Deux entités inquiètent les entreprises comme les régulateurs. De petits oublis dans les pratiques de traitement des données, lors de la collecte et du traitement des informations sur les consommateurs, peuvent entraîner des poursuites et des amendes qui coûtent des millions à régler.
Il y a un peu plus d’une semaine, le California Customer Personal Privacy Act (CCPA) a imposé sa première amende et a imposé au vendeur d’articles de beauté Sephora 1,2 million de dollars pour avoir omis d’informer les clients qu’il vendait leurs informations tout en affirmant sur son site que il n’a pas fourni de détails personnels.
Pour les entreprises, ce tout premier grand souligne que le paysage réglementaire devient de plus en plus impitoyable, avec de plus en plus de responsabilités pour clarifier aux utilisateurs comment les données personnelles sont collectées ou traitées.
Rester certifié en vertu d’une montagne de politiques
Le CCPA n’est que l’idée de l’iceberg en ce qui concerne les directives régionales de protection des données participant au résultat aux États-Unis, composé du Virginia Customer Data Defense Act, Colorado Privacy Act, Utah Consumer Personal Privacy Act et Connecticut Data Privacy Act.
Dans le même temps, l’American Data Personal Privacy and Defense Act (ADPPA) traverse également progressivement le système juridique et, s’il est adopté, mettra en place une exigence fédérale de défense de l’information.
Avec toutes ces nouvelles politiques qui entrent en vigueur, les entreprises subissent une pression incroyable pour revoir la façon dont elles traitent les données personnelles, et l’application du CCPA contre Sephora montre que ces règles ne vont pas loin dès que bientôt.
« Cet événement révèle que la Californie prend au sérieux la confidentialité et que le CCPA a les dents nécessaires pour imposer les exigences énoncées. Chaque CISO qui exerce des activités en Californie ou subit le CCPA doit désormais se considérer dès notification que la loi est aussi réels que les autres exigences réglementaires auxquelles ils doivent agir de manière appropriée pour mettre de l’ordre dans leur maison », a déclaré Andrew Hay, COO chez Lares Consulting.
Hay recommande aux RSSI concernés par le CCPA de revoir leurs politiques avec leurs équipes juridiques et RH pour valider que leurs traitements de collecte de données restent conformes à la directive.
Le traitement des données devient un jeu vidéo à haut risque
Parmi les implications plus larges de la décision figure le fait que le traitement de l’information finit par devenir un jeu à haut risque. Alors que les entreprises souhaitent mieux utiliser et générer des revenus à partir des données afin de pouvoir lutter plus efficacement sur le marché, ces pratiques de traitement expansives laissent la porte ouverte aux responsabilités de conformité.
« Les chefs d’entreprise sont chargés de trouver des moyens d’exploiter les données pour créer de nouvelles sources de revenus. En particulier avec le passage au travail à distance, l’accès libéral et les applications telles que Google Drive ou Slack facilitent l’accès et la diffusion informations dans l’ensemble d’une organisation », a déclaré Yotam Segev, cofondateur et PDG de Cyera.
« Les personnes ou les équipes impliquées auraient pu croire qu’elles étaient autorisées à monétiser ces informations. Combien d’entreprises sont préparées à ce type d’action ? Les groupes de sécurité et de danger ont besoin d’une méthode simple pour répondre à des questions fondamentales telles que : Quelles données ai-je? Où est-il maintenant? Qui y accède? Comment devrait-il être gouverné et sécurisé ? » a déclaré Segev.
Si vous ne pouvez pas répondre à ces préoccupations à la demande, il y a des chances que vos processus de protection des informations vous exposent.
Sephora n’est peut-être qu’un début : réfléchissez bien avant de vendre des données utilisateur
Ce ne sont pas simplement des entreprises comme Sephora qui ont fait l’objet de poursuites judiciaires pour avoir fourni des informations sur leurs clients ; Oracle fait actuellement face à un recours collectif pour avoir collecté, profilé et vendu les données de plus de 5 milliards d’utilisateurs.
Même la collecte incorrecte d’informations peut être un choix coûteux, mis en évidence plus récemment après que Meta ait réglé une réclamation de 37,5 millions de dollars après avoir été accusé d’avoir violé la vie privée de l’utilisateur en suivant les mouvements de l’utilisateur au moyen de son adresse IP sans autorisation.
Dans cet environnement réglementaire, la marge d’erreur pour la collecte et l’utilisation des informations est mince, les organisations doivent donc être beaucoup plus proactives sur les informations qu’elles collectent et s’assurer qu’elles le font d’une manière manière protégée et certifiée.
L’une des clés pour y parvenir est d’être honnête et transparent quant à savoir si votre organisation génère des revenus ou offre des données personnelles, et ne tente pas d’obscurcir cette activité.
« Il est plus courant qu’autrement qu’une organisation adopte la position selon laquelle elle n’offre pas techniquement de PII [informations d’identification personnelle] au sens conventionnel, comme un courtier en données par exemple, puis se réfère consommateurs vers un ou tous les centres de préférence du marché comme AdChoices », a déclaré Brian Mandelbaum, PDG de Klover. « Malheureusement, ces choix ne satisfont pas aux exigences du CCPA. Il s’agit d’un signal d’alarme géant pour l’adtech, les courtiers en informations et essentiellement tout le monde dans le quartier. Je parie que nous assisterons à une augmentation importante des mises à jour de la politique de confidentialité personnelle, des liens de non-vente de mes données et des divulgations dans les mois à venir », a déclaré Mandelbaum.
Pour aller de l’avant, assurer la transparence de la collecte de données et les procédures de monétisation sont la clé pour préserver la conformité.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de l’innovation d’entreprise transformatrice et d’effectuer des transactions . Découvrez nos Rundowns.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
