A man holding out his hand, with an icon of a padlock in a shield floating above it.

Californie, deux autres États pour des violateurs GPC

Lucas Morel

Le balayage d’enquête cible les entreprises qui pourraient ne pas honorer les signaux mondiaux de contrôle de la vie privée.

Il est conseillé aux organisations américaines de s’assurer qu’elles ont des systèmes en place pour détecter et honorer les signaux mondiaux de contrôle de la confidentialité (GPC), à la suite du lancement cette semaine d’un balayage multi-États de l’application de la vie privée pour cibler ceux qui ne le font pas.

La California Privacy Protection Agency (CPPA), ainsi que les procureurs généraux de Californie, Colorado et Connecticut, ont annoncé mardi les plans de contacter ce qu’ils ont appelé «les entreprises qui pourraient ne pas traiter les demandes de consommation de consommation pour se retirer de la vente de leurs informations personnelles soumises via le GPC comme requis par la loi» pour demander que les entreprises se contentent de se contenter.

Selon un communiqué de la CPPA, le balayage «renforce les efforts éducatifs de la Journée des données de la vie privée des trois États sur le GPC», qui a eu lieu fin janvier. En Californie, par exemple, il indique que la California Consumer Privacy Act confond les consommateurs avec le contrôle des informations personnelles que les entreprises collectent à leur sujet et comprennent leur droit de demander que les entreprises cessent de vendre ou de partager leurs informations personnelles.

Un avis publié mercredi par le cabinet d’avocats de Clark Hill a déclaré: «Le balayage de l’application du GPC ne surgit pas de manière isolée. Il s’agit de l’une des premières initiatives majeures pour émerger d’une nouvelle alliance multi-états connue sous le nom de consortium de réglementations de confidentialité, annoncée via un mémorandum de compréhension (MOU) de la Californie, le consortium, comprend des régulateurs de confidentialité et des rémaniouteurs de confidentialité et des rémaniations de confidentialité et ATTTORNEYS GRAVENE, CONCRORT, le consortium comprend des régulateurs de confidentialité et des rémaniations de confidentialité et ATTTORNEYS GROPAGE de la connexion, le consortium comprend des régimes de confidentialité et des attorques de la Californie. Colorado, Delaware, Indiana, New Jersey et Oregon. »

Il est temps de prendre des «mesures immédiates»

Dans l’avis, les avocats Myria V. Jaworski, Chirag H. Patel et Ali Bloom ont écrit que bien que la loi sur la vie privée de chaque État puisse différer, le protocole d’accord souligne qu’il existe des similitudes fondamentales, telles que l’accès aux données, la suppression des données et la désactivation, qui devraient être confirmées entre les juridictions.

Définir un GPC comme un signal de préférence de découverte (OOPS) qui est intégré à certains navigateurs et extensions pour permettre aux utilisateurs d’exprimer automatiquement leurs préférences de désactivation, ils ont déclaré: «L’application du GPC signifie que les entreprises devraient prendre des mesures immédiates pour évaluer s’ils ont des systèmes en place pour détecter et honorer GPCS ou OOPS.»

Les entreprises, selon les avis, devraient considérer plusieurs mesures techniques et opérationnelles clés pour se conformer qui incluent les étapes suivantes:

  • Implémentez la reconnaissance du signal GPC: les entreprises doivent mettre à jour leurs sites Web et leurs systèmes backend pour «détecter la présence de l’en-tête GPC ou des signaux équivalents envoyés par des navigateurs ou des extensions de navigateur. Le signal GPC est transmis dans le cadre de l’en-tête HTTP ou via Javascript, et doit être détecté de manière fiable sur chaque page pertinente où les données personnelles sont collectées ou vendues.
  • Intégrer aux plates-formes de gestion de consentement (CMPS): Le conseil a recommandé que les plates-formes soient configurées pour reconnaître automatiquement les signaux GPC et remplacer tous les paramètres de consentement ou par défaut conflictuels qui permettraient autrement les ventes de données ou le partage.
  • Test et surveillance: il a déclaré que les entreprises devraient «tester régulièrement que leurs systèmes détectent correctement les signaux GPC entre les navigateurs et les appareils, et surveiller les journaux pour vérifier que les signaux sont reçus et honorés en temps réel».

En outre, les organisations doivent mettre à jour leurs politiques de confidentialité, ont suggéré les avocats, ajoutant: «Les avis et politiques de confidentialité devraient décrire clairement comment l’entreprise réagit aux signaux GPC, y compris les droits que les consommateurs ont et la durée de l’opt-out.»

L’action en justice pour la non-conformité est une possibilité distincte. Des cas récents impliquant la division d’application de la CCPA ont vu le détaillant de vêtements Todd Snyder à une amende de 345 178 $ pour avoir violé la loi sur la vie privée de l’État, et American Honda Motor Co. a condamné à une amende de 632 500 $ pour les violations de la CCPA, que l’agence a décrit comme l’un des amendes les plus élevés imposés à l’histoire de la loi.

Target quasi sélectionné considéré comme un mouvement prudent

David Shipley, chef de la sécurité canadienne de Beauceron, a comparé le déménagement par le CPPA et les trois États comme l’équivalent d’un blitz pour ralentir les conducteurs qui dépassent la limite de vitesse.

L’initiative, a-t-il dit, est «l’équivalent de la gouvernance et de la vie privée de», mettons la patrouille de California Privacy Highway et voyons qui accélère, qui ne va pas réellement respecter les règles », et c’est intelligent. Cela fait partie de la boîte à outils qui devrait être là et fait de manière responsable. C’est terrifiant – je ne pense pas que quiconque ait les ressources pour cela, et cela provoquerait un chaos de masse. »

Mais une initiative aléatoire, ou même une initiative d’exécution ciblée quasi sélectionnée, a-t-il dit, aidera réellement le secteur de la vie privée: «Ce que je veux dire par là, il y a beaucoup de gens qui travaillent dur dans la vie privée ou la gouvernance, le risque et la conformité, et ils vont dire:` `Hé, il y a cette loi  » et ensuite ils rencontrent des chances, des niveaux de bourse, des gens, où les gens vont, » oui, mais ce qui allait faire des chances pour senior C’est?

Cette initiative, a déclaré Shipley, « change l’équation dans l’esprit des gens, ce qui n’est pas une mauvaise chose. » Il a ajouté que ce qui est vraiment nécessaire, c’est un programme national de confidentialité.

« Les États-Unis fonctionnent le meilleur lorsqu’il agit comme un États-Unis », a-t-il déclaré. « Ce que je veux dire par là, c’est une loi nationale complète sur la vie privée avec un seul mécanisme de rapport et un seul ensemble de normes est plus rentable pour les entreprises qui opèrent dans plusieurs juridictions. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité