le marketing de contenu

L'application du CCPA commence maintenant et la plupart des entreprises ne sont pas prêtes

La California Consumer Privacy Act (CCPA) est entrée en vigueur le 1er janvier 2020 avec un délai de grâce de six mois. Cette date de fin est maintenant ici.

Les bases. À titre de rappel, le CCPA s'applique explicitement aux entreprises qui remplissent les conditions requises selon un ou plusieurs des critères statutaires suivants :  

  • Avoir des revenus annuels bruts de plus de 25 millions de dollars ;
  • Posséder les informations personnelles de 50,000 XNUMX consommateurs, ménages ou appareils ou plus ; ou
  • Gagnez plus de la moitié de leurs revenus annuels en vendant les informations personnelles des consommateurs

Un certain nombre de catégories d'entreprises sont explicitement exemptées de la conformité au CCPA, y compris certaines industries couvertes par la réglementation fédérale. Cependant, la plupart des éditeurs devront être prêts à permettre aux consommateurs américains de refuser les transferts de données par des tiers et de démontrer leur conformité aux régulateurs en cas d'enquête ou de plainte.

L'avocat Aaron Tantleff, associé du cabinet d'avocats Foley & Lardner, offre une lueur d'espoir que le CCPA ne s'applique pas à tout le monde, tout en avertissant que la loi a peu de frontières géographiques. «Nous avons parlé avec de nombreux clients qui ont appelé dans la panique pour découvrir que le CCPA ne s'applique pas. L'applicabilité du CCPA, comme le GDPR, n'est pas limitée aux seules organisations basées en Californie. Elle peut s'appliquer aux organisations qui n'ont aucune présence physique dans l'État.

Large application aux entreprises du monde entier. En pratique, la loi s'appliquera largement à la plupart des entreprises commerciales, qu'elles ciblent ou non explicitement les résidents californiens. Par exemple, une première analyse de la législation par l'IAPP indique :

Les entreprises peuvent franchir le seuil [des informations personnelles des 50,000 50,000 consommateurs] plus rapidement que prévu car la portée des informations personnelles est large. La plupart des entreprises exploitent des sites Web et capturent inévitablement des adresses IP. Notamment, les entreprises doivent se conformer, que le site Web cible des entreprises ou des clients individuels en Californie, étant donné que le terme « consommateur » est défini comme signifiant tout « résident ». Même les blogueurs individuels et les entreprises relativement petites en dehors de la Californie peuvent avoir des difficultés à s'assurer qu'ils ne reçoivent pas les informations personnelles de plus de XNUMX XNUMX visiteurs résidents californiens sur leur site Web chaque année, simplement parce qu'ils sont accessibles passivement à partir de là, et, en Californie, la plupart les détaillants, les studios de fitness, les salles de concert et d'autres entreprises atteindront ce seuil.

Risques de non-conformité. Le procureur général de Californie peut imposer des sanctions financières allant jusqu'à 2,500 7,500 $ pour les violations non intentionnelles et 30 XNUMX $ pour les violations intentionnelles. Mais ces chiffres peuvent se multiplier rapidement si des milliers ou des millions d'utilisateurs sont impliqués. Dans la plupart des cas, il n'y aura aucune responsabilité si la violation est « corrigée » dans les XNUMX jours suivant la réception de l'avis. Il existe également un droit d'action privé ou individuel lorsque des renseignements personnels sont divulgués à tort en vertu du CCPA. (Le premier recours collectif CCPA [.pdf] a été déposé en février contre Hanna Andersson et Salesforce.)

Selon un récent sondage d'Ethyca auprès de 218 conseillers juridiques d'entreprises technologiques, 56 % ont déclaré qu'ils n'étaient « pas préparés aux nouvelles réglementations en matière de confidentialité à venir dans le monde entier », qui comprend le CCPA. Au cours des mois qui ont précédé la date limite d'application, 43 % des personnes interrogées ont déclaré qu'elles n'avaient pas accordé la priorité à la préparation à la protection de la vie privée en raison de la COVID-19. L'enquête a également révélé que le manque de ressources ou de coûts était le plus grand défi pour se conformer.

Que faire maintenant. « Pour les entreprises qui cherchent toujours à se mettre en conformité, la première étape essentielle – et unique – consiste à déterminer les données personnelles que vous possédez et où elles se trouvent », explique Cillian Kieran, PDG d'Ethyca. « Une fois que vous avez créé une carte de données qui contient un enregistrement complet et complet des données que vous détenez et de leur emplacement, vous pouvez vous soucier de la mise en place des structures pour effectuer diverses tâches de conformité. Mais tout commence par la carte.

L'avocat Tantleff ajoute : « Documentez tout. À l'heure actuelle, les organisations devraient avoir mis en place un ensemble solide de mesures de sécurité. Cependant, en vertu de la CCPA, une organisation doit démontrer qu'elle a mis en œuvre des mesures de sécurité raisonnables conçues pour protéger les informations personnelles en fonction de la nature et de la sensibilité de ces informations.

Selon Lisa Rapp, vice-présidente de l'éthique des données chez LiveRamp, « Aucune entreprise ne devrait essayer de le faire par elle-même. La meilleure chose à faire est d'obtenir autant d'informations que possible en lisant ce que disent les leaders de l'industrie, en restant à jour sur les documents que des groupes comme l'IAPP et l'IAB publient et en contactant des cabinets d'avocats de premier plan qui traitent avec la confidentialité des données pour obtenir leurs conseils juridiques et leurs interprétations de la loi.

Julie Rubash, vice-présidente juridique chez Nativo, recommande aux éditeurs de lire le règlement final du procureur général « pour s'assurer que les plans actuels [de confidentialité] sont conformes à l'interprétation du procureur général ». Elle ajoute que « des outils tels que le cadre IAB CCPA sont un pas dans la bonne direction pour se préparer à une enquête et limiter les perturbations des revenus. Les éditeurs qui tirent parti de l'outil IAB CCPA Compliance Framework et signent l'accord de fournisseur de services limité sont peu susceptibles de subir un impact significatif sur leurs modèles commerciaux.

Abby Matchett, l'analyse d'entreprise a déclaré à Bounteous, a déclaré: "Parce que la CCPA prend une vision beaucoup plus large des données personnelles que les directives européennes de la GDPR, la plupart des entreprises doivent entreprendre un inventaire interne important de toutes les données pouvant être liées, directement ou indirectement, avec un consommateur ou ménage. La réalisation d'un tel inventaire représente une lourde charge pour les services informatiques, les services juridiques et les analystes de données qui peuvent déjà se consacrer à d'autres priorités internes. Surmonter cet obstacle est l'une des premières étapes vers la conformité, mais c'est souvent la plus difficile à coordonner et à documenter complètement. »

Matchett explique en outre : « Si vous craignez de ne pas avoir le temps de créer une solution numérique maison à cette fin, envisagez de contacter des sociétés tierces de logiciels Cookie Consent Manager qui se spécialisent dans la maintenance de solutions compatibles CCPA et GDPR. Certains gestionnaires de consentement courants incluent TrustArc, OneTrust et Quantcast, entre autres. »

Voici l'ACPL. Même si de nombreuses entreprises ont du mal à se conformer au CCPA, une nouvelle initiative de vote en Californie en novembre pourrait imposer des règles de confidentialité encore plus strictes si elle est adoptée. Selon Katelyn Ringrose du Future of Privacy Forum, « Bien que les entreprises aient peut-être commencé et, dans certains cas, finalisé des programmes de conformité et des efforts solides concernant la CCPA, la California Privacy Rights Act (CPRA), récemment certifiée pour le scrutin de 2020, aurait pu une date de promulgation dès 2023, imposant des obligations supplémentaires aux entités couvertes. La CPRA créerait une classification des données sensibles, imposerait des obligations supplémentaires aux processeurs et exigerait la création d'une agence californienne de protection de la vie privée. »

Pourquoi nous nous soucions. Un grand nombre de consommateurs ont exprimé des inquiétudes quant à la manière dont leurs données sont traitées en ligne. Mais il existe des preuves que les entreprises de « privacy forward » bénéficient à la fois de la marque et des avantages financiers, en termes de confiance accrue des consommateurs et de croissance encore plus forte des revenus.

Il est insensé de retarder la prise des mesures nécessaires pour donner la priorité à la confidentialité et à la sécurité des données. Comme l'a dit Tom O'Regan, PDG de Madison Logic, « En fin de compte, se conformer aux contrôles du CCPA coûtera beaucoup moins cher que les sanctions en cas de non-conformité. »

Le jeudi en direct avec Search Engine Land sera une discussion spéciale sur le CCPA et la confidentialité mettant en vedette Lisa Rapp, VP Éthique des données, En directRamp, Abby Matchett, Responsable analytique d'entreprise, Bounty, Katelyn Ringrose, avocat, Forum sur l'avenir de la confidentialité.

Il commence à 1 h 00 HAE et permettra à jusqu'à 100 personnes de participer à la réunion pour vivre la discussion en direct et poser des questions. Si vous êtes un spécialiste du marketing numérique, vous ne pouvez pas vous permettre de manquer cela. Inscrivez-vous ici.

Articles Relatifs

0 Commentaires
Commentaires en ligne
Voir tous les commentaires
Retour à bouton en haut