Quelle est la prochaine étape pour la confidentialité ? FAQ RGPD et CCPA
Publié: 2020-01-29
Entré en vigueur le 1er janvier 2020, le California Consumer Privacy Act (CCPA) est largement considéré comme l'une des lois sur la confidentialité les plus étendues aux États-Unis à ce jour. Le CCPA impose des limites à la collecte et à la vente des informations personnelles d'un client, tout en offrant certaines protections légales en ce qui concerne ces mêmes informations personnelles. Mais le CCPA n'est pas seulement une version américaine du Règlement général sur la protection des données (RGPD) de l'UE. Bien que vous n'ayez pas à tout recommencer si vous êtes prêt pour le RGPD, cela ne signifie pas que vous avez toutes vos bases couvertes pour le CCPA.
Dans ce blog, nous couvrirons les bases du CCPA, comment il se compare au GDPR et certaines des FAQ qui ont surgi autour de chacun et de leur mise en œuvre dans les entreprises américaines travaillant au niveau national et international.
A qui s'applique le CCPA ?
Le CCPA s'applique à toute entreprise qui remplit une ou plusieurs des conditions suivantes :
- Fait des affaires dans l'État de Californie
- Et répond à l'un des critères suivants :
- Revenus bruts annuels supérieurs à 25 millions de dollars ;
- Seul ou en combinaison, achète annuellement, reçoit à des fins commerciales de l'entreprise, vend ou partage à des fins commerciales, seul ou en combinaison, les informations personnelles d'au moins 50 000 consommateurs, foyers ou appareils ; ou
- Tire au moins 50 % de ses revenus annuels de la vente des informations personnelles des consommateurs.
Les principales différences entre le RGPD et le CCPA résident dans la portée de l'application, l'étendue des limitations de collecte et les règles relatives à la responsabilité en cas de violation et aux défis en cas de non-conformité. Dans ce tableau, vous verrez certaines des différences subtiles mais importantes entre le RGPD et le CCPA.
| RGPD | CCPA | |
| Portée | Protège les résidents de l'UE des entreprises situées à l'intérieur ou à l'extérieur de l'UE. Couvre le traitement, la collecte et l'application des données personnelles. | Protège les résidents de CA et s'applique aux entreprises avec plus de 25 millions de dollars de revenus, tire 50 % des revenus des informations personnelles des clients ou traite des informations sur plus de 50 000 résidents Couvre la collecte, le traitement et la vente d'informations personnelles. |
| Données/informations personnelles | Défini comme toute information relative à une personne, y compris les données accessibles au public. | Définies comme des informations qui concernent, décrivent ou peuvent être liées directement ou indirectement à une personne ou à un ménage. |
| Droits d'accès/divulgation | Oblige les entreprises à informer les clients des droits au point de collecte. | Exige que les entreprises informent les clients au moment ou avant le point de collecte des catégories d'informations personnelles à collecter et des objectifs de la collecte. |
| Se désengager | Les clients peuvent demander la restriction de tout type de données personnelles. | Les entreprises doivent fournir un avis de droit de retrait et donner aux consommateurs le droit de refuser la vente de l'IP, mais pas la collecte de celui-ci. Ils doivent fournir un lien "Ne vendez pas mes informations personnelles" sur leur page d'accueil. |
| Évaluation de l'impact sur la protection des données (DPIA) | Nécessite une DPIA pour tout traitement susceptible de mettre en péril les droits des données d'un sujet. | Aucune DPIA n'est requise, mais il incombe à l'entreprise de mettre en œuvre et de maintenir des mesures de sécurité appropriées pour protéger les informations d'un client. |
Questions fréquemment posées
Cela s'applique-t-il aux entreprises non situées en Californie ?
Une entreprise n'a pas besoin d'être située dans l'État de Californie pour être soumise au CCPA. Cela signifie toute entreprise qui "fait des affaires" via des transactions en ligne avec des résidents de Californie ou qui a des employés qui vivent dans l'État.
Les entreprises peuvent-elles être sanctionnées pour non-conformité ?
Le droit d'action privé dans le CCPA est limité aux violations de données. En vertu du droit d'action privé, les dommages peuvent se situer entre 100 $ et 750 $ par incident et par consommateur. Le California AG peut également appliquer le CCPA dans son intégralité avec la possibilité d'imposer une sanction civile ne dépassant pas 2 500 $ par violation ou 7 500 $ par violation intentionnelle.
Je ne pense pas que nous collectons vraiment des informations personnelles. Le CCPA s'applique-t-il ?
Le CCPA a une description extrêmement large de ce qui constitue des renseignements personnels. Si vous collectez des CV pour des offres d'emploi, votre site Web suit les cookies ou si vous avez un formulaire "Contactez-nous" sur votre site Web, vous collectez des informations personnelles.
Existe-t-il une exemption pour les entreprises B2B ?
Sorte de. Les entreprises B2B bénéficient d'un sursis limité pour se conformer à chacune des exigences du CCPA en ce qui concerne les transactions et les communications avec d'autres organisations, entreprises et agences gouvernementales. Les informations personnelles collectées dans le cadre de communications ou de transactions B2B provenant de ou concernant un employé, propriétaire, administrateur, dirigeant ou sous-traitant d'une entreprise ou d'un organisme gouvernemental sont exemptées de la plupart des exigences du CCPA. Mais cette exemption expirera fin 2020. Même si votre entreprise B2B ne vend pas de coordonnées professionnelles, vous devez toujours déterminer dans quelle mesure les informations que vous collectez à des fins de marketing doivent être conformes au CCPA.
Comment couvrir vos bases ?
Le CCPA oblige les entreprises à conserver des enregistrements détaillés de toutes les catégories d'informations personnelles remontant au 1er janvier 2019. Vous devriez commencer à inventorier toutes les données que vous avez collectées depuis cette date. Vous devrez également mettre à jour vos avis de confidentialité et ajouter un lien « Ne vendez pas mes informations personnelles » sur votre page d'accueil.
Ressources supplémentaires pour les propriétaires d'entreprise
Magento fournit également un excellent guide plus détaillé pour vous assurer que votre site est conforme au GDPR et au CCPA. Il est disponible ici.
Pour un examen encore plus approfondi de la loi CCPA, veuillez consulter cet excellent article de la National Law Review .
Bien que le CCPA ait certaines restrictions qui le limitent actuellement à l'État de Californie, il ne fait aucun doute qu'il aura des répercussions aux États-Unis et dans le monde. La Californie est, après tout, la 5e économie mondiale. Avec quelque chose d'aussi compliqué que cette nouvelle loi et d'aussi important que votre entreprise, nous vous recommandons de consulter votre avocat pour confirmer si la CCPA s'applique à votre entreprise avant de prendre des mesures de conformité.
Entrer en contact
Contactez l'un de nos experts dès aujourd'hui pour discuter de vos besoins en commerce électronique !
Nous contacter