La nouvelle loi californienne sur la confidentialité des données rapproche les États-Unis du GDPR – TechCrunch

Les exigences ne sont pas négligeables et les amendes peuvent s’ajouter

La confidentialité des données a devenir l’un des enjeux commerciaux et culturels déterminants de notre époque.

Les entreprises du monde entier s’efforcent de protéger correctement les informations personnelles de leurs clients. Cependant, les nouvelles réglementations ont en réalité modifié la définition du terme, rendant tout plus compliqué. Avec l'entrée en vigueur de la loi californienne sur la protection des consommateurs en Californie (CCPA) en janvier 2020, les entreprises disposent de peu de temps pour obtenir des informations sur leurs clients et savoir comment en prendre soin. Sinon, ils risquent non seulement de se voir infliger une amende, mais aussi de perdre la réputation de la marque et la confiance des consommateurs – qui sont incommensurables.

La Californie a été l'un des premiers États à prévoir expressément le droit à la vie privée dans sa constitution et à adopter une loi sur la notification des violations de données. Il n'était donc pas étonnant que les législateurs de l'État aient adopté en juin 2018 la CCPA, la première loi nationale sur la protection des données à caractère personnel. . La CCPA n’est pas seulement une loi d’État, elle deviendra la norme nationale de facto dans un avenir prévisible, car le grand nombre de Californiens signifie que la plupart des entreprises du pays devront se conformer. Les exigences ne sont pas insignifiantes. Les entreprises devront divulguer aux clients californiens les données qui ont été collectées, les supprimer et cesser de les vendre à la demande du client. Les amendes peuvent facilement s’ajouter: 7 500 dollars par infraction si intentionnelle, 2 500 dollars pour les personnes sans intention et 750 dollars par utilisateur lésé pour dommages et intérêts au civil.

Evolution des informations personnelles

Auparavant, les informations personnelles identifiables d'un point de vue juridique étaient clairement définies – des données permettant de distinguer l'identité d'un individu. En revanche, la norme pour les simples IP était moins élevée, car il y en avait beaucoup plus; si PI est une galaxie, PII était le système solaire. Cependant, CCPA et le règlement général de l’UE sur la protection des données, entré en vigueur en 2018, ont modifié la définition pour inclure d’autres types de données jadis assez inoffensives. La CCPA consacre les droits des données à caractère personnel pour les consommateurs, un concept que GDPR a mis en place pour la première fois.

Le GDPR stipule: «Les données personnelles doivent être interprétées aussi largement que possible», ce qui inclut toutes les données associées à un individu, appelées informations «contextuelles». Cela inclut toute information pouvant identifier «directement ou indirectement» une personne, y compris les noms réels, les noms d’écran, les numéros d’identification, la date de naissance, les données de localisation, les adresses réseau, les identifiants de périphériques et même les caractéristiques décrivant les caractéristiques «physique, physiologique, génétique, l’identité mentale, commerciale, culturelle ou sociale d’une personne ». Cela pourrait éventuellement inclure toute information sur une personne qui n’est pas anonymisée.

Avec le CCPA, les États-Unis sont en train de rattraper le GDPR et élargissent de la même manière la portée de la définition des données personnelles. En vertu de la CCPA, les informations personnelles sont «les informations qui identifient, se rapportent à, décrivent, peuvent être associées à, ou pourraient être raisonnablement liées, directement ou indirectement, à un consommateur particulier ou à un ménage». Cela inclut une multitude d'informations qui: ne soulève pas de drapeaux rouges, mais qui, lorsqu'ils sont combinés avec d'autres données, peuvent former une triangulation avec un individu spécifique, tels que des données biométriques, des données de navigation, des données sur l'emploi et l'éducation, ainsi que des déductions tirées de toute information pertinente pour créer un profil «reflétant le comportement du consommateur». préférences, caractéristiques, tendances psychologiques, préférences, prédispositions, comportement, attitudes, intelligence, capacités et aptitudes. "

Connaître les règles, connaître les données

Ces règlements ne sont pas des règles de liste de contrôle; ils nécessitent de grands changements dans la technologie et les processus, et une refonte de la nature des données et de la manière dont elles doivent être traitées. Les entreprises doivent comprendre quelles règles s’appliquent à elles et comment gérer leurs données. La gestion de l'information est devenue un impératif commercial, mais la plupart des entreprises n'ont pas de feuille de route claire pour le faire correctement. Voici quelques conseils que les entreprises peuvent suivre pour s’assurer qu’elles respectent la lettre et l’esprit des nouvelles réglementations.

Le paysage réglementaire évolue constamment avec l’adoption rapide de nouvelles règles. Chaque organisation doit savoir à quelle réglementation elle doit se conformer et comprendre les distinctions qui existent entre elles. Certains aspects fondamentaux communs à CCPA et à GDPR incluent le respect et la suppression automatisée des droits des personnes concernées. Mais il y aura des différences, il est donc important de disposer d'une plate-forme vous permettant de gérer un environnement hétérogène à grande échelle.

Traduit de la source : https://techcrunch.com/2019/11/14/californias-new-data-privacy-law-brings-u-s-closer-to-gdpr/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.