Qu'est-ce que le CPRA ? Loi californienne sur les droits à la vie privée : notions de base et aperçu

L'ACPL aura un impact sur la vie privée et les droits des consommateurs pour les années à venir. En novembre 2020, les électeurs californiens ont approuvé le California Privacy Rights Act de 2020, autrement connu sous le nom de CPRA. Il s'agit d'un amendement au California Consumer Privacy Act (CCPA) que les électeurs ont approuvé en 2018.

Le CPRA a modifié, élargi et clarifié les droits à la vie privée des résidents de Californie, et s'inspire de la politique GDPR de l'UE de diverses manières.

Par exemple, l'ACPL crée un nouvel organisme d'exécution. Auparavant, le CCPA était appliqué par le bureau du procureur général de Californie. Cependant, dans l'UE, le RGPD est appliqué par les autorités de protection des données - et maintenant, la Californie en a une aussi : la California Privacy Protection Agency (CPPA).

Cette agence se verra accorder des pouvoirs d'enquête, d'application et de réglementation. Plus important encore pour les entreprises, cette agence ne sera pas tenue d'autoriser une période de traitement de 30 jours, et les sanctions pour certaines violations de la politique peuvent désormais atteindre 7 500 $ par violation. C'est une augmentation de 3x.

Qu'est-ce que le CPRA ? L'ACPL expliquée

L'objectif de l'ACPL est de redéfinir et d'étendre la California Consumer Privacy Act (CCPA) afin de renforcer les droits des résidents de la Californie. Il offre aux consommateurs une plus grande possibilité de se retirer et nécessite une gestion délibérée de la confidentialité des données de la part des entreprises.

Avec tant de choses en jeu, vous vous demandez peut-être ce qui a changé et ce que cela signifie pour votre entreprise. Vous n'êtes pas seul. Alors que le potentiel d'amende a été multiplié par 3, votre entreprise a jusqu'au 1er janvier 2023, comme délai de mise en conformité. Voici ce que les entreprises doivent savoir sur l'ACPL .

Explication de la loi californienne sur les droits à la vie privée : ce que votre entreprise doit savoir

Le CCPA était déjà la loi sur la protection de la vie privée axée sur le consommateur la plus robuste des États-Unis. L'ACPL va encore plus loin et rend plus difficile toute clémence future à moins que la politique dans son intégralité ne soit révoquée.

En d'autres termes, vous voulez que votre entreprise soit en forme pour l'ACPL. Il n'y a pas de retour en arrière sur cette politique de confidentialité. Au lieu de cela, il est probable que davantage d'États commenceront à adopter des politiques similaires.

Couvrons les bases.

Quand devez-vous vous conformer à la CPRA ?

La plupart des dispositions de la loi californienne sur les droits à la vie privée de 2020 n'entreront en vigueur que le 2 janvier 2023. Cependant, les informations personnelles collectées à compter du 1er janvier 2022 feront partie de l'extension de la section "Droit de savoir".

Votre entreprise sera tenue d'accorder aux consommateurs le « droit de savoir » quelles données vous avez collectées à leur sujet et comment elles sont utilisées pour toute information que vous avez collectée à compter du 1er janvier 2022.

Qui doit se conformer à CPRA?

Pas tout le monde, et en fait, c'est l'un des domaines dans lesquels le CPRA est en fait plus indulgent que le CCPA original.

Dans le CCPA, les entreprises avec un nombre total de consommateurs de 50 000 ou plus devaient se conformer. Au CPRA, ce nombre est doublé. L'ACRP s'applique uniquement aux entreprises comptant plus de 100 000 consommateurs.

Si vous êtes une entreprise comptant plus de 100 000 clients, la CPRA s'appliquera à vous si vous générez au moins 50 % de vos revenus annuels de la vente ou du partage d'informations personnelles (IP) des consommateurs. Il s'agit d'une autre mise à jour de l'ACPL par rapport à la CCPA. Dans le CCPA, seule la vente d'informations personnelles sur les consommateurs était couverte. Dans la CPRA, cela a été élargi à « partager », c'est-à-dire avec des tiers.

Quels nouveaux règlements l'ACPL introduit-elle?

Une grande partie de la CPRA est une modification de la CCPA, mais un domaine d'introduction concerne les "informations personnelles sensibles". Il s'agira désormais d'un ensemble de données réglementé dans l'État de Californie.

Les renseignements personnels sensibles pour l'ACPL comprennent :

1. Identifiants gouvernementaux : les exemples incluent les numéros de sécurité sociale et les permis de conduire
2. Compte financier et informations de connexion : les exemples incluent le numéro de carte de crédit ou de débit ainsi que les identifiants de connexion
3. Géolocalisation précise
4. Race, origine ethnique, croyances religieuses ou philosophiques ou appartenance à un syndicat
5. Contenu des communications non publiques : exemples : courrier, e-mail et SMS
6. Données génétiques, informations biométriques ou de santé
7. Informations sur la vie sexuelle ou l'orientation sexuelle.

Les organisations qui collectent, vendent ou partagent ces informations seront tenues de divulguer qu'elles le font et de permettre aux consommateurs de s'inscrire et de se désinscrire.

Les tout nouveaux droits énoncés par le CPRA

• Droit de rectification
• Droit d'accès aux informations sur la prise de décision automatisée
• Droit de retrait de la technologie de prise de décision automatisée
• Obligations d'audit

Que signifie CPRA pour votre programme de confidentialité des données ?

Si vous êtes une entreprise avec plus de 100 000 clients ou avec des données sur plus de 100 000 consommateurs, et que vous utilisez ces données pour le marketing ou la publicité, ou pour générer des revenus pour votre entreprise, CPRA signifie plusieurs choses pour votre programme de confidentialité des données.

Politiques de consentement et d'opt-out en cours

Les règles de consentement ont été renforcées dans le CPRA, notamment pour les mineurs. Cela signifie que pour collecter les données d'un utilisateur, celui-ci doit donner son consentement explicite en sachant comment ses données seront utilisées et pendant combien de temps.

De plus, les consommateurs peuvent demander, et les entreprises sont tenues de confirmer, leur refus de programmes spécifiques, y compris la suppression de leurs données, même si un consentement préalable a été donné.

Pour les organisations, il sera crucial d'utiliser des outils comme une plate-forme de données client (CDP) pour automatiser ce à quoi les consommateurs sont inscrits, ce dont ils sont exclus et la suppression des données sur demande. Cela rendra également les obligations d'audit introduites dans ce projet de loi beaucoup plus faciles à gérer pour les organisations, car le CDP aide à se conformer aux exigences de confidentialité et de gouvernance des données .

Droit d'accès aux informations

En vertu de la CPRA, les consommateurs ont désormais le droit de voir quelles informations vous avez collectées à leur sujet et comment cela affecte leur expérience personnalisée avec votre marque. En fait, les consommateurs peuvent demander une description significative de la logique impliquée dans le processus de prise de décision pour les campagnes automatisées, les publicités, etc. Il est essentiel d'avoir un plan de confidentialité des données.

Pour faciliter cela aux équipes, encore une fois, un CDP est utile, en particulier celui qui est intégré à une solution CRM. Ensemble, ces outils peuvent être utilisés pour créer des connexions et des pages personnalisées permettant aux consommateurs de voir toutes leurs données, les flux dans lesquels ils se trouvent et de gérer leurs propres préférences de données.

Objectif et limites de stockage

Comme mentionné précédemment, le CPRA s'inspire de la politique GDPR de l'UE. Ceux-ci inclus:

1. Minimisation des données
2. Limitation de l'objectif
3. Limite de stockage

Ces exigences signifient que les entreprises doivent collecter le moins d'informations dont elles ont besoin et qu'elles doivent indiquer le but de leur collecte de données (c'est-à-dire comment elles seront utilisées) et pendant combien de temps elles les conserveront.

Quelle que soit la politique de votre entreprise, vous voudrez vous assurer d'automatiser ce que dit votre politique de confidentialité avec votre système. Par exemple, si vous déclarez que vous conserverez les données dans le système pendant deux ans, vous souhaiterez automatiser la suppression de ces informations dès que ces 24 mois seront écoulés.

Encore une fois, cela sera extrêmement utile pour les audits et garantira l'absence d'erreurs manuelles ou d'oublis de la part des employés.

Prochaines étapes proactives pour se conformer à la California Privacy Rights Act (CPRA)

Pour les organisations réalisant plus de 25 millions de dollars de revenus annuels, collectant des données auprès de plus de 100 000 consommateurs et réalisant au moins 50 % des bénéfices de la vente ou du partage de ces données, il est maintenant temps d'obtenir un CDP.

La centralisation des données client de toutes les sources à l'aide d'un CDP aidera votre équipe à automatiser plusieurs des nouvelles politiques, à faciliter les audits et à satisfaire les clients, sans avoir à augmenter la charge de travail de l'équipe pour le marketing, les ventes, la publicité ou tout autre service.

N'oubliez pas que la CPRA est de loin la loi sur la protection de la vie privée des consommateurs la plus robuste aux États-Unis, mais ce ne sera pas la dernière – pas plus que cet amendement. Alors que le Web axé sur la confidentialité continue de progresser et de gagner du terrain, les organisations devront devenir plus intelligentes et plus transparentes sur ce qu'elles collectent, sur qui et comment elles l'utilisent. Investir maintenant vous évite des amendes et des maux de tête à l'avenir.