À la fin juin 2018, la Californie a adopté l’AB 375, une loi sur la protection de la vie privée des consommateurs qui pourrait avoir plus de répercussions sur les entreprises américaines que le Règlement général sur la protection des données (RGPD) de l’Union européenne entré en vigueur en mai 2018. La loi californienne ne comporte pas certaines des exigences les plus lourdes du GDPR, comme l’étroite fenêtre de 72 heures dans laquelle une entreprise doit signaler une violation. À d’autres égards, cependant, elle va encore plus loin.
La CCPA adopte une vision plus large que le GDPR de ce qui constitue des données privées. Le défi pour la sécurité, alors, est de localiser et de sécuriser ces données privées.
- Qu’est-ce que le CCPA?
- Quelles sont les entreprises concernées par le CCPA ?
- Quand mon entreprise doit-elle se conformer à la CCPA ?
- Que se passe-t-il si mon entreprise n’est pas en conformité avec la CCPA ?
- Quelles sont les données couvertes par la CCPA ?
- Quelles sont les principales dispositions de la CCPA en matière de protection de la vie privée ?
- Que signifie la CCPA pour la sécurité?
- Un travail en cours
Qu’est-ce que le CCPA?
Le California Consumer Privacy Act (CCPA) est une loi qui permet à tout consommateur californien d’exiger de voir toutes les informations qu’une entreprise a enregistrées sur lui, ainsi qu’une liste complète de tous les tiers avec lesquels ces données sont partagées. En outre, la loi californienne permet aux consommateurs de poursuivre les entreprises en cas de violation des directives relatives à la protection de la vie privée, même s’il n’y a pas de violation.
Quelles sont les entreprises concernées par le CCPA ?
Toutes les entreprises qui servent les résidents de la Californie et qui ont un revenu annuel d’au moins 25 millions de dollars doivent se conformer à la loi. En outre, les entreprises de toute taille qui disposent de données personnelles sur au moins 50 000 personnes ou qui tirent plus de la moitié de leurs revenus de la vente de données personnelles, tombent également sous le coup de la loi. Les entreprises n’ont pas besoin d’être basées en Californie ou d’y avoir une présence physique pour tomber sous le coup de la loi. Elles n’ont même pas besoin d’être basées aux États-Unis.
Un amendement apporté en avril exempte les « institutions d’assurance, les agents et les organisations de soutien », car ils sont déjà soumis à des réglementations similaires en vertu de la loi californienne sur la protection des informations et de la vie privée dans le secteur de l’assurance (IIPPA).
Quand mon entreprise doit-elle se conformer à la CCPA ?
La loi est entrée en vigueur le 1er janvier 2020, mais l’application a commencé le 1er juillet.
Que se passe-t-il si mon entreprise n’est pas en conformité avec la CCPA ?
Les entreprises ont 30 jours pour se conformer à la loi une fois que les régulateurs les ont informées d’une violation. Si le problème n’est pas résolu, il y a une amende pouvant aller jusqu’à 7 500 dollars par dossier. « Si l’on considère le nombre d’enregistrements concernés par une violation, le montant augmente très rapidement », explique Debra Farber, directrice principale de la stratégie de confidentialité chez BigID. Le projet de loi ayant été élaboré et adopté en une semaine seulement, il fera probablement l’objet de quelques amendements, ajoute-t-elle. « Des choses comme le montant des amendes sont susceptibles de changer. »
Il y a aussi un autre risque financier potentiel, dit Farber. « Le projet de loi prévoit, pour la première fois, le droit pour un individu d’intenter une action en justice », dit-elle. « Il autorise les actions collectives en dommages et intérêts. »
Enfin, il y a une fenêtre de 30 jours qui commence lorsque les consommateurs notifient par écrit à une entreprise qu’ils pensent que leurs droits à la vie privée ont été violés. « S’il n’y est pas remédié et que le procureur général refuse d’engager des poursuites, ils peuvent alors intenter un recours collectif », explique M. Farber. « Et ce n’est pas seulement autour des brèches »
Par exemple, la loi précise que les entreprises doivent avoir un pied de page clairement visible sur les sites Web offrant aux consommateurs la possibilité de refuser le partage des données. Si ce pied de page est absent, les consommateurs peuvent engager des poursuites. Ils peuvent également intenter un procès s’ils ne peuvent pas découvrir comment leurs informations ont été collectées ou obtenir des copies de ces informations. « Cela peut être autour de n’importe quoi », dit Farber.
La loi attribue des pénalités spécifiques en cas d’accès non autorisé, que ce soit par une violation, une exfiltration, un vol ou « une divulgation résultant de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables ».Dans sa rédaction actuelle, AB 375 permet des pénalités de 100 à 750 $ par consommateur par incident, ou des dommages réels, selon le montant le plus élevé.
« Ajoutez tous les autres coûts liés à la violation – réponse informatique, médecine légale et récupération, juridique, notification, etc. – et cela pourrait pousser une violation dans le domaine d’une menace existentielle pour de nombreuses entreprises », explique Chris Prevost, responsable de l’architecture des solutions de sécurité d’exécution chez Imperva.
En général, si une entreprise a pris les mesures nécessaires pour se conformer au GDPR, alors elle a presque atteint son but pour la loi californienne sur la confidentialité des consommateurs. Du moins, elle en est plus proche que si elle n’est pas prête pour le GDPR, déclare Eric Dieterich, responsable de la pratique de la confidentialité des données chez Focal Point Data Risk, LLC. « Certaines multinationales ont fait des changements pour leurs marchés européens, mais ne l’ont peut-être pas déployé pour les activités basées aux États-Unis, donc il pourrait y avoir un changement de portée », dit-il.
Quelles sont les données couvertes par la CCPA ?
La loi californienne adopte une approche plus large de ce qui constitue des données sensibles que le GDPR. Par exemple, les informations olfactives sont couvertes, ainsi que l’historique de navigation et les enregistrements des interactions d’un visiteur avec un site web ou une application. Voici ce que l’AB 375 considère comme des « informations personnelles » :
- Identifiants tels qu’un nom réel, un alias, une adresse postale, un identifiant personnel unique, un identifiant en ligne adresse IP, adresse électronique, nom de compte, numéro de sécurité sociale, numéro de permis de conduire, numéro de passeport, ou d’autres identifiants similaires
- Caractéristiques des classifications protégées en vertu de la loi californienne ou fédérale
- Informations commerciales, y compris les enregistrements de biens personnels, de produits ou de services achetés, obtenus ou envisagés, ou d’autres historiques ou tendances d’achat ou de consommation
- Informations biométriques
- Internet ou autres informations sur l’activité du réseau électronique, y compris, mais sans s’y limiter, l’historique de navigation, l’historique de recherche et les informations concernant l’interaction d’un consommateur avec un site web, une application ou une publicité
- Données de géolocalisation
- Informations sonores, électroniques, visuelles, thermiques, olfactives ou similaires
- Informations professionnelles ou liées à l’emploi
- Informations sur l’éducation, définies comme des informations qui ne sont pas des informations personnelles identifiables (PII) accessibles au public, telles que définies dans la loi sur les droits et la confidentialité en matière d’éducation familiale (20 U.S.C. section 1232g, 34 C.F.R. Part 99)
- Des déductions tirées de toute information identifiée dans cette subdivision pour créer un profil sur un consommateur reflétant les préférences, les caractéristiques, les tendances psychologiques, les préférences, les prédispositions, le comportement, les attitudes, l’intelligence, les capacités et les aptitudes du consommateur
Un amendement, AB 874, qui attend actuellement la signature du gouverneur, exempterait les informations sur les consommateurs accessibles au public, désidentifiées et agrégées d’être classées comme PII. Les informations accessibles au public sont définies comme des données disponibles et conservées dans les dossiers gouvernementaux.
La CCPA couvrait à l’origine les données des employés ainsi que celles des consommateurs. Un amendement adopté en avril exempte toutefois les données des employés de la réglementation. Un autre amendement, AB 25, exempte partiellement les informations personnelles recueillies auprès des candidats à l’emploi, des propriétaires, des administrateurs, des dirigeants, du personnel médical et des contractants. Cette exemption prendrait fin le 1er janvier 2021. AB 25 attendait la signature du gouverneur au moment de la rédaction de cet article.
Quelles sont les principales dispositions de la CCPA en matière de protection de la vie privée ?
Les entreprises doivent permettre aux consommateurs de choisir de ne pas voir leurs données partagées avec des tiers. Cela signifie que les entreprises devront désormais être en mesure de séparer les données qu’elles collectent en fonction des choix de confidentialité des utilisateurs.
En outre, si une entreprise ne peut pas refuser aux utilisateurs un service égal, elle peut offrir des incitations aux utilisateurs qui fournissent des informations personnelles. « Cette disposition pourrait faire l’objet de modifications, mais telle qu’elle est énoncée aujourd’hui, elle vous donne la possibilité d’offrir des réductions aux personnes qui acceptent que leurs données soient partagées ou vendues à des tiers », explique Dieterich. « Traditionnellement, les systèmes ne sont pas conçus pour que votre structure de prix puisse changer en fonction de vos choix en matière de confidentialité. C’est un nouveau concept qui a des implications très techniques. »
Une autre différence majeure avec le GDPR est que la loi californienne permet aux clients un accès beaucoup plus large à leurs dossiers, explique Subra Ramesh, SVP des produits chez Dataguise. Un consommateur californien a le droit de savoir quelles informations une entreprise recueille à son sujet. La plupart des entreprises vont avoir du mal à rassembler ces informations. « Tout d’abord, la quantité de données qu’elles collectent est déjà massive et continue de croître, souvent dans les centaines à milliers de téraoctets, et avec des organisations au niveau de l’entreprise qui traitent des pétaoctets de données », dit-il.
Ces données sont contenues dans de multiples plateformes de stockage, dans différents temps de fichiers. » La plupart des outils de recherche de fichiers n’ont pas la capacité d’effectuer des recherches dans les écosystèmes modernes de dépôts de fichiers si répandus aujourd’hui « , explique Aaron Ganek, PDG de Cloudtenna. « La gestion des fichiers inter-silo est un défi majeur. Il est difficile de comprendre le contexte de chaque fichier s’ils sont éparpillés dans différents référentiels. » De plus, des problèmes de conformité sont associés au regroupement des données, dit-il. « Les outils d’entreprise hérités peinent à observer les permissions et les modèles de sécurité disparates, violant ainsi les lois et règlements mêmes qu’ils servent à satisfaire. »
Et puis il y a le délai. « Après la demande d’accès, l’entreprise a 45 jours pour leur fournir un rapport complet sur le type d’informations qu’elle possède, si elles ont été vendues et à qui, et si elles ont été vendues à des tiers au cours des 12 derniers mois, elle doit donner les noms et adresses des tiers auxquels les données sont vendues », explique John Tsopanis, responsable des produits de confidentialité chez 1touch.io. « Vous ne pouvez pas faire cela en Europe. »
Comme la règle couvre les 12 derniers mois d’enregistrements, les entreprises doivent commencer à se mettre en conformité dans six mois, dit-il. Ensuite, le 1er janvier 2020, chaque entreprise devra divulguer toutes les autres entreprises auxquelles elle vend des données. « Cela changera le paysage de la vie privée en Amérique pour toujours », dit Tsopanis.
Que signifie la CCPA pour la sécurité?
L’AB 375 est légère sur les exigences autour de la sécurité et de la réponse aux violations par rapport au GDPR. Comme indiqué précédemment, la loi définit des sanctions pour les entreprises qui exposent les données des consommateurs en raison d’une violation ou d’un manquement à la sécurité. Elle permet également aux tribunaux d’offrir « un redressement injonctif ou déclaratoire » ou « tout autre redressement que le tribunal juge approprié ».
Les entreprises ne sont pas tenues de signaler les violations en vertu de l’AB 375, et les consommateurs doivent porter plainte avant que des amendes ne soient possibles. Le meilleur plan d’action en matière de sécurité consiste donc à savoir quelles données l’AB 375 définit comme des données privées et à prendre des mesures pour les sécuriser. Encore une fois, toute organisation qui se conforme au GDPR n’a probablement pas besoin de prendre des mesures supplémentaires pour se conformer à l’AB 375 en termes de sécurisation des données.
Les exigences de l’AB 375 autour du suivi, de l’accès et du stockage des données signifient que les équipes de sécurité devront travailler en étroite collaboration avec les administrateurs de bases de données, explique Terry Ray, vice-président senior et fellow chez Imperva, un fournisseur de cybersécurité. Tous les outils choisis pour aider à gérer l’AB 375 devront non seulement avoir une visibilité totale des données stockées dans l’ensemble de l’environnement hétérogène de l’entreprise, mais aussi garantir que l’accès à ces données est correctement sécurisé. « Enfin, il faudra que ces outils coopèrent avec le nouveau portail des consommateurs en partageant les données spécifiques des consommateurs avec le consommateur vérifiable qui les demande », dit-il.
Si les données sont stockées chez des fournisseurs de cloud, le problème ne fait qu’empirer. Par exemple, les employés peuvent créer un compte de partage de fichiers pour garder une trace des contacts marketing ou commerciaux. « Il n’est pas surprenant que les grandes entreprises technologiques comme Google et Facebook se soient opposées au projet de loi », déclare Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi. « Contrôler la vie privée et les informations personnelles qui circulent entre les machines est incroyablement difficile, et constitue un défi majeur pour toutes les entreprises. »
Un travail en cours
Le projet de loi a été élaboré en seulement sept jours parce que les législateurs voulaient éviter une initiative de vote pour adopter une loi encore plus stricte à laquelle s’opposaient de nombreuses entreprises technologiques. « À l’heure actuelle, de nombreuses dispositions et définitions sont en conflit les unes avec les autres », explique Andy Dale, avocat général et vice-président de la vie privée mondiale chez SessionM.
Un domaine problématique est de savoir si une entreprise peut facturer aux consommateurs des prix différents en fonction de leurs paramètres de confidentialité. Par exemple, de nombreuses entreprises ont une option où un consommateur peut passer à un niveau payant où il ne voit pas de publicités. Ici, la loi telle qu’elle est actuellement écrite est un peu contradictoire.
« Si le consommateur exerce ses droits en vertu du règlement, les entreprises ne peuvent pas fournir un niveau ou une qualité de produit, de biens ou de services différents au consommateur », explique Pravin Kothari, PDG de CipherCloud. « De l’autre côté de la médaille, selon le règlement, il n’est pas interdit aux entreprises de facturer à un consommateur un prix ou un tarif différent, ou de fournir un niveau ou une qualité de biens ou de services différents au consommateur, si cette différence est raisonnablement liée à la valeur fournie au consommateur par ses données. »
Il semble que la Californie tente de définir un cadre dans lequel les consommateurs peuvent être payés pour le partage de leurs données, dit Kothari. « Dans ce domaine, la législation est un peu visionnaire », dit-il. « Nous verrons dans la pratique comment cela fonctionne réellement. »
Plus sur l’ACCP:
- 9 questions sur l’ACCP auxquelles chaque RSSI doit être prêt à répondre
- L’ACCP est l’occasion de mettre de l’ordre dans votre maison de sécurité des données
- Qu’est-ce qu’une « sécurité raisonnable » ? Et comment répondre à cette exigence
- Prenez au sérieux la protection des données des consommateurs
- Comment la propriété des données par les citoyens a un impact sur les entreprises à l’avenir
.