Analogue américain du RGPD: ce que vous devez savoir sur le CCPA

Il existe de plus en plus d'analogues du RGPD dans le monde. Récemment, un projet de loi similaire a été élaboré en Inde , maintenant les États-Unis sont en ligne. La Californie a pris un exemple en Europe, approuvant sa propre loi régissant les règles de travail avec les données personnelles des utilisateurs.

La California Consumer Privacy Act, ou CCPA, entrera en vigueur le 1er janvier 2020. Ensuite, nous examinons les principales dispositions de la loi, qui a été élaborée et adoptée en seulement une semaine.


/ photo Ryan Brisco PD

Qui tombe sous la loi

La nouvelle loi n'est pas aussi sévère que la directive européenne, mais elle implique toujours de grands changements dans la vie des affaires. Chaque internaute en Californie a le droit d'exiger de l'entreprise les informations qu'elle a collectées à son sujet, ainsi qu'une liste des tiers dont elle a eu connaissance.

Sur la base de la même loi, l'utilisateur peut désormais poursuivre une organisation qui a illégalement profité de sa DP ou n'a pas répondu à ses demandes dans les délais.

CCPA couvre les entreprises qui traitent les données personnelles des résidents de Californie (les résidents peuvent être à la fois dans l'État et à l'étranger) et reçoivent un minimum de 25 millions de dollars de revenus annuels. Mais il y a une nuance: si les revenus de l'entreprise sont moindres, mais qu'elle stocke des données personnelles de plus de 50 000 personnes, son activité relève de la SSRA.

La nouvelle loi réglemente également les activités des entreprises qui tirent plus de la moitié des bénéfices (quelle que soit leur taille) de la vente de PD. L'emplacement de l'organisation n'a pas d'importance: peu importe qu'elle soit située en Californie ou en dehors de l'État.

Ce qui est considéré comme des données personnelles

Les identifiants personnels sont tous les identifiants, la biométrie, la géolocalisation, l'historique des activités sur Internet et les informations sur l'emploi ou l'éducation. En général, toutes les données permettant d'identifier une personne y parviennent.

En même temps, des formulations assez vagues se retrouvent dans la loi. Par exemple, un identifiant personnel peut inclure des informations sur la famille de l'utilisateur. Aussi, comme PD classer toute information qui vous permet de compiler des profils d'utilisateurs: que ce soit seulement psychologique, comportemental, etc.

Droits d'utilisateur

Selon la loi, l'utilisateur reçoit un ensemble de droits «traditionnels»:

• Droit d'accès. L'utilisateur peut envoyer une demande et obtenir toutes les informations que l'entreprise a collectées à son sujet;
• Le droit à l'oubli. L'utilisateur peut exiger la suppression des informations le concernant des serveurs de l'entreprise et des serveurs de tiers;
• Le droit de savoir. Sur demande, l'entreprise doit divulguer les finalités de la collecte des données personnelles et leurs sources;
• Droit de refuser. Les utilisateurs peuvent refuser de transférer leurs données à des tiers.

C'est là une différence importante par rapport au RGPD - selon la directive européenne, une entreprise doit obtenir le consentement de l' utilisateur pour le traitement de la PD. En vertu de la loi californienne, une organisation n'a besoin que de traiter les demandes des utilisateurs.

Si les données de l'utilisateur ont été perdues ou volées, l'entreprise devra payer de 100 à 750 dollars à chaque victime.

Si l'utilisateur a envoyé une plainte à l'entreprise concernant une violation liée à ses données personnelles, il est tenu de résoudre le problème dans un délai d'un mois. Sinon, elle sera condamnée à une amende. Maintenant, c'est 7,5 mille dollars.
Cependant, en vertu de la LSCMLC, les entreprises ne sont pas tenues de divulguer des faits de violation si elles n'ont pas reçu une demande correspondante des utilisateurs.

Les montants des amendes et des paiements peuvent encore changer, mais dans tous les cas (compte tenu de tous les frais techniques et juridiques), la SSRA peut devenir une menace financière pour l'existence de nombreuses entreprises.


/ photo Justin Lim PD

Remises

Une autre nuance intéressante est que la loi interdit aux entreprises de discriminer les utilisateurs qui refusent de fournir leurs données personnelles. Mais en même temps, cela suggère la possibilité d'introduire un système de récompense pour ceux qui ont accepté.

Formellement, cela signifie (si l'élément ne change pas) que les entreprises peuvent accorder des remises à ceux qui partagent leurs données avec des tiers et fixer des prix différents pour les utilisateurs en fonction de leurs paramètres de confidentialité.

Cela crée non seulement un précédent technologique intéressant, mais aussi culturel: de facto, le CCPA établit de nouvelles règles de jeu par lesquelles les entreprises peuvent acheter gratuitement aux utilisateurs des informations qu’ils avaient précédemment reçues.

Dans le résidu sec

Officiellement, la loi entre en vigueur le 1er janvier 2020. Mais dès qu'elle commencera à fonctionner, l'entreprise devra immédiatement être en mesure de fournir aux utilisateurs les données collectées à leur sujet au cours des 12 derniers mois. En conséquence, la date limite pour la mise en œuvre de toutes les solutions technologiques nécessaires à cet effet intervient un an plus tôt - c'est-à-dire seulement quatre mois plus tard.

Avec cette approche, les premiers procès peuvent être attendus le premier jour de la directive. Comme ce fut le cas avec le RGPD et convient à Facebook et Google .


/ Catalogue de livres photo CC

Les grands géants de l'informatique s'opposent progressivement, mais pas très ouvertement, à cette loi . Ils financent notamment une organisation publique qui lutte contre elle.

Les experts estiment que la loi, adoptée à la hâte, sera modifiée et rédigée dans deux ans. Cependant, ils ne sont pas sûrs que les changements seront importants. Les points clés devraient rester intacts.

Ainsi, le SSRA est la première étape vers une compréhension complètement nouvelle de la sécurité de l'information en Amérique et la modification de la plupart des pratiques qui pendant de nombreuses années étaient considérées comme fondamentales et inchangées.

---

Postes liés à notre blog IaaS:

• Comment gérer la PD dans le cloud et ne pas enfreindre la loi
• Ce qu'il faut considérer PD du point de vue du régulateur russe
• PD dans le cloud: dont le client et le fournisseur de cloud sont responsables

Articles PPS Fresh dans notre blog sur Habré:

• Comment un fournisseur de cloud gère-t-il les licences logicielles et pourquoi la blockchain est-elle nécessaire ici
• Trois mois plus tard: comment le GDPR a affecté les cookies