Assurer la conformité des données sensibles aux lois CCPA et CPRA

A partir du 1er janvier 2023, la loi CPRA étend les protections aux Informations Personnelles Sensibles. Qohash trouve des IPS sur n’importe quelle source de données, à n’importe quel endroit, et les surveille en continu, en quête de preuves de l’application de la politique en matière de données sensibles.

Aperçu des lois CPRA et CCPA

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi californienne sur les droits à la vie privée (CPRA) sont considérées comme les lois les plus complètes des États-Unis en matière de protection de la vie privée des consommateurs et constituent une référence pour les autres États.

La loi CCPA a été promulguée pour renforcer le droit à la vie privée des résidents de Californie en établissant des directives sur la manière dont les entreprises doivent traiter les informations privées des consommateurs. La loi CPRA, également connue sous le nom de CCPA 2.0, s’appuie sur les fondements de la loi CCPA et renforce la protection de la vie privée des consommateurs, ainsi que les obligations des entreprises et des organisations qui traitent des informations personnelles.

La loi CCPA est pleinement applicable depuis juillet 2020. Les entreprises ont jusqu’au 1er janvier 2023 pour se conformer à la loi CPRA.

Les modifications apportées par les lois CPRA et CCPA s’appliquent à toute entreprise à but lucratif qui collecte des informations personnelles sur des consommateurs basés en Californie et qui répond à l’un des critères ci-dessous :

  1. A eu un revenu annuel brut de 25 millions de dollars au 1er janvier 2022 ou au cours de l’année civile précédente.
  2. Achète, reçoit ou vend des informations personnelles concernant au moins 50 000 résidents, ménages ou appareils de la Californie.
  3. Tire 50 % ou plus de ses revenus de la vente de renseignements personnels de résidents de la Californie.

Remarque: les entreprises ne doivent pas nécessairement avoir des activités ou des employés en Californie pour être soumises à la loi CPRA.

La loi CCPA ne s’applique pas aux organisations à but non lucratif ni aux agences gouvernementales. D’autres exemptions incluent :

  • les agences de renseignements sur les consommateurs couvertes par le Fair Credit Reporting Act
  • les institutions financières couvertes par la loi Gramm-Leach-Bliley
  • les entités couvertes par la loi sur la protection des informations et de la vie privée en matière d’assurance.

Aux fins de la loi CCPA, un résident californien est défini comme une personne qui utilise sa résidence californienne à des fins d’impôt sur le revenu. La loi CCPA ne protège pas les consommateurs qui se trouvent temporairement dans l’État de Californie.

La loi CCPA définit les informations personnelles comme des informations qui identifient, concernent, décrivent ou sont raisonnablement susceptibles d’être associées à un consommateur ou un ménage particulier. Cela comprend : le nom, l’adresse, la date de naissance, les données biométriques, le numéro de sécurité sociale, le numéro de téléphone, l’adresse électronique et toute autre information pouvant être associée à un individu spécifique.

Les renseignements personnels sensibles sont un sous-ensemble de renseignements personnels nouvellement définis dans la loi CPRA. Les IPS sont des renseignements personnels qui révèlent:

  • les numéros d’assurance sociale, de permis de conduire, de carte d’identité nationale ou de passeport
  • le numéro d’identification du compte, du compte financier, de la carte de débit ou de la carte de crédit, en combinaison avec tout code de sécurité ou d’accès requis, tout mot de passe ou toute information d’identification permettant d’accéder à un compte
  • géolocalisation précise
  • origine raciale ou ethnique, croyances religieuses ou philosophiques, ou appartenance à un syndicat
  • le contenu du courrier, des e-mails et des messages texte d’un consommateur, à moins que l’entreprise ne soit le destinataire de la communication
  • les données génétiques

La loi CCPA offre deux exemptions :

  • Informations personnelles recueillies par une entreprise sur une personne qui était soit un candidat à un emploi, soit un employé passé ou actuel. L’exemption est limitée aux cas où l’entreprise a utilisé les informations fournies uniquement pour des actions liées à l’emploi.
  • L’exemption B2B s’applique aux renseignements personnels des employés ou des contacts commerciaux qu’une entreprise a recueillis pour aider à fournir ou à recevoir un produit ou un service à une autre entreprise ou de celle-ci.

Les lois CCPA et CPRA ne s’étendent pas aux données déjà protégées par d’autres lois, telles que:

  • Fournisseurs de services financiers déjà en conformité avec la loi GLBA.
  • Informations médicales protégées en vertu de la loi californienne sur la confidentialité des informations médicales.
  • Les informations personnelles recueillies dans le cadre d’un essai clinique ou d’une étude de recherche biomédicale et soumises à la politique fédérale de protection des sujets humains.
  • Informations couvertes par le Fair Credit Reporting Act.

La loi CCPA crée six droits spécifiques pour les consommateurs :

  1. Le droit de connaître ou de demander la divulgation des informations personnelles recueillies par l’entreprise sur le consommateur. Il s’agit notamment de savoir auprès de qui ils ont été recueillis, pourquoi ils ont été recueillis et, s’ils ont été vendus, à qui.
  2. Le droit de supprimer les renseignements personnels recueillis auprès du consommateur.
  3. Le droit de refuser la vente des informations personnelles.
  4. Le droit d’accepter la vente des informations personnelles des consommateurs âgés de moins de 16 ans.
  5. Le droit à un traitement non discriminatoire pour l’exercice de tout droit.
  6. Le droit d’engager une action privée en cas de violation des données.

La loi CPRA crée trois droits supplémentaires :

  1. Le droit de refuser la technologie de prise de décision automatisée.
  2. Le droit de corriger des informations personnelles inexactes.
  3. Le droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles.

La loi CPRA crée et transfère tous les pouvoirs d’élaboration de règles et d’application de la loi du procureur général de Californie à la nouvelle agence d’État, la California Privacy Protection Agency.

La loi CPRA renforce l’application de la loi, en supprimant la période obligatoire de 30 jours dont bénéficient actuellement les entreprises en vertu de la loi CCPA et en triplant les sanctions pour les violations impliquant des mineurs de moins de 16 ans. La loi élargit également les types de violations de données qui sont considérées comme entrant dans le champ d’application du droit d’action privé en cas de violation de données, pour inclure les violations d’un nom d’utilisateur ou d’une adresse électronique, en combinaison avec un mot de passe ou une question et une réponse de sécurité qui permettraient d’accéder à un compte en ligne.

Les sanctions comprennent:

  • Pénalités civiles – Dans le cadre d’actions intentées par le procureur général de Californie, les entreprises peuvent se voir infliger des pénalités allant jusqu’à 7 500 dollars par violation intentionnelle ou 2 500 dollars par violation non intentionnelle (mais elles ont la possibilité de remédier à toute violation présumée dans les 30 jours suivant la réception de la notification de la violation présumée).
  • Dommages et intérêts – Dans le cadre d’actions intentées par des consommateurs pour violation de la sécurité, ces derniers peuvent obtenir des dommages et intérêts légaux d’un montant minimum de 100 dollars et maximum de 750 dollars par consommateur et par incident, ou des dommages et intérêts réels, le montant le plus élevé étant retenu. Dans le cadre d’une action en dommages-intérêts, les consommateurs doivent d’abord informer les entreprises par écrit et leur donner la possibilité de remédier à la situation.
  • Réparation non pécuniaire – Dans les actions intentées par les consommateurs pour violation de la sécurité, les consommateurs peuvent demander une injonction ou une réparation déclaratoire, ainsi que toute autre réparation que le tribunal juge appropriée.
  • Les entreprises peuvent également faire l’objet d’une injonction dans les actions intentées par le procureur général.

Comment Qohash assure la conformité aux lois CCPA et CPRA

Fournissez aux auditeurs une preuve des mesures prises pour assurer la confidentialité des informations sur les clients recueillies et les protéger contre les menaces et les accès non autorisés.

Trouvez les données sensibles, partout

Solution Qohash

En vertu de la loi CPRA, les consommateurs ont le droit de savoir quelles informations ont été collectées après le 1er janvier 2022. Utilisez des plages de dates personnalisées pour découvrir les données réglementées par la loi CPRA collectées sur les systèmes d’entreprise, et ce 50 fois plus rapidement que les autres solutions, quelle que soit la source de données et l’endroit.

Les données sont détectées, classées, étiquetées, dotées d’un niveau de risque et triées, afin de fournir un inventaire complet des données sensibles et non structurées.

Une fois l’historique des IPS nettoyé, Qohash surveille les données restantes en permanence. Suivez les éléments de données sensibles, voyez les interactions des employés avec des éléments d’information spécifiques, et voyez les endroits où les données ont été déplacées. Prenez des mesures immédiates en cas d’accumulation, de suppression et d’exfiltration risquées.

suite

La loi CPRA introduit de  nouvelles exigences concernant les informations personnelles sensibles. Les entreprises doivent limiter l’utilisation des IPS et s’assurer de les protéger adéquatement.

Évaluez les risques d'atteinte à la vie privée

Solution Qohash

En tant qu’étape fondamentale de l’évaluation des risques, Qohash fournit un inventaire des IPS réglementés par la loi CPRA dans toutes les sources de données. Il fournit des listes de contrôle d’accès permettant d’évaluer si les personnes ayant un accès ont un besoin professionnel légitime.

Obtenez un aperçu de tous les points d’exposition critiques des données sensibles. Voyez combien d’IPS se trouvent sur les systèmes de l’entreprise et qui y a accès. Mettez en place des politiques, configurez des niveaux de risque adaptés à l’entreprise et recevez des notifications dès qu’une violation des politiques se produit.

suite

La loi CPRA exige que toute entreprise qui traite des données personnelles procède à des évaluations périodiques des risques pour la vie privée et à des audits indépendants de cybersécurité.

Exécutez les demandes de suppression

Solution Qohash

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies d’IPS dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites.

Supprimez des données directement dans la plateforme pour démontrer la conformité avec les demandes de suppression de données à n’importe quel endroit – y compris les terminaux.

suite

La loi CCPA/CPRA donne aux consommateurs le droit de savoir quels sont les IPS en leur possession, de corriger les informations inexactes et de supprimer les données personnelles sensibles sur demande.

Automatisez la conservation des données

Solution Qohash

La mise en oeuvre d’une politique de conservation des données nécessite un inventaire complet des données.

Cartographiez des pétaoctets de données, afin de décider ce qu’il faut supprimer et ce qu’il faut conserver – et pendant combien de temps.

Une fois les données cataloguées, créez des politiques de conservation personnalisées en étiquetant les informations à conserver, en mettant en place des flux de travail qui régissent la durée de stockage des données et en établissant des notifications pour savoir quand les données doivent être supprimées.

suite

La loi CCPA/CPRA exige que les entreprises mettent en place des politiques de conservation des données afin que celles-ci soient automatiquement supprimées lorsqu’elles ne sont plus pertinentes pour l’entreprise.

Demandez une démonstration

Découvrez comment vous pouvez tenir un inventaire des données réglementées par les lois CCPA et CPRA et fournir aux autorités réglementaires la preuve d’une surveillance des données en continu, du traitement des demandes de droit à l’oubli aux points d’extrémité et de l’application des politiques.

Contactez-nous

Inventaire des données sensibles
Satisfaire aux audits PII et PCI
Assurer la conformité GDPR et NYDFS
Améliorer la gouvernance des données
Obtenir la certification SOC2
Surveillance des menaces internes
Verrouillage des terminaux
Détectez les abus de politique en temps réel
Accélérez les investigations
Quantifiez votre niveau de risque pour votre conseil d’administration
Défier les limites
Témoignages de nos clients