CPRA pour les professionnels de l'immobilier

25 mars 2024 par Michael Evans

Pour quiconque dans l'immobilier, prenez note - la CPRA est là et elle change la donne de manière significative. En faisant un pas en avant par rapport à la CCPA, cette nouvelle législation vous redonne plus de pouvoir, vous permettant de contrôler vos propres informations personnelles comme jamais auparavant.

Bon, mais sérieusement—comment tout cela affecte-t-il la gestion d’une entreprise immobilière prospère? Vous vous demandez comment garder tout en ordre tout en évitant les sanctions?

Pas de panique. Je suis là pour vous expliquer les essentiels et vous montrer comment rendre votre entreprise conforme à la CPRA. Plongeons dans le vif du sujet!

Table des matières :

Qu'est-ce que la California Privacy Rights Act (CPRA)?
Exigences de conformité CPRA pour les entreprises
Droits élargis des consommateurs selon la CPRA
Application de la CPRA et pénalités pour non-conformité
Étapes pour atteindre la conformité CPRA
Impact de la CPRA sur les données des employés et des entreprises (B2B)
- Droits à la vie privée des employés
- Exemptions et limitations des données B2B
Conclusion

Qu'est-ce que la California Privacy Rights Act (CPRA)?

La California Privacy Rights Act (CPRA) est un véritable bouleversement en matière de protection de vos informations personnelles.

Cette nouvelle loi sur la confidentialité donne aux résidents californiens un plus grand contrôle sur la manière dont les entreprises collectent, utilisent et partagent leurs données.

Mais voici la chose:

La CPRA n'est pas une simple copie de l'Acte de confidentialité des consommateurs de la Californie (CCPA).

Elle porte la confidentialité des consommateurs à un tout autre niveau.

Différences clés entre CCPA et CPRA

Alors, qu'est-ce qui distingue la CPRA de son prédécesseur?

Pour commencer, la CPRA introduit de nouveaux droits, comme la possibilité de corriger des informations personnelles inexactes et de limiter l'utilisation de données sensibles.

Elle a également prolongé les exemptions pour les données des employés et celles en B2B jusqu'au 1er janvier 2023.

De plus, la CPRA établit l'Agence de protection de la vie privée de Californie pour faire respecter la loi et imposer des sanctions aux entreprises qui ne se conforment pas.

Quand la CPRA entre-t-elle en vigueur?

Notez bien dans vos agendas.

La CPRA a été approuvée par les électeurs californiens le 3 novembre 2020, mais la plupart de ses dispositions ne sont entrées en vigueur qu'à partir du 1er janvier 2023.

Il y a aussi une période de rétroactivité de 12 mois débutant le 1er janvier 2022.

Qui doit se conformer à la CPRA?

Chaque entreprise ne doit pas se soucier de la CPRA.

Elle s'applique aux entités à but lucratif faisant des affaires en Californie et répondant à l'un des critères suivants:

Avoir un revenu annuel brut de plus de 25 millions de dollars
Acheter, vendre ou partager les informations personnelles de 100 000 ou plus de résidents ou ménages californiens
Dériver 50 % ou plus de leurs revenus annuels de la vente ou du partage des informations personnelles des résidents californiens

Si votre entreprise entre dans l'une de ces catégories, il est temps de prendre au sérieux la conformité CPRA.

Exigences de conformité CPRA pour les entreprises

Bien, parlons de ce que les entreprises doivent faire pour rester du bon côté de la CPRA.

Il ne suffit pas de coller une politique de confidentialité générique sur votre site Web et de l'appeler un jour.

La CPRA a des exigences assez spécifiques en matière de gestion des informations personnelles.

Définir les informations personnelles selon la CPRA

Tout d'abord : qu'est-ce qui est précisément considéré comme des informations personnelles selon la CPRA?

La loi couvre un large éventail, incluant toute information qui identifie, concerne ou pourrait raisonnablement être liée à un consommateur ou ménage particulier.

Cela inclut des éléments évidents comme les noms et adresses e-mail, mais aussi des choses comme les adresses IP, les données biométriques et même les inférences tirées d'autres informations personnelles.

Catégories d'informations personnelles sensibles

La CPRA va plus loin en introduisant une nouvelle catégorie de "données personnelles sensibles".

Elle inclut notamment :

Les numéros de sécurité sociale
Les numéros de permis de conduire
Les numéros de passeport
Les informations de compte financier
Les données de géolocalisation précise
L'origine raciale ou ethnique
Les croyances religieuses ou philosophiques
L'affiliation syndicale
Le contenu des courriers, e-mails et messages texte
Les données génétiques

Les entreprises doivent être particulièrement prudentes lorsqu'elles collectent et utilisent ce type d'informations.

Limitations de la collecte et de l'utilisation des données

Selon la CPRA, les entreprises ne peuvent pas simplement collecter des informations personnelles de manière désordonnée.

Il faut informer les consommateurs des catégories d'informations personnelles collectées et des finalités pour lesquelles elles seront utilisées.

Et si une entreprise veut collecter des catégories supplémentaires d'informations personnelles ou les utiliser à d'autres fins, elle doit mettre à jour ses avis de confidentialité.

La CPRA exige également que les entreprises limitent leur collecte, utilisation, conservation et partage des informations personnelles à ce qui est raisonnablement nécessaire et proportionné pour atteindre les objectifs pour lesquels elles ont été collectées.

Mise en œuvre de mesures de sécurité raisonnables

Collecter des informations personnelles est une grande responsabilité, et la CPRA s'attend à ce que les entreprises la prennent au sérieux.

Cela signifie mettre en place des mesures de sécurité raisonnables pour protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés.

Ce qui est considéré comme "raisonnable" dépendra de la nature de l'entreprise et de la sensibilité des informations en jeu.

Mais au minimum, les entreprises devraient chiffrer les informations personnelles, limiter l'accès à ceux qui en ont besoin et surveiller régulièrement les incidents de sécurité.

Point clé :

La California Privacy Rights Act (CPRA) renforce les règles de confidentialité, donnant aux Californiens plus de pouvoir sur leurs données. Elle introduit de nouveaux droits et une agence dédiée pour les faire respecter. À partir du 1er janvier 2023, si votre entreprise est suffisamment grande ou traite largement d'informations personnelles, vous devrez renforcer vos mesures de confidentialité.

Droits élargis des consommateurs selon la CPRA

La CPRA élargit les droits déjà accordés aux consommateurs par la CCPA. Cela signifie que les résidents californiens ont désormais encore plus de contrôle sur leurs informations personnelles.

Jetons un coup d'œil sur certains des droits clés qui ont été élargis ou ajoutés :

Droit de supprimer des informations personnelles

Selon la CPRA, les consommateurs peuvent demander que les entreprises suppriment leurs informations personnelles. Ce droit était déjà présent dans la CCPA, mais la CPRA va encore plus loin.

Maintenant, les entreprises doivent notifier à leurs prestataires de services et sous-traitants de supprimer aussi les informations personnelles du consommateur de leurs dossiers. Cela garantit que les données sont supprimées de toutes les sources, pas seulement de l'entreprise qui les a collectées.

Droit de corriger les données inexactes

La CPRA introduit un nouveau droit pour les consommateurs: le droit de demander aux entreprises de corriger toute information personnelle inexacte les concernant. C'est une addition significative car elle permet aux individus de s'assurer que les données utilisées pour prendre des décisions à leur sujet sont exactes.

Lorsqu'un consommateur fait une demande vérifiable pour corriger ses informations, l'entreprise doit utiliser des efforts commercialement raisonnables pour corriger les données inexactes. Elles doivent également instruire leurs prestataires de services et sous-traitants pour procéder aux corrections nécessaires.

Droit de savoir sur la collecte et le partage des données

Les consommateurs ont le droit de demander aux entreprises de divulguer quelles informations personnelles elles ont collectées à leur sujet, ainsi que les catégories de sources à partir desquelles l'information a été collectée. Ils peuvent aussi demander aux entreprises de divulguer les informations personnelles spécifiques qui ont été collectées.

De plus, les consommateurs peuvent demander des informations sur la façon dont leurs données sont partagées. Cela inclut les catégories de tiers avec lesquels l'entreprise partage des informations personnelles, ainsi que les catégories d'informations personnelles qui sont partagées.

Droit de refuser le partage des données

La CPRA élargit le droit de la CCPA de refuser la vente des informations personnelles au partage des informations personnelles. Cela signifie que les consommateurs peuvent demander aux entreprises de ne pas partager leurs données avec des tiers à des fins de publicité comportementale.

Les entreprises doivent fournir un lien clair et visible sur leur site Web intitulé "Ne vendez ni ne partagez mes informations personnelles" pour permettre aux consommateurs d'exercer ce droit. Elles doivent également respecter les signaux mondiaux de contrôle de la confidentialité qui indiquent le choix d'un consommateur de refuser.

Ces droits élargis donnent aux Californiens un contrôle sans précédent sur leurs informations personnelles. En exerçant ces droits, les individus peuvent limiter la collecte et le partage de leurs données et s'assurer que l'information utilisée est exacte.

Application de la CPRA et pénalités pour non-conformité

La CPRA non seulement élargit les droits des consommateurs, mais elle établit également une nouvelle agence d'application et augmente les pénalités pour les entreprises qui ne se conforment pas à la loi.

Voici ce que vous devez savoir sur l'application et les pénalités de la CPRA :

Rôle de l'Agence de protection de la vie privée de Californie

La CPRA crée une nouvelle agence d'État, l'Agence de protection de la vie privée de Californie (CPPA), qui sera responsable de l'application de la loi. Cela déplace l'autorité d'application du bureau du Procureur général de Californie.

La CPPA aura le pouvoir d'enquêter sur les violations potentielles, mener des actions administratives de mise en application et infliger des amendes. Elle sera également responsable de fournir des conseils aux entreprises et aux consommateurs sur leurs droits et obligations selon la CPRA.

Pénalités pour violations de la CPRA

La CPRA augmente significativement les pénalités pour les entreprises qui violent la loi. Pour chaque violation, les entreprises risquent des amendes allant jusqu'à 2 500 dollars par violation ou jusqu'à 7 500 dollars par violation intentionnelle ou violations impliquant des informations personnelles de mineurs.

Ces pénalités peuvent s'accumuler rapidement, en particulier pour les entreprises ayant un grand nombre de clients californiens. En plus de ces amendes, les entreprises peuvent également être soumises à des injonctions et d'autres ordonnances judiciaires pour assurer la conformité avec la loi.

Droit d'action privé pour violations de données

La CPRA élargit le droit d'action privé qui a été établi sous la CCPA. Les consommateurs californiens peuvent désormais intenter une action civile contre une entreprise si leurs informations personnelles non cryptées et non rédigées sont sujettes à un accès non autorisé et une exfiltration, un vol ou une divulgation à la suite de l'échec de l'entreprise à mettre en œuvre et maintenir des procédures de sécurité raisonnables.

Les consommateurs peuvent demander des dommages-intérêts entre 100 et 750 dollars par incident ou les dommages réels, selon ce qui est plus élevé. Avant d'intenter une action, les consommateurs doivent fournir à l'entreprise un préavis écrit de 30 jours identifiant les dispositions spécifiques qui auraient été violées.

Ce droit d'action privé crée un risque de litige important pour les entreprises qui subissent des violations de données. Il est plus important que jamais pour les entreprises de mettre en œuvre des mesures de sécurité des données fortes pour protéger les informations personnelles.

Les mécanismes d'application et les pénalités de la CPRA créent de forts incitatifs pour que les entreprises se conforment à la loi. En établissant une agence d'application dédiée et en augmentant les amendes potentielles, la CPRA vise à rendre les entreprises responsables de la protection des droits de confidentialité des consommateurs.

Point clé :

La California Privacy Rights Act (CPRA) renforce le contrôle des Californiens sur les informations personnelles, ajoutant des droits pour corriger les données et refuser le partage. Elle fixe également des pénalités plus sévères pour non-conformité et crée une nouvelle agence de protection de la vie privée pour faire respecter ces règles. Les professionnels de l'immobilier doivent agir maintenant pour être conformes.

Étapes pour atteindre la conformité CPRA

Pour vous assurer que votre entreprise est pleinement conforme, il y a quelques étapes clés que vous devrez suivre.

Mais ne vous inquiétez pas, nous vous guiderons à travers chacune d'elles.

Conduite d'un inventaire et d'une cartographie des données

Tout d'abord : vous devez savoir exactement quelles informations personnelles vous collectez, utilisez et partagez. C'est là qu'interviennent l'inventaire et la cartographie des données.

Selon le Rapport sur la confidentialité au travail, la conformité réussie dépend de la compréhension des informations collectées (y compris les informations sensibles), de qui elles proviennent, comment elles sont collectées, pourquoi elles sont collectées, toutes les finalités pour lesquelles elles sont utilisées, où elles sont stockées, combien de temps elles sont conservées et à quels tiers elles sont partagées.

Si vous l'avez déjà fait pour la CCPA, c'est bien. Mais vous devrez peut-être mettre à jour votre cartographie pour tout changement dans les processus d'entreprise.

Mise à jour des politiques et avis de confidentialité

Ensuite: vos politiques et avis de confidentialité. Selon la CCPA, vous êtes tenu de fournir aux consommateurs (y compris les employés et les sous-traitants) un avis divulguant les catégories d'informations personnelles que vous collectez et comment vous les utilisez.

Mais avec la CPRA, vous devez ajouter quelques divulgations supplémentaires à vos avis à partir de janvier 2023. Spécifiquement, vous devez divulguer :

Les catégories d'informations personnelles sensibles que vous collectez
La durée pendant laquelle vous avez l'intention de conserver chaque catégorie d'informations personnelles
Si les informations personnelles sont vendues ou partagées

Assurez-vous de mettre vos politiques et avis à jour pour refléter ces changements et fournir des conseils clairs aux consommateurs.

Gestion des relations avec les fournisseurs

Partagez-vous des informations personnelles avec des prestataires de services ou sous-traitants? Si c'est le cas, vous devrez vous assurer que ces relations sont conformes à la CPRA.

Cela signifie conclure des contrats qui interdisent à vos prestataires de services de vendre ou de partager des informations personnelles, de les utiliser à d'autres fins que l'objectif commercial spécifié dans le contrat, ou de les combiner avec des informations provenant d'autres sources.

Examinez vos contrats de fournisseur et apportez toutes les mises à jour nécessaires pour assurer la conformité.

Mise en œuvre des processus de demande de droits des consommateurs

Selon la CPRA, les consommateurs ont des droits élargis pour accéder, supprimer et corriger leurs informations personnelles, ainsi que le droit de refuser la vente ou le partage de leurs informations.

Pour vous conformer, vous devrez mettre en place des processus pour traiter ces requêtes. Cela inclut d'avoir une méthode claire pour que les consommateurs soumettent des demandes, de vérifier l'identité du demandeur, et de répondre dans les délais requis (généralement 45 jours).

Assurez-vous que votre personnel est formé sur ces nouvelles procédures et que vous documentez toutes les demandes de consommateurs et vos réponses.

Impact de la CPRA sur les données des employés et des entreprises (B2B)

L'une des grandes questions concernant la CPRA est de savoir comment elle affectera les données des employés et des transactions B2B. Voyons cela de plus près.

Droits à la vie privée des employés

Sous la CCPA, des exemptions temporaires pour les données des employés existaient. Mais celles-ci ont expiré le 1er janvier 2023 lorsque la CPRA est entrée en vigueur.

Cela signifie que les employés, candidats et sous-traitants ont les mêmes droits que les consommateurs sous la CPRA. Cela inclut le droit de savoir, le droit de supprimer, le droit de refuser, et les nouveaux droits de restreindre la divulgation et de corriger les informations personnelles.

Selon le Rapport sur la confidentialité au travail, les employeurs ne pourront pas discriminer ou prendre des représailles contre les employés de Californie qui exercent ces droits.

Donc si vous ne l'avez pas déjà fait, commencez à vous préparer à étendre les droits de la CPRA à vos employés et à mettre à jour vos politiques et procédures en conséquence.

Exemptions et limitations des données B2B

Qu'en est-il des données B2B? Les exemptions de la CCPA pour les données B2B ont également expiré le 1er janvier 2023.

Après cette date, la CPRA s'appliquera aux informations personnelles collectées dans le contexte des transactions B2B, avec certaines limitations. Par exemple, les entreprises ne seront pas tenues d'honorer les demandes de suppression d'informations personnelles si elles sont nécessaires pour terminer la transaction ou fournir le produit ou service demandé.

Cependant, les contacts B2B auront toujours le droit de refuser la vente ou le partage de leurs informations personnelles. Assurez-vous donc que vos pratiques de données B2B sont conformes aux exigences de la CPRA.

L'essentiel? Commencez dès maintenant à examiner vos pratiques en matière de données des employés et en B2B pour vous assurer de la conformité à la CPRA. Avec la bonne préparation, vous protégerez les droits de confidentialité de tous vos consommateurs, employés et contacts commerciaux de Californie.

Point clé :

Anticipez la conformité CPRA en cartographiant les informations personnelles que vous gérez, en mettant à jour les avis de confidentialité, en vous assurant que les contrats avec les fournisseurs sont solides, en mettant en place des processus de demandes pour les droits des consommateurs, et en vous préparant aux changements concernant les règles des données des employés et B2B. Cela permettra à votre entreprise immobilière de rester sur la bonne voie.

Conclusion

Certainement, la California Privacy Rights Act semble intimidante au début. Pourtant, avec un peu d'huile de coude et des mesures proactives, vous verrez que votre entreprise immobilière respecte tous les critères de conformité et gagne la confiance des clients.

Rappelez-vous, il s'agit de transparence, de sécurité et de respect des droits de confidentialité des consommateurs. En effectuant des inventaires de données, en mettant à jour vos politiques et en mettant en œuvre des mesures de sécurité robustes, vous serez bien engagé vers la conformité CPRA.

Saisissez ce changement comme une opportunité d'améliorer la gestion de votre entreprise et de renforcer vos liens avec vos clients. L'avenir de l'immobilier est axé sur la confidentialité, et avec la bonne approche, vous serez prêt à prospérer dans ce nouvel environnement.