Liste de contrôle de la conformité à CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Si vos fournisseurs traitent des données sur des résidents californiens, vous devez vous concentrer sur quatre exigences clés de CCPA/CPRA. Voici ce qu'il faut rechercher dans les évaluations des risques des tiers.
Par :
Scott Lang
,
VP, Marketing produit
03 juillet 2024
Partager :
Blog ccpa 1021

Adoptée initialement en juin 2018 et en vigueur depuis janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) réglemente la collecte et la vente des données des consommateurs par les entreprises, dans le but de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler l'utilisation de ces informations.

Le site CCPA a été élargi en 2023 par la loi californienne sur les droits à la vie privée (California Privacy Rights Act - CPRA), qui ajoute de nouvelles obligations de conformité imposant des accords stricts avec des tiers pour garantir la collecte, l'utilisation et l'élimination en toute sécurité des informations relatives aux consommateurs. Bien que largement identique au site CCPA, le CPRA :

Ce post examine les exigences clés de CCPA, à qui il s'applique, et comment les organisations peuvent s'assurer que leurs tiers protègent les données de leurs clients. Pour simplifier, ce billet fait référence aux deux règlements - CCPA et CPRA - sous le nom de CCPA.

Comment le site CCPA définit-il les renseignements personnels ?

Commençons par la définition des "informations personnelles". Le site CCPA définit les informations personnelles sensibles comme "des informations qui identifient, concernent, décrivent, peuvent raisonnablement être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier".

Qu'est-ce que le site CCPA oblige les entreprises (et leurs tiers) à faire ?

Le site CCPA exige des entreprises qu'elles informent les résidents californiens des données recueillies avant de les collecter. Elle permet aux consommateurs d'accéder à toutes les données personnelles détenues par une entreprise et de recevoir des informations sur les personnes ou les organisations avec lesquelles ces données ont été partagées. Elle permet également aux consommateurs de se retirer et d'empêcher que leurs données personnelles soient vendues ou partagées avec un tiers.

À qui s'applique le site CCPA ?

Bien que le site CCPA soit techniquement une loi de l'État de Californie, sa portée se fait sentir bien au-delà des frontières de l'État d'or. La surveillance du site CCPA ne se limite pas aux entreprises dont le siège social est situé en Californie, ni même aux entreprises qui exercent physiquement leurs activités en Californie - le site CCPA s'applique aux données des consommateurs recueillies auprès de tout résident de Californie.

Étant donné que la Californie compte environ 40 millions d'habitants et qu'elle serait la cinquième économie mondiale si elle était son propre pays, il y a de fortes chances que si votre entreprise recueille des données sur les consommateurs, vous ayez recueilli les données d'un résident californien. En fait, de nombreuses entreprises choisissent de traiter chaque consommateur comme s'il s'agissait d'un résident californien, et se préparent donc à la mise en conformité de leurs activités avec le site CCPA .

Quelles sont les sanctions en cas de non-conformité sur le site CCPA ?

Si une entreprise est jugée responsable d'une sanction civile en vertu du site CCPA, la sanction peut atteindre 7 500 dollars par violation intentionnelle et 2 500 dollars par violation non intentionnelle. Le tribunal peut également ordonner des dommages-intérêts légaux pour les consommateurs.

Liste de contrôle : Quatre exigences clés en matière de conformité pour les tiers : CCPA

Lasection 1798.100 du site CCPA stipule qu'une entreprise qui recueille les informations personnelles d'un consommateur et les vend ou les partage avec un tiers doit conclure un accord avec ce tiers qui "oblige le tiers, le prestataire de services ou l'entrepreneur à se conformer" aux règlements sur la confidentialité du site CCPA. Les organisations doivent donc s'assurer que leurs partenaires et fournisseurs de services tiers sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants au moyen d'une évaluation approfondie de la sécurité. CCPA La section 1798.185 (15) parle d'"exiger des entreprises dont le traitement des informations personnelles des consommateurs présente un risque significatif pour la vie privée ou la sécurité des consommateurs" qu'elles effectuent des audits annuels de cybersécurité et soumettent à l'Agence californienne de protection de la vie privée une évaluation des risques. Les dispositions spécifiques du site CCPA que les organisations devraient examiner comprennent :

1798.81.5 (b), mettre en œuvre et maintenir des procédures et pratiques de sécurité raisonnables

Pour toute norme réglementaire, les organisations doivent s'assurer qu'elles mesurent les bons risques et appliquent les bons contrôles. Dans le cas de CCPA, cela peut signifier utiliser les contrôles de sécurité critiques du Center for Internet Security (CIS) comme cadre.

Recherchez une solution qui évalue non seulement les contrôles de la vie privée des tiers, mais aussi les risques plus larges liés aux tiers, en utilisant une vaste bibliothèque d'évaluations approuvées par les auditeurs.

1798.100 (d), conclure un accord qui oblige le tiers à se conformer aux obligations applicables

Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, y compris les capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Avec Prevalent, les équipes chargées des achats et du contentieux disposent d'une solution unique pour faire respecter les dispositions des contrats de vente et les indicateurs de performance, et pour simplifier la gestion et la révision.

1798.140 (c), des examens manuels continus et des scans automatisés ainsi que des évaluations régulières, des audits

Pour éviter les risques opérationnels et de réputation, ainsi que les interruptions d'activité, les organisations doivent s'assurer que leurs partenaires et tiers adhèrent à des mesures de sécurité raisonnables. Cependant, tenter de mener des évaluations de tiers à l'aide de questionnaires manuels et de feuilles de calcul est incohérent et non évolutif.

Recherchez des plates-formes tierces de gestion des risques qui automatisent les évaluations régulières et assurent une surveillance continue afin d'obtenir une vue complète des risques liés à un fournisseur.

1798.185 (a) effectuer un audit de cybersécurité sur une base annuelle ; et (b) soumettre une évaluation régulière des risques à la CCPA

La plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques générales. Pour se conformer à l'adresse CCPA , il faut avoir une compréhension technique du traitement des données, et plus particulièrement des contrôles de sécurité critiques du CIS, qui sont proposés comme cadre pour assurer une sécurité adéquate des données.

Recherchez des solutions qui associent les réponses de l'évaluation d'un tiers aux contrôles de sécurité critiques du CIS afin de garantir une couverture complète du site CCPA et d'aider à distinguer les systèmes correctement conçus des caractéristiques de sécurité et de confidentialité "surajoutées" afin de garantir une conformité totale. Recherchez des rapports efficaces pour satisfaire aux exigences d'audit et de conformité de CCPA , ainsi que pour présenter les résultats au conseil d'administration et à la direction générale.

La liste de contrôle de conformité des tiers CCPA

Lisez ce rapport pour comprendre les considérations relatives aux tiers dans la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et découvrez comment évaluer la conformité de vos fournisseurs à CCPA .

Lire la suite
Liste de contrôle de l'ACCP

Qu'en est-il desquatrième et neuvième parties ?

Ce n'est qu'une fois que votre entreprise a identifié les tiers auxquels vous vendez des données sur les consommateurs que vous pouvez commencer à prendre des mesures pour assurer la conformité à CCPA , par exemple en mettant à jour vos accords juridiques avec le tiers ou en ouvrant des canaux de communication en cas de violation. Puis, dans le cadre de ce processus, étendez votre découverte aux4ème et Nème parties. En identifiant les relations entre votre organisation et les tiers et leurs tiers, vous découvrirez les dépendances et visualiserez les chemins de l'information, ce qui simplifiera considérablement le processus de création de rapports.

Comment Prevalent peut aider

Prevalent fournit aux entreprises une solution complète pour gérer vos relations avec les tiers en vue de la conformité avec le siteCCPA . Notre plateforme de gestion des risques liés aux tiers facilite :

  • Découvrir et cartographier les données entre les relations de troisième,quatrième et Nième parties
  • Réaliser des auto-évaluations pour comprendre la maturité des processus internes, ainsi que des propriétaires de données.
  • Évaluer les contrôles de confidentialité des données des tiers
  • Automatiser la réponse aux risques lorsque les réponses des tiers ne correspondent pas aux attentes.
  • Rapport sur la conformité de CCPA avec les rapports intégrés
  • Recevoir des notifications automatiques de violation de données pour comprendre les risques possibles pour les données de vos clients.
  • Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs.

Pour plus de détails sur la façon dont Prevalent peut aider les organisations à évaluer leurs contrôles de sécurité des données de tiers pour répondre aux exigences de CCPA , lisez le livre blanc, The CCPA Third-Party Compliance Checklist ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à d'autres réglementations en matière de protection de la vie privée, téléchargez le manuel Third-Party Compliance Handbook : Réglementation sur la confidentialité des données.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo