SOLUTIONS D’IDENTITÉ D’UTILISATEUR
Image
motif hexagonal violet

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) est une loi de l’État signée en 2018 dans le but de renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de l’État. La loi, entrée en vigueur en janvier 2020, fournit aux consommateurs plus de contrôle sur les informations personnelles que les entreprises collectent à leur sujet et établit de nouveaux droits sur la protection de la vie privée des consommateurs, notamment :

  • Le droit de connaître les renseignements personnels qu’une entreprise recueille à leur sujet et comment ils sont utilisés et partagés
  • Le droit de faire supprimer leurs informations personnelles
  • Le droit de refuser la vente de leurs renseignements personnels
  • Le droit à la non-discrimination pour l’exercice de leurs droits CCPA

Les droits énumérés ci-dessus doivent être inclus dans la Politique de confidentialité de l’entreprise, qui doit être fournie aux consommateurs dans un format facile à lire, à comprendre et à imprimer.

Avis obligatoires aux consommateurs

L’ACCP exige que les entreprises fournissent les avis suivants aux consommateurs dans un format facile à lire et à comprendre :

  • Politique de confidentialité
  • Avis de collecte d’informations personnelles
  • Avis sur le droit de refuser la vente d’informations personnelles
  • Avis d’incitation financière

À qui la loi CCPA s’applique-t-elle ?

La loi CCPA s’applique à toute entreprise à but lucratif exerçant ses activités en Californie et répondant à l’un des critères suivants :

  • A des revenus annuels bruts supérieurs à 25 millions de dollars
  • Achète ou vend les informations personnelles d’au moins 50 000 résidents, foyers ou dispositifs californiens
  • Génère au moins 50 % de ses revenus annuels en vendant les informations personnelles de résidents californiens

Comment sont traitées les violations de la conformité à la CCPA ?

Les entreprises qui ne se conforment pas au CCPA sont soumises à des sanctions financières de 2 500 $ pour chaque violation accidentelle, de 7 500 $ pour chaque violation intentionnelle et de 750 $ de dommages civils par consommateur affecté.

Le chiffrement des données est-il requis pour la conformité avec la loi CCPA ?

Pour se conformer à la CCPA, les entreprises doivent crypter les informations personnelles des consommateurs, comme indiqué à l’article 1798.150 de la loi : « Tout consommateur dont les renseignements personnels non chiffrés et non expurgés, tels que définis au sous-paragraphe (A) du paragraphe (1) de la subdivision (d) de l’article 1798.81.5, font l’objet d’un accès non autorisé et d’une exfiltration, d’un vol ou d’une divulgation à la suite de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables adaptées à la nature des informations afin de protéger les renseignements personnels peut intenter une action civile dans l’un des buts suivants :

a. Pour recouvrer des dommages-intérêts d’un montant d’au moins cent dollars (100 $) et d’au plus sept cent cinquante dollars (750 $) par consommateur et par incident ou dommage réel, selon le plus élevé des deux.

b. Pour obtenir une injonction ou une mesure de redressement déclaratoire.

C. Pour obtenir toute autre réparation que le tribunal juge appropriée.

En termes plus simples, si des données de consommateurs non cryptées sont volées à une entreprise, les personnes concernées peuvent poursuivre cette entreprise à hauteur de 750 dollars maximum par consommateur ou des dommages réels, le montant le plus élevé étant retenu.

Comment les violations de données sont-elles gérées en vertu de la loi CCPA ?

Les consommateurs ne peuvent poursuivre une entreprise en justice en vertu de la loi CCPA que si certaines conditions sont remplies. Les informations personnelles volées doivent inclure le prénom (ou la première initiale) et le nom de famille du consommateur en combinaison avec :

  • Numéro de sécurité sociale
  • Numéro de permis de conduire, numéro d’identification fiscale, numéro de passeport, numéro d’identification militaire ou autre numéro d’identification unique délivré sur un document gouvernemental couramment utilisé pour déterminer l’identité d’une personne
  • Numéro de compte financier, numéro de carte de crédit ou numéro de carte de débit s’il est combiné avec un code de sécurité, un code d’accès ou un mot de passe requis qui permettrait à quelqu’un d’accéder au compte du consommateur
  • Informations médicales ou d’assurance maladie
  • Empreinte digitale, image de la rétine ou de l’iris, ou autres données biométriques uniques utilisées pour déterminer l’identité d’une personne (mais cela n’inclut pas les photographies, sauf si elles sont utilisées ou stockées à des fins de reconnaissance faciale)

Ces informations doivent notamment avoir été volées sous une forme non chiffrée et non expurgée.

Les clés de cryptage sont-elles couvertes par le CCPA ?

Le CCPA lui-même ne traite pas des clés de chiffrement. Toutefois, reportons-nous à l’article 1798.150 de la loi (voir « Le chiffrement des données est-il nécessaire pour se conformer à l’ACCP ? » ci-dessus) et à l’énoncé «…l’accès et l’exfiltration non autorisés, le vol ou la divulgation résultant de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables… » (soulignement ajouté pour mettre l’accent). En supposant que les documents aient été chiffrés, il serait prudent de s’attendre à ce qu’un audit postérieur à l’atteinte à la sécurité comprenne un examen de la façon dont les clés de chiffrement ont été conservées et de l’endroit où elles ont été conservées. Si les clés étaient stockées au même endroit que les documents volés ou conservées dans un autre système offrant un niveau de protection similaire, ces procédures et pratiques pourraient ne pas atteindre le niveau « raisonnable » aux yeux du vérificateur. Par conséquent, il est conseillé de protéger les clés de chiffrement séparément des données chiffrées.

En outre, la législation connexe va plus loin en abordant les conséquences auxquelles les entreprises sont confrontées à la suite d’une violation des informations des consommateurs lorsque les dossiers n’ont pas été cryptés ou lorsque les données cryptées et les clés de cryptage ont été volées. Plus précisément, dans le cadre d’un amendement au projet de loi 1130 de l’Assemblée, l’article 1798.82 du Code civil de Californie indique en partie :

« Une personne ou une entreprise qui conduit des activités en Californie, et qui possède ou concède sous licence des données informatisées comprenant des renseignements personnels, doit divulguer une violation de la sécurité du système après la découverte ou la notification de la violation de la sécurité des données à un résident de Californie (1) dont les renseignements personnels non chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée, ou (2) dont les renseignements personnels chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée et la clé de chiffrement ou les informations d’identification de sécurité ont été, ou sont raisonnablement considérées comme ayant été, acquises par une personne non autorisée, et la personne ou l’entreprise qui possède ou concède sous licence les informations chiffrées a des raisons valables de croire que la clé de chiffrement ou les informations d’identification de sécurité pourraient rendre ces renseignements personnels lisibles ou exploitables. La divulgation doit être faite dans les meilleurs délais et sans retard déraisonnable, conformément aux besoins légitimes des forces de l’ordre, comme prévu à la subdivision (c), ou toute mesure nécessaire doit être prise pour déterminer l’étendue de la violation et restaurer l’intégrité raisonnable des systèmes de données. »

Comment les entreprises peuvent-elles se conformer à le CCPA ?

Le règlement de la CCPA a une large portée et exige des entreprises qu’elles prennent plusieurs mesures pour informer les consommateurs de leurs droits ainsi que pour protéger leurs informations personnelles. Une solution CCPA complète intégrera des fonctionnalités telles que le cryptage des données, les notifications aux consommateurs en temps voulu et le service clientèle.

D’autres États adoptent-ils des exigences semblables à celles du CCPA ?

Si la Californie a été la première à promulguer une loi exhaustive sur la confidentialité des données, de nombreux autres États ont adopté ou sont en train d’adopter une législation visant à adopter des exigences similaires à celles de la CCPA. À la mi-2022, quatre autres États - le Colorado, le Connecticut, l’Utah et la Virginie - ont adopté des lois sur la confidentialité des données des consommateurs, qui entreront toutes en vigueur en 2023. Au moins une douzaine d’autres États ont une législation sur la confidentialité des données en cours d’élaboration et d’autres devraient suivre.