Ce que Big Law et les dirigeants techniques disent à propos de la nouvelle loi californienne sur la confidentialité des données

Le procureur général de la Californie, Xavier Becerra, témoigne à Washington en septembre. Crédit: Diego M. Radzinschi / ALM

Le procureur général Xavier Becerra a invité le public à faire part de ses réflexions sur ce qu’il conviendrait d’inclure dans les prochains règlements Loi sur la protection des consommateurs en Californie, la loi historique, également connue sous le nom de CCPA, donne aux consommateurs le pouvoir de déterminer les données personnelles que les entreprises peuvent collecter à leur sujet.

Plus que 1 300 pages des plaidoyers écrits en faveur d'un langage plus restrictif ont été demandés et demande que la loi, qui doit entrer en vigueur en 2020, soit appliquée le plus largement possible. Le bureau du procureur général examine actuellement ces commentaires et prévoit publier un projet de règlement à l’automne.

Voici quelques extraits de commentaires soumis par des avocats et des leaders technologiques.

>> Une équipe de Loeb & Loeb, représentant les moyennes et grandes entreprises en interaction avec les consommateurs californiens, a exhorté les dirigeants des États à préciser l'applicabilité de l'ACCP aux relations de travail: «Etant donné qu'une relation employeur / employé est fondamentalement différente de celle d'une entreprise / d'un consommateur, l'ACCP est susceptible de nuire aux activités commerciales courantes d'un employeur et, dans certains cas, D'un point de vue administratif, il peut s'avérer impossible pour un employeur de déterminer quels enregistrements peuvent être soumis à de telles exigences de l'ACCP et lesquels sont exclus… ce qui crée des obstacles à la mise en œuvre et à des préoccupations de confidentialité.

Loeb & Loeb ont suggéré de limiter les informations qu'une personne peut rechercher sur les autres membres du ménage: «Le procureur général devrait préciser qu'aucun consommateur individuel n'a le droit de demander l'accès aux informations personnelles de tout autre consommateur individuel, ou leur suppression, même un autre consommateur est membre du même "ménage". Seules des informations "globales sur le ménage", telles que "revenu du ménage" ou "utilité domestique", devraient être fournies à un consommateur individuel en réponse à une telle demande. "

Le cabinet d’avocats a également proposé cette suggestion: ne définissez pas le transfert de renseignements personnels dans une transaction financière comme une vente. "Les institutions financières doivent transférer des informations personnelles dans le cadre de certaines transactions financières telles que la vente d'un prêt ou d'un portefeuille de prêts, la vente d'un compte de carte de crédit ou d'un portefeuille de comptes, la titrisation et la gestion de ce qui précède."

Pomme Un magasin Apple. Crédit: Mike Scarcella / ALM

>> Katie Kennedy, conseil en confidentialité, sécurité des informations chez Apple Inc., Elle a exhorté la Californie à modifier la définition des informations personnelles: «Nous encourageons le procureur général à soutenir et à encourager les technologies de protection de la vie privée et les choix de conception, notamment en confirmant que toutes les informations pouvant être liées à un identifiant généré par un dispositif rotatif ou réinitialisable ne sont pas nécessairement compatibles. 'informations personnelles.'"

Kennedy a ajouté: «Le fait de lier des consommateurs identifiés à des données précédemment associées à des identifiants générés par un dispositif pivotant ou réinitialisable uniquement à des fins de conformité à l'ACCP augmente le risque que des informations privées sur l'individu soient révélées si les données sont soumises à un accès non autorisé (par exemple, , une violation de données). "

Kennedy a également déclaré que l'État ne devrait pas exiger l'utilisation d'identifiants gouvernementaux, tels que les permis de conduire, pour vérifier l'identité de ceux qui souhaitent accéder à leurs données. «Bien que de nombreuses considérations doivent être prises en compte dans le processus de vérification, nous encourageons le procureur général à veiller à ce que les exigences en matière de vérification n'obligent pas les entreprises à collecter des informations sensibles ou à remplacer les mécanismes de vérification raisonnablement sécurisés existants», a-t-elle déclaré.

Plus dans le commentaire de Kennedy: «Aujourd’hui, de nombreux services populaires permettent aux consommateurs d’utiliser un nom d’utilisateur et un mot de passe pour accéder à des comptes en ligne contenant des informations sensibles (par exemple, services bancaires, courrier électronique, services médicaux). En conséquence, il serait raisonnable de traiter les demandes CCPA effectuées via un compte qu'un utilisateur a précédemment établi avec l'entreprise comme étant vérifiées, à condition que l'entreprise maintienne des procédures de sécurité des comptes raisonnables. "

>> Alan Friel, partenaire de Baker & Hostetler, a déposé un commentaire au nom d '«entreprises de toutes tailles et dans la plupart des industries directement touchées par la California Consumer Privacy Act (CCPA)». Friel a déclaré que les entreprises devraient disposer d'une grande flexibilité pour vérifier l'identité des personnes cherchant à accéder aux informations personnelles recueillies. à propos d'eux. "Dans la mesure où les réglementations exigent la collecte d'informations personnelles supplémentaires pour vérifier l'identité ou la résidence du demandeur, le règlement devrait prévoir que l'entreprise peut conserver ces informations à des fins d'archivage", a-t-il écrit.

Dans son commentaire, M. Friel a déclaré: «Les entreprises devraient bénéficier d'une zone de sécurité à l'égard de toute responsabilité pouvant découler du respect de ces réglementations», par exemple, «les réclamations d'une personne concernée par une personne imitée par une partie qui était en mesure de respecter les normes de vérification de la réglementation». . "

L'État devrait conserver les dispositions permettant au procureur général de fournir des orientations aux entreprises et un délai de 30 jours pour remédier aux violations, a écrit Friel. «Ces règlements guidant les obligations d’avis et de convocation du vérificateur général renforcent l’objet du titre en donnant la priorité à la conformité (c.-à-d.« Réparer ») plutôt qu’aux sanctions (c’est-à-dire au« gotcha »), en particulier en ce qui concerne les entreprises pouvant être démontrées. ont agi de bonne foi. "

Mayer Brown Bureaux de Mayer Brown à Washington. Crédit: Diego M. Radzinschi / ALM

>> Mayer Brown partenaire Philip Recht, représentant "diverses sociétés fournissant des rapports de base, des services de détection de fraude dans le commerce électronique et des services de recherche de personnes", a exhorté la Californie à préciser la définition des informations personnelles «susceptibles d'être associées à» un consommateur. «Les règlements de l’AG devraient indiquer clairement que l’IP ne contient que des données« raisonnablement »susceptibles d’être associées à un consommateur particulier», a déclaré Recht.

«Sans plus d'indications, les entreprises cherchant à éviter les réclamations de non-conformité peuvent avoir tendance à trop divulguer, en fournissant au consommateur demandeur des données concernant tous les autres noms, adresses et autres attributs partagés, même en l'absence d'informations indiquant le contraire. lien raisonnable entre ces données et le consommateur ", a déclaré Recht dans son commentaire.

Recht a également suggéré d’élargir et de clarifier la définition des informations personnelles disponibles dans les archives gouvernementales – informations qui ne sont pas soumises aux exigences de divulgation, de suppression et de désinscription de la CCPA.

>> Cynthia Pantazis, directeur de la politique et des affaires d’état chez Google, a déclaré dans son commentaire que la Californie devrait aligner plus étroitement les obligations de suppression de données de l'ACCP avec celles du règlement général de l'Union européenne sur la protection des données.

«Plutôt que de prévoir un test d’équilibrage pour peser avec soin la demande de suppression d’un utilisateur par rapport aux motifs légitimes de l’entreprise pour la conservation des données, la CCPA a défini un certain nombre d’exclusions ambiguës sur lesquelles les entreprises peuvent s’appuyer pour refuser une telle demande», a écrit Pantazis. «Nous pensons que ces exclusions, ainsi que les contours du cadre de suppression plus généralement, gagneraient à une plus grande clarté et des directives, telles que la portée des informations soumises au droit de suppression.»

Pantazis a également déclaré que l’Etat devrait limiter la portée de l’interdiction de la vente des données d’un consommateur. «La définition de« vente »au sens de la CCPA est toutefois vague et sujette à un certain nombre d'ambiguïtés critiques qui pourraient la dissocier du sens commun de cette expression et des risques pouvant découler de la vente effective de renseignements personnels. ”

Les directives réglementaires de la Californie "devraient préciser que la définition de" vente "donnée par l'ACCP est conforme aux interprétations usuelles de ce terme, à savoir lorsqu'une entreprise échange directement des informations personnelles contre une compensation monétaire et exclut les circonstances dans lesquelles les données sont transférées sans valeur monétaire ou autre, directement mais afin de faciliter le fonctionnement de base d'un site Web ou d'un autre produit ou service couramment utilisé. "

Lire la suite:

Loi sur la protection de la vie privée des consommateurs, protection de la vie privée: 5 à emporter

Les avocats de Groupon en matière de protection de la vie privée font leur apparition sur CCPA, conformité GDPR

La Californie prend le pas de géant en matière de protection des données des consommateurs

Laisser un commentaire