5 façons de vous assurer que votre entreprise est conforme à la CCPA
Publié: 2022-08-24Maintenir la confidentialité des données des consommateurs est crucial pour les entreprises aujourd'hui !
Raison : les consommateurs sont de plus en plus conscients et préoccupés par les données qu'ils fournissent à une entreprise. Ils souhaitent savoir comment ces données sont utilisées et si une source tierce inconnue ne les utilise pas à mauvais escient.
Le mérite de cette vague de sensibilisation revient aux lois de conformité CCPA qui sont entrées en vigueur en 2020. Les propriétaires d'entreprise californiens ont commencé à aplanir leurs stratégies de conformité pour garantir la confiance de leurs clients et la réputation de leur entreprise. En particulier, cette action en justice contre Zoom pour avoir partagé les informations personnelles de ses utilisateurs avec Facebook a été un événement révélateur pour la plupart des entreprises.
Laissez-nous comprendre en quoi consiste cette loi et les mesures que vous pouvez prendre pour rendre votre entreprise conforme au CCPA.
Qu'est-ce que le CCPA ?
Le California Consumer Privacy Act (CCPA) est une loi qui oblige les entreprises opérant en Californie à fournir un avis et un choix aux clients concernant leurs données personnelles.
Cela signifie que les consommateurs peuvent désormais exiger l'accès à des informations telles que les données personnelles collectées par l'entreprise, la manière dont elles sont utilisées, qui y a accès et la durée d'accès. Elle oblige également les entreprises à obtenir le consentement avant de vendre ces données ou de les partager avec des tiers.
De plus, cela signifie qu'il n'y a pas de cookies de suivi, pas de ciblage publicitaire et pas de partage de vos données avec des tiers ou des affiliés sans autorisation explicite préalable !
Le CCPA a été adopté en 2012 après des années de lobbying pour une meilleure protection de la vie privée des consommateurs à travers le pays. Il est entré pleinement en vigueur en 2020, donnant aux résidents de Californie plus de contrôle sur leurs informations personnelles. Il offre aux consommateurs plus d'options lorsque des entreprises comme la vôtre collectent ces données auprès d'eux.
Voici quelques exemples de droits à la vie privée :
- Vous pouvez refuser que votre nom soit ajouté à toute base de données marketing
- Vous pouvez choisir de faire supprimer vos informations de leur base de données
- Vous avez le droit à la non-discrimination pour exercer vos droits CCPA
Comment savoir si le CCPA s'applique à votre entreprise ?
Vous devez savoir que chaque entreprise à but lucratif de l'État de Californie doit se conformer au CCPA si :
- L'entreprise opère en Californie ou vend aux résidents de Californie.
- L'entreprise a un revenu brut annuel de 25 millions de dollars
- L'entreprise a accès ou achète et vend des informations sur 50 000 Californiens ou plus
- Au moins 50 % des revenus annuels d'une entreprise proviennent de l'achat ou de la vente des informations personnelles des Californiens
Sanctions en cas de non-respect
Si une entreprise n'est pas conforme au CCPA, les régulateurs de la loi lui enverront une notification et un délai de 30 jours pour se conformer aux lois. Cependant, s'ils ne se conforment toujours pas, ils se verront infliger une amende pouvant aller jusqu'à 7 500 $ par enregistrement.
Comment rendre une entreprise conforme au CCPA ?
1. Prendre conscience
Sachez si le CCPA s'applique à votre entreprise, la première étape consiste à vous renseigner sur les lois qui relèvent du CCPA. Mais, si vous ne savez toujours pas si le CCPA s'applique à vous, vous devez quand même vous y conformer. Il vaut mieux prévenir que guérir!
En fait, discutez-en avec la haute direction et le conseil d'administration de votre organisation et présentez-leur l'importance de la conformité au CCPA et les implications de ne pas s'y conformer.
Si possible, embauchez un personnel dédié qui ne s'occupe que des opérations liées à la conformité CCPA tout en surveillant et en mesurant en permanence les risques de sécurité des données dans votre organisation.
2. Faites une analyse des lacunes au sein de l'organisation
Pour commencer avec les rituels de conformité, vérifiez d'abord clairement les données client que vous avez déjà, où vous les avez stockées et qui peuvent y accéder.
Voici les étapes que vous pouvez suivre pour effectuer une analyse des lacunes de manière efficace.
- Parcourez les états financiers de votre entreprise ou dans un rapport annuel déposé
- Identifiez le groupe de consommateurs auprès duquel vous collectez des données : clients, prospects, candidats à un emploi, abonnés à la newsletter, employés, etc.
- Comprendre les pratiques actuelles de confidentialité des données que vous suivez, le cas échéant
- Dans quels domaines votre organisation maintient-elle actuellement la conformité ?
- Quels domaines ne sont pas encore couverts et pourquoi
- Déterminez si vous utilisez une plate-forme de données client. Si oui, les données sont-elles sécurisées ?
Sur la base de cette analyse, élaborez un plan sur la façon dont vous allez vous conformer à la CCPA, avec des instructions détaillées.
Pendant ce temps, cherchez d'autres détails avec vos employés et vos fournisseurs.
Vérifiez auprès de vos employés s'ils ont une copie des données client avec eux et assurez-vous de les faire supprimer. Comprenez également où les reçus et les documents sont stockés et ce qu'il advient des anciens enregistrements.
Si vous partagez des données client avec des fournisseurs tiers, sachez ce qu'ils font de ces informations ; sont-elles partagées avec quelqu'un d'autre ? Si oui, qui y a accès ?
3. Mettre à jour les politiques
Après avoir cartographié les données personnelles dans l'ensemble de votre entreprise, passez en revue les politiques, méthodes ou procédures actuelles de protection des données. Une fois que vous connaissez vos politiques de confidentialité des données existantes, il est temps de les mettre à jour ou d'en créer de nouvelles si vous n'aviez pas de politiques de confidentialité en premier lieu.
Principalement, vous devez vérifier si vos politiques de confidentialité des données sont conformes au CCPA, y compris les avis d'opt-out et d'opt-in.
En dehors de cela, planifiez la manière de répondre aux demandes de suppression ou d'accès aux informations des clients. Une fois que vous l'avez compris, faites-le circuler parmi vos employés pour vous assurer qu'ils suivent les nouvelles directives. Comme bonne pratique, gardez toutes les informations sur les procédures et les politiques stockées en un seul endroit pour que tous vos employés puissent s'y référer.
Plus important encore, publiez une page de politique de confidentialité sur votre site Web qui comprend toutes les règles et politiques que votre organisation suit conformément au CCPA.
Assurez-vous de détailler les politiques suivantes.
- Le type d'informations que vous collectez auprès de vos visiteurs et clients
- Quel mode utilisez-vous pour collecter leurs informations - e-mail, numéro de téléphone, chat, etc.
- Le type d'informations dont vous n'avez pas besoin, peut-être leur date de naissance ou leur état civil
- Que faites-vous des informations que vous collectez auprès d'eux
- Avec qui d'autre partagez-vous les informations ? Toutes les sociétés tierces impliquées ?
- Quels types de droits vos consommateurs ou visiteurs ont-ils en vertu du CCPA ?
- Dans quel but vendez-vous leurs données à des tiers, le cas échéant
4. Formation à la conformité pour les employés
Ensuite, vous devez vous assurer que les membres du personnel impliqués dans les processus CCPA sont bien formés. Cela implique principalement les personnes chargées de répondre aux questions des clients sur leurs droits à la vie privée.
La source
Pour ceux qui ont accès aux informations privées que vous stockez sur les ordinateurs, les serveurs et le cloud, tenez-les informés des exigences du CCPA et des politiques de confidentialité mises en place par votre entreprise. Offrir des séances de formation à ceux qui en ont besoin et communiquer les ajustements nécessaires apportés au CCPA au fil du temps.
5. Rendez-le explicite à vos clients
Ceci est particulièrement valable pour les visiteurs de votre site Web ou les acheteurs en ligne. Pour assurer la confiance de vos clients, tenez-les informés des mesures de sécurité que vous suivez.
Envoyer des notifications de consentement aux cookies
Demandez le consentement du client avant de collecter des informations et faites-lui savoir que vous le ferez. Envoyez-leur une notification de cookie lorsqu'ils effectuent des transactions sur votre site.
La notification de cookie affiche généralement ce qui suit.
- Une notification pour vous informer que vous utilisez des cookies à telle ou telle fin. Montrez-leur la liste de tous les objectifs.
- Un bouton permettant au client de reconnaître qu'il est d'accord avec l'utilisation du cookie. Alternativement, vous pouvez autoriser vos visiteurs à refuser l'utilisation du cookie.
- Un lien qui les amène à votre page Politique de confidentialité pour plus d'informations.
Possibilité d'accéder/supprimer des informations personnelles
Mettez en place un lien ou un bouton clairement visible sur votre site Web qui permet aux utilisateurs de modifier leurs préférences. Vous pouvez également avoir ces options sous forme de liste de contrôle et les ajouter à un formulaire ou à une page de paiement. De cette façon, les utilisateurs peuvent sélectionner ou désélectionner leur préférence de partage d'informations et la contrôler entièrement.
Avez-vous encore besoin de vous conformer au CCPA si vous êtes déjà conforme au RGPD ?
Oui, même si vous êtes conforme au RGPD, cela ne vous rend pas conforme au CCPA par défaut. Ils peuvent ressembler à la même chose en surface, mais ils diffèrent tous les deux par leurs exigences et le public qu'ils affectent.
CCPA vs GDPR expliqué par Osano
Vous devez savoir que si le CCPA est un règlement "opt out", le GDPR est "opt in". Cela signifie qu'en vertu du RGPD, les utilisateurs doivent donner leur consentement pour vendre leurs informations à des tiers, tandis que le CCPA exige que les utilisateurs accèdent à leur consentement et le modifient.
De plus, le GDPR est davantage un ensemble de politiques de sécurité qui exhorte également les organisations à mettre en œuvre des mesures techniques pour mettre en œuvre la sécurité des données. D'un autre côté, le CCPA consiste à obtenir le consentement de vos clients. Pour en savoir plus sur les différences entre CCPA et GDPR, consultez le guide détaillé d'Osano !
La clé est de savoir quelles lois sur la confidentialité et la sécurité des données s'appliquent à votre entreprise. Ceci est purement basé sur l'endroit où il se trouve et sur les revenus qu'il génère. Supposons que votre entreprise exerce ses activités à l'intérieur ou à l'extérieur de l'UE et s'adresse aux résidents de l'UE. Vous devrez vous conformer au RGPD dans ce cas.
Résumer
Être conforme à la CCPA vous aide non seulement à éviter les pénalités et les poursuites judiciaires lourdes, mais renforce également la confiance de vos clients. De plus, cela vous permet de vous démarquer de vos concurrents et de faire évoluer votre entreprise vers de nouveaux sommets !