Les tiers et la California Consumer Privacy Act (CCPA)

Dans l'environnement de données en constante évolution d'aujourd'hui, les entreprises du monde entier s'appuient sur des partenariats avec des tiers pour les aider à piloter leurs efforts commerciaux. Notre économie axée sur les données permet aux organisations de renforcer l'engagement client, d'améliorer la connaissance des consommateurs et d'augmenter les revenus, mais avec les nouvelles restrictions imposées par le CCPA aux organisations, l'utilisation de données tierces appartient-elle au passé ? Heureusement, pour de nombreuses organisations, le respect de cette restriction dans le CCPA consistera simplement à identifier vos fournisseurs tiers, à définir ces relations dans les contrats et à mettre en œuvre des processus pour se conformer aux nouvelles règles de non-vente.

Pour commencer, les organisations devront comprendre comment le CCPA définit les tiers. Selon l' article 1798.140 (w), un « tiers » désigne une personne qui n'est pas l'une des personnes suivantes :

1. L'entreprise qui collecte des informations personnelles auprès des consommateurs sous ce titre.
2. Une personne à qui l'entreprise divulgue les renseignements personnels d'un consommateur à des fins commerciales en vertu d'un contrat écrit, à condition que le contrat :
   1. Interdit à la personne de recevoir les informations personnelles de :
      1. Vendre les informations personnelles.
      2. Conserver, utiliser ou divulguer les informations personnelles à des fins autres que dans le but spécifique d'exécuter les services spécifiés dans le contrat, y compris conserver, utiliser ou divulguer les informations personnelles à des fins commerciales autres que la fourniture des services spécifiés dans le contrat .
      3. Conserver, utiliser ou divulguer les informations en dehors de la relation commerciale directe entre la personne et l'entreprise.
   2. Comprend une attestation faite par la personne qui reçoit les renseignements personnels que la personne comprend les restrictions du sous-paragraphe (A) et s'y conformera.

À ne pas confondre avec un « prestataire de services », que le CCPA définit comme une entité juridique qui « traite des informations pour le compte d'une entreprise et à laquelle l'entreprise divulgue les informations personnelles d'un consommateur à des fins commerciales en vertu d'un contrat écrit » . Cela signifie que l'organisation commerciale elle-même et ses fournisseurs de services qui utilisent les données conformément aux instructions ne sont pas considérés comme des tiers. Cependant, de nombreuses autres organisations échangeant des données avec une entreprise entreraient dans la catégorie des tiers.

Pour que les organisations déterminent comment gérer ces relations avec les fournisseurs, elles doivent commencer par créer une liste de tous les fournisseurs et tiers qui reçoivent des données de l'organisation. Comme mentionné dans notre précédent blog sur le CCPA contre le RGPD , disposer d'une carte de données existante à partir des préparatifs du RGPD devrait être utile dans ce processus. La carte des données doit inclure toutes les organisations avec lesquelles votre entreprise partage des données, ainsi que le but du partage des données. Il vous faudra également prendre en compte tous les domaines fonctionnels de votre organisation, de l'ingénierie aux RH en passant par les finances. Il est probable que votre entreprise partage des données en dehors du développement de produits afin de mener à bien ses activités quotidiennes, ce qui doit être pris en compte.

Une fois que vous aurez compris où vos données sont envoyées à l'extérieur de l'organisation, vous souhaiterez examiner les contrats avec ces organisations pour évaluer les droits du partenaire/fournisseur sur les données et déterminer si des évaluations d'impact sur la vie privée supplémentaires seront nécessaires. Le tiers peut-il utiliser les données uniquement dans le but de fournir à votre organisation des services désignés ou est-il en mesure d'agir en tant que contrôleur et de déterminer ce qui peut être fait avec les données (il est également important de noter que bien que le CCPA n'ait pas le langage du contrôleur/processeur (contrairement au RGPD), cela peut aider à identifier les contrôleurs et les processeurs dans les contrats afin que vous sachiez qui est le décideur en ce qui concerne les données partagées entre les organisations) ? S'il s'agit de ce dernier cas, votre organisation devra probablement divulguer cette relation avec vos consommateurs, ainsi que leur offrir la possibilité de « refuser » la vente de leurs données.

C'est ici que les choses pourraient se compliquer et perturber de nombreuses relations commerciales basées sur les données. En raison de la définition large des données de « vente » en vertu de la CCPA, les organisations devront vraiment examiner leurs relations fournisseur/partenaire pour déterminer à qui elles peuvent « vendre » des données et si elles devront ajouter la fonctionnalité « Se désinscrire » à leur site web. Pour rappel, selon l' article 1798.140 (t) « Vendre », « Vendre », « Vente » ou « Vendu » signifie :

1. vendre, louer, libérer, divulguer, diffuser, mettre à disposition, transférer ou autrement communiquer oralement, par écrit, par voie électronique ou autre, les informations personnelles d'un consommateur par l'entreprise à une autre entreprise ou à un tiers pour une contrepartie monétaire ou autre .
2. Aux fins de ce titre, une entreprise ne vend pas de renseignements personnels lorsque :
   1. Un consommateur utilise ou demande à l'entreprise de divulguer intentionnellement des informations personnelles ou utilise l'entreprise pour interagir intentionnellement avec un tiers, à condition que le tiers ne vende pas également les informations personnelles, à moins que cette divulgation ne soit conforme aux dispositions du présent titre. Une interaction intentionnelle se produit lorsque le consommateur a l'intention d'interagir avec le tiers, via une ou plusieurs interactions délibérées. Survoler, couper le son, mettre en pause ou fermer un élément de contenu donné ne constitue pas l'intention du consommateur d'interagir avec un tiers.
   2. L'entreprise utilise ou partage un identifiant pour un consommateur qui a choisi de ne pas vendre ses informations personnelles dans le but d'alerter des tiers que le consommateur a choisi de ne pas vendre ses informations personnelles.
   3. L'entreprise utilise ou partage avec un fournisseur de services les informations personnelles d'un consommateur qui sont nécessaires à l'accomplissement d'une mission commerciale si les deux conditions suivantes sont remplies : les services que le fournisseur de services effectue pour le compte de l'entreprise, à condition que le fournisseur de services pas vendre les informations personnelles.
      1. L'entreprise a notifié que les informations sont utilisées ou partagées dans ses termes et conditions conformément à la section 1798.135.
      2. Le fournisseur de services ne collecte, ne vend ni n'utilise les informations personnelles du consommateur, sauf si cela est nécessaire à l'accomplissement de l'objectif commercial.
   4. L'entreprise transfère à un tiers les informations personnelles d'un consommateur en tant qu'actif faisant partie d'une fusion, d'une acquisition, d'une faillite ou d'une autre transaction dans laquelle le tiers prend le contrôle de tout ou partie de l'entreprise à condition que ces informations soient utilisées ou partagé de manière cohérente avec les articles 1798.110 et 1798.115. Si un tiers modifie matériellement la façon dont il utilise ou partage les informations personnelles d'un consommateur d'une manière qui est matériellement incompatible avec les promesses faites au moment de la collecte, il doit informer préalablement le consommateur de la pratique nouvelle ou modifiée. L'avis doit être suffisamment visible et solide pour garantir que les consommateurs existants puissent facilement exercer leurs choix conformément à l'article 1798.120. Ce sous-paragraphe n'autorise pas une entreprise à apporter des modifications importantes et rétroactives à sa politique de confidentialité ou à apporter d'autres modifications à sa politique de confidentialité d'une manière qui violerait la Loi sur les pratiques déloyales et trompeuses (chapitre 5 (commençant par l'article 17200) de la partie 2 de la division 7 du code des affaires et des professions).

C'est une très longue façon de dire qu'une organisation peut ne pas nécessairement recevoir de paiement en échange d'informations personnelles, mais cela pourrait quand même être considéré comme une « vente » de données. À titre d'exemple dans le contexte du courrier électronique, un expéditeur peut mettre les informations collectées sur ses abonnés (via le suivi ou la collecte en ligne) à la disposition d'une organisation d'analyse tierce afin de fournir des informations démographiques détaillées. Aucun argent n'est échangé, car le tiers ajoute les données fournies par l'expéditeur de l'e-mail à sa plus grande base de données. Étant donné que le tiers obtient maintenant les données pour son propre usage ou pour celui d'autres clients, il relèverait de l'égide du tiers tel que défini par le CCPA, malgré l'absence d'échange d'argent. Cela signifie que l'expéditeur de l'e-mail devra fournir à ses abonnés un moyen simple de refuser que leurs données soient transmises à ce tiers. Ajoutant une autre couche de complexité, les organisations devront communiquer à tous leurs tiers lorsqu'un consommateur exerce ses droits, obligeant généralement les organisations à mettre en œuvre des mesures techniques pour assurer un processus fluide.

Alors, où cela laisse-t-il votre organisation ? Bien que cela puisse sembler un processus très fastidieux, tout ce qui est mentionné est impératif pour garantir que votre organisation et les entreprises avec lesquelles vous travaillez sont conformes une fois que la CCPA entre en vigueur. Les amendes pourraient aller jusqu'à 7 500 $ par violation intentionnelle, ce qui pourrait entraîner des amendes de plusieurs millions pour les organisations qui sont prises en défaut de conformité. Personne ne veut être confronté à une amende de plusieurs millions de dollars pour avoir négligé de s'assurer que ses relations avec des tiers sont fermées.

CCPA continue d'évoluer, mais il est important pour votre organisation de commencer à organiser votre processus de gestion des fournisseurs afin d'être prêt lorsqu'il entrera en vigueur. Bien qu'il s'agisse du dernier article programmé de notre série CCPA , nous continuerons à publier des articles ad hoc au fur et à mesure que la loi sera finalisée, alors restez à l'écoute !