California Consumer Privacy Act (CCPA)

Vue d’ensemble du CCPA

Le CCPA (California Consumer Privacy Act) est la première loi de confidentialité complète aux États-Unis. Il fournit un large éventail de droits de confidentialité aux consommateurs de californie. Les entreprises réglementées par le CCPA auront un certain nombre d’obligations à l’envers de ces consommateurs, notamment des divulgations, des droits de la personne morale (DPC) du Règlement général sur la protection des données (RPC), un « désistement » pour certains transferts de données et une obligation d'« opt-in » pour les mineurs.

Le CCPA s’applique uniquement aux entreprises qui font des affaires en Californie et qui répondent à une ou plusieurs des exigences suivantes : (1) ont un revenu annuel brut supérieur à 25 millions de dollars, ou (2) dérivent plus de 50 % de leurs revenus annuels de la vente d’informations personnelles consommateurs en Californie, ou (3) achètent, vendent ou partagent les informations personnelles de plus de 50 000 consommateurs de Californie chaque année.

Le CCPA sera applicable à partir du 1er janvier 2020. Toutefois, l’application par le avocat général de Californie commencera le 1er juillet 2020.

L’ag de Californie appliquera le CCPA et aura le pouvoir d’émettre des amendes de non-conformité. Le CCPA fournit également un droit d’action privé qui est limité aux violations de données. Dans le cadre du droit d’action privé, les dommages et intérêts peuvent être compris entre 100 $ et 750 $ par incident par client. Le procureur général de Californie peut également faire appliquer le CCPA dans son intégralité, avec la possibilité de percevoir une sanction civile d’au maximum 2 500 $ par violation ou 7 500 $ par violation intentionnelle.

Microsoft et le CCPA

Pour les clients commerciaux qui font des affaires en Californie, Microsoft agit en tant que « fournisseur de services » en ce qui concerne notre offre de services en ligne et Professional services. Les conditions des conditions d’utilisation des services en ligne (OST) et du MSDPA (Microsoft Professional Services Data Protection Addendum) répondent déjà aux exigences des fournisseurs de services dans le cadre du CCPA et sont généralement suffisantes pour permettre aux clients de continuer à transférer des données vers nos services en ligne. Ainsi, aucune modification contractuelle supplémentaire n’est requise pour que les clients puissent compter sur Microsoft en tant que fournisseur de services dans le cadre du CCPA.

Comme le prévoit le OST, Microsoft est conforme à toutes les lois et réglementations applicables à sa mise en service des services en ligne, qui comprendraient le CCPA.

Plateformes cloud et services Microsoft dans l’étendue

Comment préparer votre conformité CCPA lors de l’utilisation des produits et services Microsoft

Voici quelques étapes que vous pouvez suivre pour vous préparer au CCPA :

  • Commencez à tirer parti de l’évaluation R GDPR dans le Gestionnaire de conformité dans le cadre de votre programme de confidentialité CCPA.
  • Mettre en place un processus pour répondre efficacement aux demandes d’accès des personnes soumises aux données (DSAR) à l’aide de l’outil Demandes des personnes à l’aide des données.
  • Configurez les étiquettes et les stratégies de façon à découvrir, classifier et étiqueter, ainsi que protéger les données sensibles à l’aide de Microsoft Information Protection.
  • Utilisez les fonctionnalités de chiffrement du courrier électronique pour contrôler davantage les informations sensibles.

Questions fréquemment posées

Quel effet le CCPA aura-t-il sur mon entreprise ?

La plupart des droits du CCPA dont disposent les Californiens sont similaires aux droits que le R GDPR fournit, y compris les demandes de divulgation et de droit de la personne autorisée (DSR), telles que l’accès, la suppression et la portabilité. En tant que tel, le client peut rechercher nos solutions R GDPR existantes pour l’aider à respecter le CCPA.

Pour commencer votre parcours ccpa, vous devez vous concentrer sur la découverte d’informations, la détermination de la façon dont les informations personnelles sont partagées, la gouvernance de leur utilisation, la façon dont elles sont protégées et la mise en place d’un programme formel de réponse aux violations de données.

Quelles sont les différences entre le RGPD et le CCPA ?

Il existe de nombreuses différences. Il est plus facile de se concentrer sur les similitudes, notamment :

  • Obligations de transparence/divulgation,
  • Droits des consommateurs pour accéder à, supprimer et recevoir une copie des données,
  • Définition des « fournisseurs de services » qui est similaire à la façon dont le R GDPR définit les « sous-processeurs » avec une obligation contractuelle similaire et
  • Définition des « entreprises » qui englobe la définition R GDPR des « contrôleurs ».

La plus grande différence dans le CCPA est l’obligation principale d’activer une désentraiement des ventes de données à des tiers (avec « vente » définie à grande fin pour inclure le partage de données à des considérations importantes).

Quels droits les entreprises doivent-elles respecter dans le cadre du CCPA ?

Le CCPA nécessite des entreprises réglementées qui collectent, transfèrent et vendent des informations personnelles, entre autres choses :

  • Avant la collecte, mettre à disposition des consommateurs des informations concernant les catégories et objets de la collecte.
  • Fournir des informations plus détaillées dans une politique de confidentialité concernant les sources, les objectifs commerciaux et les catégories d’informations personnelles collectées, y compris la façon dont ces catégories sont vendues ou transférées à d’autres entités.
  • Activez les droits d’accès, de suppression et de portabilité des DSR pour les informations personnelles spécifiques qui ont été collectées par vous.
  • Activez un contrôle qui permettra aux consommateurs de refuser la vente des données du consommateur. Toutefois, les transferts vers des entités exemptées, telles que les fournisseurs de services, seront autorisés.
  • Pour les mineurs de moins de 16 ans, activez un processus d’opt-in afin qu’aucune vente des informations personnelles du mineur ne puisse se produire sans participer activement à la vente.
  • S’assurer que les consommateurs ne subissent pas de discriminations pour avoir exercé l’un des droits garantis par le CCPA.

Comment le CCPA s’applique-t-il aux enfants ?

  • Le CCPA présente des obligations en matière de consentement parental en accord avec la réglementation COPPA (Children’s Online Privacy Protection Act) pour les enfants âgés de moins de 13 ans.
  • Pour les enfants de 13 à 16 ans, le CCPA impose une nouvelle obligation d’obtenir le consentement de l’enfant.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources