Assurer la conformité des données à UCPA

Sep 20, 2023

Assurer la conformité des données à UCPA

Aperçu de UCPA

La loi sur la protection de la vie privée des consommateurs de l’Utah

La loi sur la protection de la vie privée des consommateurs de l’Utah (UCPA) est une loi sur la protection de la vie privée de l’État américain de l’Utah qui est entrée en vigueur le 1er mai 2021. La UCPA confère de nouveaux droits aux résidents de l’Utah en ce qui concerne la collecte, l’utilisation et la divulgation de leurs informations personnelles par les entreprises. La UCPA vise à donner aux résidents de l’Utah davantage de contrôle sur leurs informations personnelles et à accroître la transparence et la responsabilité des entreprises qui traitent ces informations.

Entreprises impactées

La UCPA s’applique aux entreprises qui exercent leurs activités en Utah ou qui collectent, utilisent ou divulguent les informations personnelles des résidents de l’Utah, quel que soit le lieu d’implantation de l’entreprise. Cela signifie que la UCPA peut s’appliquer à toute entreprise qui a des clients ou des utilisateurs en Utah et qui traite leurs informations personnelles.

La UCPA s’applique aux entreprises de toutes tailles et de tous types, qu’elles soient à but lucratif ou non. Elle ne s’applique pas aux agences fédérales ni aux entreprises soumises à la loi fédérale sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).

Types de données couvertes

La UCPA s’applique aux informations personnelles qui sont collectées, utilisées ou divulguées par les entreprises. Les informations personnelles sont définies au sens large par la UCPA comme toute information liée ou pouvant raisonnablement être liée à un consommateur individuel. Cela inclut un large éventail de types de données, notamment les suivantes:

les identifiants tels que les noms, adresses, numéros de téléphone, adresses électroniques et numéros de sécurité sociale.
Informations financières telles que les numéros de carte de crédit, les numéros de compte bancaire et les historiques de paiement.
les caractéristiques des classifications protégées par la législation fédérale ou étatique, telles que la race, la religion ou l’orientation sexuelle
Informations relatives à l’activité sur Internet ou sur d’autres réseaux électroniques, y compris l’historique de navigation et l’historique de recherche
les données de géolocalisation
les informations audio, électroniques ou visuelles, y compris les photographies et les vidéos.

Exigences de conformité

En vertu de la UCPA, les entreprises qui collectent, utilisent ou divulguent les informations personnelles des résidents de l’Utah sont tenues de se conformer à certaines dispositions afin de protéger la vie privée des consommateurs. Ces exigences de conformité sont notamment les suivantes :

Avis : Les entreprises doivent informer les consommateurs de manière claire et concise de leurs pratiques en matière de collecte de données, notamment des catégories d’informations personnelles collectées, des fins auxquelles ces informations sont utilisées et des catégories de tiers avec lesquels ces informations peuvent être partagées.
Consentement affirmatif : Les entreprises doivent obtenir le consentement explicite des consommateurs avant de collecter, d’utiliser ou de divulguer des informations personnelles sensibles. Les informations personnelles sensibles comprennent les informations financières, les informations sur la santé et les informations sur les enfants de moins de 13 ans.
Accès et correction : Les consommateurs ont le droit d’accéder à leurs informations personnelles et de demander qu’elles soient corrigées ou supprimées. Les entreprises doivent fournir un moyen pour les consommateurs d’exercer ce droit.
Option de refus de vente : Les consommateurs ont le droit de refuser la vente de leurs informations personnelles. Les entreprises doivent fournir aux consommateurs un moyen d’exercer ce droit.
Sécurité : Les entreprises doivent mettre en œuvre des mesures de sécurité raisonnables pour protéger les informations personnelles contre tout accès, utilisation ou divulgation non autorisés.
Réduction des données : Les entreprises doivent limiter la collecte et l’utilisation des informations personnelles à ce qui est raisonnablement nécessaire pour atteindre un objectif commercial légitime.

Dans l’ensemble, la UCPA est conçue pour donner aux résidents de l’Utah un plus grand contrôle sur leurs informations personnelles et pour accroître la transparence et la responsabilité des entreprises qui traitent ces informations.

Mise en oeuvre et sanctions

La loi de l’Utah sur la protection de la vie privée des consommateurs (UCPA) prévoit l’application de la loi par le procureur général de l’Utah et prévoit des sanctions civiles et pénales en cas de violation de la loi.

En vertu de l’UCPA, le procureur général de l’Utah est habilité à enquêter et à engager des actions coercitives contre les entreprises qui violent la loi. Le procureur général peut demander des sanctions civiles allant jusqu’à 2 500 dollars par violation, ou jusqu’à 7 500 dollars par violation si la violation était intentionnelle ou impliquait des informations personnelles sensibles.

Outre les sanctions civiles, la UCPA prévoit également des sanctions pénales pour certaines violations. Par exemple, le fait d’obtenir, d’utiliser ou de divulguer, intentionnellement ou par imprudence, des informations personnelles sans le consentement explicite du consommateur constitue un délit de classe A, passible d’un an de prison et d’une amende pouvant atteindre 2 500 dollars.

Outre l’application de la loi par le procureur général de l’Utah, la UCPA prévoit également des droits d’action privés, ce qui signifie que les particuliers peuvent engager des poursuites contre les entreprises qui violent la loi. Dans ce cas, les particuliers peuvent être en mesure d’obtenir des dommages et intérêts, des honoraires d’avocat et d’autres frais liés au procès.

Surveillez le risque lié aux données sensibles en tout temps et recevez des alertes dès qu’une accumulation, une suppression ou une exfiltration à risque se produit. Si un incident se produit, utilisez la recherche par mot-clé pour trouver un élément de données spécifique et suivez le cheminement complet des données, y compris l’endroit exact où les données ont été extraites d’un environnement, où elles ont abouti et tous les points de contact intermédiaires.

Qohash fournit un inventaire complet des données sensibles et non structurées au repos. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, à tout endroit. Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques.

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données sensibles dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites. Supprimez des données directement dans la plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu, y compris les postes de travail.

Qohash fournit aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, permettant ainsi l’application des politiques au moment même. Qohash examine les fichiers pour suivre les éléments de données. Il surveille ces éléments et les associe aux employés et aux emplacements. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail, pour une remédiation plus rapide.

Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par diverses lois. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.