Vous pensez que la confidentialité est réservée à l'Europe ? Détrompez-vous.

Le RGPD est fait. Et cela n'a de toute façon touché que les entreprises opérant dans l'UE. Droit?

Pas vraiment.

1. La vie privée n'est jamais "terminée". La conformité est une exigence omniprésente et les entreprises doivent constamment surveiller leurs points de contact, leurs pratiques de collecte de données, leur logique de traitement des données et le même ensemble de considérations pour leurs fournisseurs, de manière continue.
2. Le GDPR a eu un impact sur toutes les entreprises qui traitaient les données des citoyens de l'UE - pas seulement celles situées en Europe.
3. Le RGPD n'était que la pointe de l'iceberg. Le monde prend conscience des menaces d'une collecte et d'un traitement impitoyables des données en toute impunité. Oui, l'Europe s'est réveillée la première. Mais cela ne signifie pas que les États-Unis et le reste du monde continueront de dormir.

En fait, les États-Unis ont déjà entamé la voie vers des réglementations révolutionnaires en matière de confidentialité. Avec des lois adoptées en Californie, au Nevada et dans le Maine et des projets de loi prévus dans de nombreux autres États, les entreprises devraient s'attendre à être touchées dans les mois à venir.

Cet article décompose les éléments cruciaux de la loi / projet de loi sur la confidentialité de chaque État - y compris qui ils couvrent, quand ils entrent en vigueur, les sanctions, comment se conformer, pourquoi les États ont pris les rênes avant le gouvernement fédéral pour protéger les données personnelles des consommateurs ainsi que comment l'adoption de la conformité à la confidentialité pourrait profiter à votre entreprise.

Réglementation fédérale américaine ?

Dans une lettre adressée aux dirigeants du Congrès le 10 septembre, les PDG de la Business Roundtable de tous les secteurs ont exhorté les décideurs politiques à adopter, dès que possible, une loi nationale complète sur la confidentialité des données qui renforce la protection des consommateurs américains et établit un cadre pour permettre une innovation et une croissance continues dans le économie numérique.

La lettre, signée par 51 PDG, a été envoyée aux dirigeants de la Chambre et du Sénat et aux dirigeants des comités de l'énergie et du commerce de la Chambre et du commerce, des sciences et des transports du Sénat.

Du point de vue des entreprises américaines, il n'y a jamais eu de meilleur moment pour introduire une loi fédérale sur la protection des données.

Le GDPR stipule que toute entreprise collectant des données sur des personnes résidant dans l'UE doit se conformer à la législation, que cette entreprise soit basée dans l'UE ou non. Cela signifie que de nombreuses entreprises américaines sont déjà conformes au GDPR afin d'opérer à l'international et ont mis en place le cadre pour étendre cette conformité au marché américain.

C'est différent pour les entreprises nationales américaines. La conformité à la protection des données devient un cauchemar, avec (potentiellement) jusqu'à 50 lois d'État différentes avec des spécifications et des exigences différentes. Une loi fédérale rationaliserait cela, en fournissant une législation unificatrice dans tous les États.

Lois des États américains

En réponse, les États ont pris des mesures beaucoup plus tôt.

Avec des lois adoptées dans trois États, des projets de loi proposés dans d'autres et plusieurs États adoptant de nouvelles lois sur la notification des violations de données, nous assistons au début d'un virage massif vers la protection des données des consommateurs et la responsabilité des entreprises qui les contrôlent et les traitent.

Le centre de recherche IAPP Westin a compilé la liste ci-dessous des projets de loi complets sur la confidentialité proposés et promulgués à travers le pays pour aider les entreprises à se tenir au courant de l'évolution du paysage de la confidentialité de l'État.

Bien que de nombreux projets de loi inclus dans la carte ne deviennent pas des lois, la comparaison des principales dispositions de chaque projet de loi peut être utile pour comprendre comment la protection de la vie privée se développe aux États-Unis.

Californie

En tant que l'une des premières lois sur la protection de la vie privée adoptée après le RGPD, la CCPA sert de modèle pour d'autres projets de loi aux États-Unis. À compter du 1er janvier 2020, le CCPA s'applique à une entreprise qui collecte/traite les données personnelles des résidents de Californie ou fait des affaires en Californie.

Ces entreprises sont soumises au CCPA si elles :

• Dépasser un revenu brut de 25 millions de dollars
• Acheter, recevoir, vendre ou partager (total combiné) les informations personnelles d'au moins 50 000 foyers consommateurs ou appareils
• Gagnez 50 % ou plus des revenus annuels de la vente des informations personnelles des consommateurs

Le CCPA accorde aux consommateurs des droits similaires à ceux du RGPD, y compris la divulgation d'informations personnelles et les demandes de données personnelles. Les entreprises sont tenues de répondre aux demandes vérifiables des consommateurs avec des informations, telles que des catégories et des données d'informations personnelles, des tiers et des catégories de tiers avec lesquels les données sont partagées, etc.

Cette section, connue sous le nom de demandes de la personne concernée (DSR), permet aux utilisateurs d'accéder à leurs informations personnelles et de les supprimer. De plus, le CCPA exige que les entreprises affichent un lien « Ne vendez pas mes informations personnelles » sur leur page d'accueil.

Le CCPA sera appliqué par le procureur général et prévoit des amendes allant jusqu'à 7 500 $ pour chaque infraction individuelle.

Nevada

La loi sur la protection de la vie privée du Nevada a été signée le 29 mai 2019, mais entre en vigueur le 1er octobre 2019, trois mois avant la CCPA plus connue. Les lois sont très similaires mais présentent une différence majeure dans la définition de la « vente ». La loi du Nevada est plus étroite, ne couvrant pas tous les fournisseurs de services et étant plus indulgente envers les institutions financières.

Selon InfoLawGroup, la loi CCPA et la loi du Nevada sont similaires en ce sens que les deux exigent « des entreprises qu'elles proposent un processus pour vérifier la légitimité d'une demande de désinscription des consommateurs et qu'elles exigent des entreprises qu'elles répondent à la demande dans les 60 jours ».

Semblable à la Californie, l'application du Nevada incombe au procureur général et comprend des amendes pouvant aller jusqu'à 5 000 $ par infraction.

Maine

La loi sur la confidentialité du Maine a été signée le 6 juin 2019, mais elle entrera en vigueur le 1er juillet 2020. Cette loi empêche les fournisseurs de services Internet (FAI) de vendre, de partager ou d'accorder à des tiers l'accès aux données de leurs clients, sauf indication contraire. l'approbation de ces clients. Avec les changements,

Les résidents du Maine disposent désormais d'une couche de protection supplémentaire pour les e-mails, les chats en ligne, l'historique du navigateur, les adresses IP et les données de géolocalisation qui sont couramment collectées et stockées par les entreprises du secteur des télécommunications et de la technologie.

Ainsi, alors que le CCPA donne aux clients le droit de se retirer, cette nouvelle loi interdit aux FAI d'utiliser les données des clients à moins que le client ne l'accepte. Cette exigence va plus loin que la loi CCPA ou du Nevada et est relativement unique parmi les lois américaines sur la confidentialité, qui généralement privilégier le consentement opt-out.

N'attendez pas, préparez-vous maintenant :

Selon une enquête PwC de 2018, 64 % des entreprises n'avaient pas encore commencé à se préparer à la réglementation CCPA.

Avez-vous reporté le début de votre parcours de conformité ? Vous avez commencé le processus, mais vous êtes confronté à des échéances qui approchent à grands pas ?

Vous trouverez ci-dessous une liste d'actions conscientes que vous pouvez entreprendre en tant qu'entreprise pour vous conformer à la plupart des lois existantes et à celles qui seront appliquées dans un proche avenir.

Étape 1 : Mettre à jour les avis et politiques de confidentialité

Avec tous les e-mails "Nous avons mis à jour notre politique de confidentialité" (conformité RGPD) reçus en mai 2018, il est probablement raisonnable de s'attendre à une autre vague, cette fois conforme au CCPA ou au Nevada ou au Maine, au troisième trimestre 2019.

Ces lois exigeront que « au moment ou avant le point de collecte » les entreprises couvertes avisent les consommateurs les informant des catégories d'informations personnelles que l'entreprise recueille et à quelles fins l'information est utilisée par l'entreprise.

L'avis doit également énoncer explicitement les catégories d'informations personnelles qui sont collectées, divulguées ou vendues, et les consommateurs ont un nouveau droit de refuser que leurs informations soient vendues.

Les entreprises devront également mettre à jour leurs politiques de confidentialité pour inclure une description des autres nouveaux droits des consommateurs.

Comme de nombreuses entreprises devaient déterminer lorsqu'elles devenaient conformes au RGPD, avant de procéder aux mises à jour de politique requises par la loi, les entreprises devront déterminer si elles maintiendront un avis de confidentialité pour chaque résident de l'État ou si elles auront une politique universelle.

Étape 2 : Mettre à jour les inventaires de données, les processus métier et les stratégies de données

Les entreprises devront également maintenir un inventaire des données, qui est essentiellement une base de données pour suivre leurs activités de traitement des données, y compris les processus commerciaux, les tiers, les produits, les appareils et les applications qui traitent les données personnelles des consommateurs.

Les entreprises qui devaient se mettre en conformité RGPD devront ajouter quelques colonnes à leurs inventaires de données dont, une colonne :

• identifier si l'utilisation des données inclut la « vente » d'informations ;
• identifier quelles catégories d'informations personnelles sont transférées à des tiers ;
• identifiant si les données ont été collectées il y a plus de 12 mois et, par conséquent, potentiellement exemptées.
• La base de données devra également être tenue à jour et pouvoir suivre toutes les demandes de droit des consommateurs, comme le suivi d'une demande d'information vérifiée.

Étape 3 : Mettre en œuvre des protocoles pour garantir les droits des consommateurs

Ces lois garantissent un certain nombre de droits des consommateurs que les entreprises devront prendre des mesures pour garantir.

• Droit à l'avis - Bien qu'il ne s'agisse pas exactement d'un droit accordé, au moment ou avant qu'une entreprise recueille des informations personnelles auprès d'un consommateur, le consommateur doit être correctement informé des catégories d'informations collectées et des fins pour lesquelles les informations sont utilisées.

• Droit d'accès / Droit de demande - Sur demande vérifiable, l'entreprise doit prendre des mesures pour divulguer et livrer, sans frais au consommateur, les renseignements personnels, qui peuvent être livrés par courrier ou par voie électronique. S'ils sont fournis par voie électronique, ils doivent être fournis dans un format portable et, dans la mesure du possible techniquement, dans un format facilement utilisable qui permet au consommateur de transmettre les informations personnelles à une autre entité sans problème. Une entreprise peut fournir des renseignements personnels à un consommateur à tout moment, mais n'est pas tenue de les fournir à un consommateur plus de deux fois au cours d'une période de 12 mois.

• Droit de savoir - Le consommateur a le droit de demander à une entreprise qui collecte des informations personnelles de divulguer ce qui suit : (1) les catégories d'informations personnelles collectées ; (2) les sources à partir desquelles les informations ont été collectées ; (3) l'objectif commercial ou commercial de la collecte ou de la vente des informations ; (4) les catégories de tiers avec lesquels l'entreprise partage les informations ; (5) les informations personnelles spécifiques que l'entreprise a recueillies sur le consommateur.

• Droit de suppression - Le consommateur a le droit de demander, sur demande vérifiable, qu'une entreprise supprime toute information personnelle sur le consommateur que l'entreprise a collectée. Dès réception d'une telle demande, l'entreprise doit supprimer les informations et ordonner à tout fournisseur de services de supprimer également les informations de ses dossiers, sauf si l'entreprise ou le fournisseur de services a besoin des informations pour : (1) calculer la transaction pour laquelle les informations personnelles ont été collectées , fournir un bien ou un service demandé par le consommateur, ou raisonnablement prévu dans le cadre de la relation commerciale continue d'une entreprise avec le consommateur, ou autrement exécuter un contrat entre l'entreprise et le consommateur ; (2) détecter les incidents de sécurité ; protéger contre les activités malveillantes, trompeuses, frauduleuses ou illégales ; ou poursuivre les responsables de cette activité ; (3) débogage pour identifier et réparer les erreurs de fonctionnalité prévues existantes ; (4) exercer la liberté d'expression, garantir le droit d'un autre consommateur d'exercer son droit à la liberté d'expression ou exercer un autre droit prévu par la loi ; (5) s'engager dans des recherches scientifiques, historiques ou statistiques publiques ou reçues par des pairs dans l'intérêt public ; (6) pour permettre uniquement des utilisations internes qui sont raisonnablement alignées sur les attentes du consommateur en fonction de la relation du consommateur avec l'entreprise ; (7) se conformer à une obligation légale ; (8) utiliser autrement les informations personnelles du consommateur, en interne, d'une manière licite compatible avec le contexte dans lequel le consommateur a fourni l'information.

• Droit de retrait - Le consommateur a le droit de refuser la vente d'informations personnelles par une entreprise. Les entreprises doivent mettre à disposition, sous une forme raisonnablement accessible aux consommateurs, un lien clair et visible vers la page d'accueil, intitulé « Ne vendez pas mes informations personnelles », qui permet au consommateur de refuser la vente de ses informations personnelles. L'entreprise doit attendre au moins 12 mois avant de demander la vente des informations personnelles de tout consommateur qui s'est désinscrit.

Étape 4 : Effectuez des mises à jour de sécurité

Ces lois exigent également que les entreprises couvertes protègent les données personnelles avec une sécurité « raisonnable ». Dans la pratique, cette norme a conduit les entreprises à adopter une approche basée sur les risques pour faire face aux menaces à la confidentialité, à l'intégrité et à la disponibilité des données personnelles. Ils évaluent les menaces pesant sur les données, classent les risques des vulnérabilités détectées et comblent d'abord les lacunes à haut risque.

Étape 5 : Mettre à jour les accords de traitement tiers

Pour se conformer aux lois américaines sur la protection de la vie privée, les entreprises qui font traiter leurs données par d'autres entreprises devront mettre à jour leurs contrats avec des tiers, notamment en insérant une clause contractuelle standard ; exiger des inventaires de données des fournisseurs ; en utilisant des questionnaires de diligence raisonnable ; fournir des enregistrements de traitement; exiger la synchronisation des processus de réponse des consommateurs ; exiger une évaluation et un audit sur place ; et exiger le mappage des éléments de données spécifiques partagés avec chaque tiers, y compris la désignation des transferts qualifiés de « vente ».

Pour les tiers qui ont payé pour les informations, ils devront en outre concevoir des processus pour répondre aux demandes des consommateurs de se retirer de la vente et prévoir la suppression de ces données.

Étape 6 : Formation

Enfin, ces lois exigent que les employés qui traitent les demandes des consommateurs soient informés de toutes ses exigences. En raison des sanctions encourues, cette formation devrait être le minimum et une formation supplémentaire des employés est recommandée.

Vous pensez que c'est beaucoup à mettre en œuvre ? Les entreprises bénéficieront de la conformité :

Il y a eu quelques critiques des lois sur la protection de la vie privée et des affirmations selon lesquelles ces lois sont mauvaises pour les entreprises.

Les programmes de conformité coûtent de l'argent, mais les entreprises ne peuvent pas s'attendre à gagner de l'argent avec un actif, comme les données, et à ne pas dépenser d'argent pour s'assurer que leurs actions sont conformes.

Cependant, les principales exigences des lois sur la confidentialité, comme mentionné ci-dessus, sont pour la plupart conformes au bon sens, de sorte qu'un programme de conformité ne devrait jamais être un gouffre sans fond.

De plus, même si la pression juridique ne commençait pas à monter, la pression éthique et de sensibilisation le ferait.

Les consommateurs veulent faire affaire avec des entreprises qui protègent ACTIVEMENT la confidentialité de leurs données.

Oui, il y a un coût de conformité, mais cela doit être considéré comme faisant partie du coût de faire des affaires avec des données, et de construire et préserver la réputation d'une marque. En tant qu'organisation conforme, vous serez en mesure de commercialiser votre adhésion, ce qui peut à son tour contribuer à stimuler les ventes et la fidélité des clients.

Presque toutes les organisations du monde entier reconnaissent désormais que l'investissement dans la protection de la vie privée se traduit par des avantages commerciaux positifs. Les organisations qui ont investi pour se préparer au RGPD connaissent des violations de données moins nombreuses et moins coûteuses , elles constatent moins de frictions commerciales en raison des problèmes de confidentialité des clients, moins d'enregistrements de données sont touchés , les temps d'arrêt du système sont plus courts .

Ce sont quelques-unes des conclusions de l'étude Cisco 2019 Data Privacy Benchmark Study, récemment publiée, qui s'appuie sur les données d'une enquête en double aveugle menée auprès de plus de 3 200 professionnels de la sécurité et de la confidentialité dans 18 pays. L'étude est la première d'une série explorant les principaux problèmes auxquels les organisations sont confrontées aujourd'hui en matière de confidentialité et de cybersécurité.

Selon l'étude de Cisco, 97 % des entreprises déclarent tirer des avantages supplémentaires de leurs investissements en matière de confidentialité, au-delà du simple respect des lois sur la confidentialité. Ces avantages comprennent l' avantage concurrentiel , l'attractivité pour les investisseurs , l'efficacité opérationnelle et une plus grande capacité de flexibilité et d'innovation .

Les trois quarts de tous les répondants ont déclaré qu'ils recevaient au moins deux de ces prestations. De plus, la majorité des entreprises affirment désormais qu'une forte confidentialité des données est un différenciateur concurrentiel sur leurs marchés.

Ces résultats soulignent la nécessité pour les entreprises de subir des changements non seulement pour se conformer aux lois sur la protection de la vie privée, mais également pour maximiser les avantages commerciaux de leurs investissements dans la protection de la vie privée.

Améliorer la gestion des données, renforcer la confiance des clients et subir des délais de vente plus courts et des violations de données moins coûteuses peuvent tous être significatifs pour votre organisation et vous donner l'avantage concurrentiel dont votre entreprise a besoin pour prospérer.

L'écriture est grande et en gras sur le mur. La protection de la vie privée n'est pas réservée qu'à l'Europe… c'est le besoin du moment pour les entreprises du monde entier. Le changement est mouvementé. Mais c'en est une qui était inévitable.

Les humains ont inventé des serrures pour protéger leurs actifs corporels. Maintenant que les données intangibles sont tout aussi précieuses (sinon plus), leur accumulation et leur traitement imprudents seront mal vus, détestés et finalement considérés comme une violation.

Les pratiques de respect de la vie privée rationalisent les opérations. Et ils renforcent la réputation en réduisant le risque de violations. À mon avis, il ne s'agit pas de l'effort impliqué dans la conformité, il s'agit de se réveiller tôt sur le fait que la conformité pourrait très bien être VOTRE prochain grand avantage concurrentiel.

Convert a déjà posé une base solide. Et toi?