La loi californienne sur les droits à la vie privée (CPRA) : comment préparer votre entreprise

Publié: 2022-07-14

Êtes-vous un résident californien ? Si c'est le cas, vous devriez vous préoccuper de l'ACPL. Surtout si vous souhaitez y ouvrir une entreprise et collecter des informations sensibles auprès de vos consommateurs.

Comme le GDPR, le CPRA a été créé pour établir des normes pour les États-Unis et éviter les malentendus et l'utilisation abusive des données personnelles des consommateurs. De plus, même si le CPRA ne sera pas exécutoire avant le début de 2023, tout type de données collectées après le 1er janvier 2022 est soumis au CPRA.

Il y a beaucoup de choses à apprendre sur l'ACPL, et nous avons beaucoup plus à vous dire. Alors n'allez nulle part car, dans cet article, nous parlerons intensément du CPRA.

Comment préparer votre entreprise pour le CPRA

Conformité à l'ACRP

Les entreprises qui opèrent en Californie ou qui collectent des informations personnelles auprès de résidents californiens, que ce soit à des fins de marketing ou non, sont soumises à la CPRA si elles :

  • Gère un chiffre d'affaires supérieur à 25 millions de dollars par an
  • Gère plus de 50 % des revenus de la vente et du partage des informations personnelles des résidents de Californie
  • Achète, partage et vend les informations personnelles de plus de 100 000 foyers californiens

Un changement important qui a été apporté de la CCPA à la CPRA consiste à supprimer l'exigence d'utiliser les renseignements personnels uniquement à des fins de marketing. Alors maintenant, même si l'entreprise ne profite pas des informations personnelles des consommateurs, vous êtes toujours tenu de vous conformer à la loi.

La conformité à la CPRA est assez intéressante car si vous êtes une petite ou moyenne entreprise, vous n'aurez peut-être pas à vous conformer à la CPRA mais plutôt à la CCPA. Au départ, vous devez déterminer si votre entreprise doit se conformer à la CCPA ou à la CPRA. Beaucoup pensent qu'ils sont tous les deux identiques, mais la vérité est qu'ils ont des différences essentielles. Comparativement, le CPRA assouplit de nombreuses restrictions imposées par le CCPA, alors que certaines petites et moyennes entreprises ne relèvent pas de la conformité du CPRA. Cependant, en même temps, cela renforce également de nombreuses faiblesses du CCPA.

Remarque : Si vous souhaitez en savoir plus sur l'ACPL, vous pouvez en savoir plus sur le site Web d'Osano .

Quelles sont les différences entre le CCPA et le CPRA?

Le CPRA est considéré comme un amendement du CCPA en offrant une approche GDPR, en élargissant les droits individuels, et bien plus encore. Voici les deux principales différences entre les deux :

  • Se conformer au CCPA signifie que vous achetez, vendez ou recevez des actions à des fins de marketing commercial. Cela s'applique également si vous achetez, vendez ou recevez des actions à partir des informations personnelles d'environ 50 000 consommateurs et ménages. Cependant, le CPRA exige plus de 100 000 consommateurs et ménages.
  • Se conformer à la CCPA signifie que vous recevez au moins 50 % des revenus annuels de la vente des informations personnelles des consommateurs. Avec l'ACPL, il s'agit de vendre et de partager des renseignements personnels. Il est nécessaire d'avoir un certificat SSL lorsque vous partagez des informations personnelles avec le site Web. Il est donc important d' acheter des certificats SSL auprès de fournisseurs SSL réputés comme ClickSSL qui offrent le même niveau de cryptage des certificats SSL authentifiés.

Le CPRA a également inclus la création de la Californian Privacy Protection Agency (CaIPPA), une agence dédiée à la protection de la vie privée dirigée par cinq membres du conseil d'administration. Ces membres doivent être des experts en matière de confidentialité, de droits des consommateurs et de technologie. Sinon, ils ne peuvent pas se qualifier. De plus, ils ne peuvent servir plus de huit ans au sein de l'agence de protection de la vie privée.

Modifications

Conformément au CCPA, les individus ne peuvent demander l'accès à leurs données personnelles que pendant un an à compter de leur stockage et de leur collecte. Cependant, avec l'ACPL, vous avez le droit de le faire à tout moment.

De plus, lorsque le CCPA définit la « vente », cela ne signifie pas précisément le partage. D'autre part, le CPRA comprend "Vendre" et "Partager". De plus, l'ACPL clarifie le droit d'empêcher (de refuser) les entreprises de partager et de vendre leurs renseignements personnels à d'autres parties.

Enfin, n'oublions pas que le CCPA et le CPRA permettent aux entreprises d'être poursuivies. Les consommateurs peuvent le faire si une entreprise expose des informations sensibles sans autorisation et provoque des violations de données qui révèlent des mots de passe et des noms d'utilisateur.

Quoi de neuf avec l'ACPL et quel impact cela a-t-il sur votre entreprise ?

De nouvelles modifications ont été apportées tant au CPRA qu'au CCPA afin d'inclure de nouveaux droits que les entreprises sont tenues de respecter. Pourquoi donc? Selon SalesForce, environ 46 % des consommateurs estiment ne pas avoir suffisamment de contrôle sur leurs données privées. Malheureusement, seuls 10 % pensent avoir un contrôle suffisant sur leurs données personnelles.

Néanmoins, les entreprises qui enfreignent ces lois s'exposent à d'énormes amendes de plusieurs milliers de dollars et sont poursuivies pour violation intentionnelle de données privées.

Maintenant, clarifions quelques choses importantes ici. Premièrement, lorsque vous êtes une entreprise, en vertu de la CPRA, vous êtes tenu d'expliquer pourquoi vous recueillez des renseignements personnels et avec qui vous les partagez. Cependant, en vertu du CCPA, vous avez le droit de demander pourquoi vos données personnelles sont collectées. De plus, les personnes ont le droit d'informer les entreprises des informations inexactes ou si des modifications doivent être apportées.

En vertu de la CPRA, les consommateurs ont plus de droits. Cela inclut de savoir où leurs informations sont utilisées et comment corriger les informations inexactes qu'ils peuvent voir.

Voici quelques mesures que votre entreprise peut appliquer pour s'adapter à ces réglementations :

  • Définir la raison pour laquelle vous collectez les données
  • Appliquer des mesures de sécurité afin de protéger les renseignements personnels
  • Afficher une liste des entités avec lesquelles les données sont partagées et pourquoi votre entreprise les partage avec elles en collectant des informations personnelles
  • Fournissez toutes les sources d'informations que votre entreprise utilise et collecte
  • Continuez à mettre à jour vos informations de confidentialité et montrez que votre entreprise se conforme toujours aux dernières lois. N'oubliez pas de fournir des mises à jour par e-mail, site Web, téléphone et médias sociaux.
  • Mettez en œuvre des procédures qui garantissent que vous traitez et examinez les données pour en vérifier l'authenticité. De plus, ajoutez une fonction de "désactivation" afin que les utilisateurs puissent cesser de partager leurs informations personnelles s'ils le souhaitent.

Une nouvelle catégorie de données protégées

L'ACPL a introduit la notion de renseignements personnels sensibles (RPS). Cela oblige les entreprises qui collectent ce type d'informations à fournir une protection des données plus robuste. Le SPI comprend le type d'informations personnelles suivant :

  • Données de santé
  • Données génétiques
  • Données religieuses
  • Origine ethnique
  • Géolocalisation
  • Données concernant l'orientation sexuelle d'une personne
  • Cartes d'identité, permis de conduire, numéros de sécurité sociale, etc.
  • Origine ethnique et raciale

L'ACPL impose des restrictions sur une nouvelle catégorie de données. Il ajoute également de nouvelles exigences pour les entreprises qui collectent des SPI, y compris un objectif et une divulgation mis à jour, des exigences de retrait, etc.

Minimisation des données et limitations de stockage

Les entreprises sont tenues de minimiser ou de limiter la conservation, l'utilisation et le partage des informations personnelles dans la mesure du possible. Dans l'ensemble, l'ACPL empêche les entreprises de conserver des renseignements personnels plus longtemps que nécessaire. Par ailleurs, les entreprises doivent informer le CPRA de leurs durées de conservation pour chacune des données personnelles qu'elles collectent.

Alors, que devez-vous faire à ce sujet ? Tout d'abord, votre entreprise doit indiquer combien de temps elle conservera les données personnelles et si cela durera plus longtemps que nécessaire. Cela doit être noté dans les politiques de l'entreprise, y compris la suppression des données, et s'assurer que toutes les lois sont respectées.

Les représailles ne sont pas autorisées

Il est important de savoir que l'ACPL n'accepte pas la discrimination envers les consommateurs qui refusent de recevoir leurs renseignements. Cela inclut les éléments suivants :

  • Refuser les types de biens et de services au consommateur
  • Fournir un niveau ou une qualité différente de biens et de services au consommateur
  • Facturer des prix différents pour vos biens ou services, y compris des remises ou tout autre avantage
  • Aller à l'encontre d'un membre de l'équipe, d'un candidat qui a postulé dans votre entreprise ou même d'un entrepreneur indépendant pour avoir condamné les droits d'opt-out

Utilisez des outils respectueux de la vie privée pour votre marketing

Lorsque vous investissez de gros budgets dans le marketing et la publicité, vous devez vous assurer que vos investissements rapportent réellement. Pour ce faire, vous avez besoin d'une plate-forme d'analyse marketing qui collectera des données sur tous vos canaux marketing et vous fournira des rapports précieux pour prendre d'autres décisions basées sur les données.

RedTrack est votre solution respectueuse de la vie privée (conforme au GDPR, CCPA, CCPR, etc.), mais fournit toujours des résultats en analysant vos efforts de marketing et en vous montrant les chiffres réels de vos performances.

Envisagez d'utiliser une plateforme de gestion des consentements (CMP)

Les CMP sont un excellent moyen d'aider votre entreprise à gérer légalement tous les documents de l'entreprise et le consentement des utilisateurs avant que les données ne soient collectées, stockées ou même partagées. Ils veillent à ce que vous restiez conforme aux lois sur la confidentialité et vous informent même chaque fois que des modifications sont apportées. De plus, les CMP peuvent gérer les demandes que vous faites pour les informations sur les données et surveiller tous les fournisseurs tiers.

Voici quelques CMP que vous pouvez envisager d'utiliser pour vous tenir au courant des lois sur la confidentialité et gérer les demandes de données :

  • OneTrust
  • Quantcast
  • TrustArc
  • Cookiebot
  • Crownpeak

Envelopper

C'est tout pour cet article. Ce sont les nouvelles modifications qui ont été apportées à la CPRA. Cependant, ne pensez pas que ce seront les seuls jamais réalisés, le CPRA change continuellement !

L'objectif général du CPRA est de garantir que les consommateurs aient un contrôle suffisant sur leurs données et ne se sentent pas en sécurité face aux violations de données ou à la perte de contrôle de leurs données personnelles. Après tout, les données appartiennent aux consommateurs et ils peuvent décider comment leurs données sont utilisées.