Le règlement général sur la protection des données (RGPD) de l’Union européenne et la loi californienne sur la protection des consommateurs (CCPA) sont deux des lois les plus ambitieuses et les plus connues en matière de confidentialité des données. Elles ont inspiré d’autres cadres juridiques pour la protection des données et de la vie privée des utilisateurs, et bien que le respect de l’un de ces règlement contribue dans une certaine mesure au respect de l’autre, ils diffèrent sur le plan de l’implémentation technique, de l’étendue et de l’application.
Pour les équipes informatiques internes et les fournisseurs de services gérés (MSP), atteindre et maintenir la conformité avec ces cadres juridiques peut représenter un obstacle important. Comparer le RGPD et le CCPA peut aider à mieux comprendre ces deux règlements (ainsi que d’autres lois internationales qui protègent les droits des utilisateurs sur leurs données), et à implémenter les processus et les technologies nécessaires pour répondre à leurs exigences.
Qu’est-ce que le RGPD et le CCPA, et pourquoi sont-ils importants ?
Le RGPD (en vigueur depuis 2018) et le CCPA (en vigueur depuis 2020) confèrent tous deux aux utilisateurs certains droits sur leurs données privées et stipulent comment les entreprises, y compris les équipes techniques qui gèrent leur infrastructure informatique, doivent protéger ces données et fournir les mécanismes permettant aux utilisateurs de faire valoir ces droits.
Ces droits incluent la possibilité pour les utilisateurs de demander que leurs données soient corrigées, supprimées et qu’elles ne puissent être transférées à d’autres parties sans leur consentement. Le non-respect de cette obligation peut entraîner d’importantes sanctions juridiques en vertu des deux lois, ce qui rend la conformité essentielle pour toute entreprise opérant dans l’UE ou en Californie, deux des plus grands marchés pour les services numériques.
Quelle est la différence entre la conformité au RGPD et au CCPA ?
Le RGPD et le CCPA sont deux cadres juridiques distincts qui s’appliquent à différentes juridictions et ont des exigences différentes. Bien qu’ils aient des objectifs similaires, ils ont des exigences de conformité, un champ d’application et des définitions différents et accordent des droits différents.
Il est essentiel que toute entreprise planifiant sa conformité légale (y compris CCPA et RGPD) se réfère directement aux ressources juridiques officielles pour ces lois (voir ici pour le RGPD et ici pour le CCPA) et consulte des experts juridiques dans leur secteur. Le fait de se fier aux interprétations de tiers peut conduire à une non-conformité accidentelle.
CCPA vs RGPD : étendue et applicabilité
Le tableau ci-dessous résume l’étendue et l’applicabilité du CCPA et du RGPD. À noter que les entreprises qui n’atteignent pas les seuils requis pour être couvertes par les lois sur la protection de la vie privée ont tout intérêt à s’y conformer quand même : de cette façon, elles peuvent travailler en partenariat avec les entreprises qui ont besoin de se conformer, et sont déjà en conformité lorsque le moment est venu de passer à l’échelle supérieure.
| Catégorie | CCPA (Californie) | RGPD (Union européenne) |
|---|---|---|
| Qui doit s’y conformer ? | Les entreprises qui traitent les informations personnelles des résidents de Californie | Les entreprises qui traitent les informations personnelles des résidents de n’importe quel pays de l’Union européenne (UE) |
| Quels types d’entreprises doivent être conformes ? | Entreprises à but lucratif qui répondent à certains critères | Toutes les entreprises qui traitent des données personnelles |
| Critères | Chiffre d’affaires supérieur à 25 millions de dollars (USD) ou traitement des données personnelles de plus de 100 000 résidents au cours d’une année | S’applique par activité plutôt que par chiffre d’affaires ou nombre de personnes. |
| Qui fait respecter la loi ? | L’Agence californienne de protection de la vie privée (CPPA) | Autorités nationales de protection des données |
Notez que vous devez vous conformer au CCPA et au RGPD quel que soit le lieu d’implantation de votre entreprise, car c’est le lieu d’implantation de l’utilisateur concerné par les données qui importe, et non le lieu d’implantation de votre entreprise.
Quelles sont les données à caractère personnel que je dois protéger en vertu du CCPA et du RGPD ?
Les cadres juridiques définissent différemment les « données à caractère personnel ». Comme cela affecte ce qui est considéré comme des données personnelles, cela affecte la façon dont vous devez traiter, stocker et protéger ces données en fonction de l’endroit où se trouvent vos utilisateurs.
| Critères | CCPA | RGPD |
|---|---|---|
| Informations personnelles | Informations permettant d’identifier un consommateur ou un ménage spécifique | Toute donnée permettant d’identifier un individu |
| Données spéciales/sensibles (nécessitant une protection supplémentaire) | Élargi par le CPRA (California Privacy Rights Act) pour inclure des données telles que l’éducation, la localisation et l’emploi | Les catégories spéciales comprennent les données relatives à la santé, les données politiques, biométriques et religieuses |
L’identification des données à caractère personnel (DCP) dans les données que vous stockez nécessite des outils de recherche qui fonctionnent avec des données structurées et non structurées, de sorte que lorsqu’un utilisateur demande l’expurgation ou la correction d’une information, toutes les instances de cette information peuvent être trouvées et mises à jour.
Droits des consommateurs/sujets en vertu du CCPA/RGPD
Le CCPA protège les droits des « consommateurs », c’est-à-dire des résidents californiens qui ont fourni des données aux entreprises concernées. Le RGPD protège les droits des « sujets », c’est-à-dire de tout résident d’un pays de l’UE, quelle que soit sa nationalité.
Les consommateurs et les sujets ont des droits différents en vertu de leurs cadres respectifs. Notamment, le CCPA fonctionne sur un modèle d’opt-out (refus) pour la plupart des traitements et des partages de données (sauf pour les consommateurs de moins de 16 ans), alors que le RGPD oblige toujours l’entreprise à demander le consentement explicite de l’utilisateur pour des activités spécifiques.
| Droit du consommateur/sujet | CCPA | RGPD |
|---|---|---|
| Accès à leurs données personnelles | Oui | Oui |
| Possibilité de corriger leurs données | Oui (ajouté via CPRA) | Oui |
| Possibilité de supprimer leurs données (droit à l’oubli) | Limitée | Importante, avec des exceptions spécifiques, par exemple pour les données relatives à la santé ou les informations d’intérêt public |
| Portabilité des données (transfert des données à un autre responsable du traitement) | Oui | Oui |
| Refus de la vente/du partage des données | Refus | Non requis car le consentement est requis pour « adhérer » |
| Consentement avant le traitement | Généralement implicite | Doit être explicite et spécifique |
CCPA vs RGPD : Base juridique du traitement
En vertu du CCPA, aucune base juridique n’est requise pour le traitement des données personnelles (bien qu’il y ait des restrictions), mais l’entreprise doit expliciter l’utilisation qui en sera faite et donner au consommateur la possibilité de s’en désengager. Le RGPD n’autorise le traitement que sur la base de l’une des six bases définies sur.
Cela a des implications sur la manière dont les données sensibles sont traitées, en particulier pour les sujets couverts par le RGPD, car la base juridique ou le consentement enregistré pour chaque utilisateur et leurs données doivent être suivis et stockés.
Application et sanctions
Le CCPA prévoit une amende maximale de 2 500 USD pour chaque violation non intentionnelle, ou 7 500 USD pour chaque violation intentionnelle. Les amendesprévues par le RGPD vont de 10 millions d’euros, ou 2 % du chiffre d’affaires annuel, à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel, en fonction de la gravité de la violation. Les entreprises concernées par le CCPA ou le RGPD doivent donc impérativement documenter toutes les politiques de protection des données et enregistrer toutes les activités afin de pouvoir démontrer leur conformité.
Exigences techniques et contrôles
La protection des données sensibles nécessite plusieurs technologies clés qui sont exigées à la fois par la CCPA et le RGPD, notamment :
- Contrôles d’accès aux données : autorisations basées sur les rôles, authentification forte (MFA), principe de moindre privilège (PMP)
- Chiffrement : nécessaire pour protéger les données en transit et au repos
- Journalisation des audits : nécessaire pour les activités d’accès et de traitement des données
- Suivi des réponses aux demandes des personnes concernées (DSR), notamment les demandes d’accès aux données personnelles (SAR) : 45 jours selon le CCPA, 30 jours selon le RGPD.
- Minimisation des données : requis pour le RGPD, recommandé pour le CCPA
Il existe un certain nombre d’outils qui peuvent être utilisés pour construire votre infrastructure informatique afin d’aider à la mise en conformité : Azure AD et Okta peuvent être utilisés pour la gestion des identités et des accès afin de sécuriser les données. Microsoft Purview et Symantec DLP permettent de mettre en place des stratégies de prévention des pertes de données (DLP). OneTrust et TrustArc sont des solutions populaires de gestion du consentement, tandis que DataGrail et Microsoft Compliance Center facilitent l’automatisation du traitement des demandes des personnes concernées (DSR).
RGPD et CCPA : un défi permanent pour les administrateurs informatiques et les MSP
Votre responsabilité à l’égard des données protégées de vos utilisateurs ne s’arrête pas au moment où elles quittent votre contrôle : vous restez responsable de ces données si vous les partagez avec des entreprises qui ne les traitent pas de manière responsable. Cela nécessite des accords de traitement des données (DPA) précisant exactement comment les données des utilisateurs doivent être utilisées. Vos utilisateurs doivent également être informés de tout partage d’informations avec des tiers conformément à ces accords de traitement des données. Vous devez également tenir à jour une liste de toutes les parties avec lesquelles vous partagez des données.
Les lois sur la protection de la vie privée évoluent également : les lois existantes sont mises à jour et de nouveaux cadres sont mis en place dans des pays ou des États qui ne protégeaient pas légalement les données des utilisateurs auparavant. Cela signifie que vous devez continuellement évaluer vos utilisateurs et les lois qui s’appliquent à eux, et déterminer s’il existe de nouvelles exigences de conformité pour le stockage ou le traitement de leurs données.
Le choix des outils est essentiel pour garantir une conformité totale : non seulement les utilisateurs doivent pouvoir modifier ou supprimer facilement leurs données, mais l’ensemble des données, y compris celles présentes dans les sauvegardes, doit être mis à jour en conséquence. Le phénomène de Shadow IT (utilisation non autorisée de services informatiques par les employés) représente également un défi majeur, car il est difficile de sécuriser les données lorsque les employés les transfèrent vers des services tiers sans supervision de l’entreprise.
NinjaOne fournit une plateforme étendue pour la gestion des technologies de l’information, y compris la sauvegarde pour la protection des données, les outils de surveillance pour l’identification de l’utilisation abusive des données et des failles de sécurité potentielles, et l’intégration avec les solutions de sécurité des terminaux. NinjaOne unifie la supervision de l’ensemble de votre infrastructure et de vos opérations informatiques dans une interface unique, et fournit des outils d’automatisation pour aider à maintenir la conformité.
Contactez un membre de l’équipe NinjaOne dès aujourd’hui pour découvrir comment nous pouvons vous aider à atteindre une conformité totale en matière de confidentialité des données.
