California Consumer Privacy Act (CCPA)

Vue d’ensemble du CCPA

Le California Consumer Privacy Act (CCPA) est la première loi complète sur la protection des renseignements personnels dans le États-Unis. Il offre une variété de droits à la vie privée aux consommateurs californiens. Les entreprises réglementées par le CCPA auront un certain nombre d’obligations à l’égard de ces consommateurs, notamment les divulgations, le Règlement général sur la protection des données (RGPD), les droits relatifs aux personnes concernées par les données des consommateurs (DSR), une « désactivation » de certains transferts de données et une exigence d'« adhésion » pour les mineurs.

Le CCPA s’applique uniquement aux entreprises faisant des affaires en Californie qui satisfont à une ou plusieurs des conditions suivantes : (1) ont un chiffre d’affaires annuel brut de plus de 25 millions de dollars, ou (2) tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles de consommateurs californiens, ou (3) achètent, vendent ou partagent les informations personnelles de plus de 50 000 consommateurs californiens chaque année.

Le CCPA sera applicable à partir du 1er janvier 2020. Toutefois, l’application par le procureur général de Californie (AG) commencera le 1er juillet 2020.

Le groupe de disponibilité de Californie appliquera le CCPA et aura le pouvoir d’émettre des amendes de non-conformité. Le CCPA fournit également un droit d’action privé qui est limité aux violations de données. Dans le cadre du droit d’action privé, les dommages et intérêts peuvent être compris entre 100 $ et 750 $ par incident par client. Le procureur général de Californie peut également faire appliquer le CCPA dans son intégralité, avec la possibilité de percevoir une sanction civile d’au maximum 2 500 $ par violation ou 7 500 $ par violation intentionnelle.

Microsoft et le CCPA

Pour les clients commerciaux faisant des affaires en Californie, Microsoft agira en tant que « fournisseur de services » en ce qui concerne notre offre services en ligne et services professionnels. Les conditions des conditions d’utilisation des services en ligne (OST) et de Microsoft Professional Services Data Protection Addendum (MSDPA) répondent déjà aux exigences des fournisseurs de services en vertu du CCPA et sont généralement suffisantes pour permettre aux clients de continuer à transférer des données vers nos services en ligne. Par conséquent, aucune modification contractuelle supplémentaire n’est requise pour que les clients puissent compter sur Microsoft en tant que fournisseur de services dans le cadre du CCPA.

Comme indiqué dans l’OST, Microsoft se conforme à toutes les lois et réglementations applicables à sa fourniture des services en ligne, qui comprendraient le CCPA.

Services de plateformes & cloud microsoft dans l’étendue

• Azure
• Azure Dev Ops
• Dynamics 365
• Intune
• Office 365
• Support et services professionnels
• Visual Studio

Comment vous pouvez préparer votre conformité CCPA lors de l’utilisation des produits et services Microsoft

Voici quelques étapes que vous pouvez suivre pour vous préparer à l’ACSP :

• Commencez à tirer parti de l’évaluation du RGPD dans le Gestionnaire de conformité dans le cadre de votre programme de confidentialité CCPA.
• Établissez un processus pour répondre efficacement aux demandes d’accès aux personnes concernées à l’aide de l’outil Demandes de personnes concernées.
• Configurez l’étiquette et les stratégies pour découvrir, classifier & l’étiquette et protéger les données sensibles avec Protection des données Microsoft Purview.
• Utilisez les fonctionnalités de chiffrement du courrier électronique pour contrôler davantage les informations sensibles.

Questions fréquemment posées

Quel effet le CCPA aura-t-il sur mon entreprise ?

La plupart des droits du CCPA accordés aux Californiens sont similaires aux droits que le RGPD fournit, notamment les demandes de divulgation et de droits de personne concernée (DSR), telles que l’accès, la suppression et la portabilité. Par conséquent, le client peut se tourner vers nos solutions RGPD déjà existantes pour les aider à respecter leur conformité CCPA.

Pour commencer votre parcours CCPA, vous devez vous concentrer sur la découverte d’informations, la détermination de la façon dont les informations personnelles sont partagées, la façon dont elles sont utilisées, la façon dont elles sont protégées et la mise en place d’un programme formel de réponse aux violations de données.

Quelles sont les différences entre le RGPD et le CCPA ?

Il existe de nombreuses différences. Il est plus facile de se concentrer sur les similitudes, notamment :

• Obligations de transparence/divulgation,
• Droits des consommateurs d’accéder, de supprimer et de recevoir une copie de données,
• Définition des « fournisseurs de services » qui est similaire à la façon dont le RGPD définit les « processeurs » avec une obligation contractuelle similaire, et
• Définition des « entreprises » qui englobe la définition du RGPD des « contrôleurs ».

La plus grande différence dans ccpa est l’exigence principale pour permettre une désactivation de la vente de données à des tiers (avec la « vente » largement définie pour inclure le partage des données pour une considération précieuse).

Quels droits les entreprises doivent-elles respecter dans le cadre du CCPA ?

Le CCPA exige des entreprises réglementées qui collectent, transfèrent et vendent des informations personnelles, entre autres choses :

• Avant la collecte, mettre à disposition des consommateurs des informations concernant les catégories et objets de la collecte.
• Fournissez des informations plus détaillées dans une politique de confidentialité concernant les sources, les objectifs commerciaux et les catégories d’informations personnelles collectées, y compris la façon dont ces catégories sont vendues ou transférées à d’autres entités.
• Activez les droits d’accès, de suppression et de portabilité DSR pour les éléments spécifiques d’informations personnelles qui ont été collectés par vous.
• Activez un contrôle qui permettra aux consommateurs de refuser la vente des données du consommateur. Toutefois, les transferts vers des entités exemptées, telles que les fournisseurs de services, seront autorisés.
• Pour les mineurs de moins de 16 ans, activez un processus d’adhésion afin qu’aucune vente des informations personnelles du mineur ne puisse avoir lieu sans participer activement à la vente.
• S’assurer que les consommateurs ne subissent pas de discriminations pour avoir exercé l’un des droits garantis par le CCPA.

Comment le CCPA s’applique-t-il aux enfants ?

• Le CCPA présente des obligations en matière de consentement parental en accord avec la réglementation COPPA (Children’s Online Privacy Protection Act) pour les enfants âgés de moins de 13 ans.
• Pour les enfants de 13 à 16 ans, le CCPA impose une nouvelle obligation d’obtenir le consentement de l’enfant.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

• 5 conseils pour vous aider à préparer la nouvelle Loi sur la confidentialité des consommateurs de Californie
• guide Prise en main avec CCPA
• Demandes d’objet de données et RGPD
• California Consumer Privacy Act (CCPA) FAQ
• Conformité sur le site Microsoft Trust Center