We use cookies to give you the most personalized experience possible on our website, and to collect information about how visitors use our site. If you continue without changing your settings, we’ll assume that you’re ok with receiving cookies from the XMedius website. You can disable cookies in your browser settings at any time, but please note that parts of the site will not work properly if you disable cookies.

For more information on how we use cookies, read our privacy policy.
FERMER X

5 raisons pour lesquelles comparer le CCPA au RGPD n’est pas une bonne idée

 Dans Blogue, Fax, Innovation, Productivité, Sécurité, Technologie

Le California Consumer Privacy Act, ou CCPA, est une nouvelle loi de l’État de Californie qui réglemente la collecte et la vente de données personnelles par les entreprises qui font des affaires en Californie ou qui traitent des données personnelles provenant de Californie. La loi doit entrer en vigueur le 1er janvier 2020, ce qui rend la conformité urgente pour les organisations touchées.

Étant donné que le CCPA régit la collecte, le traitement et la vente de données personnelles, de nombreuses organisations, y compris celles qui conseillent et éduquent les entreprises sur le CCPA, ont expliqué celui-ci en le comparant au Règlement général sur la protection des données (RGPD) de l’Union européenne. À première vue, cela semble logique, puisqu’il s’agit de lois sur la protection de la vie privée des citoyens, n’est-ce pas?

Le fait qu’ils semblent similaires à première vue est précisément la raison pour laquelle il est dangereux de penser au CCPA en termes de RGPD – leurs similitudes ne sont que superficielles. Ces lois présentent des différences fondamentales de fond. Voici 5 raisons pour lesquelles la comparaison du CCPA au RGPD a mené à des pièges monumentaux.

Portée et parties concernées

L’une des principales différences entre le CCPA et le RGPD reporte à la question de savoir à qui et à quels types de données chaque loi s’applique. Dans un sens, les exigences du RGPD sont plus simples que celles du CCPA. Toute entité, même en dehors de l’Union européenne, qui traite des données à caractère personnel générées dans l’Union européenne, offre des biens ou des services dans l’UE ou contrôle le comportement des utilisateurs dans l’UE, doit se conformer au RGPD. Il est particulièrement important de noter que le RGPD s’applique à la fois au contrôleur des données et au responsable du traitement des données, ce qui signifie que le préposé au traitement des données doit se conformer au RGPD en phase avec le contrôleur des données.

Le CCPA est plus nuancé quant aux parties auxquelles il s’adresse. Pour commencer, il ne s’applique qu’aux organisations à but lucratif. De plus, seuls les contrôleurs de données sont tenus de se conformer aux exigences du CCPA. Cela signifie que les contrôleurs de données sont entièrement responsables de négocier avec leurs préposés au traitement des données pour s’assurer que les données sont traitées de manière conforme.

Enfin, le CCPA est plus indulgent quant à sa définition du terme « faire des affaires ». En d’autres termes, contrairement au RGPD, le suivi de l’activité des utilisateurs peut ne pas être considéré comme une « activité commerciale » au sens du CCPA. Il s’agit d’une distinction importante, car cela signifie qu’une organisation peut être en mesure de suivre le comportement des utilisateurs en Californie sans être considérée comme faisant des affaires en Californie. Dans de telles situations, ces entreprises n’entreraient pas dans le champ d’application du CCPA.

Comment le consentement est-il donné (ou retiré) ?

La différence fondamentale la plus évidente entre le RGPD et le CCPA est peut-être le processus de collecte et de traitement des données d’un utilisateur donné. Avec le RGPD, une organisation ne peut collecter et traiter les données personnelles d’un utilisateur que si elle répond à au moins un de six principes juridiques différents :

  • Le consentement est donné librement
  • Il est obligatoire de satisfaire à un contrat
  • Il est obligatoire de satisfaire à une obligation légale
  • La collecte de données sert à protéger les intérêts de la personne
  • Il est obligatoire d’exécuter une tâche accomplie dans l’intérêt public
  • Le traitement des données est nécessaire dans l’intérêt légitime du contrôleur des données

De plus, le consentement doit être donné en toute liberté, en connaissance de cause et sans ambiguïté, et doit être obtenu avant la collecte des données. De plus, le silence ou l’absence de consentement explicite ne constitue pas un consentement en vertu du RGPD.

Le retrait en vertu du CCPA

Aux termes du CCPA, le consentement à la collecte et au traitement des données fonctionne presqueopposé. Les entreprises peuvent collecter et traiter des données personnelles à moins que le consommateur concerné ne choisisse « l’option de retrait ».

Contrairement au RGPD, où une organisation ne peut pas recueillir de données personnelles sans consentement, si un consommateur se désiste en vertu du CCPA, l’organisation peut toujours recueillir et traiter des données pour ses propres intérêts personnels. L’effet de l’option de retrait est qu’elle empêche l’entreprise qui a recueilli les données de les vendre ou de les transférer à une tierce partie pour des « considérations monétaires ou autres considérations lucratives ». Ces considérations lucratives peuvent inclure la location, la publication, la divulgation, la communication ou la mise à disposition des données à d’autres personnes. Pour ce faire, il faut trouver un moyen de partager les données en toute sécurité à l’interne afin de prévenir une infraction au CCPA par la divulgation accidentelle de données personnelles.

Les entreprises ont le droit de demander aux consommateurs d’opter en faveur après s’être retirés, mais elles doivent attendre 12 mois avant de demander à nouveau.

Suis-je exempté?

Pour le RGPD, la réponse est très brève et concise : non. Il n’y a pas d’exemption dans le cadre du RGPD.

Le CCPA, par contre, prévoit certaines exemptions, en particulier pour les organismes sans but lucratif. Certains services financiers et organismes de soins de santé peuvent également être exemptés du CCPA s’ils sont assujettis à d’autres lois ou normes qui comportent des exigences plus strictes en matière de protection des renseignements personnels.

À titre d’exemples de lois qui permettent aux organisations d’être exemptées en vertu du CCPA, citons le Healthcare Insurance Portability and Accountability Act (HIPAA) et le Gramm-Leach-Bliley (GLBA) Act, Fair Credit Reporting Act, California’s Financial Information Privacy Act, ou le California Driver’s Privacy Protection Act pour les services financiers. Il est toutefois important de noter que même si une organisation peut être exemptée de satisfaire aux exigences du CCPA, la loi offre néanmoins aux consommateurs la possibilité de déposer plainte en cas de violation des données.

Répondre aux demandes de suppression de données

Le droit à la suppression des données personnelles dans le cadre du RGPD est beaucoup plus clair qu’avec le CCPA. Avec le RGPD, toute organisation doit effacer les données personnelles lorsqu’on le lui demande ou si elle ne les utilise plus, quelle que soit l’origine des données. Les organisations qui reçoivent de telles demandes doivent s’y conformer dans les 30 jours, faute de quoi elles s’exposent à une sanction. Elles doivent également informer toute organisation en aval de la demande de suppression.

Toutefois, les entreprises relevant du CCPA n’ont qu’à effacer les données recueillies directement du consommateur. Toutes les données recueillies à partir d’une source publique peuvent être conservées. Ceci étant dit, il est essentiel pour toute organisation de mettre en œuvre un moyen d’identifier et de suivre les sources de données puisqu’elle est tenue de divulguer l’origine des données.

Le RGPD et le CCPA prévoient tous deux des exemptions qui peuvent l’emporter sur la demande d’effacement de données d’une personne, mais ces lois sont surtout conçues dans l’intérêt public et pour prévenir d’autres problèmes juridiques qui pourraient découler de l’effacement des données.

Sanctions pour les brèches et infractions

Les sanctions pour les infractions au RGPD et au CCPA peuvent être sévères, bien que la définition de ce qui constitue une infraction et les processus de pénalisation des organisations diffèrent considérablement entre les deux.

L’Union européenne peut imposer des amendes aux organisations qui contreviennent au RGPD jusqu’à concurrence de 4 % de leurs revenus de l’année précédente, bien que celles-ci soient habituellement réservées aux infractions les plus flagrantes. Les sanctions du RGPD sont généralement évaluées en fonction du risque qu’une infraction devienne une brèche ou, si la brèche a déjà eu lieu, de la proportion de la brèche. De plus, les citoyens de l’Union européenne ont un droit privé d’intenter une action en justice en cas d’infraction ou d’atteinte à la protection des données, ce qui peut entraîner des poursuites judiciaires en plus des sanctions prévues.

Autre différence : contrairement au CCPA, qui ne couvre que les données recueillies au cours des 12 derniers mois, une organisation peut être pénalisée pour une infraction au RGPD ou une brèche, peu importe depuis quand ces données ont été recueillies.

Sanctions du CCPA

Le CCPA évalue les sanctions d’une manière complètement différente, mais qui peut quand même être potentiellement catastrophique. En vertu du CCPA, chaque dossier individuel peut être considéré comme une infraction et une entreprise peut se voir imposer une amende de 7 500 $ par infraction, sans plafond quant au nombre d’infractions qui peuvent être évaluées.

Les options de recours pour les particuliers, de même que les processus pour ces actions, sont également très différents dans le cadre du CCPA par rapport au RGPD. Les particuliers ont le droit de poursuivre une organisation pour atteinte à la protection des données en vertu du CCPA, mais la loi ne prévoit pas de motifs pour intenter des poursuites pour infractions au CCPA qui ne se traduisent pas par une brèche. En fait, le CCPA oblige légalement le procureur général de la Californie à représenter les Californiens en cas d’infraction. De plus, le procureur général a l’option d’intenter une poursuite contre une organisation contrevenante pour une atteinte à la protection des données au nom des Californiens jusqu’à six mois après que l’a brèche se soit produite.

Une mise en garde importante concernant les sanctions du CCPA, cependant, est que seules les données recueillies au cours des 12 derniers mois peuvent faire l’objet de sanctions en vertu du CCPA.

Protection des données  avec XMedius

Les entreprises qui relèvent de la compétence du CCPA doivent rapidement déterminer et mettre en œuvre des processus pour se conformer à la loi. Étant donné que les organisations peuvent toujours recueillir et traiter les données d’une personne qui a choisi le retrait (jusqu’à ce qu’elles reçoivent une demande d’effacement), cela inclut une méthodologie pour prévenir la divulgation accidentelle de renseignements personnels.

XM Fax est une solution de fax sur IP (FoIP) sécurisée, facile à utiliser et hautement interopérable qui permet aux entreprises de partager des données personnelles entre différents bureaux sans risque de divulguer accidentellement l’information ou de la voir récupérée sur un courriel non crypté ou mal acheminé. XM Fax comprend également une riche fonctionnalité d’audit, permettant aux organisations d’identifier la source d’une brèche, le cas échéant, et de rationaliser les audits internes dans le cadre du CCPA et les audits relevant de toute autre norme pertinente (comme HIPAA, GDPR, SOX, FERPA, PCI DSS, etc.).

XM SendSecure est une solution d’échange de fichiers sécurisée qui permet le cryptage en transit et au repos. Contrairement à de nombreux services de partage de fichiers, XM SendSecure applique l’authentification à deux facteurs (2FA) en exploitant les informations de contact connues du destinataire, ce qui permet d’empêcher tout accès non autorisé au dossier partagé. Cette solution permet également un stockage éphémère, ce qui signifie que les fichiers partagés seront automatiquement supprimés au bout d’un certain temps, éliminant le risque que de vieilles informations soient récupérées à partir d’un dossier partagé oublié ou autrement désaffecté.

En savoir plus

Si le CCPA a une incidence sur votre organisation et que vous cherchez un moyen de protéger et de transférer en toute sécurité vos renseignements personnels, communiquez avec nous pour en savoir plus sur la façon dont nous pouvons vous aider.

 

PARLEZ À UN EXPERT

Leave a Comment