Réglementation californienne sur le droit à la vie privée (CPRA) : quelles implications sur l’avenir de votre programme de protection des données personnelles ?

En 2020, l’État de Californie a promulgué la réglementation californienne sur le droit à la protection des données personnelles (California Privacy Rights Act, CPRA), une initiative proposée par le groupe à l’origine de la réglementation CCPA sur la protection des données personnelles de l’utilisateur. Quelles sont les implications de la réglementation CPRA pour les opérations publicitaires et la sphère de protection des données personnelles ? En bref : un plus grand contrôle de leurs données par les utilisateurs et des conditions d’application plus explicites. 

Aux États-Unis, il est probable que la protection des données personnelles continue d’évoluer différemment pour chacun des États. Même en Californie, les défenseurs des droits des consommateurs ne parviennent pas à s’accorder sur le fait que la réglementation CPRA soit ou non le bon moyen de protéger les droits au respect de la vie privée. Les défenseurs de la réglementation CPRA sont convaincus qu’elle viendra renforcer la réglementation CCPA et rapprochera les normes nationales des principes établis par le RGPD au sein de l’Union européenne. Nous abordons en détail certains des éléments clés qui pourraient entraîner des changements considérables pour votre programme de conformité en matière de protection des données personnelles.

Plus de contrôles, plus de boutons

La réglementation CPRA définit plusieurs nouveaux concepts qui s’accompagnent de nouvelles exigences en matière de notifications de traitement des données et d’options d’opt-out. À l’instar des droits existants en matière de divulgation et de suppression des données, l’élargissement des droits des consommateurs impliquent des éditeurs qu’ils fournissent aux utilisateurs au minimum deux méthodes pour soumettre des demandes d’opt-out. Vous trouverez ci-dessous quelques liens supplémentaires que vous pourriez devoir ajouter :

« Ne pas partager mes informations personnelles » :

Mise à jour des messages actuels « Ne pas vendre mes informations personnelles » qui permettent aux Californiens de refuser la vente de leurs données. La réglementation CPRA exigera de fournir des notifications et la possibilité de refuser que les informations personnelles soient communiquées à des tiers à des fins de publicité personnalisée. 

« Limiter l’utilisation de mes informations personnelles confidentielles » :

Les utilisateurs auront le droit de limiter le traitement de certaines catégories d’informations considérées comme confidentielles, telles que les données de géolocalisation.

« Corriger mes informations » :

Cette clause actualise le droit existant autorisant les demandes de suppression d’informations en ajoutant le droit de demander la correction des informations personnelles erronées. 

Création d’une agence spécifique d’application de la protection des données personnelles 

En plus des nouvelles règles de la réglementation CPRA, de nouveaux responsables de l’application de ces règles ont été désignés sous la forme d’une agence fédérale, appelée la California Privacy Protection Agency, qui va se consacrer à l’implémentation et à l’exécution de la réglementation CCPA. Cette agence sera chargée de réaliser des audits réguliers et de fournir des conseils aux entreprises relatifs à leur niveau de conformité. À l’instar des autorités réglementaires dans l’UE concernant le RGPD, la réglementation CCPA pourra s’appuyer sur cette agence pour mener des enquêtes sur les entreprises et imposer des sanctions en cas de plaintes faisant état de violation des droits. 

Une barre toujours plus haute pour les données à haut risque

Les entreprises dont « le traitement des informations personnelles des utilisateurs présente un risque considérable en matière de vie privée ou de sécurité de ces derniers » devront présenter des audits annuels de cybersécurité à la California Privacy Protection Agency. Toutes les entreprises devront soumettre des évaluations des risques sur la manière dont leur traitement des données pourrait présenter un risque en matière de sécurité personnelle des utilisateurs. 

Tandis que la réglementation CCPA existante prévoit un délai de remédiation en cas de violation de données, la réglementation CPRA précise qu’une simple communication de la part des entreprises ne suffira pas pour éviter des poursuites privées. Les amendes infligées en cas de violation de données concernant des enfants seront également plus sévères et jusqu’à trois fois plus élevées.   

Gestion des opt-outs dans un environnement changeant

La réglementation CPRA n’entrera en vigueur qu’en janvier 2023, mais elle comprend une période rétroactive qui commencera en janvier 2022. De nombreux détails de la réglementation CPRA restent à éclaircir et il y a encore du chemin à faire avant que l’on sache vraiment à quoi la conformité ressemblera. Il est cependant judicieux de s’y préparer.

Les entreprises qui ont dû s’adapter au RGPD savent combien il peut être rapidement compliqué de gérer les différents niveaux de consentement. Envisagez d’implémenter une solution pour capturer et regrouper les préférences des utilisateurs en matière de protection des données personnelles. Avec une plateforme de gestion du consentement (CMP) comme celle de Sourcepoint, vous disposez de la technologie pour capturer les opt-outs des utilisateurs et communiquer leurs préférences au reste de l’écosystème.   

Il serait également avisé d’introduire un protocole d’évaluation régulière des risques en matière de protection des données personnelles au vu des conséquences plus lourdes en cas de violation et de non-conformité. Un autre point à envisager est, si possible, la nomination d’un responsable de la protection des données personnelles.

Les débats autour de la réglementation CPRA indiquent que les réglementations relatives à la protection des données en Californie, mais également dans l’ensemble des États-Unis, vont continuer d’évoluer. Dans un environnement aussi changeant, il est crucial de vous familiariser avec l’évolution des réglementations et d’évaluer vos technologies et processus actuels afin de déterminer ce qui vous permettra de remplir vos obligations de conformité.