Conformité CCPA – Comment les Responsables BI peuvent-ils agir ?

A l’aube d’une nouvelle ère BI / Analytique

Le 1er janvier 2020, le California Consumer Privacy Act (CCPA) est entré en vigueur. Deux ans après l’entrée en scène de RGPD et d’importants scandales de violation de la confidentialité des données comme l’affaire Cambridge Analytica, la Californie prend les devants aux États-Unis en matière de protection des données à caractère personnel (DCP). Depuis la mise en place du RGPD, les individus ont été éduqués quant à la protection de leurs données et leurs droits, si bien que la conformité réglementaire est devenu le troisième défi le plus important pour les RSSI à travers le monde. La mise en conformité de Business Objects au CCPA aura un impact sur un grand nombre d’organisations et ces organisations devront mettre en œuvre ou mettre à jour leurs processus de gestion de ces données. Un nouveau monde de la protection des données a vu le jour et il est évident que d’autres États et Pays suivront l’Europe et la Californie.

Business Intelligence et CCPA

Les données représente l’actif numéro un pour la plupart des entreprises et organisations dans le monde, et la Business Intelligence (BI) consiste à transformer ces données en informations afin de prendre de bonnes décisions. En tant que Responsables BI, vous collectez et traitez des données personnelles et vous êtes donc soumis à ces nouvelles normes de confidentialité des données. En tant qu’experts BI, nous avons rassemblé ce que vous devez savoir sur cette nouvelle loi, pourquoi il est important de vous y conformer, et ce que vous pourriez, ou plutôt, devriez faire, pour vous y conformer. Nous avons aidé nos clients à se conformer au RGPD lorsqu’il est entré en vigueur et il existe beaucoup de points communs. Forts de cette expérience, nous vous guidons vers votre conformité au CCPA.

Qu’est-ce que le CCPA ?

Le CCPA est une nouvelle loi sur la confidentialité des données qui établit les droits des consommateurs de l’État de Californie en la matière. Un “consommateur californien” est autrement définit comme un résident californien (voir section 17014 du Titre 18 du California Code of Regulation) c’est à dire une personne résident en Californie de manière permanente. La loi s’applique aux organisations qui ont une activité en Californie et qui répondent à l’un des critères suivants, liés aux revenus ou au traitement des données, entre autres. (voir plus bas)

Les données personnelles telles que définies par le CCPA sont “des informations qui identifient, concernent, décrivent, sont susceptibles d’être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un foyer particulier“. Les données à caractère personnel (DCP) comprennent les identifiants personnels tels que les données de géolocalisation, les adresses e-mail, les identifiants, l’historique de navigation Internet, l’historique de recherche, l’historique des achats, les préférences des utilisateurs, les noms, pseudos, adresses postales, numéros de sécurité sociale, adresse IP, profils client, etc. 

Grâce au CCPA, les consommateurs californien ont obtenu de nouveaux droits, parmi lesquels :

• Droit à l’oubli : le droit de supprimer des données dans l’ensemble du système d’information de l’entreprise. 
• Droit d’accès : le droit d’accéder à leurs informations. 
• Droit à la portabilité des données : le droit d’avoir leurs renseignements personnels dans un format utilisable pour pouvoir ensuite les transmettre d’une entité à une autre. 
• Droit de savoir : le droit d’être informé de la manière dont les données personnelles sont collectées ou partagées, des raisons pour lesquelles elles le sont et du lieu où elles le sont.
• Droit de retrait : le droit de se retirer des données personnelles revendues. 

Etes-vous concernés ?

Le CCPA impacte toutes les entreprises et organisations (organisations lucratives) qui traitent des données relatives aux résidents californiens. Elle s’applique aux organismes à but lucratif qui répondent à au moins l’un des critères suivants, quelque soit sa localisation dans le monde :

• Votre organisation génère des revenus annuels bruts de plus de 25 millions de dollars.
• Votre organisation traite les renseignements personnels d’au moins 50 000 clients, foyers ou appareils californiens.
• Votre organisation tire plus de 50% de ses revenus de la monétisation des données. 

Pourquoi devriez-vous agir ? 

Vous devriez agir dès maintenant ! La Californie est peut-être la première aux États-Unis à mettre en place une telle loi sur la protection des données personnelles, mais d’autres États y travaillent également et suivront. A une échelle plus globale, le Japon et le Brésil par exemple, y travaillent ; c’est en train de devenir un véritable phénomène global. Ainsi, il faut articuler votre mise en conformité CCPA plutôt comme étant un processus global et non régional. Lors de l’arrivée en vigueur de futures lois, vous serez en bonne position pour vous y conformer.

Ceux qui ne sont pas encore prêts doivent agir dès maintenant, car la conformité au CCPA donne à un résident californien le droit de demander les données qu’une entreprise a recueillies au cours des 12 derniers mois à son sujet. Cela signifie que les entreprises doivent mettre en place des processus de suivi des données dès que possible pour être en mesure de répondre à toutes les demandes. 

La BI est utilisée pour distribuer des données, y compris des données personnelles, aux utilisateurs de la plateforme au sein de l’entreprise et à des tiers, ce qui la rend encore plus sensible. Ignorer cette loi c’est prendre le risque de ne pas pouvoir répondre aux sollicitations potentielles des consommateurs californiens, et toute infraction à la loi s’accompagne d’une amende pouvant aller jusqu’à 7500$ par consommateur, par incident. Les entreprises disposent d’un délai de 30 jours pour répondre à une éventuelle violation, mais pourquoi prendre le risque si vous pouvez tout simplement l’éviter ? 

Par ailleurs, ces nouvelles normes habituent les consommateurs à davantage de transparence de la part des entreprises avec lesquelles elles interagissent. Se conformer au CCPA c’est aussi, établir de bonnes bases avec vos clients.

Comment concrètement se conformer au CCPA ?

La protection des données personnelles est en train de devenir un phénomène mondial et la meilleure façon pour les organisations d’aller de l’avant est donc d’élaborer un programme global de gestion des ces données. Il s’agit non seulement de se conformer au CCPA, mais aussi de se préparer aux futures réglementations internationales.

Nous avons dressé une liste d’actions et de processus que vous pouvez concrètement mettre en œuvre pour vous conformer au CCPA :

1. Définissez les catégories de DCP présentes dans votre environnement BusinessObjects
2. Localisez les DCP et marquez les univers et les documents qui les contiennent afin de cartographier vos données (data lineage)
3. Documentez les Univers et Documents qui contiennent ces DCP.
4. Garder la trace des DCP partagées avec des tiers par le biais de publications
5. Documenter vos permissions (restrictions d’univers, accès aux dossiers et documents)
6. Révisez votre sécurité : assurez-vous que les bonnes personnes accèdent aux bonnes données. Éventuellement, vous pourriez mettre à jour la sécurité avec les utilisateurs métier. Réduisez vos accès afin que seuls les utilisateurs habilités puissent accéder aux données personnelles.
7. Surveillez le comportement des utilisateurs, les accès et les activités suspectes dans votre environnement BOBJ.
8. Suivez les changements de permission au fil du temps et examinez continuellement les accès aux données
9. Mettez en œuvre une méthode permettant de documenter le flux de données et les accès aux données d’une manière lisible et transférable.
10. Gérer le risque de tiers en divulguant les tiers avec lesquels vous partagez des données. Si vous faites face à une demande de suppression des données, vous devez également demander au tiers de le faire.