California Consumer Privacy Act (CCPA)

Vue d’ensemble du CCPA

Le California Consumer Privacy Act (CCPA) est la première loi complète sur la protection de la vie privée dans le États-Unis. Il fournit plusieurs droits de confidentialité aux consommateurs californiens. Les entreprises réglementées par le CCPA auront un certain nombre d’obligations vis-à-vis de ces consommateurs, notamment des divulgations, des droits des personnes concernées par le règlement général sur la protection des données (RGPD), une « désinscription » pour certains transferts de données et une exigence d'« adhésion » pour les mineurs.

Le CCPA s’applique uniquement aux entreprises qui font des affaires en Californie et qui satisfont une ou plusieurs des conditions suivantes : (1) ont un chiffre d’affaires annuel brut de plus de 25 millions de dollars, ou (2) tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles sur les consommateurs californiens, ou (3) achètent, vendent ou partagent les informations personnelles de plus de 50 000 consommateurs californiens chaque année.

Le CCPA est entré en vigueur le 1er janvier 2020. La mise en application par le procureur général (AG) de Californie a commencé le 1er juillet 2020.

Le groupe de disponibilité californien applique le CCPA et a le pouvoir d’émettre des amendes de non-conformité. Le CCPA prévoit également un droit d’action privé qui se limite aux violations de données. Dans le cadre du droit d’action privé, les dommages et intérêts peuvent être compris entre 100 $ et 750 $ par incident par client. Le procureur général de Californie peut également faire appliquer le CCPA dans son intégralité, avec la possibilité de percevoir une sanction civile d’au maximum 2 500 $ par violation ou 7 500 $ par violation intentionnelle.

Microsoft et le CCPA

Pour les clients commerciaux qui font des affaires en Californie, Microsoft agit en tant que « fournisseur de services » dans le cadre de notre offre de services en ligne et de services professionnels. Les conditions des Conditions des services en ligne (OST) et l’Addendum sur la protection des données des services professionnels Microsoft (MSDPA) répondent déjà aux exigences des fournisseurs de services en vertu du CCPA et sont généralement suffisants pour permettre aux clients de continuer à transférer des données vers nos services en ligne. Par conséquent, aucune modification contractuelle supplémentaire n’est requise pour que les clients puissent s’appuyer sur Microsoft en tant que fournisseur de services dans le cadre du CCPA.

Comme indiqué dans l’OST, Microsoft se conforme à toutes les lois et réglementations applicables à sa fourniture des services en ligne, y compris le CCPA.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure
• Azure Dev Ops
• Dynamics 365
• Intune
• Office 365
• Support et services professionnels
• Visual Studio

Comment vous pouvez préparer votre conformité CCPA lors de l’utilisation des produits et services Microsoft

Voici quelques étapes à suivre pour vous préparer au CCPA :

• Commencez à tirer parti de l’évaluation RGPD dans le Gestionnaire de conformité dans le cadre de votre programme de confidentialité CCPA.
• Établissez un processus pour répondre efficacement aux demandes d’accès des personnes concernées (DSAR) à l’aide de l’outil Demandes des personnes concernées.
• Configurez des étiquettes et des stratégies pour découvrir, classifier & étiquette et protéger les données sensibles avec Protection des données Microsoft Purview.
• Utilisez les fonctionnalités de chiffrement du courrier électronique pour contrôler davantage les informations sensibles.

Forum aux questions

Quel effet le CCPA aura-t-il sur mon entreprise ?

La plupart des droits du CCPA accordés aux Californiens sont similaires aux droits que le RGPD fournit, y compris les demandes de divulgation et de droit de la personne concernée (DSR), telles que l’accès, la suppression et la portabilité. Par conséquent, le client peut se tourner vers nos solutions RGPD existantes pour l’aider dans sa conformité ccpa.

Pour commencer votre parcours CCPA, vous devez vous concentrer sur la découverte d’informations, déterminer la façon dont les informations personnelles sont partagées, régir la façon dont elles sont utilisées, comment elles sont protégées et mettre en place un programme formel de réponse aux violations de données.

Quelles sont les différences entre le RGPD et le CCPA ?

Il existe de nombreuses différences. Il est plus facile de se concentrer sur les similitudes, notamment :

• Obligations de transparence/divulgation,
• Droits des consommateurs d’accès, de suppression et de réception d’une copie des données,
• Définition des « fournisseurs de services » qui est similaire à la façon dont le RGPD définit les « sous-traitants » avec une obligation contractuelle similaire, et
• Définition des « entreprises » qui englobe la définition rgpd des « contrôleurs ».

La plus grande différence dans le CCPA est l’exigence de base de permettre une désinscription de la vente de données à des tiers (avec la « vente » largement définie pour inclure le partage de données à des fins utiles).

Quels droits les entreprises doivent-elles respecter dans le cadre du CCPA ?

Le CCPA exige que les entreprises réglementées recueillent, transfèrent et vendent des renseignements personnels à, entre autres :

• Avant la collecte, mettre à disposition des consommateurs des informations concernant les catégories et objets de la collecte.
• Fournissez des divulgations plus détaillées dans une politique de confidentialité concernant les sources, les fins commerciales et les catégories d’informations personnelles collectées, y compris la façon dont ces catégories sont vendues ou transférées à d’autres entités.
• Activez les droits d’accès, de suppression et de portabilité DSR pour les informations personnelles spécifiques que vous avez collectées.
• Activez un contrôle qui permettra aux consommateurs de refuser la vente des données du consommateur. Toutefois, les transferts à des entités exemptées, telles que des fournisseurs de services, seront autorisés.
• Pour les mineurs de moins de 16 ans, activez un processus d’adhésion afin qu’aucune vente des informations personnelles du mineur ne puisse avoir lieu sans participer activement à la vente.
• S’assurer que les consommateurs ne subissent pas de discriminations pour avoir exercé l’un des droits garantis par le CCPA.

Comment le CCPA s’applique-t-il aux enfants ?

• Le CCPA présente des obligations en matière de consentement parental en accord avec la réglementation COPPA (Children’s Online Privacy Protection Act) pour les enfants âgés de moins de 13 ans.
• Pour les enfants entre 13 et 16 ans, le CCPA impose une nouvelle obligation d’obtenir le consentement de l’enfant.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

• Cinq conseils pour vous aider à vous préparer à la nouvelle loi californienne sur la protection des données personnelles des consommateurs
• Évaluer votre conformité CCPA avec le score de conformité Microsoft
• Demandes des personnes concernées et RGPD
• California Consumer Privacy Act (CCPA) FAQ
• Conformité sur le site Microsoft Trust Center