Le California Data Privacy Law, AB 375: C’est une affaire personnelle.

Loi de la Californie sur la protection des données

Le California Data Privacy Law, AB 375: C’est une affaire personnelle.

La semaine dernière, la Californie a adopté l’une des lois les plus avancées en matière de protection de la vie privée aux États-Unis, la California Consumer Privacy Act de 2018. Il est salué comme un grand pas en avant avec des comparaisons telles que «GDPR comes to America» (le RGPD arrive en Amérique) ainsi que d’autres titres de ce genre.

Après examen, la loi californienne comprend plusieurs défis, notamment le fait qu’elle ne devrait pas entrer en vigueur avant 2020, et les nombreuses grandes entreprises de technologie qui se sont déjà préparées à essayer d’amener les législateurs à modifier les dispositions de la loi.

Ce qu’il y a dans la loi

La loi instaure quelques nouveaux droits pour les résidents californiens et, comme le GDPR en Europe, s’applique à toute entreprise qui vend ou possède des données personnelles sur les résidents californiens.

Ces nouveaux droits sont les suivants:

1. Le droit des Californiens de savoir quelles sont les informations personnelles collectées à leur sujet.
2. Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou communiqués et à qui.
3. Le droit des Californiens de dire non à la vente de renseignements personnels.
4. Le droit des Californiens d’accéder à leurs informations personnelles.
5. Le droit des Californiens à un service et à un prix équivalent, même s’ils exercent leur droit à la confidentialité.

En bref, cela donne aux Californiens un moyen de se désengager de presque toutes les utilisations secondaires de leurs données, qu’il s’agisse de vente agrégée à des courtiers en données, de suivi ou d’autres utilisations non directement liées à la fourniture d’un service.

Ce que la loi ne prévoit pas

Bien que la loi prévoie des pénalités pour les infractions résultant d’une protection insuffisante de l’information, cette loi en elle-même ne contient aucune exigence quant à la façon dont les entreprises doivent protéger l’information, ou le texte qui guide un tribunal dans son analyse pour déterminer si la protection était satisfaisante.

Les répercussions sur le marché

Contrairement au Règlement Général Européen sur la Protection des Données, le California Consumer Privacy Act de 2018 ne contient pas d’exigences spécifiques que les entreprises doivent suivre pour garantir la sécurité des opérations de traitement. La Loi précise comment les entreprises doivent obtenir le consentement pour la collecte et l’utilisation des renseignements, et qu’elles ne peuvent pas faire preuve de discrimination à l’égard des consommateurs pour avoir exercé leurs droits.

Le California Consumer Privacy Act s’appuie fortement sur d’autres lois californiennes et fédérales pour fournir des conseils dans ces domaines. Il existe un certain nombre de conflits avec ces autres lois et domaines qui auraient probablement besoin d’être clarifiés par le biais d’orientations réglementaires ou de modifications éventuelles de la loi.

De plus, il y a encore un certain nombre de questions sur la façon dont la Loi pourrait être modifiée sous la pression des entreprises de technologie et des défenseurs de la protection de la vie privée, et sur les règlements qui pourraient être publiés à l’appui de la loi.

Dans l’ensemble, la véritable nature des obligations d’une entreprise ne sera pas connue avant un certain temps.

Une solution logique

Le cryptage des données de nature sensible est essentiel pour démontrer que l’information a été adéquatement protégée en vertu d’un règlement ou d’une loi sur la protection de la vie privée.

Echoworx s’engage à respecter les exigences légales et de protection de la vie privée dans les pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données dans le monde entier pour s’assurer que les données sont conservées aussi près que possible du pays ou de la région d’origine. Nous opérons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Le rôle de la sécurité de l’information change certainement. Joignez-vous à moi et mes collègues pour une discussion en direct, jeudi le 26 juillet, sur la façon dont cette loi et d’autres nouvelles règles de confidentialité des données aura une incidence sur les entreprises à l’échelle mondiale. A Perfect Union: Privacy, Security and What you need to know about both | 10 AM ET

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx