Ameesh Divatia est cofondateur & PDG de Baffle, Inc…, avec une expérience éprouvée dans la transformation d’idées novatrices en entreprises prospères.
L’adoption par la Californie de la California Privacy Rights Act (CPRA) le 3 novembre s’appuie sur la California Consumer Privacy Act (CCPA). Le règlement européen sur la protection de la vie privée, le GDPR, est la référence en matière de lois sur la confidentialité des données, et la CPRA se rapproche de cette norme en reflétant le désir accru de la société pour la confidentialité des données. En outre, la CPRA donne aux consommateurs un contrôle et un accès encore plus grands aux données personnelles collectées par les entreprises que ce que faisait la CCPA.
Pour les entités couvertes, cela peut ressembler à un « coup de poing double » réglementaire, car la CCPA vient d’être signée en janvier, avec une mise en œuvre qui a commencé en juillet. La bonne nouvelle pour les entreprises est que l’ACPR n’entrera pas en vigueur avant 2023, ce qui donne aux entreprises le temps de mettre en place l’infrastructure nécessaire pour se conformer. Bien que la CPRA ait de nombreuses facettes qui doivent être examinées, comme l’a expliqué l’IAPP en mai, je crois qu’il y a trois domaines de la nouvelle loi qui apportent des défis importants en ce qui concerne la protection des données :
– Création de l’Agence californienne de protection de la vie privée (CalPPA).
– Création de la catégorie des renseignements personnels sensibles.
– Élargissement des droits des consommateurs et de la conformité des contrôleurs de données.
Création de la CalPPA
En vertu de la CPRA, la responsabilité de l’application passe du procureur général à la CalPPA nouvellement formée. L’agence sera composée d’un conseil de cinq membres qui protégera le droit à la vie privée des personnes, favorisera la sensibilisation du public et fournira des conseils aux consommateurs et aux entreprises dans le cadre de la loi. Ils seront également habilités à mettre en œuvre et à appliquer la loi et à percevoir des amendes en cas de violation.
Avec ce transfert de responsabilité vers une agence uniquement dédiée à la CPRA, je pense que le processus d’application sera probablement beaucoup plus rigoureux et bien défini. Par conséquent, les organisations devront être encore plus dévouées pour s’assurer qu’elles mettent en œuvre l’infrastructure appropriée pour se conformer à la loi dès le premier jour.
Informations personnelles sensibles
La CPRA a élargi les formats des données protégées pour inclure une nouvelle classification : les informations personnelles sensibles. Selon l’IAPP, ces informations comprennent des détails tels que la géolocalisation précise d’un consommateur, sa race, son origine ethnique, sa religion, son orientation sexuelle, son appartenance syndicale, ses communications personnelles, ses données génétiques et ses informations biométriques ou de santé.
La protection des informations personnelles sensibles peut être un défi sur deux fronts. Premièrement, elle augmente de façon exponentielle la quantité de données à protéger, ce qui nécessitera une vigilance accrue dans le domaine de l’identification des données. Le second défi est plus nuancé dans la mesure où les informations personnelles sensibles ne suivent pas les formats d’identification traditionnels – tels que les numéros de sécurité sociale, les numéros de cartes de crédit et de débit, et les adresses. Cela signifie que les entités couvertes peuvent avoir à employer des techniques avancées d’identification et de protection des données avec lesquelles de nombreuses organisations ne sont pas actuellement familiarisées.
Droits étendus des consommateurs et conformité des collecteurs de données
La CPRA exige désormais que les entités couvertes communiquent avec les consommateurs sur la durée pendant laquelle elles prévoient de conserver les données des consommateurs. En outre, la loi limite officiellement la durée pendant laquelle les entreprises peuvent conserver les données. L’adhésion à cette facette de la CPRA exigera des entreprises qu’elles améliorent encore les protocoles de contrôle et de mise à jour des registres de conservation afin de s’assurer qu’elles communiquent ces informations aux consommateurs de manière conforme.
La CPRA exigera également que les fournisseurs de services, les entrepreneurs et les tiers qui travaillent avec les entreprises couvertes adhèrent à la nouvelle législation, les faisant effectivement adhérer aux exigences de la CPRA indépendamment du fait qu’ils y soient eux-mêmes soumis directement. Ces organisations ne peuvent pas utiliser les données qu’elles reçoivent à d’autres fins que celles qui ont été convenues au départ. Elles ne peuvent pas vendre ces informations, et elles devront probablement mettre en œuvre des pratiques de protection de la vie privée plus rigides et plus complètes que celles qu’elles pourraient employer autrement.
Comment les organisations devraient se préparer à la CPRA
Bien que devenir conforme à la CPRA nécessitera beaucoup d’efforts pour la plupart des entités couvertes, elles auront deux ans pour se préparer, ce qui devrait leur donner le temps de mettre de l’ordre dans leurs affaires. Considérez les suggestions suivantes pour vous assurer d’être prêt pour la CPRA en 2023:
– Auditez dès maintenant les politiques d’identification, de protection et de conservation des données. Prenez note de toute incohérence des politiques actuelles par rapport à la toile de fond de la CPRA et commencez à apporter les ajustements appropriés. Selon toute vraisemblance, les organisations auront récemment pris cette mesure pour la conformité au CCPA, de sorte que faire le saut vers la conformité à l’ACPR devrait être plus facile cette fois-ci. Toute organisation qui a poursuivi la conformité au GDPR aura déjà une longueur d’avance pour la conformité à l’ACPR.
– Commencez les discussions avec les fournisseurs de services, les entrepreneurs et les tiers. Maintenant que les partenaires seront tenus responsables des données que les entités couvertes partagent avec eux, ils devraient mieux comprendre les étapes à suivre pour les protéger. Et l’examen minutieux des partenaires potentiels vous obligera à vous renseigner sur la façon dont ils prévoient de satisfaire aux exigences du CPRA. Créez des questionnaires de conformité pour ces entités afin de rendre le processus plus facile à gérer.
– Demandez des solutions prêtes pour la CPRA. Il y a probablement de nombreuses solutions que les organisations utilisent qui devront être révisées pour adhérer plus facilement à la CPRA – par exemple, la sécurité du cloud, la gestion des données, la confidentialité des données et les outils de partage des données. Soyez proactif pour partager vos préoccupations avec les fournisseurs si ce qu’ils offrent ne vous aidera pas à maintenir efficacement la conformité à la CPRA.
La législation sur la confidentialité des données des consommateurs gagne du terrain dans toutes les géographies et tous les secteurs, et la CPRA en est le dernier exemple. En accélérant les investissements dans les aspects difficiles maintenant, les entités couvertes peuvent se tenir prêtes à maintenir la conformité lorsque la loi entrera en vigueur et être plus agiles lorsqu’elles devront faire face à de futures lois sur la confidentialité.
Le conseil technologique de Forbes est une communauté sur invitation seulement pour les DSI, les CTO et les cadres technologiques de classe mondiale. Suis-je admissible ?
Suivez-moi sur Twitter ou LinkedIn. Consultez mon site Web.