Répondre aux exigences de la California Consumer Privacy Act (CCPA) peut être intimidant. Il est facile de comprendre l’objectif général, mais les détails délicats de ce que vous devez faire pour vous conformer sont souvent plus difficiles à saisir.
Voici une liste de contrôle pratique de conformité CCPA pour vous aider à vous assurer que votre site Web est conforme à cette importante loi sur les données des consommateurs.
Liste de contrôle de conformité CCPA
Comprendre comment le CCPA s’applique à vous
Êtes-vous exempté parce que vous êtes un organisme sans but lucratif?
Remplissez-vous les conditions pour que le CCPA postule?
Passez en revue vos politiques et pratiques
existantesIdentifiez les données que vous collectez auprès des consommateurs, le moment où la collecte a lieu et la façon dont vous utilisez les données.
Évaluez la conformité de vos politiques de données avec CCPA.
Ajuster les politiques et les pratiques
Notifications de confidentialité au point de collecte des données.
Procédure de demande de données et réponse.
Contrôles de sécurité à jour et adaptés au type de données.
Les accords avec des tiers ont été vérifiés pour assurer la conformité.
Employés formés au traitement des données.
Entretenez votre système
Restez attentif aux changements dans la gouvernance et la réglementation des données.
Veiller à ce que le personnel reçoive une formation régulière.
Revoyez votre politique de confidentialité chaque année pour vous assurer qu’elle reste à jour.
Liste de contrôle pour devenir conforme à la CCPA
Passons en revue la liste de contrôle un peu plus en détail.
1. Comprendre comment le CCPA s’applique à vous
un. Êtes-vous exempté parce que vous êtes un organisme sans but lucratif?
Le CCPA ne s’applique qu’aux organisations à but lucratif effectuant des transactions avec des résidents de Californie. Si votre organisme sans but lucratif est détenu ou contrôlé par une société mère à but lucratif, l’exemption peut ne pas s’appliquer.
b. Remplissez-vous les conditions pour que le CCPA postule?
Même si vous êtes un organisme à but lucratif, la loi ne s’applique que si vous remplissez une ou plusieurs de ces conditions : revenus annuels bruts supérieurs à 25 millions de dollars; traiter les informations personnelles de 50 000 résidents californiens ou plus à des fins commerciales chaque année; vend des renseignements personnels pour générer plus de 50 % des revenus annuels.
2. Passez en revue vos politiques et pratiques existantes
un. Identifiez les données que vous collectez auprès des consommateurs, le moment où la collecte a lieu et la façon dont vous utilisez les données.
Le CCPA s’applique aux données personnelles, vous devez donc vous familiariser avec la façon dont cela est défini : ce sont des informations qui pourraient être utilisées pour identifier quelqu’un, individuellement ou dans le cadre d’un ménage.
Cela inclut les données personnelles évidentes telles que le nom, l’adresse, le passeport ou le numéro de sécurité sociale, mais aussi l’adresse e-mail, l’adresse IP et les noms d’utilisateur, les antécédents professionnels et médicaux et les données biodynamiques telles que les empreintes digitales.
Votre inventaire de données doit faciliter le suivi des données collectées et des points de votre parcours consommateur.
b. Évaluez la conformité de vos politiques de données avec CCPA.
Votre politique de confidentialité doit être conforme à la CCPA, par exemple en donnant aux consommateurs la possibilité de voir quelles données les concernant ont été collectées au cours des 12 mois précédents, en respectant les exigences de retrait de l’ACCP et en indiquant aux utilisateurs comment ils peuvent exercer leurs droits tels que l’accès à leurs informations personnelles.
Les politiques internes en matière de données doivent également définir les attentes quant à la manière dont vos employés et partenaires tiers traiteront les données conformément à la CCPA.
3. Ajuster les politiques et les pratiques
un. Notifications de confidentialité au point de collecte des données.
Le CCPA vous oblige à informer les utilisateurs des données qui seront collectées, de la définition de chaque catégorie de données et de leurs droits en vertu du CCPA – par exemple, comment demander la suppression ou la divulgation de données, et la possibilité d’utiliser une demande de désinscription pour refuser la vente d’informations personnelles. Vous devez vous assurer que vous respectez les exigences de la bannière de cookies CCPA.
b. Procédure de demande de données et réponse.
Vous devez planifier votre réponse aux demandes des consommateurs afin que votre système soit configuré de manière à ce que les demandes des clients d’accéder à leurs données puissent être satisfaites rapidement et facilement, dans le délai de 45 jours et gratuitement. Il devrait y avoir au moins deux façons de demander la divulgation de données, par exemple une ligne téléphonique et une adresse e-mail.
c. Des contrôles de sécurité à jour et adaptés au type de données.
Les violations de données peuvent s’avérer très dommageables et coûteuses pour les entreprises, il est donc important de s’assurer que vous avez mis en place des contrôles appropriés pour réduire les risques. Cela devrait inclure un plan d’intervention en cas d’incident à utiliser en cas d’atteinte.
d. Les accords avec des tiers ont été vérifiés pour assurer la conformité.
Vous êtes responsable de la façon dont les données de vos clients sont traitées, même si ce n’est pas vous qui le faites. Assurez-vous que vos accords avec des tiers exigent que les partenaires se conforment à la CCPA et acceptent la responsabilité des violations qui se produisent. Si vous ou vos tiers collectez des données auprès des utilisateurs, il est probable que vous aurez besoin d’une politique de cookies sur votre site Web.
e. Employés formés au traitement des données.
Ce qui compte, c’est la façon dont votre système fonctionne dans la pratique, pas ce qui est écrit dans un document quelque part. La façon dont vos employés gèrent les données est primordiale et une formation régulière peut aider à prévenir les violations accidentelles.
4. Entretenez votre système
un. Restez attentif aux changements dans la gouvernance et la réglementation des données.
La loi ne reste pas la même pour toujours – assurez-vous de faire attention aux développements du droit qui pourraient signifier que vous devez changer votre approche. Cela pourrait se faire par le biais de la jurisprudence qui influe sur la façon dont la loi est interprétée, ou de nouvelles règles et de nouveaux règlements qui apportent des changements. Attribuer cette tâche à quelqu’un aidera à assurer la responsabilité, car il est trop facile pour elle de tomber entre les rôles de travail.
b. Veiller à ce que le personnel reçoive une formation régulière.
Les travailleurs ont besoin de mises à jour régulières pour s’assurer qu’ils restent conformes et pour dire aux nouveaux employés quoi faire. Une exigence de fournir une formation régulière peut également être incluse dans vos contrats avec des tiers.
c. Revoyez votre politique de confidentialité chaque année pour vous assurer qu’elle reste à jour.
Une politique de confidentialité ne devrait pas être quelque chose que vous faites une fois et que vous l’oubliez ensuite. En vérifiant votre police chaque année, vous vous assurerez qu’elle est à jour. Les données que vous collectez doivent également être comparées à la politique de confidentialité en vigueur au moment du consentement de l’utilisateur.
Assurer la conformité en toute simplicité
Avez-vous besoin d’aide pour vous assurer que votre site Web répond aux exigences de l’ACCP ? Les conséquences de la violation de la loi comprennent des amendes CCPA allant jusqu’à 7 500 $ par violation imposées par le procureur général de Californie, ce qui rend la non-conformité potentiellement très coûteuse.
Laissez CookieHub vous conseiller sur les meilleures pratiques afin de bénéficier d’un service fluide et conforme pour les clients. Explorez notre page de tarification pour découvrir la meilleure solution pour vos besoins.