Exigences de la CCPA pour les entreprises

Exigences de la CCPA pour les entreprises

Dans ce dossier spécial, nous allons vous expliquer les exigences de la loi sur la protection de la vie privée des consommateurs de la Californie (CCPA) pour les entreprises.

Nous allons également vous détailler les éléments les plus importants de la CCPA.

Quelles sont les entreprises qui doivent se conformer à la CCPA ?

Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne, qui s’applique à toutes les entreprises qui collectent ou traitent les données des résidents de l’UE, la CCPA ne s’applique qu’aux entreprises à but lucratif qui répondent à certains critères.

Toute entreprise qui répond à un ou plusieurs des critères ci-dessous est tenue de se conformer à la CCPA :

  • Avoir un chiffre d’affaires annuel brut supérieur à 22,64 millions d’euros
  • Collecter des informations sur 50 000 ménages ou résidents californiens ou plus chaque année
  • Gagner 50 % ou plus de son chiffre d’affaires annuel grâce à la vente des données de consommation des résidents de l’état de Californie.

À noter que ces exigences peuvent être actualisées ou étendues à un plus grand nombre d’entreprises. Il est donc dans votre intérêt de vous tenir au courant de toute modification de la CCPA si vous recueillez ou traitez les données des consommateurs américains.

Il n’y a pas que les entreprises ayant leur siège en Californie qui doivent se conformer à la CCPA. En réalité, toute entreprise qui fait des affaires en Californie ; qui collecte ou traite les données des résidents californiens est tenue de se conformer à la CCPA.

Quels sont les droits des consommateurs dans le cadre de la CCPA ?

Le CCPA a été introduit pour donner aux résidents de l’état de Californie un plus grand contrôle sur leurs données personnelles.

Les droits des consommateurs en vertu de la CCPA sont notamment les suivants :

  • Droit de savoir quelles données personnelles sont collectées par une entreprise
  • Droit de savoir quelles sont les données à caractère personnel détenues par une entreprise
  • Droit de savoir comment les données à caractère personnel sont utilisées par une entreprise
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (moins de 13 ans) sans le consentement des parents
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (13-16 ans) sans consentement direct de la personne concernée
  • Droit de supprimer toutes les données à caractère personnel détenues par une entreprise
  • Droit de refuser la vente de données à caractère personnel
  • Droit à la non-discrimination, en termes de prix ou de services, si les droits de la CCPA sont exercés
  • Droit d’intenter une action en justice contre les entreprises pour violation de la vie privée et pour non-respect des droits de la CCPA
  • Les demandes des consommateurs doivent être confirmées dans les 10 jours et honorées dans les 45 jours

Principales exigences de la CCPA pour les entreprises

Les entreprises doivent veiller à ce que les consommateurs soient informés de la collecte de leurs données personnelles avant que celles-ci ne soient recueillies. Les consommateurs doivent également avoir la possibilité de refuser la collecte ou la vente de leurs données. Par ailleurs, les données à caractère personnel ne doivent être collectées qu’à des fins spécifiques et légitimes.

Une politique de protection de la vie privée à l’échelle de l’entreprise doit être élaborée, maintenue et mise à la disposition des consommateurs. Elle doit expliquer les pratiques de l’entreprise en matière de protection de la vie privée, y compris les données collectées, la manière dont elles sont utilisées et si elles seront vendues ou non. En outre, la politique de protection de la vie privée doit expliquer les droits des consommateurs.

Les entreprises ont aussi l’obligation de maintenir des procédures pour répondre aux demandes des consommateurs d’accéder à leurs données, de supprimer leurs données et de refuser la vente de leurs informations personnelles. De plus, elles doivent élaborer et maintenir des procédures relatives à la collecte et à l’utilisation des informations personnelles des mineurs.

Les entreprises doivent offrir aux consommateurs deux méthodes pour demander des données et faire supprimer leurs données. L’une des méthodes obligatoires est un numéro de téléphone gratuit. Si une entreprise opère principalement en ligne, les entreprises doivent proposer une méthode basée sur le web.

Tout membre du personnel qui traite les données des consommateurs doit recevoir une formation sur les exigences de la CCPA. Quant à la surveillance de la conformité, elle doit être déléguée à une personne ou à une équipe dédiée.

Les entreprises doivent vérifier l’identité du consommateur avant de lui fournir ou de supprimer des données qui lui concernent une fois qu’ils reçoivent une demande.

CCPA et RGPD

La CCPA ne va pas aussi loin que le RGPD en ce qui concerne les exigences de sécurité des données pour les entreprises.

Cette loi ne précise pas les mesures de sécurité qui doivent être mises en œuvre pour protéger les données des consommateurs, mais elle exige que les entreprises mettent en place des protections adéquates pour protéger les données des consommateurs, y compris des mesures pour empêcher l’accès non autorisé aux données personnelles.

N’oubliez pas que des sanctions peuvent être imposées en cas de violation de données et que les consommateurs peuvent intenter une action en justice pour l’exposition de leurs données si l’entreprise détenant ces données a été négligente.

En cas de violation de la CCPA, les consommateurs peuvent être poursuivis en justice. Une violation importante des données pourrait donc s’avérer très coûteuse.

Comment TitanHQ peut vous aider à vous conformer à la CCPA

TitanHQ propose trois solutions qui peuvent aider les entreprises à se conformer à la CCPA. Il s’agit de SpamTitan Email Security, de WebTitan DNS Filtering et d’ArcTitan Email Archiving.

SpamTitan est une puissante solution de sécurité de la messagerie électronique. Elle offre la meilleure protection contre le spam et les principales causes de violation des données, telles que les attaques de phishing et les infections par des malwares.

WebTitan est une solution de filtrage DNS qui offre un niveau de protection supplémentaire contre les attaques de phishing et de malwares. Elle bloque les tentatives des utilisateurs de votre réseau informatique d’accéder à des sites web malveillants tels que ceux utilisés pour le phishing ou pour la diffusion de malwares. Elle peut aussi vous aider à éviter l’exposition des données des consommateurs.

ArcTitan est une solution d’archivage de la messagerie électronique. Elle aide les entreprises à protéger leurs données d’e-mails, à répondre aux exigences de conservation des e-mails, à trouver et à récupérer rapidement les messages électroniques lors du traitement des plaintes des clients.

Enfin, ArcTitan permet aux entreprises de trouver et supprimer rapidement les données personnelles si les consommateurs le demandent.

TitanHQ soutient ses partenaires, clients et équipes durant la pandémie du CoronaVirus (COVID-19)

TitanHQ soutient ses partenaires, clients et équipes durant la pandémie du CoronaVirus (COVID-19)

En cette période d’incertitude sans précédent, la santé et la sécurité de nos employés, de nos clients, de nos partenaires et de leurs familles est l’une de nos principales préoccupations.

L’équipe TitanHQ s’engage pleinement à soutenir ses partenaires et ses clients. Les avantages de nos produits de sécurité pour le courrier électronique et le web sont encore plus pertinents et importants aujourd’hui.

Notre fantastique équipe a relevé le défi avec vigueur et nous avons mobilisé notre personnel pour que tout se passe comme d’habitude pendant cette phase inhabituelle. Nous suivons les conseils du gouvernement sur les meilleures pratiques et nous avons mis en place un groupe de travail pour gérer nos progrès.

Les clients et les partenaires peuvent être assurés que les équipes de support continueront à être disponibles et que les équipes de produits travaillent normalement. Si vous avez des questions ou des préoccupations concernant les produits ou le support technique, veuillez nous contacter de la manière habituelle.

L’équipe d’assistance a été formée pour être au courant des préoccupations particulières des clients pendant cette période et transmettra toute question à la personne ou au service responsable approprié.

Notre nouvelle ressource de documentation et de mise en place a été particulièrement occupée pendant cette période. Vous pouvez y accéder ici et, comme toujours, notre équipe d’assistance vous attend ici : https://www.titanhq.com/support-portal/

Nous sommes conscients que le moment est délicat et nous ferons en sorte de faire un effort supplémentaire pour faciliter la vie de nos clients.

Nous tous, chez TitanHQ, vous souhaitons une bonne santé et vous remercions de votre soutien continu.

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

En vertu de la loi californienne sur la confidentialité des données personnelles des consommateurs (CCPA), les Californiens peuvent demander la suppression de leurs données personnelles, mais il existe des exceptions à cette règle que vous devez connaître.

Toutes les données personnelles ne doivent pas être supprimées.

Qui doit se conformer à la CCPA ?

La CCPA donne aux Californiens de nouveaux droits sur leurs données personnelles.

À partir du 1er janvier 2020, les organisations qui exercent leurs activités dans l’État de Californie sont tenues de se conformer à cette réglementation si :

  • Elles ont un revenu annuel brut supérieur à 22,64 millions d’euros
  • Elles traitent les données personnelles de 50 000 consommateurs ou plus
  • Si elles tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles.

Le droit de suppression des données personnelles de la CCPA

L’un des nouveaux droits accordés aux consommateurs californiens est le droit de faire supprimer leurs données personnelles.

La CCPA s’applique aux données qui identifient, concernent, décrivent ou peuvent être associées à un individu ou à un ménage, directement ou indirectement.

Lorsque les consommateurs exercent leur droit de suppression de leurs données personnelles, les organisations sont tenues de s’y conformer dans un délai de 45 jours. Mais il existe des exceptions à ce droit.

A noter toutefois que, si les données ne doivent pas être supprimées, le consommateur doit en être informé au plus tard 45 jours après la réception de la demande. Ce délai ne s’applique pas aux données contenues dans les systèmes d’archivage ou de sauvegarde.

La suppression des données personnelles stockées dans une archive ou une sauvegarde peut être retardée jusqu’à la prochaine consultation ou utilisation de l’archive ou de la sauvegarde.

Lorsqu’une demande de suppression de données est reçue, l’organisation concernée doit prendre des mesures raisonnables pour vérifier que la demande de suppression de données a été envoyée par la personne à laquelle elles se rapportent.

Voici maintenant les 9 exceptions au droit de suppression des données personnelles en vertu de la CCPA.

Exceptions au droit à la suppression des données selon la CCPA

Les entreprises ne sont pas tenues par la loi de supprimer les données nécessaires à l’exercice de 9 activités spécifiques suivantes.

Activités transactionnelles

Les données n’ont pas besoin d’être supprimées si elles sont nécessaires pour mener à bien la transaction pour laquelle elles ont été collectées ou pour fournir les biens ou les services qui ont été demandés par le consommateur.

Les données n’ont pas besoin d’être supprimées si elles sont « raisonnablement prévues dans le cadre de la relation commerciale continue d’une entreprise avec le consommateur, ou si elles sont nécessaires à l’exécution d’un contrat entre l’entreprise et le consommateur ».

Activités de sécurité

L’exception concerne également les données à caractère personnel, telles que celles contenues dans les journaux d’un serveur, et qui sont nécessaires pour détecter des incidents de sécurité, pour protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales.

En effet, les données qui permettent la poursuite des personnes responsables ne doivent pas être supprimées.

Erreurs

Les données à caractère personnel qui sont nécessaires pour déboguer, identifier ou réparer des erreurs ne doivent pas non plus être supprimées.

Liberté d’expression

Si la CCPA contribue à protéger la vie privée des consommateurs, cette mesure est considérée comme secondaire par rapport à la liberté d’expression.

Il n’est pas nécessaire de supprimer les données personnelles pour permettre l’exercice de la liberté d’expression, pour garantir le droit d’un autre consommateur à exercer son droit à la liberté d’expression, ou pour exercer un autre droit prévu par la loi.

Conformité à la CCPA

Les données personnelles ne doivent pas être supprimées si elles sont nécessaires pour assurer la conformité avec la loi californienne sur la protection de la vie privée dans le cadre des communications électroniques.

Conformité juridique

Les données personnelles ne doivent pas être effacées si elles doivent être utilisées dans le cadre d’une conformité juridique, telle que les lois sur la conservation des données.

Recherche menée dans l’intérêt public

Les informations personnelles des consommateurs qui sont utilisées pour des recherches menées dans l’intérêt public n’ont pas besoin d’être supprimées.

Cela comprend les données personnelles qui sont collectées et conservées pour des recherches scientifiques, historiques ou statistiques.

C’est également le cas si la suppression des données risque de nuire gravement à la réalisation d’une recherche, à condition que le consommateur ait préalablement donné son consentement pour que ses données personnelles soient utilisées à des fins de recherche.

Utilisations internes attendues

Les données ne doivent pas être supprimées si elles sont nécessaires pour permettre uniquement des utilisations internes raisonnablement alignées sur les attentes du consommateur sur la base de la relation du consommateur avec l’entreprise.

Autres utilisations internes

Les données à caractère personnel ne doivent pas être supprimées si elles sont nécessaires à d’autres utilisations internes qui, de manière licite, sont compatibles avec le contexte dans lequel le consommateur a fourni ses données personnelles.

Mise en œuvre de la conformité à la CCPA

Le procureur général de Californie est chargé de faire respecter la CCPA. Il a le pouvoir d’imposer des sanctions financières en cas de non-conformité à cette loi.

Le montant de la sanction peut aller jusqu’à plus de 2 260 euros par infraction ou plus de 6 790 euros pour une infraction intentionnelle.

Quant aux consommateurs californiens, ils sont autorisés à intenter des actions en justice contre les organisations en cas de violation de leurs données personnelles. Ils peuvent également réclamer des dommages-intérêts, dont le montant est compris entre 90 et 680 euros par violation de données.

Premier procès intenté au titre de la loi californienne sur la protection de la vie privée (CCPA)

Premier procès intenté au titre de la loi californienne sur la protection de la vie privée (CCPA)

Le premier procès intenté en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) porte sur un prétendu défaut de protection adéquate des données des consommateurs. La plainte a été déposée contre Hanna Andersson, une entreprise spécialisée dans la vente de vêtements pour enfants, et son fournisseur de plateforme e-commerce Salesforce.com.

La CCPA est entrée en vigueur le 1er janvier 2020. En vertu du Code civil 1798.100 – 1798.199, les consommateurs pouvaient commencer à exercer leurs nouveaux droits à partir de cette date. L’un de ces droits est de pouvoir intenter une action en justice contre les entreprises pour violation de la vie privée, comme le vol de données personnelles.

La poursuite, en vertu de la CCPA, a été déposée devant le tribunal de district américain du district nord de la Californie au nom d’une victime d’une violation de données de 2019.

La victime reproche à Hanna Andersson d’avoir commis une négligence et un manquement à la mise en œuvre de garanties raisonnables pour protéger les données des consommateurs. Aucune demande de dommages et intérêts n’a été formulée, bien que la victime ait été en droit de le faire.

La fuite de données personnelles a été annoncée par Hanna Andersson le 15 janvier 2020. Les pirates informatiques avaient accédé à ses systèmes et téléchargé des malwares, ce qui leur a permis de voler des informations telles que des noms, des informations personnelles et des données de cartes de paiement. Ces informations ont ensuite été mises en vente sur le dark web.

La CCPA permet aux Californiens de réclamer des dommages-intérêts pouvant aller jusqu’à plus de 660 euros par violation de données. Une action collective intentée en vertu de cette loi pourrait donc s’avérer extrêmement coûteuse pour votre entreprise en cas de violation importante de données.

Pour notre cas, l’attaque a touché environ 10 000 résidents californiens, de sorte que les dommages-intérêts pouvaient atteindre plus de 6,6 millions d’euros.

Application de la loi sur la protection des données californienne (CCPA)

La mise en application de la conformité par le procureur général de Californie a été retardée et commencera 6 mois après la publication des règlements définitifs ou le 1er juillet 2020. Les règlements définitifs n’ont donc pas encore été publiés.

Le procureur général de Californie, Xavier Bercerra, a déjà déclaré que cette situation est un bon exemple pour les entreprises qui ne se conforment pas à la CCPA.

Il convient de noter que la CCPA n’empêche pas le procureur général de l’État d’émettre des avis de non-conformité avant cette date et que les consommateurs peuvent déjà intenter des poursuites pour réclamer des dommages et intérêts. Il est donc essentiel que toutes les entités couvertes par le CCPA s’assurent qu’elles respectent les nouveaux droits des consommateurs et qu’elles mettent en place des garanties pour protéger les données des consommateurs.

Comment TitanHQ peut aider à la mise en conformité avec la CCPA

TitanHQ propose deux solutions de sécurité puissantes qui peuvent aider les entités couvertes par la CCPA à assurer la protection des consommateurs, en prévenant les violations de données. Ces deux solutions de cybersécurité protègent contre les deux vecteurs d’attaque les plus courants : les e-mails et le web.

SpamTitan est une puissante solution anti-spam, anti-malware et anti-phishing qui protège les systèmes de messagerie électronique contre les attaques de phishing et de spear phishing. Il protège également les utilisateurs des menaces de malwares connus (comme l’attaque du type « zero day ») et les attaques de ransomwares lancées via la messagerie électronique.

WebTitan est une solution complémentaire pouvant bloquer les attaques de phishing menées via le web, les attaques de phishing, les kits d’exploitation et les téléchargements de malwares sur Internet. En même temps, elle est conçue pour contrôler les contenus auxquels vos employés peuvent accéder sur les réseaux câblés et sans fil.

Par ailleurs, TitanHQ peut aider les entités couvertes par la CCPA à se conformer au droit des consommateurs qui veulent savoir et supprimer leurs données. Il s’agit d’ArcTitan, une solution d’archivage de la messagerie électronique qui permet à votre entreprise de répondre aux exigences des États et du gouvernement fédéral en matière de conservation et de recherche des données des e-mails.

Si un résident de Californie exerce son droit de savoir quelles données sont détenues sur lui par votre entreprise ; s’il demande que toutes ses données personnelles soient supprimées, cette information peut être rapidement trouvée dans l’archive.

Enfin, ArcTitan vous permet de trouver rapidement des données dans les e-mails dans le cadre de l’e-Discovery, notamment en cas de litige.

Pour plus d’informations sur nos solutions, pour obtenir un essai gratuit de SpamTitan, d’ArcTitan et de WebTitan (avec un support client complet), contactez-nous dès aujourd’hui.

Une nouvelle arnaque par phishing PayPal vise les données personnelles

Une nouvelle arnaque par phishing PayPal vise les données personnelles

Une nouvelle attaque de phishing visant Paypal a été identifiée. Elle tente d’obtenir un grand nombre d’informations personnelles de ses victimes en se faisant passer pour une alerte de sécurité PayPal.

Les e-mails semblent avoir été envoyés depuis le centre de notification de PayPal et avertissent les utilisateurs que leurs comptes ont été temporairement bloqués en raison d’une tentative de connexion depuis un navigateur ou un appareil précédemment inconnu.

Les e-mails comprennent un lien hypertexte sur lequel les utilisateurs sont invités à cliquer pour se connecter à PayPal afin de vérifier leur identité. Un bouton est inclus dans l’e-mail et les utilisateurs sont invités à cliquer sur « Sécuriser et mettre à jour mon compte maintenant ! ». Le lien hypertexte est une adresse bit.ly abrégée, qui dirige la victime vers une page PayPal usurpée sur un domaine contrôlé par un attaquant.

Après avoir saisi les informations d’identification de son compte PayPal, les pirates invite la victime à saisir une série d’informations sensibles pour vérifier son identité dans le cadre d’un contrôle de sécurité PayPal. Ces informations doivent être saisies pour déverrouiller le compte et la liste des étapes est détaillée sur la page.

Tout d’abord, les pirates demandent le nom complet de l’utilisateur, son adresse de facturation et son numéro de téléphone. Ensuite, la victime doit confirmer les détails complets de sa carte de crédit/débit. La page suivante demande sa date de naissance, son numéro de sécurité sociale, son numéro de guichet automatique ou de carte de débit.

Enfin, la victime est tenue de télécharger une pièce d’identité, qui doit être soit une numérisation d’une carte de crédit, d’un passeport, d’un permis de conduire ou d’une pièce d’identité avec sa photo.

Cette escroquerie de phishing de PayPal vise à obtenir une grande quantité d’informations. Ceci devrait permettre à la victime de reconnaître que l’avertissement que tout n’est pas ce qu’il paraît. Il peut, par exemple, s’agir d’une demande de saisie d’informations très sensibles telles qu’un numéro de sécurité sociale ou un code PIN.

L’e-mail contient également d’autres signes d’avertissement qui pourraient indiquer que la demande n’est pas légitime. Entre autres, il n’est pas envoyé depuis un domaine associé à PayPal et son contenu commence par une phrase du type « Bonjour cher client », plutôt que par le nom du titulaire du compte. A la fin du message, le message indique à l’utilisateur de marquer l’expéditeur sur sa liste blanche si l’e-mail a été livré dans son dossier spam.

L’une des tactiques utilisées par les pirates est également de rédiger le message de manière à encourager le destinataire à agir rapidement pour éviter toute perte financière. Comme pour les autres escroqueries de phishing de PayPal, de nombreux utilisateurs sont susceptibles d’être amenés à divulguer au moins une partie de leurs informations personnelles.

Les consommateurs doivent toujours faire preuve de prudence et ne devraient jamais répondre immédiatement à un e-mail qui les avertit d’une faille de sécurité. Ils devraient plutôt s’arrêter et réfléchir avant d’agir, et vérifier soigneusement l’expéditeur de l’e-mail, puis lire très attentivement le message.

Pour vérifier si le message est vraiment légitime, il est recommandé de vous rendre directement sur le site web officiel de PayPal en tapant l’URL correcte dans la barre d’adresse de votre navigateur. Pour finir, n’utilisez jamais les URL qui figurent dans les e-mails.