L’État de Californie a récemment promulgué la loi californienne sur la protection de la vie privée des consommateurs de 2018. Connue sous le nom de CCPA, cette loi délimite spécifiquement les responsabilités des organisations pour donner aux consommateurs un moyen efficace de contrôler leurs informations personnelles. En vertu de cette loi, les Californiens ont le droit de :

  • Savoir quelles sont les informations personnelles qui sont collectées à leur sujet,
  • Savoir si leurs informations personnelles sont vendues ou divulguées et à qui,
  • Dites non à la vente d’informations personnelles,
  • Accéder à leurs informations personnelles, et
  • Recevoir un service et un prix identiques, même s’ils exercent leur droit à la vie privée.

Le CCPA entre en vigueur le 1er janvier 2020. Cependant, certaines dispositions exigent que les organisations fournissent aux consommateurs des informations concernant la période de 12 mois précédente, et donc des activités pour se conformer à l’ACFPC peuvent déjà être nécessaires maintenant.

La loi s’applique-t-elle à votre entreprise ? L’International Risk Management Institute fournit un bon résumé des entreprises qui doivent se conformer à la loi. Les critères sont généralement basés sur les revenus bruts annuels d’une entreprise, le traitement des informations personnelles des consommateurs et le fait de faire des affaires en Californie.

Aucune disposition de la loi n’exige qu’une entreprise soit située en Californie. Ainsi, les entreprises des États-Unis et du monde entier peuvent être concernées si elles disposent d’informations personnelles sur des résidents californiens.

Même les entreprises qui ne répondent pas aux critères spécifiques de conformité de l’ACFPC devraient prêter attention à la tendance nationale à la protection de la vie privée des consommateurs. Comme c’est souvent le cas, la Californie fournit un modèle législatif pour les autres États. En l’absence d’une législation fédérale relative à la protection des données, plusieurs États ont introduit des projets de loi sur la protection de la vie privée qui sont similaires à l’ACFPC ou même basés sur celle-ci. Hawaii, le Maryland et le Massachusetts sont en train d’élaborer une législation à l’heure où nous écrivons ces lignes.

En outre, le Mississippi, Washington, New York, le Dakota du Nord et le Nouveau Mexique progressent vers leur propre législation sur la protection de la vie privée. Bientôt, il pourrait y avoir un patchwork de lois dans tout le pays qui ont des exigences similaires mais subtilement différentes.

La plupart des entreprises qui vont développer ou adapter leurs applications pour se conformer aux exigences de l’ACFPC vont traiter toutes leurs données comme si les dossiers appartenaient à des résidents de Californie. En d’autres termes, personne ne créera d’exceptions d’application pour traiter les données californiennes d’une manière et les données non californiennes d’une autre manière. Il serait compliqué et inutile de le faire. Le respect du droit à la vie privée est la bonne chose à faire, quel que soit le lieu de résidence de la personne concernée.

Comment l’ACCP se compare-t-elle à la GDPR ?

De nombreuses entreprises qui viennent d’adapter leurs activités pour se conformer au règlement général de l’Union européenne sur la protection des données (GDPR) se demandent si elles sont maintenant bien préparées à la mise en conformité avec l’ACCP. La réponse est oui, et non. Il existe un chevauchement considérable entre les deux textes législatifs, mais des différences importantes existent également.

Le document DataGuidance Comparing privacy laws est une bonne ressource pour faire la comparaison entre les deux lois : GDPR vs. CCPA publié par The Future of Privacy Forum.

Certaines des différences les plus importantes entre l’ACCP et la GDPR concernent le champ d’application du règlement, la nature et l’étendue des limitations de la collecte de données, et les règles concernant la responsabilité.

Conséquences de la non-conformité à l’ACFPC Les entreprises ont le devoir de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables, adaptées à la nature des renseignements personnels qu’elles traitent. Une disposition importante de l’ACFPC est qu’un consommateur lésé peut poursuivre une entreprise si une violation se produit et que l’entreprise n’a pas correctement sécurisé ses données privées.

Perdre un tel procès peut être coûteux pour une entreprise, car les juges peuvent tenir compte de l’actif, du passif et de la valeur nette du défendeur pour déterminer le montant précis de l’indemnisation. En plus des actions en justice intentées par les consommateurs, le procureur général de Californie peut imposer des amendes pouvant aller jusqu’à 7 500 dollars par infraction. Il existe un potentiel de sanctions extrêmement élevées dans les deux types d’action, les amendes légales pouvant être multipliées par le nombre de personnes concernées.

Pour les entreprises qui collectent ou traitent les données privées des Californiens via leurs applications professionnelles, le non-respect de l’ACFPC peut être très coûteux – surtout si elles subissent une violation de données. Contrairement au plafond de 4 % du revenu annuel de GDPR, il n’y a essentiellement aucun plafond pour les amendes et les pénalités qui peuvent être imposées en cas de violation.
Devriez-vous vous préoccuper de vos applications mobiles ? Les entreprises utilisent de plus en plus les applications mobiles pour faire des affaires avec les consommateurs. Une quantité importante d’informations personnelles identifiables (IPI) peut être collectée et échangée par le biais des applications mobiles, ce qui les met en jeu pour la conformité requise avec l’ACFPC.

Il existe plusieurs facteurs qui peuvent rendre les applications mobiles particulièrement risquées et sujettes à une violation de données :

Tous les développeurs utilisent des logiciels tiers dans leurs applications afin d’économiser du temps et de l’argent. Les logiciels libres (OSS) et les kits de développement logiciel (SDK) de tiers peuvent comporter des violations de la confidentialité des données, des vulnérabilités de sécurité et d’autres risques dans leur code. Les développeurs acceptent souvent ces risques (même s’ils savent qu’ils existent) en échange de la commodité de l’utilisation du code (généralement gratuit) dans leurs propres applications.

Les applications mobiles utilisent des interfaces de programmation d’applications (API) pour récupérer ou échanger des données provenant de sources externes et internes. Les API présentent également des problèmes de sécurité inhérents qui peuvent facilement entraîner des fuites de données, voire une violation très grave des données. De plus, les API sont souvent mises à jour et ce qui était sécurisé hier peut présenter une vulnérabilité des données aujourd’hui.

Les contrôles de sécurité et la validation de la conformité avec l’ACFPC et d’autres règlements ne font souvent pas partie du processus de développement des applications DevOps. La validation de la sécurité et de la conformité est plutôt laissée à la fin du cycle lorsqu’un test de pénétration manuel « ponctuel » est effectué. Cependant, les logiciels et les API OSS et SDK intégrés changent souvent, et le rythme rapide des nouvelles versions peut introduire des vulnérabilités qui n’existaient pas auparavant. Une validation effectuée la semaine dernière ne permet pas de trouver le risque qui est introduit aujourd’hui.

Comment améliorer et maintenir la sécurité de vos applications mobiles et la validation de la conformité ?

Le premier point à reconnaître est que les modèles modernes de développement d’applications tels que Agile et DevOps évoluent trop rapidement pour permettre encore une assurance de sécurité et une validation de la conformité manuelles et ponctuelles. Un modèle de développement avec une analyse automatisée des lacunes en matière de sécurité et de conformité intégrée dans toutes les phases du cycle de développement logiciel (SDLC) est une nécessité absolue. Il vous faut donc un ensemble d’outils spécialement conçus pour analyser la posture de sécurité et valider les exigences de conformité de vos applications mobiles et modernes, le tout sans intervention manuelle.

En plus d’analyser le code de vos propres développeurs, l’ensemble d’outils doit donner de la visibilité aux bibliothèques open source, SDK et API intégrés – en particulier ceux que vous ne connaissez peut-être pas. Comme ces logiciels sont fréquemment mis à jour, l’ensemble d’outils doit les surveiller et les analyser en permanence pour détecter les vulnérabilités et les lacunes dans les exigences de conformité. Lorsque des problèmes sont constatés, les développeurs doivent être alertés et, idéalement, recevoir des exemples de code sécurisé et des recommandations qui permettront de verrouiller les zones à haut risque de votre application mobile.

Les données récupérées ou échangées par le biais des API peuvent être particulièrement importantes pour le maintien de la conformité avec l’ACFPC ainsi qu’avec d’autres réglementations telles que la GDPR, la PCI DSS, la COPPA et l’HIPAA. Vos outils de sécurité doivent examiner la manière dont les IIP sont traitées et si elles sont conformes à vos politiques de confidentialité configurées. Une fois de plus, lorsqu’un problème qui met une application en danger de non-conformité est découvert, une alerte doit être générée, indiquant l’écart de conformité, l’organisme de réglementation et tout impact potentiel (comme des amendes).

Conclusion

Les enjeux sont élevés pour toute application mobile commerciale et tout service API. Une seule violation des données ou une violation grave des exigences de conformité réglementaire peut entraîner des amendes ou des pénalités qui peuvent se chiffrer en millions de dollars. En intégrant la sécurité et la conformité dans votre processus de développement d’applications, vous avez l’esprit tranquille, car vous savez que vous vous attaquez de manière proactive aux problèmes potentiels