En septembre 2022, le détaillant en ligne Sephora a accepté de payer 1,2 million de dollars pour violation de la loi californienne sur la protection de la vie privée des consommateurs (CCPA) – la première fois que des mesures d’application publique ont été prises par le procureur général de Californie depuis l’introduction de la loi en 2020.
Cette décision a marqué la fin de la période d’installation de la loi sur les données et le début d’une approche plus stricte de l’application. Si vous n’êtes pas sûr que votre organisation se conforme au CCPA, il est temps d’intervenir – ou vous pourriez faire face à une pénalité.
Examinons les conséquences de la violation du CCPA et la meilleure façon de répondre aux exigences de conformité à la CCPA.
Pénalités CCPA
Le CCPA s’applique aux entreprises à but lucratif qui collectent ou traitent les données personnelles des résidents californiens.
Le CCPA établit des mécanismes pour pénaliser le non-respect de la loi californienne. Une violation peut inclure :
– Ne pas avoir de politique de confidentialité conforme au CCPA
– Ne pas répondre à une demande de divulgation de données d’un consommateur comme l’exige le CCPA
– Ne pas fournir la bonne notification des données personnelles collectées
– Ne pas permettre aux utilisateurs de refuser la vente de leurs informations personnelles
– Avoir des politiques discriminatoires à l’égard des utilisateurs qui exercent les droits CCPA
Il est important de noter qu’une période de « réparation » s’applique aux violations du CCPA. Le procureur général est tenu de donner aux entreprises 30 jours pour se conformer à la CCPA. Si les problèmes ne sont pas corrigés dans ce délai, des pénalités peuvent être appliquées. Cette disposition a fait l’objet de certaines critiques, alors restez à l’affût d’éventuels changements à l’avenir.
Le CCPA fait la distinction entre les violations intentionnelles et non intentionnelles de la loi. Une fois qu’une entreprise a reçu un avis officiel du procureur général, la non-conformité après la période de 30 jours peut être interprétée comme une violation intentionnelle.
Amendes de l’ACCP
Le CCPA prévoit des sanctions en cas de non-conformité. Le procureur général de Californie est autorisé à prendre des mesures contre ceux qui enfreignent le CCPA.
La pénalité civile maximale pour une violation non intentionnelle de la CCPA est de 2 500 $ par violation. Pour les violations intentionnelles, l’amende maximale est de 7 500 $ par violation. Il n’y a pas de plafond fixé sur le montant total des amendes qui peuvent être imposées.
Le montant maximal de l’amende peut sembler assez modeste, mais s’il s’avérait qu’une entreprise avait intentionnellement commis des milliers, voire des centaines de milliers de violations intentionnelles, par exemple en ne respectant pas les exigences de retrait du CCPA, le montant total pourrait être énorme.
Il est à noter que 2 500 $ et 7 500 $ sont les niveaux maximaux fixés pour les pénalités. Pour déterminer les sanctions à appliquer, le tribunal tiendra compte de multiples facteurs tels que la nature, la gravité et la persistance de la conduite, si elle était intentionnelle, la période au cours de laquelle les violations ont eu lieu, le nombre de violations et les moyens de paiement du défendeur.
Les citoyens ont également un droit privé d’action en cas de violation des droits CCPA qui entraîne un accès non autorisé, un vol ou une divulgation de données personnelles, lorsque cette violation résulte d’un manquement à maintenir des procédures et des pratiques de sécurité raisonnables. Ce qui est considéré comme « raisonnable » est jugé par rapport à la nature des renseignements personnels du consommateur concerné.
Le CCPA permet aux consommateurs de réclamer 750 $ par consommateur, par incident, ou de demander des dommages-intérêts réels lorsqu’il peut être démontré que la perte s’est produite à la suite de la violation. Encore une fois, il s’agit d’une loi relativement nouvelle et les avocats chercheront probablement à contester ces dispositions, en particulier en ce qui concerne la possibilité d’intenter des recours collectifs, alors méfiez-vous des développements.
Encore une fois, lorsque des particuliers signifient un avis de violation, l’entreprise dispose de 30 jours pour résoudre le problème sans faire face à d’autres mesures.
Comment éviter les amendes et les pénalités
Le moyen le plus simple d’éviter d’avoir à payer des pénalités CCPA est de comprendre et de respecter les exigences de la loi. Les pénalités pour violation du CCPA ne sont qu’une conséquence de la non-conformité – une violation de données pourrait entraîner des dommages beaucoup plus graves à votre entreprise en raison de la perte de clients, de la publicité négative, de la notation de crédit réduite, du manque d’investisseurs, etc.
Pour vous assurer de vous conformer à la CCPA, tenez compte des étapes suivantes :
1. Actualisez votre politique de confidentialité – celle-ci doit être conforme à la CCPA, avec des examens annuels pour vous assurer qu’elle reste à jour
2. Effectuez un examen interne – cartographiez la façon dont les renseignements personnels circulent dans votre organisation pour signaler tout problème
3. Vérifiez vos avis aux consommateurs – fournissez-vous suffisamment de renseignements sur la façon et le moment où vous recueillez des renseignements personnels?
4. Assurez-vous que vous pouvez respecter les droits CCPA – par exemple, pouvez-vous respecter le délai de 45 jours pour vous conformer aux demandes de divulgation de données personnelles ?
5. Maintenez un inventaire de données robuste – vous devez savoir exactement quand et où les données entrent dans vos systèmes – un inventaire automatisé peut aider à la conformité
6. Préparez-vous aux violations de données – des erreurs se produisent et des violations de données peuvent se produire malgré tous les efforts d’une organisation. La préparation d’une intervention peut aider à minimiser les dommages en cas de violation
Consultez notre liste de contrôle pratique de conformité CCPA pour plus d’informations.
Les notifications de cookies sont une partie importante de la conformité CCPA – avez-vous besoin d’aide pour vous assurer que les vôtres sont à la hauteur ? Contactez CookieHub pour discuter de vos besoins.