89 % des organisations ne sont pas conformes à la loi CCPA

Les réglementations sur les données et les lois sur la confidentialité iront en vain si les utilisateurs et les organisations ne les respectent pas. Une étude récente de Cytrio, une société de respect de la confidentialité des données, a révélé que seulement 11 % des organisations respectent pleinement les exigences du California Consumer Privacy Act (CCPA), en particulier lors de la gestion des demandes d’accès aux données (DSAR). Et 89 % des entreprises sont soit non conformes, soit plutôt conformes.

La recherche, État de la conformité CCPA : Q1 2022, Le rapport a révélé que 44 % des organisations ne fournissaient aucun mécanisme permettant aux consommateurs d’exercer leurs droits en matière de données, se déconnectant en conformité. La plupart des organisations n’ont pas mis en œuvre les réglementations de la CCPA bien qu’elles aient déclaré qu’elles devaient s’y conformer.

Qu’est-ce que la loi californienne sur la protection de la vie privée des consommateurs ?

Le California Consumer Privacy Act (CCPA) a été adopté en 2018 et est entré en vigueur le 1er janvier 2020. La loi accorde aux citoyens californiens des données et des droits de confidentialité concernant la manière dont les organisations utilisent leurs données. En vertu du CCPA, les utilisateurs ont le droit de :

• Sachez quelles informations personnelles sont collectées.
• Savoir si leurs données sont échangées.
• Dites « Non » à la vente de leurs informations.
• Demander à une organisation de supprimer ses données sensibles.
• Ne pas être victimisé pour avoir exercé son droit à la vie privée.

Les organisations qui ne se conforment pas à la CCPA peuvent encourir une pénalité allant de 2 500 $ à 7 500 $, selon le type de violation de données.

Entreprises non conformes au CCPA

La recherche a révélé que 45 % s’appuyaient sur des processus manuels inefficaces et coûteux tels que les e-mails et les formulaires Web pour soumettre et répondre aux demandes de données. Moins de 11% des entreprises utilisent les solutions d’automatisation de gestion DSAR. Seules 15,6 % des entreprises californiennes disposaient d’une solution d’automatisation de la gestion DSAR, et 59,3 % d’entre elles utilisaient des processus manuels.

La recherche a interrogé plus de 5 175 entreprises américaines dont les revenus varient de 25 millions de dollars à plus de 5 milliards de dollars.

Lisez aussi: La California Consumer Privacy Act exerce une pression supplémentaire sur les organisations financières

« Les résultats de nos recherches montrent que les entreprises sont terriblement mal préparées à la conformité au CCPA, en particulier lorsqu’il s’agit d’activer et de répondre aux droits des consommateurs en matière de confidentialité des données. Une écrasante majorité répond manuellement aux demandes de données, et seul un petit nombre met en œuvre des solutions d’automatisation de la gestion DSAR. Le recours à des processus manuels les expose à des coûts de conformité DSAR élevés, à de longs temps de réponse, à des erreurs qui éroderont la confiance des consommateurs et à des actions de non-conformité de la California Privacy Protection Agency (CPPA) », a déclaré Vijay Basani, fondateur et PDG de CYTRIO.

Autres constatations clés :

• Bien que les entreprises B2C collectent davantage de données sur les consommateurs, il n’y avait pas de différence statistiquement significative dans le nombre de déploiements de solutions d’automatisation de gestion DSAR par rapport aux entreprises B2B (11,3 % pour B2C contre 10,3 % pour B2B).
• Les grandes entreprises (avec plus de 10 000 employés) étaient plus susceptibles d’avoir une solution commerciale d’automatisation de la gestion DSAR. Plus de 60 % l’ont fait avec le nombre croissant de DSAR et la rationalisation des coûts connexes comme raisons potentielles.
• Les industries hautement réglementées ont pris du retard dans le déploiement de solutions commerciales, notamment les soins de santé, les services financiers et les assurances.
• Il existe une forte corrélation entre les revenus et le déploiement d’une solution d’automatisation de la gestion DSAR. Les personnes à revenus élevés (entreprises de plus de 100 millions de dollars) étaient plus susceptibles d’avoir une solution automatisée, les entreprises de plus de 5 milliards de dollars de revenus étant particulièrement désireuses.

« Dans l’ensemble, les résultats de l’enquête montrent qu’il reste encore beaucoup à faire pour se conformer à la loi CCPA, et beaucoup manquent de ressources et d’outils adéquats pour répondre aux exigences. Le recours répandu aux processus manuels et l’incapacité à traiter les DSAR peuvent augmenter les risques des opérations d’une entreprise et montrent que nous avons encore du travail à faire pour sensibiliser le public », a déclaré Darshan Joshi, directeur de la technologie chez CYTRIO.