Qu'est-ce que la proposition 24 et comment affecte-t-elle les entreprises ?

Publié: 2020-11-11

Vous savez peut-être qu'un sondage important a eu lieu la semaine dernière - vous l'avez deviné : les électeurs californiens ont pris la décision d'adopter la Proposition 24, connue plus formellement sous le nom de California Privacy Rights and Enforcement Act.

Chez Impact, nous sommes des observateurs attentifs du paysage de la protection des données et de la litanie des lois sur la confidentialité des données qui ont émergé au cours des dernières années.

Pour les entreprises, ces lois soulèvent des questions sur la conformité et les coûts associés à son maintien. Étant donné que la Californie constitue une si grande population, les lois sur la confidentialité des données affectant l'État ont souvent un effet d'entraînement dans tout le pays, et de nombreuses PME avec des clients CA doivent se préparer, tout comme la façon dont les entreprises américaines ont dû se préparer au RGPD.

Qu'est-ce que la Proposition 24 ?

L'objectif de la proposition 24 est d'étendre et de modifier le précédent projet de loi CCPA adopté en 2018.

Il cherche à le faire en donnant aux consommateurs plus de contrôle sur leurs données et en exigeant davantage des entreprises qu'elles protègent ces données.

Le CCPA a introduit le droit des Californiens d'exiger les informations que les entreprises collectent auprès d'eux, une option de retrait et le droit de faire supprimer les informations si elles le souhaitent.

La proposition 24 va encore plus loin en établissant des protections supplémentaires pour les informations personnelles sensibles, en élargissant les options de désactivation disponibles pour les utilisateurs pour inclure le partage de données (l'une des façons dont les grandes entreprises technologiques génèrent des revenus publicitaires) et en exigeant des entreprises qu'elles fournissent davantage de mécanismes d'accès aux consommateurs. , corriger et supprimer leurs informations.

Le projet de loi crée également une nouvelle agence dédiée, la California Privacy Protection Agency, qui assumera les responsabilités en matière de poursuites du procureur général de Californie, la première initiative de ce type aux États-Unis.

Les opposants s'inquiètent des concessions faites aux entreprises qui signifient que le projet de loi pourrait être avancé, notamment l'expansion des programmes de « paiement pour la confidentialité », par lesquels les entreprises sont autorisées à offrir des remises à ceux qui souhaitent partager des informations, créant ainsi un système à plusieurs niveaux dans lequel ceux qui peuvent se permettre un prix plus élevé bénéficieront de protections de confidentialité plus solides pour leurs données.

Les militants affirment que cela affectera de manière disproportionnée les résidents à faible revenu.

Pourquoi la proposition 24 est-elle importante ?

Les entreprises de tout le pays surveillent de près les lois comme la proposition 24, principalement par intérêt pour ce qui pourrait bien se présenter dans quelques années.

Des projets de loi comme le CCPA, ou plus récemment le SHIELD Act de New York, ont changé le discours sur la confidentialité des données et sur ce que l'on attend des entreprises qui possèdent des données clients.

Alors qu'auparavant les entreprises regardaient de l'autre côté de l'Atlantique les effets du RGPD sur la confidentialité des données, tous les regards sont désormais tournés vers des États comme New York et la Californie, deux États qui représentent ensemble un cinquième de la population américaine.

Quel que soit l'endroit où une entreprise est basée, si elle a un client en Californie, elle doit respecter le CCPA ou risquer d'être passible de sanctions.

Le fait est que ces lois agissent comme un indicateur pour les autres États, et en effet, nombreux sont ceux qui se préparent à des projets de loi similaires, la Floride en étant un exemple.

Au lieu d'une loi fédérale sur la confidentialité des données, qui en est encore au stade préliminaire du comité ; bien loin de devenir quelque chose qui ressemble à la loi - les États prennent sur eux de rédiger des lois.

Bien que les lois sur la confidentialité des données manquent encore d'omniprésence et d'ampleur, leur nombre a doublé depuis 2016, ce qui indique à quel point elles sont devenues un sujet important.

Au moins 25 États ont adopté une sorte de protection des consommateurs, même s'il convient de noter que la plupart sont au mieux basiques et considérées comme faibles en ce qui concerne la confidentialité des données. Pour le moment, ce sont des petits pas et il y a encore un long chemin à parcourir, mais l'élan se construit.

Confidentialité numérique par état

Mais qu'est-ce que cela signifie réellement pour les PME ?

Cela signifie pour les PME qu'elles devraient sérieusement envisager de se mettre en conformité dès maintenant, car tôt ou tard elles devront se conformer à une loi sur la confidentialité des données ou à une autre.

Les entreprises américaines ont enfreint les lois GDPR de l'autre côté de l'étang et ont fait face à de lourdes sanctions - plus de 400 millions de dollars ont été prélevés contre des entreprises basées aux États-Unis selon un rapport publié l'année dernière.

Tout comme elles sont désormais responsables des données appartenant aux citoyens de l'UE, il en va de même pour les entreprises dont les citoyens sont basés en Californie ou à New York.

En bref, les entreprises enfreignent ces réglementations de conformité simplement en n'y prêtant pas attention, et être du mauvais côté d'une pénalité de conformité est un désastre ; non seulement à cause des lourdes amendes, mais surtout des dommages drastiques à la réputation qu'une violation de données peut avoir sur une PME.

PME et conformité

L'éléphant dans la pièce avec tout cela est le simple fait que de nombreuses PME marchent sur la corde raide en matière de conformité.

La sécurité des données est l'un des principaux facteurs de motivation dans l'investissement technologique des entreprises, juste derrière les solutions cloud et les dépenses d'infrastructure.

La sécurité des données des PME fait défaut, les deux tiers d'entre elles ayant subi une violation de données au cours des 12 derniers mois.

De plus, les consommateurs sont de plus en plus exigeants sur la manière dont leurs données sont traitées. L'attente de lois telles que CCPA et SHIELD est que les informations des clients sont protégées selon une norme acceptable, et cette attente est de plus en plus partagée et même motivée par les consommateurs également.

En fait, 84 % d'entre eux affirment qu'ils feraient affaire ailleurs s'ils se sentaient mal à l'aise avec les normes de protection des données d'une organisation avec laquelle ils font affaire.

90 % des chefs d'entreprise reconnaissent que la confiance des clients est un avantage concurrentiel pour l'avenir, mais moins de la moitié des chefs d'entreprise considèrent la confidentialité et la sécurité comme une priorité absolue pour les entreprises.

Conclusion

Seuls 47 % des responsables de la conformité déclarent que leur organisation dispose d'un système de reporting à l'échelle de l'entreprise qui est intégré à la surveillance de la conformité dans toutes les fonctions et unités commerciales.

À une époque où la confidentialité des données est plus importante que jamais, un nombre considérable de PME ne sont tout simplement pas préparées à ce qui les attend.

Nous avons une législation nouvelle et émergente comme la Prop 24 en train d'être promulguée, un désir croissant des consommateurs de s'approprier davantage leurs données et des entreprises qui sont ciblées et victimes de cybercriminels et de pirates informatiques.

Le résultat final est que les PME doivent prendre une longueur d'avance en anticipant les types de législation à venir et comprendre que le plus tôt possible, elles devront s'assurer qu'elles disposent des bonnes protections de sécurité des données pour être assurées. ils peuvent être conformes.

Seuls 69 % des CCO déclarent que leur organisation tire parti de la technologie pour soutenir ses initiatives de conformité. Des lois comme la CCPA continueront d'être promulguées dans les États des États-Unis, et les entreprises avisées s'assurent déjà que leurs programmes de confidentialité des données sont préparés pour l'avenir.

La solution de cybersécurité d'Impact Networking couvre toutes vos bases - grâce à notre évaluation des risques, nous pouvons déterminer où se trouvent vos faiblesses et y remédier de manière appropriée grâce aux meilleures solutions technologiques de leur catégorie sous la supervision d'un directeur de l'information virtuel dédié de notre centre des opérations de sécurité pour s'assurer votre entreprise est entièrement conforme aux lois et réglementations en vigueur.