La loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une loi de l’État de Californie promulguée en 2020 qui protège et fait respecter les droits des Californiens en matière de confidentialité des informations personnelles des consommateurs.
Dans le monde numérique, les données des consommateurs sont considérées comme le nouvel or, une substance d’une immense valeur potentielle pour les spécialistes du marketing. Cependant, malgré les souhaits des entreprises d’exploiter ces données, un mouvement croissant plaide pour que les consommateurs étudiés par ces données aient leur mot à dire sur la manière dont les informations qu’ils ont générées sont utilisées ou non.
En Californie, les objectifs de ce mouvement ont été transformés en loi grâce à l’adoption de la CCPA. Il s’agit d’un coup de force pour les droits des consommateurs et la cybersécurité, car elle donne à l’État de Californie un cadre des exigences capable d’appliquer les lois et les réglementations en matière de confidentialité des données et de fournir aux résidents californiens une voie vers un droit d’action privé, afin d’obtenir un recours juridique en cas de violation de données.
Abonnez-vous à la newsletter d’IBM
Les directives de la CCPA ont été conçues pour donner aux consommateurs californiens un ensemble de droits qui traitent expressément de la confidentialité des données personnelles et leur offrent des garanties de sécurité raisonnables. Ces droits incluent la capacité des Californiens à formuler des demandes concernant les données de leurs clients. Ces demandes peuvent porter notamment sur comment :
Empêcher la vente de leurs informations personnelles à des sociétés tierces (c’est-à-dire le droit d’empêcher la revente) en publiant la directive dite « Ne pas vendre mes informations personnelles ».
Demander des données sur toute information personnelle recueillie (le droit d’accès).
Demander que toutes les données collectées sur ce client soient supprimées (le droit à l’oubli).
Grâce à la California Privacy Protection Agency, les résidents de Californie bénéficient également de protections visant à garantir que les résidents sont dûment informés des modifications de données les concernant, ainsi que de règles anti-discriminatoires qui stipulent que les personnes ne peuvent être assujetties ou pénalisées d’une autre manière parce qu’elles choisissent d’exercer ces droits.
Bien que la plupart des consommateurs aient une idée générale de ce que signifient les « données personnelles », l’expression peut avoir une signification différence en fonction des personnes et faire référence à beaucoup plus de choses qu’on ne l’imaginait au départ.
Dans le contexte de la CCPA, les données personnelles sont définies comme « des informations qui identifient, se rapportent, décrivent, peuvent être raisonnablement associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur ou un ménage ».1
Les lignes directrices de la CCPA couvrent les exemples spécifiques suivants de données personnelles :
Nom
Adresse
Téléphone
Adresse e-mail
adresse IP ;
date de naissance ;
numéro de sécurité sociale ;
numéro de permis de conduire ;
numéro de passeport ;
informations sur le compte bancaire ;
numéros de carte de crédit/débit ;
données relatives à l’éducation et aux diplômes.
Les données personnelles deviennent encore plus précieuses pour les spécialistes du marketing lorsque chaque type d’information peut être combiné par le biais de l’analyse des données et utilisé pour créer des vues composites de consommateurs particuliers ou de groupes de consommateurs et faire des déductions plus larges sur les tendances du marketing des consommateurs, par exemple. Certaines des autres formes d’informations personnelles collectées régulièrement peuvent être tout aussi révélatrices, notamment :
les préférences d’achat des consommateurs ;
l’historique de navigation personnelle ;
les attitudes personnelles articulées ;
les comportements personnels spécifiés.
Les cookies et la manière dont ils sont utilisés comme identifiants uniques par les sites Web constituent un autre sujet de préoccupation. Cela inclut les cookies internes (qui sont conçus pour se supprimer une fois leur objectif commercial atteint) ainsi que les cookies tiers (qui ne se suppriment pas automatiquement et ont la possibilité de collecter divers types de données personnelles, y compris les informations personnelles sensibles).
En raison du risque d’utilisation abusive de cookies tiers par les sites Web, la CCPA considère que les données collectées sur un site Web à l’aide de cookies sont des informations personnelles et méritent donc d’être protégées.
La plupart des organisations concernées abordent la conformité à la CCPA non pas comme une seule étape, mais comme un processus. La première partie de ce processus implique souvent un changement de mentalité à l’égard du consommateur et la prise de conscience que ses besoins en matière de confidentialité sont importants et comportent des droits exécutoires.
Le maintien de la conformité à la CCPA implique de soutenir les différents consommateurs californiens en leur proposant des options sur la manière dont leur stock de données personnelles est géré (y compris des choix d’inscription). Cela implique également de suivre tout changement évolutif de la CCPA afin de suivre le rythme des nouvelles technologies (telles que la biométrie) et des révisions des politiques de la CCPA.
La mise en conformité complète à la CCPA implique un ensemble d’étapes qui peuvent nécessiter six mois, voire un an. Néanmoins, chacun joue un rôle essentiel dans l’établissement de la conformité à la CCPA. (Étant donné que certaines exigences de conformité peuvent être appliquées simultanément, les étapes sont indiquées par des puces et non par des chiffres.)
La première étape consiste à se faire une idée précise des données sur les consommateurs qui ont été collectées, ainsi qu’à répertorier leurs différents emplacements. Cela concernerait à la fois les données « extérieures » sur les consommateurs collectées auprès de consommateurs extérieurs à l’entreprise et les données sur les consommateurs collectées « en interne » auprès des employés de l’entreprise et des candidats à un emploi.
Il est essentiel de conserver en lieu sûr toutes les données personnelles collectées, qu’elles proviennent de consommateurs ou de candidats à un emploi. Il existe également des dispositions supplémentaires relatives à la protection des informations recueillies auprès des mineurs.
Une déclaration « avis de collecte » doit être envoyée à tous les consommateurs (ou même aux employés de l’entreprise et aux demandeurs d’emploi). Il est important de noter que cet avis de confidentialité doit être communiqué avant ou au moment où les activités de collecte de données commencent, et non après avoir commencé.
La plupart des organisations maintiennent désormais une politique de confidentialité des données détaillées pour leur entreprise et la publient sur leur site Web.
Il est également important de configurer un moyen efficace et rapide pour traiter toute demande liée aux informations des consommateurs.
Des règles de minimisation des données doivent être élaborées et mises en place pour garantir que l’organisation ne collecte que le minimum d’informations personnelles nécessaires pour atteindre un objectif donné. Les organisations doivent également prendre en compte les dangers potentiels pour les consommateurs en cas de violation des données collectées et mettre en œuvre des mesures préventives appropriées (par exemple, la suppression automatique des données collectées après leur utilisation).
L’un des aspects clés de la mise en conformité est de s’assurer que les dirigeants de l’entreprise et tous les employés sont conscients des exigences de la CCPA, en particulier des exigences qui ont un impact direct sur leur champ de travail. Les mises à jour peuvent être effectuées par le biais de sessions de formation et de webinaires.
Les lois et réglementations sont souvent sujettes à modification et amendement. (La CCPA elle-même a fait l’objet de nombreuses révisions avant son lancement en 2023.) C’est donc une bonne idée de rester au courant des évolutions de la CCPA.
Le courtage de données, c’est-à-dire l’achat et la vente d’informations personnelles, est une activité en plein essor, que les experts ont évaluée à 240 milliards de dollars à l’échelle mondiale en 2021. Ce montant devrait presque doubler et atteindre plus de 450 milliards de dollars par an d’ici la fin de la décennie.2
Tout ce qui a autant de valeur que les données doit être vigoureusement protégé. En conséquence, la California Privacy Protection Agency (CPPA) est habilitée à sanctionner les entreprises qui enfreignent les dispositions de la CCPA. Bien que les sanctions prévues par la loi CCPA soient plafonnées à un niveau relativement bas (2 500 dollars pour un contact non intentionnel ou 7 500 dollars pour une violation intentionnelle), il convient de noter que ces sanctions ne s’appliquent qu’à une seule infraction, telle qu’une violation de données impliquant une seule personne.
Mais la réalité est que les violations de données impliquent rarement une seule partie touchée. Il s’agit plutôt d’événements de masse impliquant des milliers, voire des centaines de milliers de consommateurs. Par conséquent, si l’on multiplie les amendes possibles en vertu de la CCPA par un grand nombre de résidents californiens, le montant des pénalités risque d’être gigantesque.
La CCPA offre aux entreprises contrevenantes un moyen de ne pas payer ces lourdes amendes, en accordant aux auteurs de l’infraction un délai de grâce de 30 jours pour corriger l’erreur qu’ils ont commise. Si un contrevenant peut améliorer ses mesures de sécurité et « corriger » le problème dans un délai d’un mois, il peut être exempté des frais de pénalité. Évidemment, les entreprises sont tenues financièrement de remédier à de telles infractions, mais cela peut s’avérer difficile, voire impossible dans certaines situations, étant donné que des infractions telles que la violation de données impliquent souvent des divulgations de données irréversibles.
Le champ d’application de la CCPA continue de s’étendre et d’évoluer afin de suivre le rythme de la croissance explosive de la technologie, comme l’Internet des objets (IdO).
Par exemple, la CPPA a récemment annoncé un nouveau centre d’attention : les véhicules « connectés » équipés de mécanismes de collecte de données. Les véhicules modernes ont les moyens de collecter une quantité complète d’informations sur le pilote ainsi que des données de géolocalisation et de transmettre ces données. Étant donné qu’il y a plus de 35 millions de véhicules immatriculés en Californie, cela représente une énorme initiative. Mais selon le directeur général de la CPPA, il s’agit d’un besoin qui mérite notre attention.
« Les véhicules modernes sont des ordinateurs sur roues connectés de manière efficace », a déclaré Ashkan Soltani en juillet 2023. « Ils sont capables de collecter une multitude d’informations grâce à des applications, des capteurs et des caméras intégrés, qui peuvent surveiller les personnes à la fois à l’intérieur et à proximité du véhicule. »3
L’expression « à proximité du véhicule » est importante, car elle implique que non seulement les données du pilote sont protégées, mais aussi celles de toute personne qui se trouve à bord du véhicule et même celles des personnes qui marchent à proximité du véhicule et dont les images momentanées sont capturées par les caméras embarquées.
Cette annonce semble également importante car, dans ce cas, l’autorité de la CCPA est utilisée pour protéger les données personnelles générées via l’IdO, en l’occurrence, par les véhicules connectés. L’annonce peut s’avérer encore plus significative si elle indique l’intention d’une agence de se conformer à un nombre croissant de cas impliquant des questions liées à l’IdO dans les années à venir.
Lorsque l’Union européenne (UE) a promulgué le Règlement général sur la protection des données (RGPD) en mai 2018, elle a lancé le cadre d’exigences le plus proactif possible en matière de protection des informations personnelles et/ou des consommateurs. La CCPA est connue comme la politique de confidentialité des données la plus stricte en vigueur aux États-Unis. Par conséquent, certains observateurs veulent savoir ce qui distingue ces deux normes.
À bien des égards, les deux normes sont faites du même bois. Le RGPD et la CCPA :
sont guidés par un instinct de protection et d’autonomisation du citoyen individuel ;
donnent au consommateur le droit de s’opposer aux données collectées et de les faire corriger si elles sont erronées ;
donnent au consommateur le droit d’accéder à ses informations personnelles, de les déplacer ou (s’il choisit de le faire) de les effacer définitivement ;
exigent que les consommateurs soient personnellement informés en cas de violation de la sécurité des données qu’ils ont collectées.
Il existe également des différences. Le GDPR contient des exigences en matière de transferts transfrontaliers qui ne sont pas nécessaires dans l’État unique de Californie. De même, la CCPA applique des restrictions sur la vente des informations personnelles, ce que ne fait pas le RGPD.
Cependant, il existe plus de similitudes que les différences entre le RGPD et la CCPA. Les deux normes doivent s’attaquer à l’épineuse question des risques liés aux tiers, dans lesquels une entreprise sous-traite essentiellement sa gestion des données personnelles à une entreprise externe. Dans ce cas, cette société tierce doit être prête et légalement capable d’assumer les mêmes responsabilités en matière d’informations personnelles, en vertu de la CCPA, que l’entreprise d’origine a assumées après avoir initialement collecté ou acheté les données en question. La CCPA et le RGPD exigent tous deux des entreprises qu’elles partagent les catégories de tiers avec lesquels elles partagent des informations, les informations avec lesquelles elles partagent et pourquoi.
Le RGPD et la CCPA partagent également une autre caractéristique majeure : la capacité de pénaliser financièrement les prestataires de services et autres entreprises qui commettent des infractions de non-conformité. Cela a été démontré récemment de manière dramatique avec la plus grande amende de pénalité pour confidentialité des données jamais enregistrée.
En mai 2023, la Commission irlandaise de protection des données (DPC) a infligé une amende record de 1,2 milliard d’euros (environ 1,3 milliard de dollars américains) à Meta (la société anciennement connue sous le nom de Facebook) pour utilisation illégale de données européennes au sein de ses activités américaines, dont Instagram.
Automatisez les audits et les rapports de conformité, découvrez et classifiez les données et les sources de données, surveillez l’activité des utilisateurs et répondez aux menaces en temps quasi réel. Guardium Insights prend en charge une approche moderne et Zero Trust de la sécurité des données, en aidant à détecter les activités inhabituelles concernant les données sensibles et en réduisant le risque d’exposition.
Bénéficiez d’une visibilité plus précise et d’informations précises pour vous aider à enquêter sur les cybermenaces et à y remédier. Appliquez des politiques de sécurité et des contrôles d’accès en temps quasi réel pour répondre rapidement aux besoins de conformité réglementaire.
Offrez des expériences utilisateur fiables et développez votre activité grâce à une approche holistique et adaptative de la confidentialité des données basée sur les principes Zero Trust et une protection éprouvée de la confidentialité des données. Les solutions IBM de confidentialité des données vous permettent de renforcer la confidentialité des données, gagner la confiance de vos clients et développer votre activité.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
Les informations personnelles sont des données personnelles qui peuvent être utilisées pour découvrir l’identité d’une personne spécifique, telles que les numéros de sécurité sociale, les noms complets et les numéros de téléphone.
La sécurité des informations protège les fichiers et données numériques importants d’une organisation, les documents papier, les supports physiques, etc. contre l’accès, la divulgation, l’utilisation ou la modification non autorisés.
Notes de bas de page
1 « 4 Types of Personal Data Under the California Consumer Privacy Act (CCPA) », Eric Andrews, site Web de securiti (lien externe à ibm.com)
2 « Data Brokers Market Outlook 2031 », Data Brokers Market, site Web Transparency Market Research (lien externe à ibm.com)
3 « CPPA to Review Privacy Practices of Connected Vehicles and Related Technology », publié le 23 juillet 2023 sur le site Web de la California Privacy Protection Agency (lien externe à ibm.com)