Une étude de Trustarc révèle qu’à moins de 10 mois de l'entrée en vigueur de la California Consumer Privacy Act (CCPA), une minorité d’entreprises sont conformes.

La protection des droits des citoyens mettra du temps. Que ce soit en Europe (où le RGPD sera bientôt exécutoire depuis un an) ou aux États-Unis, les entreprises sont très loin d’être toutes en conformité.

Pour rappel, l’ACCP ne s’applique qu’aux entreprises californiennes dont le chiffre d’affaires est supérieur à 25 millions de dollars et aux data brokers (spécialisés dans la revente de données personnelles). Par ailleurs, à la différence du RGPD, l’ACCP ne sanctionne qu’à partir du moment où une violation a été constatée.

L'enquête de TrustArc, menée par Dimensional Research, confirme que certaines entreprises américaines n’attendent pas d’être victimes d’une fuite de données pour entamer leur mise en conformité. Ces « bons élèves » californiens sont ceux qui sont déjà sensibilisés à ces problématiques.

21 % des entreprises qui ont travaillé sur la conformité avec le RGPD sont conformes à l'ACCP, comparativement à seulement 6 % pour les entreprises qui n'ont pas travaillé sur la conformité avec le texte européen.

1

« Les entreprises qui n'ont pas travaillé à la mise en conformité avec le RGPD seront sur le point de mettre en œuvre des processus de conformité évolutifs d'ici le 1er janvier 2020, date limite de conformité avec l'ACCP », a déclaré Chris Babel, chef de la direction de TrustArc.

Cette échéance aura des répercussions sur des dizaines de milliers d'entreprises dans le monde qui ont des clients ou des employés en Californie.

Selon cette étude, les investissements pour s'y conformer devraient être élevés :

  • 71 % des entreprises prévoient des dépenses à « plus de six chiffres » ;
  • Une sur 5 prévoit de dépenser plus d'un million de dollars pour se conformer aux exigences de l'ACCP.

Ces dépenses seront surtout consacrées à de l’accompagnement :

  • 88 % affirment avoir besoin d'une aide extérieure pour comprendre les exigences de l'ACCP ;
  • 72 % prévoient d’investir dans la technologie pour se préparer à l'ACCP.

Dans la majorité des cas, l’objectif principal est de répondre aux exigences des partenaires et/ou des clients. Un tiers mentionne le risque d'amendes ou les recours collectifs comme principal facteur de risque. Enfin, 18 % estiment qu’elle pourrait avoir un impact négatif sur leur réputation.