En novembre, les électeurs californiens ont adopté la proposition 24, la loi californienne sur les droits à la vie privée (CPRA) de 2020. Cette initiative de vote s’appuie sur la loi californienne sur la protection de la vie privée des consommateurs (CCPA) de 2018 et est parfois appelée « CCPA 2.0 ». La CPRA est cependant plus un reboot qu’une suite, et elle augmente considérablement les droits des individus et les obligations des entreprises qui traitent des données personnelles.
La CPRA a obtenu un immense soutien populaire ; elle a remporté 56 % des voix, ce qui en fait la deuxième initiative de vote californienne la plus populaire de 2020. La popularité de la loi signifie que les entreprises doivent la prendre au sérieux ou risquer de subir des dommages de réputation.
Ci-après, nous passons en revue certains des nouveaux ajouts les plus importants de la CPRA et offrons des suggestions sur la façon de se préparer.
Les informations suivantes ne constituent pas des conseils juridiques et les lecteurs doivent consulter leurs avocats sur les questions de conformité.
La CPRA intensifie les pénalités et l’application
La CCPA mettait l’application de la loi entre les mains du procureur général de Californie, mais la CPRA donne plus de pouvoir aux individus et à une nouvelle agence d’État. En fait, la loi proposée était initialement appelée California Privacy Rights and Enforcement Act (CPREA), ce qui indique son nouvel accent sur la responsabilité.
Création d’une nouvelle agence de réglementation
La CPRA crée la California Privacy Protection Agency (CPPA), que Lexology appelle « la première agence gouvernementale aux États-Unis axée uniquement sur la vie privée. » La CPPA est chargée de faire appliquer la loi en infligeant des amendes et en exigeant que les entreprises se soumettent à une évaluation des risques et à des audits pour leurs politiques de traitement des données.
En outre, la CPPA fournira d’autres règlements, règles et orientations quant à l’interprétation de la CPRA. Selon le site Web de Prop 24, cette nouvelle agence disposera d’un budget de 10 millions de dollars, ce qui « équivaudrait à peu près au même nombre d’employés chargés de l’application de la loi sur la protection de la vie privée que la FTC a pour faire la police dans tout le pays »
Cela pourrait en fait finir par être une bonne nouvelle pour les entreprises, car l’ACPC sera en mesure d’offrir des conseils et de la clarté sur les exigences de l’ACPR. Le langage de l’ACCP a été une source de confusion, et la National Law Review souligne que l’ACCP a été impopulaire en raison de ses « définitions trop larges, de son langage ambigu et de son manque général de clarté. » Cette agence pourrait fonctionner comme l’Information Commissioner’s Office (ICO) du Royaume-Uni, qui a contribué à créer de la clarté et à guider l’application du Règlement général sur la protection des données (RGPD).
Élargir le droit d’action privé
Sous le CCPA, les particuliers avaient moins de pouvoir pour tenir les entreprises responsables de leur non-conformité. Sous le CCPA, les citoyens ne peuvent engager une action en justice privée contre une entreprise que pour certains types de violations et, souvent, seulement après avoir donné à l’entreprise un préavis et la possibilité de « remédier » au problème. Mais la nouvelle loi stipule que « la mise en œuvre et le maintien de procédures et de pratiques de sécurité raisonnables… à la suite d’une violation ne constituent pas un remède ».
En d’autres termes, si les vaches s’échappent de la grange, les entreprises doivent les y remettre si elles veulent éviter des problèmes juridiques. Le simple fait de mettre un verrou sur la porte pour que rien ne sorte la prochaine fois, ne suffira pas.
La CPRA suit l’exemple du GDPR
La CPRA comprend de nombreux concepts familiers à toute personne ayant étudié le GDPR. Ces nouveaux ajouts visent à donner aux individus plus de contrôle sur leurs données personnelles et à limiter les façons dont les entreprises peuvent les utiliser.
Une nouvelle catégorie de « renseignements personnels sensibles »
La CPRA introduit le concept de « renseignements personnels sensibles » comme une catégorie particulière de données, qui est tenue à des normes plus élevées que les autres renseignements personnels. Ce concept figure déjà dans le GDPR, bien que la définition de la CPRA soit plus large.
Les informations personnelles sensibles dans la CPRA peuvent être divisées en deux catégories : les identifiants directs et les données hautement privées. La première catégorie comprend les pièces d’identité délivrées par le gouvernement, les informations financières et toute combinaison d’identifiants de compte qui permettent d’accéder à un compte. La deuxième catégorie engloberait la géolocalisation précise, l’appartenance ethnique, la religion, les informations génétiques et biométriques, l’orientation sexuelle et le contenu des courriels et des messages textuels, sauf si ces messages ont été envoyés à l’entreprise en question.
La CPRA donne explicitement aux individus un plus grand pouvoir pour limiter la façon dont les entreprises utilisent ces informations. Les utilisateurs peuvent désormais demander qu’une entreprise n’utilise ces informations que dans la mesure où cela est nécessaire pour fournir le service ou les biens « auxquels un consommateur moyen peut raisonnablement s’attendre » et uniquement pour un nombre limité de raisons spécifiquement décrites par la loi.
Ceci, à son tour, crée une nouvelle exigence d’exclusion pour les entreprises, qui, selon JD Supra, pourrait impliquer d’inclure « un lien disponible sur la page d’accueil de leur site Web intitulé Limiter l’utilisation de mes informations personnelles sensibles ». Il s’agirait d’une notification distincte d’un lien indiquant « Ne vendez pas ou ne partagez pas mes informations personnelles. »
Introduction du « droit de correction »
La CPRA donne aux consommateurs le droit de demander aux entreprises de corriger les informations personnelles inexactes les concernant. (Le GDPR parle de « droit de rectification ».) Les entreprises sont tenues d’informer les consommateurs de ce droit, et dans le cas où quelqu’un demande un changement, elles doivent faire des « efforts commercialement raisonnables » pour le corriger.
Augmentation des restrictions pour la conservation/suppression des données
La CPRA accorde aux consommateurs un droit limité de demander que leurs informations personnelles soient supprimées, bien qu’avec plusieurs exceptions qui le rendent considérablement plus faible que le « droit à l’oubli » du GDPR. La CCPA fait peser sur les entreprises (et les parties qui traitent leurs informations) la charge de supprimer elles-mêmes les données. La loi exige que les entreprises ne conservent les informations personnelles qu’aussi longtemps que nécessaire pour atteindre les objectifs divulgués au consommateur.
En outre, si un consommateur demande la suppression, les entreprises doivent transmettre cette demande aux fournisseurs de services et aux entrepreneurs, qui, à leur tour, doivent informer leurs propres fournisseurs de services et entrepreneurs pour créer une obligation partagée de suppression.
Extension du champ d’application au « partage » des données
Dans presque tous les cas où le CCPA mentionne la « vente », l’ACPR l’a modifié pour dire « vente ou partage ». Pour être clair, la définition de la vente dans le CCPA est déjà assez large. Néanmoins, la CPRA cherche à éliminer les échappatoires que les entreprises exploitent aux fins de la « publicité comportementale intercontextuelle ».
Ce changement peut rendre impossible pour des entreprises comme Facebook et Google de contourner l’exigence de l’opt-out en insistant sur le fait qu’elles ne « vendent » pas les données des utilisateurs, mais laissent simplement les annonceurs utiliser ces données pour le marketing ciblé. Comme le rapporte Datawallet, ce petit changement pourrait finir par « changer complètement le statu quo de l’écosystème actuel de la publicité numérique. »
Comment les entreprises devraient se préparer à la CPRA
La bonne nouvelle pour les entreprises est que l’application de la CPRA ne commencera pas avant juillet 2023. La LRPC prolonge également les exemptions de la CCPA sur les données des employés jusqu’à cette date.
L’IAPP spécule que cette période de grâce pourrait avoir pour but de donner au gouvernement fédéral le temps d’introduire une législation nationale sur la vie privée. Quelle que soit la raison, les entreprises disposent d’un certain temps pour se préparer et mettre en place de nouvelles politiques en matière de données.
Améliorer les politiques de suppression des données
Comme nous l’avons vu précédemment, la CPRA exige que les entreprises (et les parties extérieures qui travaillent avec elles) suppriment les données personnelles après qu’elles ont servi leur objectif. Au-delà du respect de cet élément de la loi, la suppression des données est tout simplement une bonne pratique puisque plus vous conservez de données personnelles, plus vous avez à perdre en cas de violation. Et compte tenu de l’accent mis par la nouvelle loi sur l’application de la loi et de son droit élargi d’action privée, chaque enregistrement compromis dans une violation pourrait entraîner de graves sanctions.
Le resserrement des politiques de suppression exige d’abord que toutes les données personnelles soient comptabilisées, et non qu’elles flottent dans l’éther. Comme le dit l’IAPP : « Alors que de nombreux responsables de la protection de la vie privée ont mis en place des journées annuelles de suppression des données en tant que meilleure pratique, obtenir de tous les employés qu’ils se conforment et suppriment des troncs de données périmées, qui n’ont plus d’utilité, est resté un défi perpétuel. »
Une solution à ce défi consiste à connecter toutes les données personnelles sous des profils d’utilisateurs centralisés, accessibles via votre système de gestion des identités et des accès (IAM). Le fait de disposer d’un référentiel unique des données clients simplifie la conformité à de nombreux aspects des lois californiennes sur la confidentialité des données, comme la suppression des données personnelles, les corrections et la remise de rapports aux consommateurs sur demande.
Mettre en place une MFA pour les connexions
La CPRA singularise les identifiants de connexion pour qu’ils fassent l’objet d’une attention particulière. En premier lieu, elle inclut les informations d’identification dans la catégorie des « informations personnelles sensibles ». Et alors que la CCPA ne donnait aux particuliers le droit privé d’intenter une action en justice si une violation exposait leurs informations personnelles non cryptées, la CPRA étend ce droit aux violations qui exposent « l’adresse électronique d’un utilisateur en combinaison avec un mot de passe ou une question et une réponse de sécurité qui permettraient d’accéder au compte », à condition que la violation se produise à la suite du manquement de l’entreprise à maintenir des pratiques de sécurité raisonnables.
Ce nouveau langage est une tentative claire de lutter contre l’épidémie d’attaques d’authentification brisée, comme le credential stuffing, dans lequel les identifiants de connexion exposés deviennent la porte d’entrée pour les voleurs d’identité.
Une façon d’améliorer la conformité est de crypter les mots de passe stockés. Mais le cryptage seul peut être insuffisant car les normes de cryptage changent, et il est toujours possible que vous ayez une ancienne base de données de mots de passe en clair cachée dans vos systèmes.
C’est pourquoi il est sage de mettre en œuvre une authentification multifactorielle (MFA) et de s’assurer que les informations d’identification seules ne permettent pas automatiquement l’accès au compte. La MFA demandera une forme supplémentaire d’identifiant (comme une empreinte digitale ou un code à usage unique) en cas de connexion inhabituelle (comme quelqu’un qui essaie de se connecter avec un nouvel appareil).
Examinez vos relations avec les tiers
La CPRA met fortement l’accent sur l’extension des obligations en matière de confidentialité des données aux contractants, aux prestataires de services et aux tiers. Elle définit spécifiquement un contractant comme une personne à laquelle une entreprise donne accès à des informations personnelles via un contrat écrit. Ce contrat interdit au contractant de vendre ou de partager les données avec d’autres parties ou de les utiliser à des fins non énumérées dans le contrat.
La CPRA exige également que tout fournisseur de services, contractant ou tiers qui reçoit des données accepte contractuellement d’adhérer aux normes de la CPRA. L’IAPP note que ces exigences « rappellent le GDPR et divers mécanismes internationaux de transfert de données conçus pour étendre les protections du GDPR et permettre la conformité transfrontalière. »
Ces changements rendent essentiel pour les entreprises de se renseigner sur les normes de confidentialité des données et de cybersécurité de chaque partie extérieure avec laquelle elles partagent des données personnelles. Le travail de rédaction des contrats incombera aux avocats, mais c’est aux professionnels de la sécurité de s’assurer que les tiers respectent leurs obligations contractuelles en pratiquant une bonne sécurité des données.
L’ACCP est une grande (mais pas nécessairement mauvaise) nouvelle
Lorsque la nouvelle de l' »ACCP 2.0″ est tombée, peu après l’adoption de la loi originale, certains chefs d’entreprise ont été consternés. Quelques-uns semblaient penser qu’Alastair Mactaggart, le leader du mouvement, leur en voulait personnellement. Mais maintenant que la loi est passée, il est temps pour toutes les personnes concernées d’adhérer à ses objectifs généraux.
Les nouveaux ajouts de cette loi sur la vie privée font partie d’une vaste évolution des droits des consommateurs. Et si cette loi particulière ne s’applique qu’aux Californiens, des lois d’État se développent dans tous les États-Unis avec des objectifs similaires. Même s’il peut être difficile de se conformer à cette mosaïque nationale et mondiale de lois, elles exigent toutes le même état d’esprit de base. Respecter la vie privée, pratiquer la transparence et contrôler l’accès aux données personnelles.
Vous voulez en savoir plus sur les principes fondamentaux de la confidentialité des données, de la sécurité des données et de la conformité juridique ? Commencez ici.
A propos d’Auth0
Auth0 fournit une plateforme pour authentifier, autoriser et sécuriser l’accès aux applications, aux appareils et aux utilisateurs. Les équipes de sécurité et d’application s’appuient sur la simplicité, l’extensibilité et l’expertise d’Auth0 pour que l’identité fonctionne pour tout le monde. En protégeant des milliards de transactions de connexion chaque mois, Auth0 sécurise les identités pour que les innovateurs puissent innover, et permet aux entreprises mondiales d’offrir des expériences numériques fiables et supérieures à leurs clients dans le monde entier.
Pour plus d’informations, visitez le site https://auth0.com ou suivez @auth0 sur Twitter.