Pourquoi votre entreprise doit prêter attention à la conformité CCPA

La célèbre culture de surf décontractée et ensoleillée de la Californie dément son rôle dans le changement des conversations nationales sur les questions brûlantes grâce à l’adoption d’actes législatifs historiques. Première à tout adopter, de la pollution de l’air à la marijuana médicale en passant par la législation sur le divorce sans faute, la Californie mène la lutte pour des lois sur la confidentialité des données favorables aux consommateurs.

La Loi californienne sur la confidentialité des consommateurs (CCPA) est la loi américaine sur la confidentialité des données la plus complète et la plus applicable. Il est difficile d’exagérer son impact sur les pratiques de confidentialité.

Ce que vous devez savoir sur le CCPA

Les règles de confidentialité sont complexes, c’est vrai. Mais ils sont gérables pour chaque entreprise avec la bonne approche. Si vous êtes au début de votre parcours de conformité à la confidentialité (musique inspirante), voici ce que vous devez savoir sur l’ACCP et votre entreprise.

La question à 25 millions de dollars : le CCPA s’applique-t-il à moi ?

La question numéro un que nous recevons des clients est la suivante : Dois-je donc m’inquiéter du CCPA ou non ?

Le CCPA s’applique aux entreprises à but lucratif qui opèrent en Californie, collectent et contrôlent les informations personnelles des résidents californiens et répondent à l’une des exigences suivantes :

• Revenus bruts annuels supérieurs à 25 millions de dollars
• Recueille des informations personnelles auprès de plus de 50 000 résidents, foyers ou appareils californiens chaque année *
• Reçoit 50 % ou plus des revenus annuels de la vente des informations personnelles des résidents de Californie

*Le seuil des informations personnelles collectées sera porté à 100 000 en 2023 lorsque la loi californienne sur les droits à la vie privée entrera en vigueur.

Cela peut sembler réservé aux grandes entreprises. Ce n’est pas. Les chercheurs estiment jusqu’à 75% des entreprises californiennes réalisant moins de 25 millions de dollars de revenus annuels seront impactés par la loi.

Tout tourne autour de l’individu (droits)

Le droit individuel d’un consommateur de contrôler la manière dont ses informations personnelles sont utilisées est au cœur du CCPA. Les droits codifiés par le CCPA incluent le droit de :

• Sachez quelles informations vous collectez à leur sujet et pourquoi
• Vous demander de supprimer leurs informations de vos bases de données
• Savoir avec quelles sociétés tierces vous partagez ou achetez leurs données
• Mandater une réponse opt-in avant de vendre des données pour toute personne de 16 ans et moins
• Opt-out de la vente d’informations personnelles

Le dernier – le droit de refuser la vente de renseignements personnels – est le plus important. Avec une définition large de ce qui constitue la « vente » de données (vendre, louer, publier, divulguer, diffuser, mettre à disposition ou transférer… les informations personnelles d’un consommateur contre de l’argent ou quelque chose d’autre de précieux), cette exigence peut être la plus difficile à saisir pour les entreprises.

Gestion des demandes de droits individuels

Si vous autorisez des tiers à utiliser les données que vous collectez à leurs propres fins et doivent être conformes à la CCPA, vous ont pour disposer de processus de mappage de données sécurisés et efficaces qui vous permettent d’identifier, de modifier et de supprimer les informations personnelles des consommateurs dans les délais de l’ACCP.

Cela signifie que vous devez :

• Avoir des processus pour soumettre des demandes individuelles de droits de connaître/supprimer. Cela devrait inclure au moins deux façons de soumettre des demandes.
  • Un numéro de téléphone sans frais est requis, sauf pour les entreprises en ligne uniquement. Une adresse e-mail peut remplacer le numéro sans frais.
  • En règle générale, toutes les entreprises peuvent fournir un formulaire Web ou une adresse e-mail pour soumettre des demandes.
  • Avant de finaliser vos processus, passez en revue avec un professionnel de la confidentialité pour vous assurer que vous faites les bons choix.
• Sachez que vous pouvez respecter le strict délai de confirmation de demande de 10 jours et le délai d’exécution de 45 jours
• Savoir que votre équipe peut identifier et vérifier correctement les dossiers d’information des consommateurs

Transparence avec les dents

Avec exigences strictes pour informer les clients sur les pratiques de collecte de données, vous pouvez remercier le CCPA pour tous ces Mise à jour de notre politique de confidentialité les e-mails que vous avez reçus de toutes les entreprises auxquelles vous avez déjà donné votre adresse e-mail.

Les avis de confidentialité conformes au CCPA doivent être accessibles et indiquer spécifiquement le type d’informations que vous collectez, ce que vous en faites et avec qui vous les partagez. Il doit également détailler clairement les droits dont disposent vos consommateurs. (Voir au dessus).

De plus, vous devez dire tout cela aux consommateurs au moment de la collecte ou avant et fournir une (évidente) Ne vendez pas mes données personnelles bouton sur votre page d’accueil.

Barre latérale – si votre politique de confidentialité est de quatre pages de jargon juridique dense, réécrivez-la dans un style convivial. Cela aidera à la fois vos clients à le comprendre et à améliorer leur expérience sur votre site.

Gardez-le secret, gardez-le en sécurité

Le CCPA vous oblige à maintenir procédures de sécurité raisonnables en place pour protéger les informations sensibles des consommateurs. La législation ne précise pas ce qu’est une « procédure de sécurité raisonnable », mais la première chose que vous devez faire est de vous assurer que vous comprenez le cycle de vie complet d’un enregistrement de données. Cela signifie que vous devez savoir quelles informations vous collectez, pourquoi vous les collectez, quand vous les collectez, où vous les stockez, combien de temps vous les conservez et avec qui vous les partagez.

D’autres choses qui devraient certainement être sur votre liste de choses à faire incluent :

• Restreindre et mettre à jour vos structures d’autorisation d’accès (vous seriez surpris du nombre d’entreprises qui oublient de supprimer les anciens employés de leurs systèmes)
• Renforcer les processus de mise à jour et de correction des logiciels/matériels de votre entreprise afin que vous ne laissiez pas vos systèmes vulnérables aux piratages
• Créer des politiques d’entreprise pour les mots de passe forts, l’utilisation du VPN (pas de Wi-Fi public !) et la séparation des appareils professionnels/personnels
• Chiffrement des données au repos et lorsqu’elles sont transférées à d’autres entreprises.

Après avoir suivi ces étapes, envisagez une évaluation de la confidentialité et de la sécurité de votre système et pour chacun de vos prestataires.

Pourquoi CCPA Vraiment, Vraiment Questions

L’ACCP n’est qu’un début. Il s’agit de la première loi américaine sur la confidentialité des données, mais elle n’est même pas proche de la dernière. Être conforme au CCPA permettra à votre entreprise de s’adapter rapidement aux changements déjà visibles à l’horizon.

D’autres réglementations sur la confidentialité sont en route

Le successeur du CCPA, le Loi californienne sur les dossiers de confidentialité (CPRA), a déjà été adopté par les électeurs californiens. L’ACPL clarifie les sections vagues du CCPA, ajoute des protections supplémentaires pour les consommateurs et ajoute une responsabilité civile pour votre entreprise si une violation de données expose les informations personnelles sensibles de vos clients.

À l’exclusion du droit d’accès, le CPRA, tel qu’il est écrit actuellement, s’appliquera aux informations personnelles que vous recueillez auprès de vos clients à compter du 1er janvier 2022. Cela signifie que même si le CPRA n’entre en vigueur qu’en janvier 2023, vous doivent être en mesure de suivre efficacement les enregistrements de données individuels d’ici la fin de 2021.

Être conforme à la CCPA accomplira efficacement cela et facilitera votre cheminement vers la conformité à la CPRA.

L’ACPL a également considérablement augmenté la probabilité que nous assistions à des mesures d’application robustes en créant et en finançant l’Agence californienne de protection de la vie privée, qui disposera d’un financement et d’un personnel importants pour traiter les plaintes en matière de confidentialité. Avec l’application du CCPA gérée par le bureau du procureur général de Californie, les entreprises ont pu contourner l’examen minutieux ou éviter de se voir infliger des violations de la vie privée. Cela sera considérablement moins probable avec le niveau de contrôle accru de l’ACPL.

Réglementations sur la confidentialité dans d’autres États

Le Nevada, le Maine, le Massachusetts, New York, le Vermont et l’Illinois ont également des lois sur la protection des données bien qu’elles diffèrent à bien des égards de la CCPA et ne soient pas considérées comme une loi sur la protection de la vie privée aussi complète. D’autres États ont des projets de loi actifs en attente. Même si aucune de ces lois en attente ne correspond aux normes californiennes, il y a de fortes chances qu’il y ait une réglementation dans votre état au cours des cinq prochaines années. Si vous pouvez mettre votre entreprise en conformité avec le CCPA dès maintenant, la mise en conformité avec les exigences futures sera plus rapide, plus efficace et moins coûteuse.

Amendes, frais, injonctions, oh mon dieu !

Rien n’est pire pour le commerce électronique qu’une violation de données. Les piratages entraînent souvent une mauvaise publicité embarrassante, mais ils portent également un coup à votre réputation auprès des consommateurs, ce qui se traduit par une perte de ventes et une diminution des revenus.

Il ne s’agit pas seulement de la confiance des consommateurs. La non-conformité présente également un réel risque financier qui pourrait vider vos réserves alors que vos ventes sont en baisse.

En vertu du CCPA, le fait de ne pas résoudre les problèmes de non-conformité dans les 30 jours suivant l’avis peut entraîner une injonction qui pourrait fermer votre entreprise. Vous pourriez être passible d’une amende de 2 500 à 7 000 $ par enregistrement de la part de l’État de Californie. Le seuil du CCPA pour la collecte de données est de 50 000 enregistrements par an. Être facturé 2 500 $ ou 7 500 $ pour même une fraction de ce nombre de disques, c’est beaucoup d’argent.

De plus, les clients individuels peuvent vous poursuivre directement en cas de violation de données non expurgées ou non cryptées à hauteur de 100 à 750 $ par enregistrement.

Formation, formation, formation

La recherche estime que 30% de tous les piratages peut être attribué à une erreur humaine interne et presque 95 % des violations basées sur le cloud sont causés par inadvertance par des erreurs d’employés.

Même les grands programmes de données sur la confidentialité échoueront si vos employés et vos fournisseurs ne le comprennent pas. Commencez dès maintenant à former vos employés à la conformité CCPA et aux meilleures pratiques en matière de confidentialité des données. Si vos fournisseurs ne peuvent pas ou ne veulent pas répondre à vos attentes, trouvez-en de nouveaux.

Avant de penser que la vie privée appartient uniquement au monde des informaticiens, rappelez-vous dans quel monde interconnecté, hyperlié et de partage d’informations nous vivons. département commercial à votre équipe de vente à vos représentants du service client, le respect de la vie privée et la formation doivent être abordés à tous les niveaux de votre entreprise.

Il faut du temps pour développer une solide culture de sensibilisation à la vie privée, alors n’en perdez plus.

Soyez le bon gars

Les données sur les consommateurs ne sont pas seulement un outil, c’est la monnaie la plus précieuse au monde. Vous devez le protéger avec autant de soin que vos brevets, droits d’auteur et formules de produits. Même si le CCPA ne s’applique pas techniquement à vous, les consommateurs ont peu de tolérance pour les entreprises qui jouent vite et librement avec leurs informations personnelles.

Au lieu de considérer les exigences de confidentialité comme un centre de coûts, considérez-les comme une valeur ajoutée essentielle qui renforce la confiance avec vos clients et individualise leur expérience.

Construire votre avenir numérique

La confiance numérique, ou le degré de confiance des utilisateurs dans le fait qu’une entreprise se comporte de manière éthique en ligne, sera un problème clé pour les consommateurs au cours de la prochaine décennie. Se conformer à la CCPA maintenant créera la base solide dont vous avez besoin pour vous adapter à l’infrastructure de confidentialité des données qui se construit autour de vous en temps réel. Plutôt que de vous enfermer, construisez l’échafaudage des pratiques de confidentialité qui vous fera économiser du temps et de l’argent à long terme.