Mise à jour de la confidentialité en Californie, partie III

Dans la troisième mise à jour de la confidentialité en Californie, nous continuerons de surveiller de près les éventuelles mises à jour de la California Privacy Act. Vous pouvez lire notre dernière mise à jour ici.

La Californie veut élargir la définition des courtiers en données et inclure des exigences de déclaration

Plus tôt ce mois-ci, le comité judiciaire du Sénat de Californie a voté contre un contre le SB 1059, qui élargit la définition d’un courtier de données en vertu de la loi actuelle sur les médiateurs de données et augmente les exigences de déclaration pour les courtiers de données qui doivent s’inscrire auprès du gouvernement. . Le projet de loi a été renvoyé au Comité des crédits du Sénat, où il est en attente d’examen.

La Californie définit actuellement un courtier en données comme une entreprise qui “sciemment collectionne et vend à des tiers les données personnelles du consommateur avec lequel l’entreprise n’a aucun lien direct. Le nouveau projet de loi modifie cette définition pour inclure les entreprises qui “partagent” les informations personnelles des résidents californiens avec des tiers avec lesquels l’entreprise n’a aucune relation directe. Ce faisant, le projet de loi met à jour le Data Intermediary Act pour se conformer au California Privacy Act (“CPRA”).

La proposition californienne crée également de nouvelles exigences de divulgation pour les courtiers en données et note que les courtiers en données doivent s’inscrire auprès du California Privacy Board au lieu du procureur général de Californie. Selon le projet, le courtier en données devrait fournir des informations indiquant s’il a été violé, ainsi que des détails sur cette violation et s’il collecte des données sur des mineurs. Les courtiers en données devraient également fournir des conseils aux consommateurs sur la manière d’exercer leurs droits à la vie privée, tels que le droit de supprimer, le droit de rectifier les données à caractère personnel et le droit de retrait. La proposition double également les amendes pour non-enregistrement en vertu de la loi, de 100 $ à 200 $ par jour.

Étant donné que le SB 1059 oblige la California Privacy Protection Agency à promulguer des réglementations pour promouvoir les dispositions relatives aux fournisseurs de données, des exigences supplémentaires seront probablement ajoutées à l’avenir lorsque le projet de loi deviendra loi.

La proposition californienne créera des droits sur les données des employés

Le California Workplace Technology Accountability Act (AB-1651) vise à imposer des exigences aux employeurs et à leurs fournisseurs concernant l’utilisation des données des employés. La proposition donne aux employés certains droits en matière de données, y compris le droit d’accéder à leurs données et de les rectifier. Les employeurs qui contrôlent la collecte des données sur les employés doivent informer les employés au moment de la collecte ou avant comment l’employeur a l’intention de collecter et d’utiliser les données des employés. Par exemple, les employeurs devraient informer les employés des catégories de données à collecter, si et comment les données seront utilisées pour prendre des décisions liées au travail, si les données seront identifiées ou utilisées au niveau individuel ou agrégé, si les informations seront communiquées à des fournisseurs ou à des tiers. Le projet de loi impose également des restrictions sur la façon dont les employeurs peuvent collecter, stocker, analyser ou interpréter les données des employés, et oblige les employeurs à maintenir des garanties de sécurité des données. En outre, la proposition décrit les exigences relatives à l’utilisation des données liées aux systèmes de surveillance électronique et de prise de décision automatique. Le projet de loi a été redirigé vers la Commission de la vie privée et de la protection des consommateurs de l’Assemblée.

Si la loi est adoptée, les obligations de confidentialité imposées aux employeurs par l’AB 1651 s’ajouteraient à celles requises par la CPRA si l’exception de la CPRA pour les données des employés expire le 1er janvier. Actuellement, les propositions législatives de la Californie pour l’expansion des employés (et B2B) sont une exception à la loi, mais il n’est pas clair si elles expireront avant le 1er janvier.

La California Privacy Agency poursuivra ses sessions de pré-réglementation

Comme nous l’avons écrit précédemment, la California Privacy Protection Agency organise des séances d’information sur l’ACPL pour se préparer aux règles officielles. Nous attendons des règles formelles (et définitives) pour cet automne, ce qui signifie que les entreprises n’auront pas beaucoup de temps pour mettre en œuvre les exigences spécifiques de la loi avant sa date d’entrée en vigueur le 1er janvier 2023. Nous continuerons de surveiller les développements dans ce domaine.

Leave a Comment