monday.com et le CCPA
Chez monday.com, nous déployons des efforts considérables afin de nous assurer que nos produits et nos pratiques sont conformes à toutes les lois mondiales sur la protection des données et la confidentialité qui s’appliquent à nous et à nos clients.
Cette page a été créée pour vous fournir des informations sur le CCPA et sur la manière dont monday.com respecte ses exigences actuelles, afin de vous aider à vous tenir au courant des développements législatifs et réglementaires provenant de l’État de Californie.
Le CCPA – de quoi s’agit-il ?
La Loi californienne sur la protection de la vie privée des consommateurs de 2018 (CCPA), entrée en vigueur le 1 janvier 2020, se compose d’une série de projets de loi qui ont donné de nouveaux droits à la vie privée aux consommateurs résidant dans l’État de Californie et qui ont imposé des obligations aux entreprises de traitement de leurs informations personnelles.
Bien que les projets de loi aient été signés en octobre 2019 et que le CCPA soit entrée en vigueur en janvier 2020, l’application du CCPA n’a pas encore démarré, car le procureur général de la Californie est toujours en train de finaliser son projet de Règlement sur la mise en œuvre du CCPA.
Partant du principe que les Règlements auront un impact important sur la manière dont le CCPA est interprétée, mis en œuvre et appliqué par les parties prenantes concernées, le PG de Californie a prévu une « période de grâce » jusqu’au moment où les règlements seront approuvés – actuellement fixé au 1er juillet 2020.
Pendant cette période d’incertitude, monday.com s’engage à respecter les exigences du CCPA et des réglementations proposées, à la lumière de réglementations similaires dans le monde entier (telles que le RGPD) et de l’évolution des normes du secteur – afin de garantir que nos clients puissent continuer à utiliser monday.com sans interruption et à traiter les informations personnelles des consommateurs californiens comme il se ferait dans d’autres endroits du monde.
Rôles, responsabilités et exemptions
Le CCPA distingue trois rôles pour les entreprises impliquées dans le traitement des informations personnelles :
● Entreprise (similaire au « responsable du contrôle » dans le cadre du RGPD).
● Prestataire de services (similaire au « sous-traitant » dans le cadre du RGPD).
● Tiers (similaire à une Entreprise, mais n’exerce pas d’interaction directe avec le consommateur).
Les obligations imposées aux « Entreprises » précisent les limites de la « vente » d’informations personnelles et définissent les actions spécifiques que les Entreprises sont tenues de réaliser, telles que (mais non seulement) :
● Créer un bouton « Ne pas vendre mes informations personnelles » sur votre page d’accueil.
● Informer les consommateurs des catégories et des informations spécifiques recueillies/vendues.
● Fournir au moins 2 méthodes de communication pour les demandes d’exercer les droits des consommateurs.
Comme le CCPA ne s’applique actuellement qu’aux « consommateurs » (et non aux « Personnes concernées » telles que définies par le RGPD), certaines relations ont été exemptées de l’application du CCPA (en attendant un débat supplémentaire) jusqu’au 1er janvier 2021 :
● Informations sur les employés (dont notamment les informations passées, actuelles et potentielles sur les employés).
● Interactions B2B (informations obtenues au cours d’une activité entre les entreprises). Pour plus d’informations, visitez :
● le « Californians for Consumer Privacy » – le site d’information du mouvement qui a poussé à la création du CCPA.
● Xavier Becerra – page web du procureur général de Californie.
Comment le site monday.com respecte-t-il le CCPA ?
● Le rôle identifié de monday.com en tant que « Prestataire de services » en vertu du CCPA, où nous traitons des informations personnelles uniquement au nom de nos clients (l’« Entreprise » dans de tels cas) ;
● Le rôle identifié de monday.com en tant que « entreprise » où les informations personnelles des consommateurs californiens sont traitées à ses propres fins. En raison de la nature des service de monday.com, ses activités sont généralement exemptées de l’application du CCPA puisque monday.com : (a) ne vend pas les informations personnelles des consommateurs californiens (ou de toute autre personne concernée) ; (b) obtient ces informations dans le cadre et au cours des rapports et services B2B ;
● monday.com respecte déjà l’exigence du RGPD en matière de droit d’accès aux données personnelles et a simplement élargi la sphère de cette capacité pour inclure les consommateurs californiens, se conformant ainsi à l’exigence dite de « regard rétrospectif » afin de garantir que les consommateurs puissent accéder à leurs informations personnelles couvrant la période des 12 mois précédents ;
● monday.com fournit déjà des mesures techniques et organisationnelles pour exercer suffisamment d’autres droits des consommateurs proposés qui sont similaires au RGPD (comme le droit de divulgation, de suppression et de se retirer) ;
● Nous avons mis à jour notre politique de confidentialité, afin de nous assurer qu’elle concerne suffisamment les droits des consommateurs du CCPA et les pratiques requises ;
● Nous avons introduit des modifications supplémentaires au DPA de monday.com et les procédures internes pour refléter les exigences spécifiques du CCPA (par exemple, en ce qui concerne les rôles d’entité, le délai de réponse maximal et le processus de vérification des personnes concernées, et les engagements requis d’un Prestataire de services envers l’Entreprise en vertu du CCPA) ;
Que se passera-t-il ensuite ?
monday.com suit de près tout développement dans le processus législatif et réglementaire entourant le CCPA et les propositions de règlement du PG, et s’engage aussi dans une analyse comparative régulière à la lumière des nouvelles pratiques et normes en vigueur du secteur.
Si vous avez d’autres questions concernant le programme de protection de la vie privée de monday.com et sur les efforts que nous déployons actuellement dans le cadre du CCPA, n’hésitez pas à contacter notre responsable de la protection des données à l’adresse suivante : dpo@monday.com.