Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Conformité CCPA : Comment devenir conforme

Conformité CCPA : Comment devenir conforme

Apr 7, 2021

La collecte et le traitement des informations personnelles (PI) permettent aux entreprises de personnaliser l'expérience client et d'augmenter les ventes. Cependant, certains défenseurs des droits des consommateurs et réglementations sur la vie privée limitent strictement la collecte des PI pour garantir que les organisations utilisent leurs données de manière significative et juste. Le plus célèbre est le General Data Protection Regulation (GDPR), mais de plus en plus d'États aux États-Unis promulguent leurs propres data privacy laws.

Parmi ces lois, les plus importantes sont le California Consumer Privacy Act de 2018 (CCPA) et son extension ultérieure, la California Privacy Rights Act (CPRA), dont nous discuterons plus en détail dans cet article.

En effet, vous avez peut-être remarqué que les conditions de service de la plupart des services numériques stipulent désormais des considérations spéciales pour les résidents de Californie. Cela est dû aux règles établies par le CCPA qui s'appliquent aux organisations opérant dans l'État de Californie.

De nombreuses organisations ont déjà des politiques en place pour se conformer au GDPR. Cependant, le CCPA contient certaines dispositions qui nécessitent des mesures supplémentaires. Pour protéger votre organisation, vous devriez comprendre ce qu'est le CCPA, ses dispositions clés et les étapes que vous pouvez suivre pour garantir la conformité au CCPA. Cet article discutera de la manière de devenir conforme au CCPA, de son importance et comment maintenir un équilibre entre la vie privée et l'efficacité commerciale. .

Qu'est-ce que le California Consumer Privacy Act ?

Le California Consumer Privacy Act est une loi de l'État de Californie qui est entrée en vigueur le 1er janvier 2020. L'objectif principal du CCPA est de protéger les consommateurs contre les entreprises qui vendent leurs informations privées sans aucun avis officiel ou possibilité d'opt-in et d'opt-out. L'intention est de tenir ces entreprises responsables de toute transaction commerciale impliquant des données personnelles.

Téléchargez gratuitement :

Termes et définitions du CCPA

Qu'est-ce que la conformité CCPA ? Répondre à cette question nécessite de définir quelques termes clés :

  • Entreprise — Une entité à but lucratif qui exerce des activités commerciales dans l'État de Californie et répond aux critères pour être couverte par le CCPA (fournis ci-dessous).
  • Objectif commercial — Les entreprises souhaitant collecter et utiliser des données personnelles doivent répondre à l'un des objectifs commerciaux suivants, comme détaillé dans la subdivision (d) du Code civil de Californie 140:
    • Audit d'une interaction actuelle pour le marketing et la publicité
    • Gestion des menaces de sécurité et juridiques
    • Débogage des erreurs qui nuisent à la fonctionnalité
    • Collecte de données pour une utilisation à court terme qui n'est pas partagée avec un tiers ou utilisée pour créer un profil
    • Gestion des comptes ou des transactions
    • Réalisation de recherches internes pour le développement technologique et la démonstration
    • Tentative de vérification, de maintenance ou d'amélioration de la qualité ou de la sécurité des appareils ou services de l'entreprise
  • Résident de Californie — Quelqu'un qui se trouve dans l'État pour autre chose qu'un but temporaire ou transitoire, ou quelqu'un qui est temporairement hors de l'État mais dont le domicile permanent est en Californie.
  • Collecte — Définie comme « l'achat, la location, la collecte, l'obtention, la réception ou l'accès à toute information personnelle concernant un consommateur par quelque moyen que ce soit. »
  • Consommateur — Une personne physique qui est résidente de Californie.
  • Violation de données — Une situation dans laquelle une partie non autorisée obtient l'accès à des informations sensibles susceptibles de nuire aux consommateurs. Selon une analyse du CCPA par le National Law Review, il y a trois exigences qui doivent être remplies pour qu'un consommateur puisse intenter une action à la suite de la violation :
    • Les données doivent être des informations personnelles telles que définies par le CCPA.
    • Les informations personnelles doivent être non chiffrées et non expurgées.
    • La violation doit résulter de l'échec d'une entreprise à mettre en place et à maintenir des procédures et pratiques de sécurité raisonnables.
  • Informations personnelles — Incluant toute information, telle qu'un nom réel, un pseudonyme ou un numéro de téléphone, qui pourrait être utilisée pour élaborer un profil sur les caractéristiques ou les préférences de quelqu'un.
  • Vente — La loi définit cela comme « vendre, louer, divulguer, diffuser, rendre disponible, transférer ou autrement communiquer par tout moyen » les informations personnelles d'un consommateur à toute partie en échange d'une quelconque compensation. Le CCPA prévoit des exceptions spécifiques qui s'appliquent à cette définition. L'une est la référence ou le contrat, qui se produit lorsqu'un consommateur dirige intentionnellement une entreprise pour interagir avec un tiers en utilisant un identifiant personnel. Une autre est lorsque les entreprises ne collectent, ne vendent ou n'utilisent pas les informations personnelles au-delà de ce qui est nécessaire « pour exécuter l'objectif commercial. »

Lisez le billet de blog associé :

Quelles organisations doivent se conformer au CCPA ?

Le CCPA ne se limite pas aux entreprises basées en Californie. En effet, il s'applique à toute entreprise à but lucratif qui collecte des informations personnelles auprès des résidents de Californie et qui répond à au moins l'un des critères suivants :

  • A un chiffre d'affaires annuel d'au moins 25 millions de dollars
  • Contient des informations personnelles d'au moins 50 000 individus ou foyers
  • Génère plus de la moitié du chiffre d'affaires annuel en vendant des informations personnelles des résidents de Californie

Les exemptions incluent ce qui suit :

  • Les institutions financières soumises à la réglementation Gramm-Leach-Bliley (GLB) ou CalFIPA
  • Les agences de rapport de crédit soumises à la Fair Credit Reporting Act
  • Les prestataires de santé soumis à la CMIA et à la HIPAA
  • Certaines relations business-to-business (B2B)

Par conséquent, si votre organisation a collecté des informations personnelles d'un résident de Californie (par exemple, via des cookies sur le site Web), alors vous pourriez devoir vous conformer au CCPA.

Quelles informations sont réglementées par le CCPA ?

La subdivision (v) (1) de la Section 1798.140 du Code civil de Californie énumère plusieurs catégories de types de données protégées en vertu du CCPA. Beaucoup de ces catégories sont explicites, telles que « nom réel » ou « adresse e-mail ». Cependant, certaines nécessitent des explications supplémentaires :

  • Identifiants personnels uniques/identifiants en ligne — Bien que l'« identifiant personnel unique » soit répertorié comme un sous-type d'information personnelle, il est défini séparément comme « un identifiant persistant qui peut être utilisé pour reconnaître un consommateur, une famille ou un appareil qui est lié à un consommateur ou à une famille, dans le temps et à travers différents services. » Des exemples notables incluent les numéros de client, les adresses IP, les pseudonymes uniques et les alias d'utilisateurs en ligne.
  • Informations biométriques — Les données relatives au sommeil, à la santé et à l'exercice, telles que celles collectées par les smartphones ou les appareils portables, entrent dans la catégorie protégée des informations biométriques. Cette protection s'étend également aux données qui pourraient être collectées hors ligne, telles que les caractéristiques psychologiques ou comportementales, l'ADN ou les enregistrements vocaux.
  • Données de géolocalisation — Bien qu'elles ne soient pas explicitement définies dans le CCPA, les données de géolocalisation incluent généralement toute information de localisation précise obtenue à partir d'appareils GPS ou de moyens similaires. Autrement dit, l'enregistrement sur le site web ou la page de médias sociaux d'un restaurant ne peut pas être vendu de manière à pouvoir être retracé jusqu'à un consommateur en particulier.

Exceptions

Le CCPA vise à empêcher la vente d'informations personnelles pouvant servir à identifier une personne. Cependant, il existe certaines situations où la loi ne s'applique pas, y compris les suivantes :

  • Informations disponibles publiquement — Toute information accessible via les archives gouvernementales n'est pas considérée comme « informations personnelles » et n'est donc pas protégée.
  • Informations personnelles sur la santé — Les informations médicales protégées par la Confidentiality of Medical Information Act et les informations collectées par le Département de la Santé et des Services Humains des États-Unis selon la Health Insurance Portability and Accountability Act de 1996 (HIPAA) sont réglementées séparément. Les informations relatives aux essais cliniques soumises à la Federal Policy for the Protection of Human Subjects ne sont également pas couvertes par le CCPA.
  • Les données utilisées pour générer un rapport de consommation — L'activité utilisée pour déterminer la solvabilité est régie séparément par le Fair Credit Reporting Act.
  • Informations financières — Toute information vendue avec une notification appropriée telle que définie par le Gramm-Leach-Bliley Act ou le California Financial Information Privacy Act n'est pas couverte par le CCPA.
  • Les informations recueillies par le DMV — Toute information recueillie par un département des véhicules à moteur d'État ou ses employés, officiers ou contractants est séparément couverte par la Driver’s Privacy Protection Act (DPPA).
  • Autres informations — D'autres exceptions incluent certaines informations sur les employés utilisées dans le cadre de la relation employeur-employé, et certaines informations sur la garantie et le rappel des véhicules.

Dispositions clés sur la confidentialité et droits des consommateurs dans le CCPA

Le CCPA comprend les dispositions suivantes conçues pour protéger les droits des consommateurs :

  • Divulgation générale — Les entreprises doivent publier une politique de confidentialité décrivant les droits des consommateurs et les catégories d'informations personnelles qu'elles ont collectées et divulguées au cours des 12 derniers mois.
  • Droit de savoir — Les consommateurs ont le droit de demander des détails sur la nature des données qui ont été collectées, utilisées, partagées et vendues, ainsi que les raisons de ces actions.
  • Droit d'accès et de portabilité— Les entreprises doivent fournir gratuitement les informations couvertes par le « droit de savoir » aux consommateurs dans les 45 jours suivant une demande vérifiable. La divulgation doit couvrir les informations collectées pendant la période de 12 mois précédant la demande.
  • Droit de retrait — Les consommateurs peuvent, à tout moment, demander qu'une entreprise ne vende pas leurs informations personnelles à des tiers alors que la vente est par ailleurs légale.
  • Droit à l'effacement (droit à l'oubli) — Les consommateurs peuvent demander à une entreprise de supprimer toutes les informations personnelles collectées à leur sujet sur n'importe quelle période.
  • Droit à la non-discrimination — Les entreprises ne peuvent pas exercer de représailles contre les consommateurs qui exercent leurs droits en vertu du CCPA. Des exemples de représailles ou de discrimination incluent le refus de service, des prix ou tarifs différents, et une qualité différente des biens et services.
  • Droit d'action privé — En cas de violation du CCPA, les consommateurs ont le droit d'intenter des poursuites judiciaires afin de tenter de récupérer des dommages et intérêts.
  • Restrictions sur la collecte des données des mineurs — Les entreprises sont interdites de vendre les informations des consommateurs mineurs à moins d'avoir obtenu un consentement spécifique. Les mineurs âgés de 13 à 16 ans doivent donner leur accord avant que les entreprises puissent vendre leurs données personnelles. Si le consommateur a moins de 13 ans, l'entreprise doit obtenir le consentement d'un parent ou tuteur.

Lisez le billet de blog associé :

Sanctions et recours en vertu du CCPA

Les consommateurs doivent envoyer un préavis de 30 jours s'ils ont l'intention de poursuivre en justice en cas d'incident présumé. Si une entreprise ne remédie pas à l'allégation, elle peut faire face à des amendes allant jusqu'à 2 500 $ pour chaque infraction. Le tribunal peut également imposer des mesures disciplinaires supplémentaires.

Les consommateurs ne sont pas responsables de démontrer des dommages réels — seulement que leurs informations personnelles étaient impliquées dans une violation de données telle que définie ci-dessus.

Modifications à la CCPA

La California Privacy Rights Act (CPRA), promulguée en 2020, est un ensemble d'amendements à la CCPA. Ce projet de loi, qui sera applicable à partir du 1er juillet 2023, apporte plusieurs changements, y compris :

  • Nouveaux termes — Il y a plusieurs nouveaux termes, y compris « partage » et « informations personnelles sensibles », qui changent le traitement futur des données personnelles.
  • Nouveaux droits — Les consommateurs disposent de droits supplémentaires en matière de confidentialité, y compris le droit de se désinscrire du partage et le droit de corriger les informations inexactes.
  • Nouvelles responsabilités — Les modifications apportées à la loi californienne sur la confidentialité imposent plusieurs nouvelles exigences aux entreprises, y compris la nécessité d'établir des mesures de sécurité raisonnables pour protéger les informations personnelles et de nouvelles exigences concernant le partage d'informations.

Conseils pour la conformité au CCPA

Être conforme au CCPA aide votre organisation à réduire les risques et à éviter les pénalités. Voici quelques conseils pour vous aider à aligner vos pratiques de collecte et de gestion des données avec les exigences de conformité au CCPA.

Faites l'inventaire de vos données.

Pour être conforme au CCPA, vous devez suivre les activités de traitement des données, ce qui vous oblige à localiser les informations personnelles sur vos serveurs de fichiers, bases de données et stockages cloud. Assurez-vous de classifier vos données afin de savoir lesquelles sont soumises au CCPA, ainsi que la manière dont elles s'intègrent dans d'autres catégories utiles à votre entreprise. De cette façon, vous pouvez choisir et mettre en œuvre les bonnes stratégies de sécurité pour différents types de données.

Mettez en place des processus pour gérer les demandes d'accès des personnes concernées (DSARs).

Il est crucial de mettre en place des procédures efficaces et efficientes pour soutenir les clients qui exercent leurs droits en vertu du CCPA. Les DSAR sont sensibles au temps — les entreprises doivent divulguer quelles informations personnelles sont collectées, comment elles sont traitées, à quelles fins et avec qui elles sont partagées dans les 45 jours suivant la réception d'une demande vérifiable. Classifier vos données et avoir des flux de travail qui peuvent être effectués par du personnel non informatique vous aidera à répondre à chaque demande des consommateurs en temps opportun.

Demandez une démo individuelle :

Examinez et enregistrez comment les données protégées sont utilisées.

Les consommateurs ont le droit de savoir comment leurs données sont utilisées, il est donc dans votre intérêt d'avoir des réponses prêtes pour eux. Vous devez identifier où les données personnelles sont utilisées, y compris les processus commerciaux, les logiciels et les appareils. De plus, vous avez besoin d'informations sur les types de données utilisés à des fins de marketing et lesquelles d'entre elles sont vendues ou partagées avec des tiers. En outre, il est important de protéger les données lorsqu'elles sont le plus à risque – en transit ou au repos. En particulier, lorsqu'elles ne sont pas utilisées, les données doivent être chiffrées et pseudonymisées pour leur protection.

Review your record-keeping practices.

Pour se conformer au CCPA, vous devez être capable de disposer des données appropriées en réponse aux demandes de « right to be forgotten » (« droit à l'oubli »). Le droit de suppression du CCPA s'applique uniquement aux données collectées auprès du consommateur (et non aux données sur le consommateur collectées à partir de sources tierces). Le plus grand défi ici est de supprimer les données qui ont été partagées avec différentes équipes internes et systèmes ou divulguées à des tiers tels que les fournisseurs ou partenaires. Avec l'une de ces parties, vous devez remonter aux sources stockant les données et demander la suppression.

Rendez-le facile pour les consommateurs d'exercer leurs droits.

Il doit être facile pour les consommateurs d'exercer leurs droits en vertu du CCPA. Vous devriez fournir au moins deux méthodes pour soumettre des demandes, y compris un numéro sans frais et un formulaire sur votre site web. De plus, les consommateurs qui souhaitent se désinscrire de la vente ou du partage de leurs informations personnelles, sauf lorsque cela est nécessaire, devraient avoir un moyen simple de le faire, tel qu'un lien facile à trouver sur votre site web intitulé « Ne vendez pas mes informations personnelles ».

Révisez et mettez à jour votre politique de confidentialité.

Le CCPA exige qu'une politique de confidentialité soit accessible via votre site Web. Elle doit expliquer vos pratiques en ligne et hors ligne pour la collecte, l'utilisation, le partage et la vente des informations personnelles des consommateurs. Elle doit également inclure des informations sur les droits à la confidentialité des consommateurs et la manière dont ils peuvent les exercer.

Mandate la formation à la confidentialité pour tous les employés.

Les membres de votre organisation doivent comprendre leur rôle dans le maintien de la conformité de votre organisation aux exigences du CCPA. Cela signifie fournir une formation aussi bien aux nouveaux employés qu'au personnel expérimenté.

Surveillez les changements dans les lois.

Le CPRA a déjà apporté des modifications au CCPA, et il est probable que les exigences continuent d'évoluer à l'avenir. Restez vigilant face à ces changements afin de rester en conformité.

Comment Netwrix aide-t-il avec le CCPA ?

La solution de conformité Netwrix offre une approche complète et multicouche qui vous permet de vous conformer au CCPA, de répondre rapidement et avec précision aux DSARs et d'être prêt à vous conformer aux exigences mises à jour.

Le CCPA vous oblige à garantir que toutes les informations personnelles que vous collectez et stockez sont sécurisées. Avec les Netwrix compliance solutions, vous pouvez mettre en œuvre une approche centrée sur les données pour la sécurité qui atteint cet objectif. Vous pouvez automatiser l'audit des changements, des accès et des configurations, ainsi qu'assurer une découverte et classification précises des données sensibles. De plus, vous pouvez obtenir des informations exploitables pour améliorer la sécurité des données et de l'infrastructure, telles que des données trop exposées et des mauvaises configurations. En outre, vous pouvez répondre rapidement aux demandes d'accès des sujets de données en automatisant le processus de collecte des données — une étape cruciale et exigeant beaucoup de ressources.

FAQ

1. Qu'est-ce que le CCPA ?

Le CCPA est une loi de l'État de Californie qui établit des protections pour les informations personnelles des consommateurs.

2. Quelles données sont couvertes par le CCPA ?

Le CCPA couvre toutes les informations personnelles privées des consommateurs qui ne sont pas disponibles auprès de sources locales, étatiques ou fédérales.

3. Quelles entreprises sont concernées par le CCPA ?

Le CCPA s'applique à toutes les entreprises à but lucratif opérant en Californie qui répondent à certaines conditions, telles qu'un seuil de revenu. Cela inclut les entreprises qui ne sont pas basées en Californie mais qui y font des affaires.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Craig Riddell

Field CISO NAM

Craig est un leader primé en sécurité de l'information spécialisé dans la gestion des identités et des accès. Dans son rôle de Field CISO NAM chez Netwrix, il met à profit sa vaste expertise dans la modernisation des solutions d'identité, y compris son expérience avec Privileged Access Management, le privilège zéro permanent et le modèle de sécurité Zero Trust. Avant de rejoindre Netwrix, Craig a occupé des postes de direction chez HP et Trend Micro. Il détient les certifications CISSP et Certified Ethical Hacker.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité