Assurer la conformité des données à CPA

Sep 26, 2023

Assurer la conformité des données à CPA

Aperçu de CPA

La loi sur la protection de la vie privée du Colorado

Le Colorado Privacy Act est une loi sur la confidentialité des données au niveau de l’État qui a été promulguée en avril 2021. Elle est similaire à la loi CCPA (California Consumer Privacy Act) et au RGPD (General Data Protection Regulation) de l’Union européenne, et elle accorde certains droits aux consommateurs concernant la collecte, l’utilisation et le partage de leurs données personnelles. La loi sur la protection de la vie privée du Colorado est entrée en vigueur le 1er janvier 2023.

Entreprises impactées

La loi sur la protection de la vie privée du Colorado s’applique aux entreprises qui exercent leurs activités dans cet État et qui répondent à un ou plusieurs des critères suivants :

Réalisent un chiffre d’affaires annuel brut supérieur à 25 millions de dollars.
Collectent, utilisent ou partagent les données personnelles d’au moins 50 000 consommateurs, ménages ou appareils du Colorado.
Tirent 50 % ou plus de leurs revenus annuels de la vente de données personnelles.

Si une entreprise répond à l’un de ces critères, elle doit se conformer aux exigences de la loi sur la protection de la vie privée du Colorado, notamment en accordant aux consommateurs certains droits concernant la collecte, l’utilisation et le partage de leurs données personnelles.

La loi sur la protection de la vie privée du Colorado s’applique à un large éventail d’entreprises, dont les détaillants en ligne et en magasin, les sociétés de médias sociaux, les institutions financières, les prestataires de soins de santé, etc. En fait, toute entreprise qui collecte, utilise ou partage des données personnelles de consommateurs du Colorado peut être concernée par la loi sur la protection de la vie privée du Colorado.

Types de données couvertes

En vertu de la loi sur la protection de la vie privée du Colorado, les « données personnelles » sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, ou pouvant être raisonnablement reliée, directement ou indirectement, à une telle personne. Cela inclut les informations généralement considérées comme personnelles, telles que le nom, l’adresse, le numéro de téléphone et l’adresse électronique, ainsi que des types de données moins évidents, comme les adresses IP, les données de géolocalisation et les données biométriques.

CPA comprend également une définition large de la « vente », qui inclut l’échange de données personnelles contre une contrepartie de valeur, comme de l’argent ou d’autres biens ou services de valeur. Cela signifie que les entreprises doivent se conformer à la loi non seulement lorsqu’elles vendent purement et simplement des données personnelles, mais aussi lorsqu’elles les échangent contre quelque chose de valeur.

CPA s’applique à la collecte, à l’utilisation et au partage des données personnelles, quel que soit le type de données concerné. Toutefois, certains types de données personnelles sont considérés comme sensibles et bénéficient d’une protection supplémentaire en vertu de la loi. Il s’agit notamment des données relatives à la race ou à l’origine ethnique, à l’orientation sexuelle, à la santé ou aux conditions médicales, et aux données génétiques. Les entreprises doivent obtenir le consentement explicite des consommateurs avant de collecter, d’utiliser ou de partager des données personnelles sensibles.

Exigences de conformité

Le Colorado Privacy Act exige des entreprises qu’elles prennent certaines mesures pour assurer le respect de la loi. Ces exigences comprennent :

Fournir un avis clair et bien visible aux consommateurs avant ou au moment de la collecte des données, expliquant quelles données personnelles sont collectées et comment elles seront utilisées.
Permettre aux consommateurs de refuser la vente de leurs données personnelles à des tiers.
Permettre aux consommateurs de demander que leurs données personnelles soient supprimées.
Mettre en œuvre des mesures de sécurité raisonnables pour protéger les données personnelles contre tout accès, utilisation ou divulgation non autorisés.
S’abstenir de toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu du CPA.

Il est important que les entreprises examinent attentivement la loi sur la protection de la vie privée du Colorado et prennent des mesures pour assurer leur conformité à la loi. Il peut s’agir de mettre à jour les politiques de confidentialité, de mettre en œuvre de nouvelles pratiques de collecte et de stockage des données et de former les employés aux exigences de la loi.

Mise en oeuvre et sanctions

En vertu du Colorado Privacy Act, les entreprises et les particuliers qui violent la loi peuvent faire l’objet de mesures d’exécution et de sanctions.

Le procureur général du Colorado a le pouvoir de faire respecter la loi et peut intenter une action en justice contre les entreprises qui violent la loi. Il peut s’agir d’amendes et d’autres sanctions, en fonction de la nature et de la gravité de la violation.

Outre les mesures d’application prises par le procureur général, la loi sur la protection de la vie privée du Colorado permet également aux particuliers d’intenter une action en justice privée contre les entreprises qui violent la loi. Cela signifie que les consommateurs peuvent être en mesure de poursuivre les entreprises qui ne respectent pas la loi et peuvent avoir droit à des dommages et intérêts et à d’autres réparations.

Les entreprises et les particuliers peuvent également être soumis à d’autres sanctions et conséquences en cas de violation de la loi sur la protection de la vie privée du Colorado, telles que l’atteinte à la réputation et la perte de confiance des clients. Il est important que les entreprises prennent des mesures pour se conformer à la loi afin d’éviter ce type de conséquences.

Surveillez le risque lié aux données sensibles en tout temps et recevez des alertes dès qu’une accumulation, une suppression ou une exfiltration à risque se produit. Si un incident se produit, utilisez la recherche par mot-clé pour trouver un élément de données spécifique et suivez le cheminement complet des données, y compris l’endroit exact où les données ont été extraites d’un environnement, où elles ont abouti et tous les points de contact intermédiaires.

Qohash fournit un inventaire complet des données sensibles et non structurées au repos. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, à tout endroit. Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques.

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données sensibles dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites. Supprimez des données directement dans la plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu, y compris les postes de travail.

Qohash fournit aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, permettant ainsi l’application des politiques au moment même. Qohash examine les fichiers pour suivre les éléments de données. Il surveille ces éléments et les associe aux employés et aux emplacements. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail, pour une remédiation plus rapide.

Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par diverses lois. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.