Les lois sur la confidentialité des données s’invitent de plus en plus au cœur du débat sur la sécurité des informations. Depuis le Règlement général européen sur la protection des données (RGPD) et le California Consumer Privacy Act jusqu’à la loi japonaise sur la protection des informations personnelles, la capacité à protéger les données des consommateurs figure en tête des préoccupations. La confiance du client devient un élément essentiel du modèle économique des entreprises dont l’activité repose sur les données des consommateurs.
Le Règlement général européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il a entraîné dans son sillage un autre changement en matière de confidentialité des données : le California Consumer Privacy Act (CCPA). Signé le 28 juin 2018 par le gouverneur de Californie Jerry Brown, le CCPA inscrit dans la loi certaines des mesures de protection les plus strictes du pays concernant la confidentialité des données des consommateurs.
La série d’incidents de violation de données dévastateurs survenus ces deux dernières années a soulevé de nombreuses questions et inquiétudes sur la façon dont les données des consommateurs sont traitées. Les incidents de grande ampleur et très médiatisés qui touchent les entreprises telles qu’Amazon ou Flunch très récemment font de 2018, « l’année des violations de données ». Avec des attaques de ce type, les violations de données semblent être devenues la norme, pas seulement aux États-Unis, mais aussi dans le monde entier.
Bien que conçu pour protéger les citoyens de l’UE, le RGPD a une portée beaucoup plus étendue. Le CCPA est le résultat de l’influence profonde qu’a eu le RGPD. Ce dernier a en effet changé les priorités des gouvernements et les a encouragés à protéger la confidentialité des informations personnelles. Certes, le CCPA n’entrera pas en vigueur avant le 1er janvier 2020, mais il est important de connaître les règles et processus à suivre pour s’y conformer, et de comprendre son impact à court et long terme en comparaison avec le RGPD.
Le CCPA en bref
Les entreprises exploitent depuis longtemps les informations personnelles des consommateurs pour servir leurs propres intérêts. Le California Consumer Privacy Act (CCPA) a pour but de protéger les droits des consommateurs californiens et de promouvoir un meilleur respect de la vie privée ainsi qu’une plus grande transparence globale. Les consommateurs exerceront un meilleur contrôle sur leurs informations personnelles et leur sécurité, et en deviendront propriétaires. Ils pourront demander aux entreprises quelles informations personnelles sont collectées à leur sujet, exiger leur suppression et interdire leur vente à des tiers.
Ces mesures de protection des données garantissent aux Californiens les droits suivants :
- Savoir quelles informations personnelles sont collectées à leur sujet
- Accéder aux informations personnelles recueillies à leur sujet et exiger leur suppression
- Savoir si leurs informations personnelles sont partagées et avec qui
- Interdire la vente de leurs informations personnelles
- Bénéficier d’un service de même qualité et à un prix identique, qu’ils exercent ou non leurs droits à la confidentialité des données
Il est en outre interdit aux entreprises de vendre les informations personnelles des consommateurs âgés de 13 à 16 ans sans leur accord. Concernant les mineurs de moins de 13 ans, le consentement de leurs parents ou d’un tuteur est requis. Ces nouvelles mesures de protection affectent les consommateurs californiens, mais aussi les entreprises californiennes.
À qui s’applique le CCPA ?
Selon le California Consumer Privacy Act, une entreprise est une entité à but lucratif qui collecte des informations personnelles sur les consommateurs. Par conséquent, toute entreprise exerçant une activité dans l’État de Californie et répondant à au moins l’un des critères suivants doit se soumettre à la loi :
- Des revenus annuels supérieurs à vingt-cinq millions de dollars (25 000 000 $)
- Achète, reçoit, vend ou partage les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils par an à des fins commerciales
- 50 % ou plus de ses revenus annuels proviennent de la vente des informations personnelles des consommateurs
En vertu du CCPA, les citoyens californiens sont autorisés à poursuivre au civil toute entreprise en infraction avec la loi. De plus, l’État peut directement engager des poursuites à l’encontre d’une entreprise, et la condamner à une amende de 7 500 $ si elle ne remédie pas à la situation sous 30 jours.
En quoi cette nouvelle loi californienne nous concerne-t-elle tous ? Elle s’inscrit dans une tendance générale à une plus grande responsabilité des entreprises vis-à-vis de la protection des données des consommateurs. Elle a par ailleurs incité d’autres pays et États à prendre plus au sérieux les informations personnelles et les droits des consommateurs à la confidentialité des données. Comme le souligne Alastair Mactaggart, principal défenseur du CCPA, « Bien que cette loi se limite actuellement à la Californie, les grandes entreprises devront bientôt offrir des droits similaires à tous les citoyens américains ».
CCPA, une version américaine du RGPD ?
Le Règlement général européen sur la protection des données est l’évolution de la Directive sur la protection des données (DPD) auparavant en vigueur dans l’UE. Il comble un grand nombre de lacunes de la DPD, avec notamment le renforcement des règles de minimisation des données, ainsi que l’obligation de documenter les procédures informatiques, de procéder à une évaluation des risques sous certaines conditions, et d’avertir le consommateur et les autorités en cas de violation des données. Le RGPD présente de grandes similitudes avec le CCPA.
On dit du CCPA qu’il s’inspire du RGPD. Et avec le vote récent du CCPA, nombreux sont ceux à se demander ce qui le distingue du RGPD, d’aucuns allant jusqu’à le qualifier de version américaine du règlement. Quelle que soit l’influence que le RGPD a pu avoir sur le CCPA, les deux réglementations présentent aussi des différences très claires.
Le CCPA et le RGPD accordent tous deux aux consommateurs certains droits sur la façon dont leurs informations personnelles sont collectées et utilisées. Plusieurs différences importantes sont toutefois à noter. La puissance économique de la Californie étant nettement supérieure à celle du Royaume-Uni, les sanctions financières risquent d’avoir des répercussions plus importantes que celles du RGPD. Même si l’entrée en vigueur du CCPA n’est pas prévue avant 2020, il a déjà une influence sur la législation fédérale.
Les gouvernements commencent à prendre très au sérieux la confidentialité des données. À l’instar du RGPD, le CCPA aura un impact considérable sur les juridictions d’État. Et même s’il faut attendre encore 15 mois avant son entrée en application, le RGPD nous a appris qu’un an et demi suffisait à peine aux entreprises pour se mettre en conformité.
Il est important de se préparer dès maintenant : une entreprise préparée s’épargnera bien des tracas (et des poursuites coûteuses). Répondre aux demandes d’accès des personnes concernées, que ce soit dans le cadre du RGPD, du CCPA ou d’une autre réglementation, peut se révéler particulièrement difficile : l’entreprise doit être en mesure d’identifier le contenu associé à la personne concernée, classifier et protéger les données des consommateurs, et, parfois, les supprimer sur demander.
Bien d’autres lois sur la confidentialité des données se profilent à l’horizon. Les entreprises doivent se préparer à respecter des réglementations plus strictes sur la confidentialité des données, notamment en ce qui concerne la découverte, la sécurité et la classification des informations.
__________
Guillaume Garbey, Directeur France de Varonis