aux consommateurs la possibilité de refuser le partage de données. Si ce pied de page est manquant,les consommateurs peuvent poursuivre., Ils peuvent également poursuivre s’ils ne peuvent pas savoir comment leurs informations ont été collectées ou obtenir des copies de ces informations. « Cela peut être autour de n’importe quoi », dit Farber.

la loi attribue des pénalités spécifiques en cas d’accès non autorisé, que ce soit par une violation, une exfiltration, un vol ou « une divulgation résultant d’une violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables”, tel qu’il est actuellement écrit, AB 375,

« ajoutez tous les autres coûts liés aux violations-réponse informatique, criminalistique et récupération, juridique, notification, etc.-et cela pourrait pousser une violation dans le domaine d’une menace existentielle pour de nombreuses entreprises », explique Chris Prevost, responsable de l’architecture des solutions de sécurité d’exécution chez Imperva.

en général, si une entreprise a pris les mesures nécessaires pour se conformer au RGPD, c’est la plupart du temps pour la California Consumer Privacy Act. Au moins, c’est plus proche que s’il n’était pas prêt pour le RGPD, explique Eric Dieterich, responsable de la pratique de confidentialité des données chez Focal point Data Risk, LLC., « Certaines multinationales ont apporté des changements à leurs marchés européens, mais ne l’ont peut-être pas déployé aux activités basées aux États-Unis, donc il pourrait y avoir un changement de portée », dit-il.

quelles sont les données couvertes par L’ACCP?

la loi californienne adopte une approche plus large de ce qui constitue des données sensibles que le RGPD. Par exemple, les informations olfactives sont couvertes, ainsi que l’historique de navigation et les enregistrements des interactions d’un visiteur avec un site web ou une application.,informations ométriques

  • informations sur L’activité sur Internet ou sur d’autres réseaux électroniques, y compris, mais sans s’y limiter, l’historique de navigation, l’historique de recherche et les informations concernant l’interaction d’un consommateur avec un site Web, une application ou une publicité
  • données de géolocalisation
  • informations Audio, électroniques, visuelles, thermiques, olfactives ou similaires
  • informations professionnelles ou liées à l’emploi
  • informations sur L’éducation, définies comme des informations qui ne sont pas des informations personnellement identifiables (PII) accessibles au public au sens de la Loi sur les droits éducatifs de la famille et la protection des renseignements personnels (20 U.,L. C. section 1232g, 34 C. F. R. partie 99)
  • inférences tirées de l’un des renseignements mentionnés dans la présente sous-section pour créer un profil sur un consommateur reflétant ses préférences, caractéristiques, tendances psychologiques, préférences, prédispositions, comportement, attitudes, intelligence, capacités et aptitudes
  • Une modification, AB 874, qui attend actuellement la signature du gouverneur, exempterait les renseignements sur le consommateur accessibles au public, désidentifiés et agrégés d’être classés comme IIP., Les renseignements accessibles au public sont définis comme des données disponibles et conservées à partir des dossiers gouvernementaux.

    l’ACCP couvrait à l’origine les données sur les employés et les consommateurs. Une modification adoptée en avril, cependant, exempte les données des employés du règlement. Une autre modification, AB 25, exempte partiellement les renseignements personnels recueillis auprès des demandeurs d’emploi, des propriétaires, des administrateurs, des dirigeants, du personnel médical et des entrepreneurs. Cette exemption expirerait le 1er janvier 2021. AB 25 attendait la signature du gouverneur au moment d’écrire ces lignes.

    Quelles sont les principales dispositions sur la confidentialité de l’ACCP?,

    Les entreprises doivent permettre aux consommateurs de choisir de ne pas partager leurs données avec des tiers. Cela signifie que les entreprises devront désormais pouvoir séparer les données qu’elles collectent en fonction des choix de confidentialité des utilisateurs.

    en outre, bien qu’une entreprise ne puisse refuser un service égal aux utilisateurs, elle peut offrir des incitations aux utilisateurs qui fournissent des informations personnelles. « Cette disposition peut être sujette à changement, mais comme indiqué aujourd’hui, elle vous donne la possibilité d’offrir des rabais aux personnes qui sont prêtes à partager ou à vendre leurs données à des tiers », explique Dieterich., « Traditionnellement, les systèmes ne sont pas conçus de sorte que votre structure de prix puisse changer en fonction de vos choix de confidentialité. C’est un nouveau concept qui a des implications très techniques. »

    Une autre différence majeure avec le RGPD est que la loi californienne permet aux clients d’accéder beaucoup plus facilement à leurs dossiers, explique Subra Ramesh, vice-présidente des produits Chez Dataguise. Un consommateur californien a le droit de savoir quelles informations une entreprise recueille à son sujet. La plupart des entreprises vont avoir du mal à rassembler ces informations., « Premièrement, la quantité de données qu’ils collectent est déjà énorme et continue de croître, souvent de l’ordre de centaines à des milliers de téraoctets, et avec les organisations au niveau de l’entreprise qui traitent des pétaoctets de données », explique-t-il.

    que les données sont contenues dans plusieurs plates-formes de stockage, dans des temps de fichier différents. ” La plupart des outils de recherche de fichiers n’ont pas la capacité de rechercher dans les écosystèmes de dépôts de fichiers modernes si répandus aujourd’hui », explique Aaron Ganek, PDG de Cloudtenna. « La gestion de fichiers entre Silos est un défi majeur., Il est difficile de comprendre le contexte de chaque fichier s’ils sont dispersés dans différents référentiels. »De plus, les problèmes de conformité sont associés à la collecte de données, dit-il. « Les outils d’entreprise hérités ont du mal à respecter les autorisations et les modèles de sécurité disparates, violant les lois et réglementations mêmes pour lesquelles ils sont utilisés.”

    Puis il y a la limite de temps., « Après la demande d’accès, une entreprise dispose de 45 jours pour lui fournir un rapport complet sur le type d’informations qu’elle possède, a-t-elle été vendue et à qui, et si elle a été vendue à des tiers au cours des 12 derniers mois, elle doit donner les noms et adresses des tiers auxquels les données sont vendues », 1touch.io.  » vous ne pouvez pas faire cela en Europe. »

    étant donné que la règle couvre les 12 mois de dossiers précédents, les entreprises doivent commencer à se conformer dans six mois, dit-il., Ensuite, le 1er janvier 2020, chaque entreprise doit divulguer toutes les autres entreprises auxquelles elle vend des données. « Cela changera le paysage de la vie privée en Amérique pour toujours », dit Tsopanis.

    que signifie L’ACCP pour la sécurité?

    AB 375 est léger sur les exigences en matière de sécurité et de réponse aux violations par rapport au RGPD. Comme indiqué précédemment, la loi définit des sanctions pour les entreprises qui exposent des données de consommateurs en raison d’une violation ou d’un manquement à la sécurité. Il permet également aux tribunaux d’offrir des « mesures injonctives ou déclaratoires », ou  » toute autre mesure que le tribunal juge appropriée., »

    Les entreprises ne sont pas tenues de signaler les violations en vertu de L’AB 375, et les consommateurs doivent déposer des plaintes avant que des amendes soient possibles. Le meilleur plan d’action pour la sécurité est donc de savoir ce que data AB 375 définit comme des données privées et de prendre des mesures pour les sécuriser. Encore une fois, toute organisation qui se conforme au RGPD n’a probablement pas besoin de prendre d’autres mesures pour se conformer à AB 375 en termes de sécurisation des données.,

    Les exigences AB 375 en matière de suivi, d’accès et de stockage des données signifient que les équipes de sécurité devront travailler en étroite collaboration avec les administrateurs de base de données, explique Terry Ray, vice-président senior et fellow chez Imperva, un fournisseur de cybersécurité. Tous les outils sélectionnés pour aider à gérer AB 375 devront non seulement avoir une visibilité complète sur les données stockées dans l’ensemble de l’environnement hétérogène de l’entreprise, mais également garantir que l’accès à ces données est correctement sécurisé., « Enfin, ils auront besoin de ces outils pour coopérer avec le nouveau portail des consommateurs en partageant des données de consommation spécifiques avec le consommateur vérifiable qui le demande », dit-il.

    Si les données sont stockées avec des fournisseurs de cloud, le problème ne fait qu’empirer. Par exemple, les employés peuvent configurer un compte de partage de fichiers pour garder une trace des contacts marketing ou commerciaux. « Il n’est pas surprenant que les grandes entreprises technologiques comme Google et Facebook se soient opposées au projet de loi », explique Kevin Bocek, vice-président de la stratégie de sécurité et de la veille sur les menaces chez Venafi., « Contrôler la confidentialité et les informations personnelles qui circulent entre les machines est incroyablement difficile, et un défi majeur pour toutes les entreprises. »

    un travail en cours

    le projet de loi a été élaboré en seulement sept jours parce que les législateurs voulaient éviter une initiative de vote pour adopter une loi encore plus stricte à laquelle de nombreuses entreprises de technologie s’opposaient. « À l’heure actuelle, de nombreuses dispositions et définitions entrent en conflit les unes avec les autres », explique Andy Dale, avocat général et vice-président de la protection mondiale de la vie privée chez SessionM.,

    un problème est de savoir si une entreprise peut facturer aux consommateurs des prix différents en fonction de leurs paramètres de confidentialité. Par exemple, de nombreuses entreprises ont une option où un consommateur peut passer à un niveau payant où il ne voit aucune publicité. Ici, la loi telle qu’elle est actuellement rédigée est un peu contradictoire.

    « Si le consommateur exerce ses droits en vertu du règlement, les entreprises ne peuvent pas fournir un niveau ou une qualité de produit, de biens ou de services différents au consommateur », explique Pravin Kothari, PDG de CipherCloud., « D’un autre côté de la médaille, selon le règlement, il n’est pas interdit aux entreprises de facturer au consommateur un prix ou un taux différent, ou de fournir un niveau ou une qualité de biens ou de services différents au consommateur, si cette différence est raisonnablement liée à la valeur fournie au consommateur par les données du consommateur. »

    Il semble que la Californie essaie de définir un cadre où les consommateurs peuvent être payés pour partager leurs données, dit Kothari. « Dans ce domaine, la législation est un peu visionnaire, » dit-il. « Nous verrons dans la pratique comment cela fonctionne réellement., »

    En savoir plus sur L’ACCP:

    • 9 questions de L’ACCP chaque RSSI doit être prêt à répondre
    • L’ACCP est l’occasion de mettre de l’ordre dans votre maison de sécurité des données
    • Qu’est-ce que la »sécurité raisonnable »? Et comment répondre à l’exigence
    • prendre au sérieux la protection des données des consommateurs
    • Comment la propriété des données par les citoyens influe sur l’avenir des entreprises

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *