La loi californienne sur la protection de la vie privée des consommateurs (CCPA) confère aux consommateurs des droits qu'ils peuvent demander à exercer à tout moment - c'est ce que l'on appelle parfois une demande d'accès aux données (DSAR).
Les entreprises relevant de la CCPA doivent établir une procédure formelle pour recevoir ces demandes afin de rassembler toutes les données et de répondre de manière conforme et opportune.
Dans ce guide, je vous apprends à vous y retrouver dans les exigences du DSAR de l'ACCP et je vous propose des étapes simples que votre entreprise peut suivre pour mettre en place un processus interne efficace.
L'ACCP exige-t-elle des DSAR ?
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) accorde des droits aux consommateurs et leur permet de demander aux entreprises de respecter ces droits.
Dans le texte de la loi, il s'agit techniquement d'une demande vérifiable du consommateur, mais fonctionnellement, c'est le même processus qu'une DSAR RGPD
Le CCPA utilise un langage différent de celui du RGPD, mais prévoit des droits similaires pour les consommateurs.
Le terme "DSAR" trouve son origine dans le règlement général sur la protection des donnéesRGPD, un règlement de l'UE. Il désigne le moment où une personne concernée(alias le consommateur) soumet une demande pour exercer ses droits en matière de protection de la vie privée.
Quels sont les droits accordés aux consommateurs par la CCPA ?
La CCPA confère aux consommateurs californiens les droits suivants :
- Savoir quelles données personnelles sont collectées à leur sujet
- Demande d'accès à leurs données
- Demande de correction/modification des données
- Demande de suppression des données
- refuser le partage ou la vente de leurs données
- Refuser la publicité ciblée
- Non-discrimination pour le respect des droits en matière de protection de la vie privée
Votre entreprise doit être prête à recevoir et à répondre à un DSAR concernant les droits accordés par la CCPA aux consommateurs, qu'ils peuvent soumettre de n'importe quelle manière, y compris :
- Formulaires en ligne
- Paramètres d'exclusion du navigateur
- Courriel
Votre entreprise est chargée de vérifier l'identité du consommateur et de répondre rapidement à la demande.
Comment naviguer dans l'ACCP et les DSAR : Étape par étape
Vous trouverez ci-dessous six étapes que les entreprises peuvent suivre pour simplifier la navigation dans les exigences du DSAR de l'ACCP.
Étape 1 : Exigences en matière de vérification de l'identité
En vertu de la loi sur la protection des consommateurs, votre entreprise doit vérifier l'identité des consommateurs qui soumettent des demandes. Il est donc préférable d'établir une procédure formelle de DSAR que votre équipe peut suivre pour y parvenir de manière adéquate.
Vous éviterez ainsi de communiquer accidentellement des informations personnelles à la mauvaise personne, ce qui constituerait une violation directe de la loi.
Vous pouvez vérifier l'identité des consommateurs en vertu de la loi sur la protection des consommateurs en comparant les informations contenues dans leur RAA aux données que vous avez déjà collectées à leur sujet.
Si nécessaire, vous pouvez demander des détails supplémentaires, mais ils doivent être supprimés immédiatement après.
Étape 2 : Informations à inclure dans la réponse
Ensuite, mettez en place une procédure formelle pour localiser toutes les données à caractère personnel collectées par votre entreprise. De cette façon, votre équipe peut localiser toutes les informations qui doivent être incluses dans la réponse.
En outre, gardez à l'esprit la sécurité des données afin de prévenir les violations de données ou les accès non autorisés.
Par exemple, ce processus peut comprendre
- Réaliser un audit des données afin de localiser toutes les données à caractère personnel collectées par votre entreprise.
- Limiter les personnes de votre équipe qui ont accès à ces informations et la durée de cet accès.
- Former les membres de votre équipe chargés de répondre aux DSAR.
Étape 3 : Calendrier de réponse
Veillez à ce que votre équipe puisse répondre aux demandes de données dans les délais prévus par la loi.
L'ACCP dispose d'un délai de 45 jours pour répondre aux DSAR, délai qui peut être prolongé de 45 jours supplémentaires si la demande est complexe.
Toutefois, les demandes de retrait doivent être honorées dans les 15 jours suivant la réception de la demande, et il n'est pas possible de prolonger ce délai.
Étape 4 : Refuser de répondre
Précisez quand votre entreprise doit refuser de répondre à une DSAR, ce qui n'est autorisé que dans les cas suivants :
- Vous ne pouvez pas vérifier l'identité du demandeur
- La demande est infondée
- La demande est excessive
Il est important de mettre en place une procédure car, en vertu de la loi sur la protection des consommateurs, il incombe à votre entreprise de prouver qu'un rapport d'activité est infondé ou excessif.
Vous devez le faire à la satisfaction du procureur général de Californie, sous peine de recevoir une amende pouvant aller jusqu'à 7 500 dollars pour violation de la loi.
Les entreprises doivent également répondre au consommateur en lui expliquant pourquoi sa demande initiale a été rejetée et en l'informant de son droit de faire appel de la décision.
Étape 5 : Procédure de recours pour les consommateurs
Vous devez également offrir à vos consommateurs californiens une procédure d'appel de votre décision concernant leur DSAR.
La CCPA donne aux consommateurs le droit de faire appel de votre décision dans un délai raisonnable, que vous devez divulguer.
L'introduction d'un recours doit être aussi facile pour le consommateur que l'introduction de la DSAR originale.
Étape 6 : Conservez un journal de vos réponses
Veillez à tenir un registre sécurisé et conforme à la législation de toutes les demandes que votre entreprise reçoit et auxquelles elle répond.
Le fait de disposer de ces informations peut aider votre entreprise en cas d'enquête ou d'audit.
Utilisation de Termly pour les exigences du DSAR de l'ACCP
TermlyLe site plateforme de gestion du consentement (CMP ) de l'ACCP est accompagné d'un formulaire DSAR intégré gratuit que vous pouvez ajouter à votre site web afin de répondre à certaines des exigences de l'ACCP en matière de DSAR.
Le formulaire DSAR pose à vos consommateurs des questions essentielles qui permettent de rationaliser divers aspects du processus de réponse, notamment les suivants :
- Quelle loi sur la protection de la vie privée s'applique à l'utilisateur ?
- Quel(s) droit(s) demande-t-il(s) d'exercer ?
- Leur nom et l'adresse électronique principale qu'ils utilisent pour contacter votre site web
Il contient également toutes les informations utiles sur la procédure d'appel prévue par l'ACCP, ce qui facilite la mise en conformité.
Exigences du lien avec l'ACCP
La CCPA exige également que les entités couvertes disposant d'un site web ajoutent les liens suivants au pied de page de leur site :
- "Ne pas vendre ou partager mes informations personnelles".
- "Limiter l'utilisation de mes informations personnelles sensibles".
Ces liens doivent mener directement à une page qui permet aux utilisateurs californiens d'exercer facilement leur droit de refuser la vente et le partage des données et de limiter l'utilisation de leurs données sensibles.
Vous pouvez également utiliser un lien unique qui mène à une page permettant aux utilisateurs d'agir sur les deux droits.
Votre site doit respecter ces exigences en matière de liens, même si vous publiez un formulaire DSAR distinct.
Résumé
La mise en place d'une procédure de réponse au DSAR est idéale pour les entreprises afin de rationaliser la réponse aux demandes vérifiables des consommateurs en vertu de la loi sur la protection des consommateurs.
Mais n'oubliez pas de vérifier d'autres voies, car les consommateurs peuvent soumettre des demandes par le biais de différents canaux, tels que le courrier électronique ou les plateformes de médias sociaux.
Certains DSAR relevant de la CCPA doivent être résolus dans un délai de 45 jours, mais les demandes d'exclusion doivent être honorées dans un délai de 15 jours.
L'ajout de ressources telles qu'un formulaire DSAR sur votre site web rend le processus plus efficace pour votre entreprise et les consommateurs californiens.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
