Comparaison de la conformité à la CCPA et au RGPD

La RGPD est une loi de l’Union européenne (UE) qui est entrée en vigueur en avril 2016. Le règlement est conçu pour améliorer la protection des données personnelles et accroître la responsabilité des organisations en cas de violation des données afin de protéger les résidents de l’Union européenne. Le RGPD prévoit des amendes pouvant atteindre 4 % du chiffre d’affaires mondial ou 20 millions d’euros (le montant le plus élevé étant retenu), et quel que soit l’endroit où se trouve votre organisation, si elle traite ou contrôle les données personnelles de résidents de l’UE, elle est soumise au règlement.

Exigences notables du RGPD en matière de sécurité des données
Certaines des principales dispositions du RGPD obligent les organisations à :

• Traiter les données à caractère personnel de manière à garantir leur sécurité, « y compris la protection contre le traitement non autorisé ou illicite ». (Article 5)
• Mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données en fonction du niveau de risque, y compris « la pseudonymisation et le chiffrement des données à caractère personnel ». (Article 32)
• Communiquer « dans les meilleurs délais » les violations de données à caractère personnel aux personnes concernées « lorsque la violation est susceptible d’entraîner un risque élevé d’atteinte aux droits et libertés » de ces personnes physiques. (Article 34)
• Protection contre la « divulgation ou l’accès non autorisé à des données à caractère personnel. » (Article 32)

En savoir plus sur la RGPD :

• Qu’est-ce que le RGPD ? - Page web Entrust avec liste complète des chapitres et articles de RGPD
• RGPD.EU - Site officiel de l’Union européenne avec un guide complet sur la conformité
• Présentation de RGPD - Page web Entrust avec une présentation générale de la réglementation RGPD

L’article 6 (Licéité du traitement) identifie le « chiffrement ou la pseudonymisation » comme des « garanties appropriées » pour protéger les données personnelles des sujets.

L’article 32 (Sécurité du traitement) stipule que « le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris, entre autres, le cas échéant » :

(a) la pseudonymisation et le chiffrement des données à caractère personnel… »

L’article 34 (Communication d’une violation de données à caractère personnel à la personne concernée) permet aux organisations subissant une violation de données d’éviter l’obligation de communication si elles ont utilisé le chiffrement pour « rendre les données à caractère personnel inintelligibles à toute personne non autorisée à y accéder. »

La California Consumer Privacy Act (CCPA) est entrée en vigueur au début de 2020. Elle a été conçue pour donner aux résidents californiens plus de contrôle sur les données personnelles collectées et la façon dont elles sont utilisées.

Les entreprises qui enfreignent la CCPA s’exposent à une amende de 7 500 dollars pour chaque violation intentionnelle. Les violations non intentionnelles sont moins lourdes, mais restent coûteuses, à 2 500 dollars chacune. Cependant, les litiges civils peuvent avoir un impact négatif sur les organisations non conformes. Pour chaque consommateur affecté par la non-conformité à la CCPA, les organisations risquent jusqu’à 750 dollars de dommages civils par consommateur.

En savoir plus sur la CCPA :

• Code civil de la CCPA - Code officiel sur le site d’information sur la législation de l’État de Californie
• Présentation de la CCPA - Page Web d’Entrust avec une présentation générale de la CCPA

La section 1798.150 de la CCPA stipule : « Tout consommateur dont les informations personnelles non chiffrées et non expurgées, telles que définies au sous-paragraphe (A) du paragraphe (1) de la subdivision (d) de la section 1798.81.5, font l’objet d’un accès et d’une exfiltration non autorisés, d’un vol ou d’une divulgation en raison de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables et adaptées à la nature des informations afin de protéger les informations personnelles peut engager une action civile… »

En outre, la protection des clés de chiffrement est abordée dans la législation liée à la CCPA. Notamment, Le projet de loi 1130 de l’Assemblée, qui a été introduit pour mettre à jour la loi californienne sur la notification des violations, exige de notifier les personnes dont les données ont été violées, sauf si ces données sont chiffrées et que les clés de chiffrement n’ont pas été obtenues avec les données.

En quoi le RGPD et la CCPA sont-ils similaires ?
Le RGPD et la CCPA visent toutes deux à protéger la vie privée et les droits relatifs aux données des personnes vivant dans leurs zones géographiques respectives. Toutes deux étendent leur champ d’application aux organisations qui font des affaires avec leurs résidents, que ces organisations résident ou non dans leurs zones géographiques.

La CCPA et le RGPD accordent aux individus certains droits concernant leurs données personnelles et exigent la transparence de la part des organisations qui détiennent et traitent ces données.

La CCPA et le RGPD :

• Exiger des entreprises qu’elles divulguent les informations personnelles qu’elles ont compilées sur ces personnes.
• Obliger les organisations à divulguer ce qu’elles font avec les données personnelles.
• Obliger les organisations détenant des données personnelles à supprimer ces données à la demande de la personne concernée par ces données.
• Exiger des organisations qu’elles mettent en place des mesures de cybersécurité pour protéger les données personnelles des personnes.
• Appliquer des amendes en cas de non-conformité.

En quoi le RGPD et la CCPA sont-ils différents ?

• Le RGPD exige que les entreprises disposent d’une base légale avant de traiter les données des résidents. Ce n’est pas le cas de la CCPA.
• Le RGPD s’applique à toutes les entreprises qui répondent à l’exigence de base légale mentionnée ci-dessus. La CCPA ne s’applique qu’aux entreprises dont le revenu annuel brut est supérieur à 25 millions de dollars.
• En vertu de la CCPA, un individu peut empêcher les entreprises de vendre ses données privées, et les organisations ne peuvent pas faire de discrimination à l’encontre de ces individus.
• Le RGPD impose des conditions supplémentaires aux entreprises qui traitent des informations liées à la santé, car le RGPD est plus spécifique en incluant des termes, tels que « données génétiques » et « données biométriques. » La CCPA utilise un terme générique général.
• En général, les amendes prévues par la réglementation RGPD semblent devoir être plus élevées que celles prévues par la CCPA. Cependant, la CCPA ouvre la porte aux litiges civils, qui pourraient s’avérer tout aussi coûteux pour une organisation fautive.