La longue attente pour voir si un État se joindrait à la Californie pour adopter une loi complète sur la protection de la vie privée touche enfin à sa fin, puisque le Sénat de Virginie a adopté le 3 février la loi de Virginie sur la protection des données des consommateurs (CDPA). Une version identique du projet de loi avait déjà été adoptée par la Chambre des délégués de Virginie le 29 janvier, ce qui signifie que le rapprochement des deux versions du projet de loi avant la date limite du 11 février ne sera probablement qu’une simple formalité. Le projet de loi sera ensuite envoyé au gouverneur de Virginie pour signature. S’il est signé, la loi de Virginie entrera en vigueur le 1er janvier 2023, le même jour que la loi de Californie sur le droit à la vie privée (CPRA).
La CDPA reprend les principes de la CPRA, de la California Consumer Privacy Act (CCPA) et du General Data Protection Regulation (GDPR), mais diffère également de ces trois lois sur des points essentiels. Nous avons résumé ci-dessous les principales dispositions de la CDPA. Nous continuerons à fournir des mises à jour au fur et à mesure de l’avancement du projet de loi au sein de la législature de Virginie.
1. Applicabilité. La CDPA emprunte à la CCPA en ce qui concerne l’utilisation des exigences de seuil pour déterminer l’applicabilité. La loi s’applique aux “personnes qui font des affaires en [Virginie] ou qui produisent des produits ou des services destinés aux résidents de [Virginie] et ce : 1) au cours d’une année civile, contrôlent ou traitent les données personnelles d’au moins 100 000 résidents de Virginie ou 2) contrôlent ou traitent les données personnelles d’au moins 25 000 résidents de Virginie et tirent plus de 50 % de leur revenu brut de la vente de données personnelles”.
2. Exemptions. Bien qu’elle soit qualifiée de loi “complète” sur la protection de la vie privée, la CDPA comporte un certain nombre d’exemptions (tout comme la CCPA et la CPRA). Certaines de ces exemptions sont similaires à celles de la CCPA et de la CPRA, mais dans certains cas, elles sont plus larges que celles des deux autres lois. Par exemple, au lieu de n’exempter que les informations soumises à la loi Gramm-Leach-Bliley (GLBA) ou les informations de santé protégées en vertu de la loi sur la portabilité et la responsabilité en matière d’informations de santé (HIPAA), la LPCD ne s’applique pas aux “institutions financières . … soumises à [la GLBA]” ou à toute “entité couverte ou associée commerciale régie par [l’HIPAA]”. La loi exempte également les informations soumises à la plupart des autres lois fédérales, telles que les informations régies par la loi sur l’éducation familiale et la vie privée, la loi sur les rapports de crédit équitables, la loi sur le crédit agricole, la loi sur la protection de la vie privée des enfants en ligne (COPPA) et la loi sur la protection de la vie privée des conducteurs.
Gestionnaire de consentement des cookies | Faites un essai gratuit de 2 semaines
Faites un essai gratuit de 2 semaines pour nos forfaits payants ou créez un compte gratuit…
3. Distinction contrôleur/traiteur. Comme la GDPR (et contrairement à la CCPA, qui fait la distinction entre “entreprises” et “fournisseurs de services”), la CDPA utilise une dichotomie contrôleur/traitant pour distinguer les entités chargées de déterminer les objectifs et les moyens de traitement des données personnelles et les entités qui traitent les informations personnelles en leur nom. Comme la GDPR, la CDPA crée des obligations spécifiques pour les responsables du traitement et les sous-traitants (et les deux peuvent être tenus responsables en vertu de la loi).
4. Définition large des données à caractère personnel. Comme les trois autres lois sur la protection de la vie privée examinées, la LPCD donne une définition large des “données à caractère personnel”. Elle définit le terme comme “toute information qui est liée ou raisonnablement susceptible d’être liée à une personne physique identifiée ou identifiable”. La définition des données à caractère personnel exclut explicitement les informations accessibles au public et les données dépersonnalisées (et la loi prévoit des normes spécifiques sur la manière dont les entreprises doivent traiter les données dépersonnalisées).
5. Inclusión de la categoría de datos sensibles. La CDPA tiene una categoría separada denominada “datos sensibles” que se define como 1) datos personales que revelen el origen racial o étnico, las creencias religiosas, el diagnóstico de salud mental o física, la orientación sexual o la situación de ciudadanía o inmigración; 2) datos genéticos o biométricos (utilizados con el fin de identificar a una persona física); 3) datos personales recogidos de un niño; o 4) datos de geolocalización precisos. Los responsables del tratamiento sólo pueden tratar los datos sensibles con el consentimiento del consumidor (o con el consentimiento de los padres de acuerdo con la COPPA, en el caso de los datos de los niños).
Vous êtes une agence, un webdesigner ou tout autre revendeur ?
Gagnez 30% de commission, jetez un coup d’œil à notre modèle revendeur ou contactez-nous pour un nombre de clients supérieur à 500.
6. Droits individuels. Comme les trois lois précédemment évoquées, la LPCD crée des droits individuels pour les résidents de Virginie qui sont protégés par la loi. Il s’agit notamment 1) du droit d’accès, 2) du droit de modification, 3) du droit de suppression, 4) du droit à la portabilité des données et 5) du droit de refuser le traitement des données personnelles à des fins de publicité ciblée, de vente et de profilage dans le cadre de décisions produisant des effets juridiques ou d’autres effets importants similaires concernant le consommateur.
7. Évaluation de la protection des données. Comme le GDPR et la CPRA, la CDPA exige des entités qu’elles procèdent à des évaluations de la protection des données lorsqu’elles traitent des données dans certains contextes. Plus précisément, la CDPA exige une évaluation de la protection des données lorsqu’un responsable du traitement 1) traite des données personnelles à des fins de publicité ciblée ; 2) vend des données personnelles ; 3) traite des données personnelles à des fins de profilage (dans certains contextes) ; 4) traite des données sensibles ; et 5) mène toute activité de traitement qui présente un risque accru de préjudice pour les consommateurs.
8. Mise en œuvre. Tout comme la CCPA, la LPD est applicable par le biais d’actions civiles intentées par le procureur général et comprend également une disposition de remède de 30 jours. Les pénalités prévues par la LPCD, tant pour les contrôleurs que pour les transformateurs, peuvent atteindre 7 500 $ par infraction. Contrairement à la CCPA, la CDPA ne dispose d’aucun droit privé d’action, même pour les incidents de sécurité.
