CCPA et conformité à l'ACPR
CCPAL'ACPR et la gestion des risques liés aux tiers
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ) réglemente la collecte et la vente des données des consommateurs par les entreprises afin de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler la manière dont ces informations sont utilisées. Le site CCPA a été élargi en 2023 avec le California Privacy Rights Act (CPRA), ajoutant de nouvelles obligations de conformité qui imposent des accords stricts avec des tiers pour garantir la sécurité de la collecte, de l'utilisation et de l'élimination des informations des consommateurs.
Les lois CCPA et CPRA s'appliquent aux données relatives aux consommateurs collectées auprès de tout résident de Californie, que ce soit par une entreprise dont le siège social se trouve dans cet État ou par une entreprise qui y fait des affaires. Si une entreprise est jugée responsable d'une amende civile en vertu de la loi CCPA, l'amende peut atteindre 7 500 dollars par violation intentionnelle et 2 500 dollars par violation non intentionnelle. Le tribunal peut également ordonner des dommages-intérêts légaux pour les consommateurs.
Les organisations doivent donc s'assurer que leurs partenaires et fournisseurs de services tiers sont bien préparés à protéger les informations des consommateurs. La première étape de tout programme de sécurité consiste à identifier et à hiérarchiser les risques existants par le biais d'une évaluation approfondie de la sécurité.
Règlements pertinents
-
1798.81.5 (b) "Une entreprise qui possède, concède sous licence ou conserve des informations personnelles sur un résident de Californie doit mettre en œuvre et maintenir des procédures et des pratiques de sécurité raisonnables et adaptées à la nature des informations, afin de protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés."
-
1798.100 (d) "Une entreprise... doit conclure un accord avec ce tiers, ce prestataire de services ou ce contractant, qui : ... oblige le tiers, le prestataire de services ou le contractant à se conformer aux obligations applicables en vertu du présent titre et oblige ces personnes à fournir le même niveau de protection de la vie privée que celui exigé par le présent titre ; exige du tiers, du prestataire de services ou du contractant qu'il notifie l'entreprise s'il détermine qu'il ne peut plus respecter ses obligations en vertu du présent titre."
-
1798.140(c) "Autorise, sous réserve d'un accord avec l'entrepreneur [ou le prestataire de services], l'entreprise à contrôler la conformité de l'entrepreneur [ou du prestataire de services] au contrat par des mesures, y compris, mais sans s'y limiter, des examens manuels continus et des scans automatisés et des évaluations régulières, des audits ou d'autres tests techniques et opérationnels au moins une fois tous les 12 mois."
-
1798.185 (a) "Effectuer un audit de cybersécurité sur une base annuelle, y compris en définissant la portée de l'audit et en établissant un processus pour garantir que les audits sont complets et indépendants. Les facteurs à prendre en compte pour déterminer quand le traitement peut entraîner un risque important pour la sécurité des renseignements personnels comprennent la taille et la complexité de l'entreprise ainsi que la nature et la portée des activités de traitement. "
-
1798.185 (b) "Soumettre régulièrement à l'Agence californienne de protection de la vie privée une évaluation des risques liés à leur traitement des informations personnelles."
La liste de contrôle de conformité des tiers CCPA
Lisez ce rapport pour comprendre les considérations relatives aux tiers dans la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et découvrez comment évaluer la conformité de vos fournisseurs à CCPA .
Répondre aux exigences de CCPA TPRM
CCPA Voici comment Prevalent peut vous aider à aborder les meilleures pratiques de gestion des risques liés aux tiers :
| CCPA Meilleures pratiques | Quelle aide nous apportons |
|---|---|
|
Découverte et cartographie des données |
Prevalent prend en charge les évaluations planifiées pour identifier les flux de données entre les relations, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées en dehors de l'organisation, grâce à une capacité unique de cartographie des relations. Génère automatiquement un registre des risques mettant en évidence les principaux domaines de risque pour apporter de la visibilité aux données. |
|
Auto-évaluations |
Prevalent réalise une évaluation des incidences sur la vie privée (PIA) ciblée sur les données et les processus commerciaux les plus sensibles liés à la vie privée et présentant le risque le plus élevé. Elle évalue l'origine, la nature et la gravité du risque potentiel et fournit des recommandations pour atténuer les risques identifiés et garantir la conformité future avec les réglementations en matière de protection de la vie privée. |
|
Évaluation des risques liés aux fournisseurs |
Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à CCPA en utilisant le cadre de conformité (PCF) Prevalent . Le contenu spécifique du questionnaire permet d'identifier et de mettre en correspondance les risques identifiés au cours de l'évaluation et les contrôles pour obtenir une vision claire des points sensibles potentiels. |
|
Réponse aux risques |
Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Accélère la réponse grâce à des règles de flux de travail préétablies qui transmettent les risques identifiés à la partie prenante appropriée pour examen et traitement immédiats. |
|
Suivi de la conformité et rapports |
Prevalent établit des rapports par rapport à CCPA à l'aide du cadre de conformité Prevalent qui met automatiquement en correspondance les risques et les réponses aux contrôles, fournit un pourcentage de conformité et fournit des rapports spécifiques aux parties prenantes pour apporter de la visibilité à la sécurité des données. |
|
Surveillance de la notification des violations |
Prevalent donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Elle comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. |
|
Demandes d'accès aux données |
Prevalent permet aux fournisseurs et aux utilisateurs professionnels de déclencher des flux de travail de demande d'accès à un sujet (SAR) en fonction des demandes qu'ils reçoivent, en utilisant une évaluation proactive pour capturer les données pertinentes. Grâce à la carte des relations, les équipes chargées des risques et de la protection de la vie privée peuvent visualiser avec qui les données sont partagées et qui est exposé aux données de ce fournisseur. |
|
Gestion des contrats avec les fournisseurs |
Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, y compris les capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Prevalent, les équipes chargées des achats et du contentieux disposent d'une solution unique pour faire respecter les dispositions des contrats de vente et les indicateurs de performance, et pour simplifier la gestion et la révision. |
Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres
Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
-
Article de blogListe de contrôle de la conformité à CCPA et à l'ACPR pour la gestion des risques liés aux tiers
Si vos fournisseurs traitent des données sur les résidents de Californie, vous devez vous concentrer sur 4...
-
Livre Blanc
Manuel de conformité pour les tiers : Règlement sur la protection des données
Alignez votre programme TPRM sur GDPR, CCPA, HIPAA et d'autres réglementations relatives à la confidentialité des données.
-
Article de blog
Politiques de gestion des risques liés aux fournisseurs tiers : meilleures pratiques à mettre en œuvre dès maintenant
L'élaboration d'un ensemble de politiques claires peut contribuer à propulser les pratiques de gestion des risques liés aux tiers de votre organisation et...
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo