Un regard sur le Colorado Privacy Act : prévisions sur l'avenir de la protection des données des utilisateurs
Publié: 2021-09-16
En juillet dernier, le Colorado a adopté le Colorado Privacy Act (CPA), ce qui en fait le quatrième État à adopter une législation complète sur la protection de la vie privée aux États-Unis, après la Californie, le Nevada et la Virginie.
Alors que le CPA et les lois similaires seront susceptibles de changer au fil du temps, la question demeure : les entreprises devraient-elles commencer à travailler pour se conformer à chaque nouvelle loi individuelle, ou devraient-elles mettre en place une sorte de plan grâce auquel les droits des utilisateurs resteront protégés quoi qu'il arrive se passe-t-il en termes de changements de politique ?
Avec les réglementations uniques de chaque État en matière de confidentialité, il devient de plus en plus difficile pour les entreprises de suivre ces changements, d'assurer la conformité et d'éviter les sanctions.
Pour faciliter ce processus, nous comparerons quelques exemples récents de différents États et offrirons un aperçu de la manière dont ils pourraient affecter les pratiques commerciales ainsi que les tendances futures en matière de protection des données des utilisateurs.
Dans cet article de blog, nous examinons le Colorado Privacy Act et comment il se compare à d'autres lois sur la confidentialité, comme le SB20 du Nevada, le CDPA de Virginie, le CPPA de Californie et le CPRA le plus récent, et le RGPD européen.
Tout d'abord, voici un résumé de toutes les dispositions clés de ces lois :
| Dispositions clés | CPA du Colorado | Névada SB220 | Virginie CDPA | Californie CDPA + CPRA | RGPD Europe | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacité à traiter | |||||||||||||||||||||||||||||||||||
| Minimisation des données | Oui | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Objectif autorisé | Oui | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Droits individuels | |||||||||||||||||||||||||||||||||||
| Droit de recevoir une notification des activités de traitement | Oui | Oui | Oui | Oui | Oui | ||||||||||||||||||||||||||||||
| Droit d'accès aux données personnelles | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Droit à la portabilité des données (c'est-à-dire que les données doivent être fournies dans un format facilement utilisable, de sorte qu'elles puissent être transférées d'une entité/plate-forme à une autre) | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Droit de corriger les erreurs dans les données personnelles | Oui | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Droit de suppression des données personnelles | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Droit de refus de la publicité comportementale | Non | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Droit de s'opposer au profilage et à la prise de décision automatisés | Non | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Droit à la non-discrimination pour l'exercice de ces droits | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Droit de refuser la vente d'informations personnelles | Oui | Oui | Oui | Oui | Non | ||||||||||||||||||||||||||||||
| Accepter ou refuser le traitement des informations sensibles | Adhésion | Adhésion | Se désengager | Adhésion | |||||||||||||||||||||||||||||||
| Droit de faire appel du refus des demandes | Non | Oui | Non | Non | |||||||||||||||||||||||||||||||
| Responsabilité/Gouvernance | |||||||||||||||||||||||||||||||||||
| Évaluations de la protection des données | Oui | Oui | Non | Oui | |||||||||||||||||||||||||||||||
| Sécurité | |||||||||||||||||||||||||||||||||||
| Sécurité des données appropriée pour protéger les informations | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Notification de violation | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Transferts de données hors EEE | |||||||||||||||||||||||||||||||||||
| Mesures supplémentaires pour les virements internationaux | Oui | Non | Non | Oui | |||||||||||||||||||||||||||||||
| Transferts à des tiers | |||||||||||||||||||||||||||||||||||
| Exigences contractuelles dans les ententes avec les fournisseurs de services | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Commercialisation | |||||||||||||||||||||||||||||||||||
| Consentement aux cookies Adtech | Non | Oui | Oui | Oui | |||||||||||||||||||||||||||||||
| Consentement obtenu avant le marketing direct | Oui | Non | Non | Oui | |||||||||||||||||||||||||||||||
| Les organismes d'application | |||||||||||||||||||||||||||||||||||
| procureur général | procureur général | Procureur général, CPPA | APD | ||||||||||||||||||||||||||||||||
| Date d'entrée en vigueur | |||||||||||||||||||||||||||||||||||
| 1 juillet 2023 | 1 octobre 2019 | 1 janvier 2023 | 1er janvier 2020 / 1er janvier 2023 | 25 mai 2018 | |||||||||||||||||||||||||||||||
Qu'est-ce que toutes ces lois sur la confidentialité ont en commun ?
Le CPA est similaire à d'autres lois sur la confidentialité comme le RGPD, la loi de Californie et celle de Virginie. Cependant, il ne se compare pas au Nevada puisque ce dernier n'a édicté qu'une loi beaucoup plus limitée concernant la vente de certaines données collectées en ligne, il est donc exclu de la comparaison ci-dessous.
- Accord de traitement des données - Ceci est commun à toutes les lois sur la confidentialité. En termes simples, cela signifie qu'une organisation doit rédiger un modèle juridique dans lequel elle décrit les activités de traitement des données personnelles qui ont lieu lors de l'utilisation d'un service ou d'un produit. En bref, il explique comment le traitement des données va se dérouler, qui sera responsable de quoi et quelles mesures de sécurité vont être prises. Nous avons préparé notre modèle en 2018 pour GDPR, disponible ici. Avec chaque nouvelle loi, nous mettons à jour les clauses modèles pour nous adapter à toutes les nouvelles conditions juridiques.
- Un deuxième point commun entre les lois sur la protection de la vie privée est que toutes exigent des organisations qu'elles prennent les mesures techniques et organisationnelles appropriées pour réagir rapidement et correctement lorsque les consommateurs exercent leurs droits. La nature de ces droits diffère d'une loi à l'autre, comme le montre le tableau ci-dessus, mais les mesures restent les mêmes.
- La notification de violation de données personnelles est un autre terme courant présent dans les lois. Une violation de la sécurité des données personnelles est tout événement susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité des données personnelles détenues par une organisation dans n'importe quel format.
Les atteintes à la sécurité des données personnelles peuvent survenir pour de nombreuses raisons, notamment :- la divulgation de données confidentielles à des personnes non autorisées ;
- perte ou vol de données ou d'équipements sur lesquels les données sont stockées ;
- des contrôles d'accès inappropriés permettant une utilisation non autorisée des informations ;
- les tentatives d'accès non autorisé aux systèmes informatiques, par exemple le piratage ; enregistrements modifiés ou supprimés sans l'autorisation du « propriétaire » des données ;
- virus ou autres attaques de sécurité sur les systèmes ou réseaux d'équipements informatiques ;
- laisser l'équipement informatique sans surveillance lorsqu'il est connecté à un compte utilisateur sans verrouiller l'écran pour empêcher les autres d'accéder aux informations ;
- les e-mails contenant des informations personnelles ou sensibles envoyés par erreur au mauvais destinataire.
- Une autre exigence commune en vertu du RGPD, du CCPA, du VCDPA et du CPA est le processus de réalisation d'évaluations de l'impact du traitement des données (DPIA) pour tout nouveau projet de traitement à haut risque. Une DPIA est le processus consistant à examiner systématiquement l'impact potentiel qu'un projet ou une initiative pourrait avoir sur la vie privée des individus. Il permet aux organisations d'identifier les problèmes de confidentialité potentiels avant qu'ils ne surviennent et de trouver un moyen de les atténuer. Le RGPD a d'abord introduit des DPIA obligatoires pour les organisations impliquées dans le traitement à haut risque ; par exemple, lorsqu'une nouvelle technologie est déployée, lorsqu'une opération de profilage est susceptible d'affecter de manière significative des individus ou lorsqu'il existe une surveillance à grande échelle d'une zone accessible au public.
Par exemple, pour exercer votre droit d'accès à vos données personnelles utilisées par Convert, vous devez envoyer une demande écrite à [email protected]. Dans la demande, mentionnez que votre demande est faite dans l'exercice de votre droit d'accès en vertu de la loi spécifique sur la protection de la vie privée qui vous intéresse. Le DPD est tenu de répondre à votre demande écrite. Soyez prêt à fournir une preuve de votre identité, ce que le DPD devrait exiger de vous pour s'assurer que les informations personnelles ne sont pas transmises à la mauvaise personne. Le processus ci-dessus est spécifique au RGPD, CCPA, CPA et est déjà documenté sur notre page Confidentialité.
De même, si vous souhaitez fermer votre compte Convert, quitter le service et souhaitez une sauvegarde de toutes vos données Convert, vous pouvez exercer votre droit à la portabilité des données. Vous pouvez écrire un e-mail à la même adresse e-mail ci-dessus, si l'option de téléchargement des données n'est pas immédiatement disponible, et demander au DPO une sauvegarde des données utilisées dans le cadre du service. Le DPO doit agir sur votre demande écrite.
Dans son projet GDPR, Convert a développé des conseils pour le personnel et un modèle à utiliser pour effectuer des DPIA. Vous pouvez trouver le modèle avec les questions de sélection pré-remplies ici. Ce modèle a depuis été adapté aux nouvelles lois américaines sur la confidentialité.
Mais il y a quelques différences clés !
Le RGPD protège les données personnelles. Les lois américaines protègent principalement les consommateurs qui choisissent de faire protéger leurs données personnelles.
- Le débat sur les données contre la protection des consommateurs est au cœur de toutes ces initiatives de confidentialité. C'est également un point clé qui différencie le RGPD de toutes les autres lois sur la confidentialité. Avec le RGPD, les données personnelles sont protégées tout au long des différentes phases, depuis la collecte, le traitement, le stockage, le transfert à des tiers. Les lois américaines garantissent que le consommateur est protégé lorsqu'il est en ligne et qu'il utilise des services, navigue ou teste des produits. C'est pourquoi la politique de confidentialité d'une entreprise ne peut pas rester la même lorsqu'une nouvelle loi entre en vigueur. De nouvelles sections doivent être ajoutées pour refléter les nouveaux termes et dispositions juridiques. Consultez toujours vos avocats pour savoir exactement ce qu'il faut ajouter pour être conforme à chaque loi.
- Les lois diffèrent également dans la portée du régime d' opt-in / opt-out . Le RGPD fonctionne sous un régime d'opt-in, ce qui signifie que les pays membres de l'Union européenne ne collectent aucune donnée personnelle du visiteur tant qu'il n'a pas donné son consentement explicite en cochant une case sur la bannière de consentement apparaissant sur le site sur lequel il navigue. L'inverse se produit sur les sites d'éditeurs basés aux États-Unis. Les données peuvent être collectées jusqu'à ce qu'un visiteur décide de refuser le traitement des données. La Californie ne fonctionne que sous un régime hybride opt-out/opt-in. Le CCPA permet à une organisation de collecter les données des consommateurs par défaut, mais exige également que les collecteurs de données fournissent des avis de confidentialité aux consommateurs avant la collecte des données. L'ACP et la VCDPA sont soumises à un régime de retrait clair.
Chez Convert, nous opérons sous un régime d'opt-in car nous apprécions la transparence et les choix des visiteurs et nous avons adapté notre expérience utilisateur pour répondre à ses exigences. - Des différences peuvent également être observées dans les règles des transferts internationaux de données . Le RGPD est encore une fois très strict avec ces transferts et ne les autorise que lorsque le pays destinataire a des règles de confidentialité similaires. Autrement, elle oblige les organisations à utiliser des clauses contractuelles types ou le consentement des utilisateurs. D'autre part, le CCPA et le VCDPA autorisent les transferts internationaux de données dans le monde entier jusqu'à ce qu'un incident se produise. Ensuite, l'organisation est tenue responsable et des amendes s'appliquent. Le CPA est quelque peu indulgent, obligeant les organisations à informer les utilisateurs/visiteurs lorsque des transferts internationaux de données ont lieu, mais sans les restreindre.
Chez Convert, nous adhérons au RGPD et fournissons les outils de transfert nécessaires sur demande (les clauses contractuelles types font partie du contrat que nos utilisateurs signent). - Enfin, les lois ont des délais de réponse différents en cas de violation de la vie privée . Le GDPR et le VCDPA donnent aux contrôleurs ou aux sous-traitants 30 jours pour réagir aux violations de la vie privée. Le CPPA est autorisé, mais pas obligé, à offrir une période pour remédier aux violations du CPRA. L'ACP doit offrir un délai de réponse de 60 jours.
Étant donné que Convert n'a fait partie d'aucune violation de la vie privée, cela n'a pas été facile à tester, mais nous avons simulé de telles demandes en interne et avons découvert que nous pouvions répondre dans les 7 à 10 jours. Assez impressionnant compte tenu du fait que de nombreuses personnes et outils peuvent être impliqués.
Votre entreprise est-elle prête pour le CPA ?
Beaucoup de ces lois ont un verbiage similaire, il est donc assez difficile de repérer les différences. Cependant, nous avons essayé de vous éclairer avec cette comparaison ci-dessus. Pour vous conformer à ces lois sur la confidentialité, soyez prêt à passer beaucoup de temps à les examiner et à consulter des experts juridiques.
Heureusement, certaines mesures s'appliquent universellement à tous. Nous les avons répertoriés dans un de nos précédents articles, mais les revoici pour vous rafraîchir la mémoire :
- Créer et maintenir un inventaire complet des données, fournissant un aperçu à la fois des types de données impliquées et de la nature des activités de traitement.
- Assurez-vous que les données sensibles sont séparées et gérées sans risques inutiles.
- Mettre en œuvre un cadre pour la réalisation d'évaluations d'impact sur la protection des données (DPIA).
- Évaluez les politiques, les pratiques et les contrôles de cybersécurité en place pour vous assurer qu'ils sont conformes aux normes reconnues par l'industrie.
- Permettre aux consommateurs de refuser la vente de leurs informations personnelles (le cas échéant).
- Mettre à jour les politiques de confidentialité destinées au public pour, entre autres changements, s'engager à ne pas réidentifier les données personnelles anonymisées et fournir des détails sur ses activités de traitement des données.
- Développer des mécanismes pour accepter, suivre, vérifier et honorer les demandes des consommateurs d'accéder, de corriger, de supprimer et de refuser les données personnelles en vertu du CPA.
- Assurez-vous que les employés de votre service client ont une connaissance précise de la réglementation pour répondre aux demandes des consommateurs de manière efficace et prévisible.
À quoi ressemblera le paysage de la confidentialité au cours de la prochaine décennie ?
La confidentialité des données est en train de devenir un enjeu déterminant de cette décennie. Ce sera un monde de plus en plus sensible à la vie privée, où les entreprises et les particuliers sont de plus en plus conscients qu'il n'existe plus de « privé ».
Les récentes lois sur la confidentialité nous ont appris que ces initiatives nécessitent des efforts et du temps considérables pour planifier soigneusement, repérer les lacunes dans les mécanismes de confidentialité et mettre en œuvre de nouvelles politiques, processus et efforts de remédiation. Ainsi, le paysage de la confidentialité des données ne changera pas rapidement.
Bien que l'avenir de la vie privée soit en grande partie non écrit, plusieurs tendances le façonnent déjà de diverses manières. Les organisations qui navigueront le mieux dans ces tendances au cours des dix prochaines années seront plus compétitives que celles qui continueront à se contenter de se conformer aux nouvelles lois.
Voyons ce qu'ils sont.
- La plupart des consommateurs protégeront de manière proactive leurs données personnelles. Nous verrons de meilleurs outils de protection de la vie privée (de la même manière que nous avons maintenant des outils qui envahissent la vie privée). Les organisations qui ne respectent pas ces protections risquent de perdre leurs clients.
- Les transferts de données transfrontaliers seront simplifiés. Nous n'aurons pas à construire des royaumes de données locaux inaccessibles aux étrangers.
- Parcours d'expérience client en matière de confidentialité : de nouveaux projets seront développés qui s'alignent sur les attentes culturelles et légales des lois sur la confidentialité, ainsi que sur la position de chaque entreprise en matière d'éthique des données et de la technologie.
- Culture de confidentialité des employés : les ressources humaines utiliseront des programmes de confidentialité des employés alignés sur les valeurs de l'entreprise en matière de données et de technologie pour développer une culture de confidentialité complète. Un tel programme pourrait inclure un comité d'employés qui examine et communique les évaluations de l'impact sur la vie privée et l'éthique des nouvelles technologies et des utilisations des données sur le lieu de travail.
Beaucoup de choses peuvent changer en 10 ans, mais encore une fois, peu de choses peuvent changer aussi. Chez Convert, nous avons fait du respect de la vie privée de nos visiteurs et utilisateurs une partie intégrante de notre culture. Où en serons-nous en 2030 ? D'ici 2030, nous voyons des entreprises qui respectent la vie privée des utilisateurs aux côtés des régulateurs travailler ensemble en douceur sans compromettre les libertés individuelles. Cette vision est ce qui compte le plus pour notre équipe chez Convert et nous espérons que vous nous rejoindrez également !
