Adoptée initialement en juin 2018 et en vigueur depuis janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) réglemente la collecte et la vente des données des consommateurs par les entreprises, dans le but de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler l'utilisation de ces informations.
Le site CCPA a été élargi en 2023 par la loi californienne sur les droits à la vie privée (California Privacy Rights Act - CPRA), qui ajoute de nouvelles obligations de conformité imposant des accords stricts avec des tiers pour garantir la collecte, l'utilisation et l'élimination en toute sécurité des informations relatives aux consommateurs. Bien que largement identique au site CCPA, le CPRA :
Ce post examine les exigences clés de CCPA, à qui il s'applique, et comment les organisations peuvent s'assurer que leurs tiers protègent les données de leurs clients. Pour simplifier, ce billet fait référence aux deux règlements - CCPA et CPRA - sous le nom de CCPA.
Commençons par la définition des "informations personnelles". Le site CCPA définit les informations personnelles sensibles comme "des informations qui identifient, concernent, décrivent, peuvent raisonnablement être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier".
Le site CCPA exige des entreprises qu'elles informent les résidents californiens des données recueillies avant de les collecter. Elle permet aux consommateurs d'accéder à toutes les données personnelles détenues par une entreprise et de recevoir des informations sur les personnes ou les organisations avec lesquelles ces données ont été partagées. Elle permet également aux consommateurs de se retirer et d'empêcher que leurs données personnelles soient vendues ou partagées avec un tiers.
Bien que le site CCPA soit techniquement une loi de l'État de Californie, sa portée se fait sentir bien au-delà des frontières de l'État d'or. La surveillance du site CCPA ne se limite pas aux entreprises dont le siège social est situé en Californie, ni même aux entreprises qui exercent physiquement leurs activités en Californie - le site CCPA s'applique aux données des consommateurs recueillies auprès de tout résident de Californie.
Étant donné que la Californie compte environ 40 millions d'habitants et qu'elle serait la cinquième économie mondiale si elle était son propre pays, il y a de fortes chances que si votre entreprise recueille des données sur les consommateurs, vous ayez recueilli les données d'un résident californien. En fait, de nombreuses entreprises choisissent de traiter chaque consommateur comme s'il s'agissait d'un résident californien, et se préparent donc à la mise en conformité de leurs activités avec le site CCPA .
Si une entreprise est jugée responsable d'une sanction civile en vertu du site CCPA, la sanction peut atteindre 7 500 dollars par violation intentionnelle et 2 500 dollars par violation non intentionnelle. Le tribunal peut également ordonner des dommages-intérêts légaux pour les consommateurs.
Lasection 1798.100 du site CCPA stipule qu'une entreprise qui recueille les informations personnelles d'un consommateur et les vend ou les partage avec un tiers doit conclure un accord avec ce tiers qui "oblige le tiers, le prestataire de services ou l'entrepreneur à se conformer" aux règlements sur la confidentialité du site CCPA. Les organisations doivent donc s'assurer que leurs partenaires et fournisseurs de services tiers sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants au moyen d'une évaluation approfondie de la sécurité. CCPA La section 1798.185 (15) parle d'"exiger des entreprises dont le traitement des informations personnelles des consommateurs présente un risque significatif pour la vie privée ou la sécurité des consommateurs" qu'elles effectuent des audits annuels de cybersécurité et soumettent à l'Agence californienne de protection de la vie privée une évaluation des risques. Les dispositions spécifiques du site CCPA que les organisations devraient examiner comprennent :
1798.81.5 (b), mettre en œuvre et maintenir des procédures et pratiques de sécurité raisonnables |
Pour toute norme réglementaire, les organisations doivent s'assurer qu'elles mesurent les bons risques et appliquent les bons contrôles. Dans le cas de CCPA, cela peut signifier utiliser les contrôles de sécurité critiques du Center for Internet Security (CIS) comme cadre. Recherchez une solution qui évalue non seulement les contrôles de la vie privée des tiers, mais aussi les risques plus larges liés aux tiers, en utilisant une vaste bibliothèque d'évaluations approuvées par les auditeurs. |
1798.100 (d), conclure un accord qui oblige le tiers à se conformer aux obligations applicables |
Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, y compris les capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Prevalent, les équipes chargées des achats et du contentieux disposent d'une solution unique pour faire respecter les dispositions des contrats de vente et les indicateurs de performance, et pour simplifier la gestion et la révision. |
1798.140 (c), des examens manuels continus et des scans automatisés ainsi que des évaluations régulières, des audits |
Pour éviter les risques opérationnels et de réputation, ainsi que les interruptions d'activité, les organisations doivent s'assurer que leurs partenaires et tiers adhèrent à des mesures de sécurité raisonnables. Cependant, tenter de mener des évaluations de tiers à l'aide de questionnaires manuels et de feuilles de calcul est incohérent et non évolutif. Recherchez des plates-formes tierces de gestion des risques qui automatisent les évaluations régulières et assurent une surveillance continue afin d'obtenir une vue complète des risques liés à un fournisseur. |
1798.185 (a) effectuer un audit de cybersécurité sur une base annuelle ; et (b) soumettre une évaluation régulière des risques à la CCPA |
La plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques générales. Pour se conformer à l'adresse CCPA , il faut avoir une compréhension technique du traitement des données, et plus particulièrement des contrôles de sécurité critiques du CIS, qui sont proposés comme cadre pour assurer une sécurité adéquate des données. Recherchez des solutions qui associent les réponses de l'évaluation d'un tiers aux contrôles de sécurité critiques du CIS afin de garantir une couverture complète du site CCPA et d'aider à distinguer les systèmes correctement conçus des caractéristiques de sécurité et de confidentialité "surajoutées" afin de garantir une conformité totale. Recherchez des rapports efficaces pour satisfaire aux exigences d'audit et de conformité de CCPA , ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. |
La liste de contrôle de conformité des tiers CCPA
Lisez ce rapport pour comprendre les considérations relatives aux tiers dans la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et découvrez comment évaluer la conformité de vos fournisseurs à CCPA .
Ce n'est qu'une fois que votre entreprise a identifié les tiers auxquels vous vendez des données sur les consommateurs que vous pouvez commencer à prendre des mesures pour assurer la conformité à CCPA , par exemple en mettant à jour vos accords juridiques avec le tiers ou en ouvrant des canaux de communication en cas de violation. Puis, dans le cadre de ce processus, étendez votre découverte aux4ème et Nème parties. En identifiant les relations entre votre organisation et les tiers et leurs tiers, vous découvrirez les dépendances et visualiserez les chemins de l'information, ce qui simplifiera considérablement le processus de création de rapports.
Prevalent fournit aux entreprises une solution complète pour gérer vos relations avec les tiers en vue de la conformité avec le siteCCPA . Notre plateforme de gestion des risques liés aux tiers facilite :
Pour plus de détails sur la façon dont Prevalent peut aider les organisations à évaluer leurs contrôles de sécurité des données de tiers pour répondre aux exigences de CCPA , lisez le livre blanc, The CCPA Third-Party Compliance Checklist ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à d'autres réglementations en matière de protection de la vie privée, téléchargez le manuel Third-Party Compliance Handbook : Réglementation sur la confidentialité des données.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024