Comme l'a fait remarquer Anju Khurana, responsable de la protection de la vie privée des Amériques, Bank of New York Mellon, « Il existe maintenant plus de 100 lois sur la protection de la vie privée dans le monde et RGPD incite-t-on d'autres pays à adopter des règlements semblables? (corpcounsel.com, octobre 2019). Le Loi sur la protection des consommateurs de la Californie (?CCPA?), qui entrera en vigueur le 1er janvier 2020, est la plus récente, et probablement pas la dernière. La plupart des experts en confidentialité des données prévoient que d'autres États promulguent des réglementations sur la confidentialité des données et pensent que le Congrès finira par le faire au niveau fédéral.
Bien que calqué sur le Règlement général sur la protection des données (?RGPD?), entré en vigueur en mai 2018, il existe des différences, à la fois minimes et substantielles. Une comparaison de plusieurs des exigences clés de Thomson Reuter, Practical Law peut être trouvée ici.
L'ACFPC établit de nouveaux droits pour les consommateurs et ménages résident en Californie ? défini comme domicilié en Californie à des fins fiscales ? a un impact sur les entreprises qui contrôlent ou traitent des données qui contiennent informations personnellement identifiables (?PII?). L'ACFPC définit les renseignements personnels comme des renseignements qui permettent d'identifier un consommateur ou un ménage en particulier, d'y être liés, de les décrire, d'y être associés ou d'y être raisonnablement liés, directement ou indirectement.
L'ACFPC donne aux consommateurs californiens un plus grand contrôle sur les entreprises quant à la conservation, la vente et l'utilisation de leurs données personnelles identifiables. En vertu de l'ACFPC, les consommateurs auront le droit de savoir, entre autres choses :
- Quelles informations sont collectées ?
- Si leurs données personnelles sont vendues ou partagées avec des tiers et qui sont-ils
- les sources des informations recueillies, et
- Le but de la collecte et de la vente de leurs informations
La loi accorde également aux consommateurs le droit d'accéder à leurs données personnelles et de dire non à leur vente. Il donne davantage de pouvoir aux consommateurs californiens avec le droit à l'oubli. Les entreprises doivent se conformer à une demande vérifiable de suppression de tout renseignement personnel recueilli auprès de ce consommateur et ordonner à tout fournisseur de services de supprimer également ces données. Les entreprises ont 45 jours pour se conformer (une prolongation à 90 jours est possible).
Les exceptions à l'effacement des données sont les suivantes :
- Lorsque les données sont nécessaires pour effectuer une transaction en ligne
- Se conformer à une obligation légale spécifique
- Identifier et réparer les erreurs qui compromettent les fonctionnalités existantes et prévues
Les consommateurs peuvent demander leurs données gratuitement deux fois par an. La loi exige en outre qu'au moins deux méthodes désignées soient mises à la disposition des consommateurs pour formuler de telles demandes concernant l'exercice de leurs droits en matière de protection des données.
La portée de l'ACFPC
Il y a un seuil pour les entreprises qui sont assujetties à la LCPE. La Loi définit une « entreprise » comme une entité à but lucratif ou une entreprise individuelle qui recueille, contrôle ou traite des renseignements personnels, fait des affaires en Californie et :
- a un revenu annuel brut supérieur à $25M, ou
- Les ventes d'informations d'identification personnelle représentent un chiffre d'affaires annuel total de 50% ou plus, ou
- Reçoit, achète, vend ou partage à des fins commerciales les renseignements personnels d'au moins 50 000 consommateurs, ménages ou appareils par année.
D'après le Association internationale des professionnels de la protection de la vie privée (?IAPP?), la loi touchera plus de 500 000 entreprises américaines.
Les entreprises qui font preuve de négligence dans la sécurisation des données, qui ne disposent pas de politiques et de procédures de sécurité raisonnables, qui volent des données ou qui divulguent des données par le biais d'une violation non autorisée, peuvent être poursuivies. L'ACFPC sera appliquée par le Procureur Général De Californie via des actions en justice des consommateurs (droit privé d'action) pour violation de données.
Les entreprises disposeront de 30 jours pour apporter un changement après avoir reçu un avis, et si elles ne se conforment toujours pas après cela, une action civile sera intentée. Si une entreprise est jugée en infraction, elle sera condamnée à une amende pouvant atteindre $2 500 par infraction. Le calcul est effrayant. Cela signifie que si seulement 1 000 utilisateurs sont concernés, l'amende pourrait s'élever à $2 500 000. (Sachez que de 2014 à 2018, Marriott International a subi une violation de données qui a eu un impact 500 millions consommateurs.)
Impact de l'ACFPC sur les entreprises de découverte électronique
Il y a deux composantes clés de la LPCC (et du RGPD) qui recoupent les compétences de base des fournisseurs de services d'e-discovery. L'un implicite, l'autre implicite. En fait, les entreprises chefs de file en matière de découverte électronique et Autres fournisseurs de services juridiques (?ALSPs?) ont déjà commencé à travailler pour des clients à cet égard.
1. Qu'est-ce que le RGPD appelle le ?DSAR ? ? Demande d'accès à la personne concernée.
Ce que l'ACFPC appelle les « consommateurs », le RGPD désigne les « sujets de données ». Que le consommateur/ménage californien ou la personne concernée de l'UE, dans les deux cas, individuel a obtenu le droit de demander toutes les informations relatives aux données contrôlées, traitées, partagées et vendues par l'entreprise. Essentiellement, les entreprises sont maintenant (RGPD), et seront (CCPA) soumises à des demandes de type FOIA de la part des consommateurs avec des critères de réponse assez stricts.
Ces demandes nécessitent la recherche de toutes les données (structurées et non structurées) pertinentes à la demande du consommateur. Une fois toutes ces données identifiées, elles doivent être :
a. collectés
b. transformées
c. revu
d. caviardé pour des informations privilégiées et autres qui nécessitent une protection
e. et produit dans un format lisible par le demandeur
Ça me dit quelque chose. Exactement. eDiscovery.
En fait, les principaux fournisseurs de services d'exploration en ligne et les entreprises d'e-discovery aident déjà les entreprises à répondre efficacement aux RMORD et à respecter leurs obligations en vertu du RGPD. Il est probable qu'ils le feront pour les demandes d'accès aux données découlant de l'ACFPC.
Bref, pour les entreprises tournées vers l'avenir, il est possible de transformer leur expertise en cartographie des données, en identification des données, en collecte et traitement judiciaires, en examen et en production en moteurs de gestion de ces demandes de façon efficiente et efficace.
2. La gestion des données, y compris leur protection, consomme des ressources considérables.
Il requiert des compétences dans un ensemble diversifié de disciplines, notamment les TI, InfoSec, la cybersécurité, la réponse aux violations, l'infrastructure, la protection de la vie privée, les risques et la conformité, les questions juridiques et autres. Le coût de la gestion est élevé. Le coût en cas de événement est encore plus élevé. L'introduction de règlements sur la protection de la vie privée comme le RGPD et maintenant le CCPA continuent de monter la barre.
Pourtant, de nombreuses organisations ne peuvent pas vous dire avec certitude où se trouvent toutes les données pertinentes ou même précisément quelles données existent parmi ses myriades de systèmes ? sans parler de leurs fournisseurs de services dont elles sont responsables. L'ACFPC exigera une compréhension plus approfondie de l'empreinte de données de toute organisation.
En fin de compte, le bon côté de la médaille pourrait bien être que les entreprises règlent un problème de longue date : la thésaurisation des données. Comme l'a dit John Babione, de Wooden McLaughlin LLP : « Le droit privé d'action prévu par la Loi sur la protection des renseignements personnels et les documents électroniques, qui prévoit des dommages-intérêts, incitera les entreprises à se débarrasser des arriérés de données historiques et des systèmes existants. La nouvelle réalité du CCPA et du RGPD pourrait juste modifier suffisamment le calcul risque/récompense pour faire pencher la balance en faveur de politiques saines de conservation/destruction des données.
Là encore, les entreprises d'e-discovery et les ALSP peuvent jouer un rôle important dans l'élaboration et la mise en œuvre de politiques et de procédures de destruction des données défendables et certifiées.
Les entreprises de découverte électronique sont certainement en mesure d'aider leurs clients à relever les défis qui les attendent.