Loi sur la confidentialité des consommateurs en Californie (CCPA, California Consumer Privacy Act)

Présentation

La loi California Consumer Privacy Act (CCPA) a été adoptée le 28 juin 2018. La CCPA vise à garantir aux consommateurs californiens un certain niveau de protection des données de la vie privée. 

Pour en savoir plus sur la CCPA, veuillez cliquer sur California Legislative Information.

AWS propose de bonnes pratiques et des ressources, dont deux livres blancs intitulés : Using AWS in the Context of Common Privacy & Data Protection Considerations et Preparing for the California Consumer Privacy Act. Sur notre page Fonctionnalités des services AWS, vous trouverez des fonctionnalités de services, telles que la suppression, le chiffrement et la surveillance du traitement, pouvant aider à atteindre la conformité client.

Pour plus d'informations sur le mode de collecte et d'utilisation des informations personnelles du client par AWS, veuillez consulter notre Politique de confidentialité et notre FAQ sur la confidentialité des données.

• Qu'est-ce que la loi sur la confidentialité des consommateurs en Californie ?

  La loi sur la confidentialité des consommateurs en Californie (CCPA) a été adoptée par le corps législatif de l'État de Californie et promulguée le 28 juin 2018, puis elle est entrée en vigueur le 23 septembre 2018. La loi CCPA vise à garantir aux clients de Californie les droits suivants :

  • le droit pour les Californiens de savoir quelles informations personnelles sont collectées les concernant ;
  • le droit pour les Californiens de savoir si leurs informations personnelles sont ou non vendues et divulguées, et à qui ;
  • le droit pour les Californiens de refuser la vente d’informations personnelles ;
  • le droit pour les Californiens d’accéder à leurs informations personnelles ;
  • le droit pour les Californiens de profiter d'un service et d'un prix équivalents, même s'ils exercent leurs droits à la confidentialité.

• À qui s'applique la loi CCPA ?

  La loi CCPA définit une entreprise comme une entité à but lucratif collectant les données personnelles des clients. Une entreprise dans l'État de Californie atteignant au moins l'un des seuils suivants peut être sujette à la conformité :

  • Les entreprises ayant un chiffre d'affaires annuel d'au moins 25 000 000 USD
  • Les entreprises qui achètent, perçoivent, vendent ou partagent les informations personnelles d'au moins 50 000 clients, foyers ou appareils chaque année à des fins commerciales
  • Les entreprises dont plus de 50 % du chiffre d'affaires annuel provient de la vente des informations personnelles des clients

  Consultez votre équipe de conseillers juridiques si vous pensez que la CCPA peut s'appliquer à vous.
  

• En tant que client, comment puis-je me mettre en conformité avec la loi CCPA ?

  Même si AWS conçoit des services que les clients peuvent utiliser dans le monde entier pour traiter des données, notamment personnelles, en toute sécurité sous divers régimes de protection des données (voir notre page Confidentialité des données), nous ne pouvons pas fournir de conseils aux clients concernant leur conformité aux obligations légales. Nous leur recommandons donc de consulter leur propre conseiller juridique pour connaître le meilleur moyen de se mettre en conformité.

• Quel rôle joue le client dans la sécurisation de son contenu ?

  En vertu du modèle de responsabilité partagée AWS, les clients peuvent s'appuyer sur les mesures et contrôles de sécurité techniques et organisationnels offerts par AWS pour gérer leurs propres exigences de conformité. La responsabilité du client sera déterminée par les services du Cloud AWS qu'un client sélectionne. Ces services détermineront le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité. Les clients peuvent utiliser des méthodes courantes pour protéger leurs données, telles que le chiffrement et l'authentification multifacteurs (MFA), outre les fonctionnalités de sécurité d'AWS telles qu'AWS Identity and Access Management.

  Lorsqu'il évalue la sécurité d'une solution cloud, il est important que le client comprenne et fasse la différence entre les éléments suivants :

  • les mesures de sécurité qu'AWS met en œuvre et exploite dans le cadre de la « sécurité du cloud » ;
  • les mesures de sécurité mises en place et gérées par les clients, en lien avec la sécurité de leur contenu et de leurs applications qui ont recours aux services AWS, à savoir la « sécurité dans le cloud ».