Loi California
Consumer Privacy Act
Êtes-vous prêt à faire face à la réglementation CCPA ?
Aperçu de la loi CCPA
La CCPA (California Consumer Privacy Act, ou loi californienne sur la protection du consommateur) est entrée en vigueur le 1er janvier 2020. Dans un pays sans législation générale sur la confidentialité des données, la CCPA peut avoir de grandes répercussions en raison de sa nature extraterritoriale.
La CCPA vise à doter les consommateurs californiens des droits de confidentialité des données requis pour reprendre contrôle de leurs données personnelles. Compte tenu de la taille et du poids de l’économie californienne, les entreprises ne peuvent pas se permettre d’ignorer cette réglementation.
Guide de sécurité pour la
conformité CCPA
Télécharger le guidePréparation au respect de la CCPA:
cours pour les DSI
Regarder le webcastMon organisation doit-elle
se conformer à la CCPA ?
Une entreprise relève du champ d’application de la loi même si elle ne se situe pas en Californie ou n’y a aucune présence physique. Son siège peut même se trouver ailleurs qu’aux États-Unis. La CCPA s’applique à votre entreprise si :
Elle collecte/traite les données personnelles de résidents californiens.- Elle franchit l’un des seuils suivants :
- a) Chiffre d’affaires annuel d’au moins 25 millions de dollars.
- b) Toute taille, mais collecte les données personnelles d’au moins 50 000 résidents californiens.
- c) Plus de la moitié du chiffre d’affaires provient de la vente de données personnelles.
Droits du consommateur en vertu de la CCPA
La CCPA vise à rendre le pouvoir aux consommateurs. Pour y parvenir, la réglementation garantit dix droits de base à tous les résidents californiens. Les entreprises doivent les intégrer à la préparation de leur mise en conformité.
La CCPA confère aux consommateurs les droits suivants :
- Droit de connaître toutes les données personnelles
collectées.
- Droit d’opposition à la vente de
leurs données.
- Droit de poursuivre les entreprises en cas
de violation de données.
- Droit de suppression des données
personnelles collectées par les entreprises.
- Droit de ne subir aucune discrimination en cas
d’exercice de droit en vertu de la CCPA.
- Droit à l’information sur les catégories
de données collectées.
- Droit au consentement obligatoire avant la vente
de données appartenant à un enfant de moins de 16 ans. - Droit de connaître les catégories de tiers
auxquels les données sont communiquées.
- Droit de connaître les catégories de sources
d’où les données ont été collectées.
- Droit de connaître l’objet de la
collecte des données.
Implications pour mon entreprise
Si vous n’avez pas encore engagé la préparation à la CCPA, il est grand temps de commencer à examiner vos systèmes et processus pour la mise en conformité. Voici quelques étapes de base à suivre pour lancer votre mise en conformité :
- Offrez à l’utilisateur le moyen de demander à accéder à ses données et d’être informé sur la façon dont vous les avez utilisées.
- Mettez à jour votre politique de confidentialité avec tous les détails sur le type de données que vous collectez, leur origine, les personnes qui y ont accès et les utilisations prévues.
- Proposez à l’utilisateur une option de refus de vente de ses données pour l’empêcher.
- Examinez et mettez à jour vos logiciels, systèmes et processus pour remplir les exigences de la CCPA.
- Prenez des mesures de sécurité raisonnables comme l’impose la CCPA pour vous protéger contre d’éventuelles vulnérabilités et attaques.
- Commencez à former vos employés et vos équipes au nouveau programme de confidentialité.
Comment la DSI peut-elle aider à préparer la CCPA ?
Les exigences de la CCPA peuvent d’abord sembler décourageantes et déroutantes, mais les bonnes solutions et configurations simplifient grandement la mise en conformité de l’entreprise. Bien qu’il n’existe pas de solution unique couvrant l’intégralité de la réglementation, on peut faciliter nombre de ses exigences de conformité avec les outils et processus informatiques adéquats.
Recherche et
sécurité des données
Recherche et sécurité des données
- Examinez les données personnelles que détient votre entreprise, notamment le type, l’emplacement et la quantité de données stockées dans chaque fichier.
- Tenez à jour le registre des données personnelles avec une fonction de recherche automatisée qui analyse tout le système de fichiers Windows à intervalles réguliers.
- Maintenez l’isolement des données à caractère personnel et professionnel sur des appareils mobiles par la conteneurisation et le chiffrement des données d’entreprise.
- Effectuez les mises à jour standards et correctives régulières des serveurs, des terminaux, des systèmes d’exploitation et des applications héritées ou tierces.
- Mettez en liste rouge les applications anonymes ou non sécurisées, limitez les téléchargements sur des magasins tiers et restreignez le partage de données entre des applications pour éviter la fuite.
- Utilisez la gestion des configurations de sécurité pour détecter et corriger les erreurs de configuration créant un risque de fuite de données.
- Sécurisez les appareils accessibles via Internet comme les serveurs Web servant de passerelle vers le réseau de l’entreprise.
- Appliquez des stratégies de sécurité de navigateur pour parer aux attaques via un navigateur pouvant entraîner des fuite de données.
- Limitez l’utilisation d’appareils ayant accès à des données sensibles dans une zone géographique. Activez l’effacement à distance sur tous les appareils d’entreprise pour supprimer à distance toutes les données qu’ils contiennent en cas de perte ou de vol.
Audit des modifications
Audit des modifications
- Vérifiez les mises à jour apportées à des données personnelles (modification, suppression, changement de nom, voire modification d’autorisations).
Gestion des journaux
et analyse
Gestion des journaux et analyse
- Centralisez et corrélez les données de sécurité de différentes sources pour identifier instantanément d’éventuelles violations et éviter une perte de données.
- Surveillez les tentatives d’accès non autorisé et les anomalies que présente l’activité des utilisateurs dans des systèmes et services stockant des données personnelles.
- Effectuez une analyse approfondie des journaux de sécurité des pare-feux pour suivre de près les tentatives de violation de sécurité et les attaques contre le réseau.
Gestion de l'accès
Gestion de l'accès
- Gérez, analysez et vérifiez l’accès administratif à des systèmes et des applications qui traitent des données à caractère personnel.
- Analysez qui accède à des données personnelles, ainsi que le moment et le lieu d’utilisation.
- Empêchez des utilisateurs non autorisés d’exploiter un accès privilégié à des référentiels de données à caractère personnel.
- Détectez lorsque des utilisateurs accèdent à des données personnelles sans les autorisations requises.
- Vérifiez les événements de modification d’autorisations pour identifier des modifications illicites ou non autorisées liées à des données à caractère personnel.
Contrôle d’intégrité
des fichiers
Contrôle d’intégrité des fichiers
- Assurez l’intégrité des fichiers et des dossiers confidentiels en générant des notifications instantanées à chaque modification d’un fichier sensible.
Détection et
prévention des violations
Détection et prévention des violations
- Détectez instantanément toute violation de données dans votre réseau.
- Décelez et confinez les modèles d’attaque connus de type DoS (déni de service), DDoS (déni de service distribué), injection SQL et ransomware.
- Utilisez des règles de corrélation et des profils d’alerte personnalisés pour détecter les mécanismes d’attaque inconnus, et maintenir la sécurité des données à caractère personnel.
- Utilisez un moteur de recherche de journaux intelligent pour effectuer un examen forensique et déterminer tout cas de violation, sa source, les données et les systèmes touchés et les responsables.
- Obligez les utilisateurs à réinitialiser leurs mots de passe immédiatement après des attaques par hameçonnage ou force brute pour éviter des violations de données.
- Bloquez les exécutables indésirables, interdisez des logiciels sur le réseau et empêchez l'exécution de code à distance.
- Limitez l’utilisation de périphériques USB pour protéger les données contre les menaces internes.
ManageEngine pour la conformité CCPA
-
ADManager Plus
Gestion et suivi Active Directory, Microsoft 365 et Exchange.
-
ADAudit Plus
Audit en temps réel des modifications Active Directory, de fichier et de serveur Windows.
-
DataSecurity Plus
Audit des fichiers, prévention des fuites de données et évaluation des risques.
-
Endpoint Central
Gestion unifiée des terminaux et de la sécurité.
-
Firewall Analyzer
Gestion des règles de pare-feu, des configurations et des journaux.
-
Log360
Solution SIEM unifiée intégrant des fonctionnalités DLP et CASB.
-
Password Manager Pro
Solution de gestion de l’accès privilégié pour stocker et gérer les données sensibles partagées.
CCPA et RGPD
Découvrez les points de comparaison entre la nouvelle réglementation américaine sur la confidentialité et le RGPD.
En savoir plusRessources
Apprenez à assurer la conformité CCPA grâce
aux bons outils.
Exclusion de responsabilité : Le plein respect de la loi CCPA exige une diversité de solutions, de procédures, de rôles et de technologies. Les moyens mentionnés ci-dessus permettent de répondre à certaines de ses exigences avec des outils de gestion informatique. De concert avec des solutions, des procédures et des ressources humaines adéquates, les produits de ManageEngine contribuent à vous mettre et à rester en conformité avec la loi CCPA. Ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques pour le respect de la loi CCPA. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document