Non préparé pour l’ACCP? Voici ce que vous devez savoir et faire – maintenant.

La California Consumer Privacy Act (CCPA) est entrée en vigueur le 1er janvier 2020 avec une période de grâce d’exécution de six mois. Cette date de fin est maintenant là.

Les bases. À titre de mise à jour, l’ACCP s’applique explicitement aux entreprises qui sont admissibles à un ou plusieurs des critères législatifs suivants : 

Avoir des revenus annuels bruts de plus de 25 millions de dollars;

Posséder les renseignements personnels de 50 000 consommateurs, ménages ou appareils ou plus; Ou

Gagnez plus de la moitié de leurs revenus annuels grâce à la vente de renseignements personnels des consommateurs

Un certain nombre de catégories d’entreprises sont explicitement exemptées de la conformité à l’ACCP, y compris certaines industries visées par la réglementation fédérale. Toutefois, la plupart des éditeurs devront être prêts à permettre aux consommateurs américains de se retirer des transferts de données par des tiers et de démontrer leur conformité aux organismes de réglementation en cas d’enquête ou de plainte.

L’avocat Aaron Tantleff, associé au cabinet d’avocats Foley & Lardner, offre un brin d’espoir que l’ACCP ne s’applique peut-être pas à tout le monde, tout en a averti que la loi a peu de frontières géographiques. « Nous avons parlé avec de nombreux clients qui ont appelé dans la panique pour découvrir que l’ACCP ne s’applique pas. L’applicabilité de l’ACCP, comme le GDPR, ne se limite pas aux seules organisations basées en Californie. Elle peut s’appliquer aux organisations qui n’ont aucune présence physique dans l’État.

Application large aux entreprises à l’échelle mondiale. En pratique, la loi s’appliquera largement à la plupart des entreprises commerciales, qu’elles ciblent ou non explicitement les résidents californiens.  Par exemple, une première analyse de la législation par l’IAPP dit:

Les entreprises peuvent passer [les renseignements personnels de 50 000 consommateurs] plus rapidement que prévu parce que la portée des renseignements personnels est vaste. La plupart des entreprises exploitent des sites Web et capturent inévitablement des adresses IP. Notamment, les entreprises doivent se conformer, que le site Web cible les entreprises ou les clients individuels en Californie étant donné que le terme « consommateur » est défini comme signifiant tout « résident ». Même les blogueurs individuels et les entreprises relativement petites en dehors de la Californie peuvent avoir du mal à s’assurer qu’ils ne reçoivent pas de renseignements personnels de plus de 50.000 visiteurs résidents de la Californie à leur site Web chaque année, tout simplement de le faire être passivement accessible à partir de là, et, en Californie, la plupart des détaillants, studios de remise en forme, salles de musique et d’autres entreprises vont atteindre ce seuil.

Risques de non-conformité. Le procureur général de Californie peut imposer des sanctions financières allant jusqu’à 2 500 $ pour les violations non délibérées et 7 500 $ pour les violations intentionnelles. Mais ces chiffres peuvent se multiples rapidement si des milliers ou des millions d’utilisateurs sont impliqués. Dans la plupart des cas, il n’y aura aucune responsabilité lorsque la violation est « guérie » dans les 30 jours suivant la réception de l’avis. Il existe également un droit d’action privé ou individuel lorsque des renseignements personnels sont divulgués à tort en vertu de l’ACCP. (Le premier recours collectif de l’ACCP [.pdf] a été déposé en février contre Hanna Andersson et Salesforce.)

Selon un récent sondage Ethyca mené auprès de 218 conseillers généraux d’entreprises technologiques, 56 % ont déclaré qu’ils n’étaient « pas préparés à de nouvelles réglementations sur la protection de la vie privée dans le monde entier », y compris l’ACCP. Au cours des mois qui ont précédé la date limite d’application de la loi, 43 % des répondants ont déclaré qu’ils avaient dépriorisé la protection de la vie privée en raison de la COVID-19. L’enquête a également révélé que le manque de ressources ou de coûts était le plus grand défi à relever pour se conformer.

Que faire maintenant. « Pour les entreprises qui cherchent toujours à se conformer, la première étape essentielle — et la seule — consiste à déterminer les données personnelles que vous possédez et où elles vivent », explique Cillian Kieran, PDG d’Ethyca. « Une fois que vous avez construit une carte de données qui a un enregistrement complet et complet des données que vous détenez et où elles vivent, vous pouvez vous soucier de mettre en place les structures pour répondre aux diverses tâches de conformité. Mais tout commence par la carte.

Le procureur Tantleff ajoute : « Documentez tout. À l’heure actuelle, les organisations devraient disposer d’un ensemble solide de mesures de sécurité. Toutefois, en vertu de l’ACCP, une organisation doit démontrer qu’elle a mis en œuvre des mesures de sécurité raisonnables visant à protéger les renseignements personnels en fonction de la nature et de la sensibilité de ces renseignements.

Selon Lisa Rapp, vice-présidente de l’éthique des données chez LiveRamp, « aucune entreprise ne devrait essayer de le faire par elle-même. La meilleure chose à faire est d’obtenir autant d’information que possible en lisant ce que les dirigeants de l’industrie disent, en restant à jour sur les documents que des groupes comme l’IAPP et le CCI sont en train de mettre, et de tendre la main à des cabinets d’avocats de premier plan qui traitent de la protection des données pour obtenir leurs conseils juridiques et les interprétations de la loi.