Home » Ce que votre entreprise doit savoir sur l’ACPL

Ce que votre entreprise doit savoir sur l’ACPL

by Nouvelles

Après avoir atteint un mandat plus restreint que prévu de 56% le 3 novembre, le California Privacy Rights Act (CPRA) est maintenant adoptée. Ce nouvel acte révise le préexistant California Consumer Privacy Act (CCPA) et constitue un moment marquant pour la vie privée des consommateurs.

Essentiellement, l’ACPL supprime certaines échappatoires potentielles dans la CCPA – mais les changements ne sont pas uniformément plus rigoureux pour les entreprises (comme je le montrerai dans un instant). Cela rapproche également les lois californiennes de protection des données de la norme GDPR de l’UE. Lorsque l’ACPL deviendra légalement exécutoire en 2023, les résidents de la Californie auront le droit de savoir où, quand et pourquoi les entreprises utilisent leurs données personnelles identifiables. Avec de nombreuses entreprises technologiques de premier plan basées en Californie, cet acte aura des répercussions nationales et potentiellement mondiales.

L’augmentation de la confidentialité est sans aucun doute une bonne nouvelle pour les consommateurs. Mais l’adoption de la loi est susceptible de créer des inquiétudes parmi les entreprises qui dépendent des données des clients. Avec une application plus stricte, des sanctions plus sévères et des obligations plus lourdes, de nombreuses entreprises se demanderont probablement si cette nouvelle loi rendra les opérations plus difficiles.

Bien que bon nombre des détails les plus fins de l’ACPL soient susceptibles de changer avant qu’elle ne devienne exécutoire, voici ce que votre entreprise doit savoir maintenant.

Serez-vous assujetti à l’ACPL?

La loi CCPA préexistante ne s’appliquait qu’aux entreprises qui:

1) avait plus de 25 millions de dollars de revenus bruts

2) ont tiré 50% ou plus de leurs revenus annuels de la vente des renseignements personnels des consommateurs, ou

3) acheté, vendu ou partagé à des fins commerciales les informations personnelles de 50 000 consommateurs, ménages ou appareils ou plus.

L’ACPL garde la plupart de ces exigences intactes, mais apporte quelques changements. Premièrement, le besoin en revenus (point 1 ci-dessus) est maintenant plus clair: une entreprise doit avoir réalisé 25 millions de dollars de revenus bruts dans l’année civile précédente devenir soumis à la loi.

Deuxièmement, s’agissant des informations personnelles (point 2), le partage est désormais assimilé à la vente. Alors que la CCPA s’appliquait aux entreprises qui tiraient plus de la moitié de leurs revenus de la vente de données, elle s’applique désormais également aux entreprises qui tirent la moitié de leurs revenus du partage de renseignements personnels avec des tiers.

Enfin, le point 3 est désormais plus clément, le seuil des entreprises basées sur des renseignements personnels étant passé de 50 000 consommateurs, ménages ou appareils à 100 000.

Pour les entreprises qui se demandent si elles peuvent éviter la réglementation des sociétés sœurs sous la même marque, l’ACPL a clarifié ce que signifie l’expression «image de marque commune». L’ACPL définit désormais «un nom, une marque de service ou une marque de commerce partagé, de sorte que le consommateur moyen comprendrait que deux entités ou plus sont détenues en commun».

Il précise également qu’une entreprise sœur relèvera de l’ACPL si elle a des «renseignements personnels partagés avec elle par l’entreprise visée par l’ACPL». Concrètement, cela signifie que deux entreprises liées (dont l’une est assujettie à la CPRA) qui pourraient partager une marque de commerce mais avoir des identités juridiques différentes, ne seront assujetties à la CPRA que si elles partagent des données. La même responsabilité conjointe en matière d’information des consommateurs s’applique également aux partenariats où un intérêt partagé de plus de 40% existe, indépendamment de la marque.

Ainsi, avec la CPRA, certaines entreprises sont désormais plus susceptibles d’être assujetties à la législation sur la protection des données, tandis que d’autres ne relèvent plus de la législation californienne.

Pour les organisations qui exploitent plusieurs entités juridiques, il est toujours idéal d’avoir une approche unique de la confidentialité des données des consommateurs. En permettant aux entreprises non assujetties d’autocertifier qu’elles sont conformes, l’ACPL donne également aux entreprises la possibilité d’être transparentes avec leurs clients au sujet de l’utilisation des données, même si elles n’ont pas nécessairement besoin de l’être.

Les consommateurs ont le droit de savoir pourquoi vous collectez leurs “ informations personnelles sensibles ”

L’ACPL donnera aux consommateurs des droits supplémentaires pour déterminer comment les entreprises utilisent leurs données. En plus de recevoir le droit de corriger leurs renseignements personnels et de savoir pendant combien de temps une entreprise pourrait les conserver, en vertu de la CPRA, les consommateurs pourront se désinscrire des publicités basées sur la géolocalisation et autoriser l’utilisation de leurs renseignements personnels sensibles.

Le concept de «renseignements personnels sensibles» est lui-même une nouvelle définition juridique créée par l’ACPL. La race / l’origine ethnique, les informations sur la santé, les croyances religieuses, l’orientation sexuelle, le numéro de sécurité sociale, les informations biométriques / génétiques et le contenu des messages personnels relèvent tous de cette définition.

Les entreprises doivent également faire attention lorsqu’il s’agit de traiter les données qu’elles ont déjà collectées. Supposons qu’une entreprise envisage de réutiliser les données d’un client à des fins «incompatibles avec les fins divulguées pour lesquelles les informations personnelles ont été collectées». Dans ce cas, le client doit être informé de ce changement.

À l’instar de la CCPA, les données sur les employés relèvent désormais de la LPCP. Bien que cela ne soit légalement exécutoire avant 2023, l’une des stipulations de l’ACPL est que les entreprises devront être transparent avec leur personnel concernant la collecte de données.

Les entreprises devront bientôt offrir aux consommateurs des capacités de désinscription plus complètes chaque fois qu’ils interagissent avec eux, mais il faudra peut-être encore un certain temps avant que des normes unifiées concernant ces procédures ne deviennent monnaie courante. Il y aura sans aucun doute plus d’une façon de communiquer les exigences des consommateurs dans le cadre de l’ACPL. Outre les formulaires de désinscription, les entreprises peuvent augmenter leur utilisation des Contrôle global de la confidentialité standard, un module complémentaire de navigateur qui simplifie les processus de désinscription. Cependant, comme le ciblage géolocalisé devient plus problématique sur le plan juridique, les entreprises devront peut-être reconsidérer leur dépendance à certaines formes de publicité ciblée.

Il y aura des amendes pour les violations de données

L’ACPL stipule que «les entreprises devraient également être tenues directement responsables devant les consommateurs des atteintes à la sécurité des données». En plus d’exiger des entreprises qu’elles «avisent les consommateurs lorsque leurs renseignements sensibles ont été compromis», l’ACPL prévoit des sanctions financières. Les entreprises qui autorisent la fuite de données clients s’exposeront à des amendes allant jusqu’à 2500 USD ou 7500 USD (pour des données appartenant à des mineurs) par infraction. La nouvelle California Privacy Protection Agency sera autorisée à appliquer ces amendes.

Alors qu’à court terme, un budget relativement limité signifie probablement que l’agence n’entreprendra que quelques poursuites judiciaires à grande échelle, chaque entreprise sera confrontée à un risque financier accru lié aux violations de données. Alors que l’ACPL soulève les enjeux des entreprises en matière de protection des données, les acteurs menaçants sont susceptibles de s’enhardir davantage. Dans l’UE, le RGPD a été lié à l’augmentation du nombre de ransomwares, car les pirates utilisent la menace d’amendes comme levier pour extraire des rançons plus importantes de leurs victimes.

À cet égard, la conformité signifiera l’adoption de postures de sécurité organisationnelles plus fortes grâce à une utilisation accrue de l’authentification multifacteur et des protocoles de confiance zéro. Cela augmentera probablement également les coûts de l’assurance des entreprises en matière de cybersécurité.

Vous avez jusqu’en 2023 mais ne devriez pas tarder

Bien que l’ACPL n’entrera en vigueur que le 1er janvier 2023, ses règlements s’appliqueront à tous les renseignements recueillis à partir du 1er janvier 2022. Donc, à partir de maintenant, vous avez plus de deux ans pour vous préparer. Cependant, comme on le voit dans sondages plus tôt cette année, la grande majorité des entreprises ne se sont pas encore conformées à la législation CCPA actuellement en vigueur.

Le délai de conformité à l’ACPL est relativement généreux. Alors que les régulateurs et les entreprises se précipitent pour rattraper leurs nouvelles obligations, il est peu probable que les entreprises soient confrontées à un torrent de poursuites judiciaires à court terme.

Néanmoins, à plus long terme, l’ACPL est susceptible de faire progresser la législation aux États-Unis. Cette loi peut être le début d’une poussée vers une réglementation fédérale sur la protection des données, qui comportera des règles, des exigences et des sanctions similaires pour les entreprises, quel que soit l’endroit où se trouvent leurs clients. Les entreprises devraient commencer à se préparer à un avenir où les données des clients sont désormais légalement protégées.

Rob Shavell est cofondateur et PDG de onine privacy company Ah ok / Supprime moi et a été un ardent défenseur de la réforme de la législation sur la protection de la vie privée, y compris en tant que défenseur public de la California Privacy Rights Act (CPRA).


Comment les startups font évoluer la communication:

La pandémie pousse les startups à se pencher de près sur la montée en puissance de leurs solutions de communication. Apprendre


You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.