UNE ANALYSE En l’absence de tout progrès au niveau fédéral, les États américains continuent d’adopter une législation sur la protection de la vie privée des consommateurs pour donner aux individus plus de contrôle et de sécurité sur leurs informations personnelles sensibles.
Le 10 mai 2022, le gouverneur du Connecticut, Ned Lamont officiellement signé dans la loi Public Act No. 22-15, ‘An Act Concerning Personal Data Privacy and Online Monitoring’ – plus communément appelé Connecticut Privacy Act (CTPA).
Le Connecticut est ainsi devenu le cinquième État à promulguer une loi complète sur la protection de la vie privée des consommateurs et le deuxième en 2022, après l’adoption de l’Utah Consumer Privacy Act en mars.
Bien que la CTPA soit une victoire importante pour les consommateurs et les défenseurs de la vie privée – d’autant plus que la loi est considérée comme beaucoup plus conviviale que son homologue de l’Utah – elle complique également davantage les obligations de conformité des entreprises autour d’un patchwork croissant de lois, chacune légèrement différente de la Suivant.
De plus, les entreprises devraient immédiatement commencer à se préparer à un certain nombre de lois supplémentaires qui entreront en vigueur en 2023.
Dans le même temps, ils doivent élaborer leurs programmes de conformité en gardant à l’esprit la flexibilité et l’adaptabilité, de sorte que seules des modifications minimales du programme soient nécessaires lorsque de nouvelles lois sont inévitablement promulguées dans d’autres parties du pays – probablement plus tôt que tard.
Le CTPA entrera en vigueur en même temps que le Colorado Privacy Act le 1er juillet 2023.
Portée et applicabilité
La CTPA s’applique à toute entité qui : (1) exerce des activités dans le Connecticut ou fabrique des produits ou des services destinés aux résidents du Connecticut ; et (2) au cours de l’année civile précédente : (a) contrôlé ou traité les données personnelles d’au moins 100 000 consommateurs ; ou (b) contrôlaient ou traitaient les données personnelles d’au moins 25 000 consommateurs et tiraient plus de 25 % de leurs revenus bruts de la vente de données personnelles.
En vertu de la CTPA, les « données personnelles » désignent toute information liée ou pouvant raisonnablement être liée à une personne identifiée ou identifiable.
Il convient de noter – de la même manière que le CPRA, le VCDPA, le CPA et l’UCPA – que le CTPA classe certains types de données comme des « données sensibles », ce qui déclenche des obligations de conformité supplémentaires non applicables à d’autres types de données personnelles plus générales.
En vertu de la CTPA, les données sensibles comprennent : (1) les données révélant l’origine raciale ou ethnique, les croyances religieuses, l’état ou le diagnostic de santé mentale ou physique, la vie sexuelle, l’orientation sexuelle ou le statut de citoyenneté ou d’immigration ; (2) le traitement de données génétiques ou biométriques à des fins d’identification unique d’un individu ; (3) les données personnelles collectées auprès d’un enfant connu ; ou (4) des données de géolocalisation précises.
Droits du consommateur
Le CTPA accorde aux consommateurs cinq droits fondamentaux :
- Accéder: Le droit de confirmer si un responsable du traitement traite les données personnelles du consommateur et d’accéder à ces données.
- Correction: Le droit de corriger les inexactitudes dans les données personnelles du consommateur, en tenant compte de la nature des données personnelles et des finalités de leur traitement.
- Effacement: Le droit de supprimer les données personnelles fournies par le consommateur ou obtenues à son sujet.
- Portabilité: Le droit d’obtenir une copie des données personnelles du consommateur traitées par le responsable du traitement, dans un format portable et, dans la mesure où cela est techniquement possible, facilement utilisable qui permet au consommateur de transmettre les données à un autre responsable du traitement sans entrave, où le traitement est effectué par des moyens automatisés.
- Se désengager: Le droit de refuser le traitement des données personnelles à des fins de : (1) publicité ciblée ; (2) ventes de données personnelles ; et (3) le profilage.
Avis de confidentialité
Semblable aux exigences d’autres nouvelles lois sur la protection de la vie privée des consommateurs, la CTPA exige que les responsables du traitement fournissent aux consommateurs un avis de confidentialité raisonnablement accessible qui comprend, entre autres, les catégories de données personnelles traitées par le responsable du traitement, les finalités du traitement des données personnelles et la manière dont les consommateurs peuvent exercer leurs droits.
Évaluations de la protection des données
En vertu de la CTPA, les contrôleurs sont tenus de mener et de documenter des évaluations de la protection des données (DPA) pour chaque activité de traitement des données qui présente un risque accru de préjudice pour les consommateurs.
Cela pourrait inclure le traitement de données personnelles à des fins de publicité ciblée ; la vente de données personnelles ; profilage ; et le traitement des données sensibles.
Avant de traiter des données sensibles, les responsables du traitement doivent obtenir le consentement du consommateur et mener une DPA.
Mesures de sécurité des données
En vertu de la CTPA, les contrôleurs doivent établir, mettre en œuvre et maintenir des pratiques administratives, techniques et physiques raisonnables en matière de sécurité des données afin de protéger la confidentialité, l’intégrité et l’accessibilité des données personnelles adaptées au volume et à la nature des données personnelles en cause.
La CTPA énonce également une série d’exigences pour les sous-traitants de données à caractère personnel, notamment le respect des instructions d’un responsable du traitement, l’assistance au responsable du traitement dans le respect de ses obligations en vertu de la CTPA et la conclusion de contrats écrits avec les responsables du traitement qui énoncent des instructions qui lient le processeur.
Responsabilité et exécution
La CTPA ne prévoit pas de droit d’action privé pour les particuliers afin d’intenter des poursuites contre des entités pour des violations présumées de la loi. Au contraire, l’autorité d’exécution appartient exclusivement au procureur général du Connecticut.
Les entreprises qui enfreignent le CTPA peuvent être passibles de sanctions civiles pouvant aller jusqu’à 5 000 $ par infraction.
Cependant, il est important de noter que la CTPA comprend une disposition de notification et de réparation qui offre aux entreprises la possibilité d’éviter les mesures d’exécution si les violations sont corrigées dans les 60 jours suivant la réception de l’avis de non-conformité présumée.
Cela dit, la disposition de notification et de réparation obligatoire ne restera en vigueur que jusqu’à la fin de 2024. Après cette date, le procureur général du Connecticut aura le pouvoir discrétionnaire de donner à un contrôleur la possibilité de remédier avant de poursuivre une action en exécution contre ce.
Analyse et plats à emporter
Avec 10 % des États américains ayant désormais leurs propres lois sur la confidentialité des consommateurs – chacune avec ses propres exigences et restrictions – la tâche de conformité pour les entreprises opérant dans tout le pays (ou dans le monde) est de plus en plus complexe.
En particulier, le réseau désormais important de lois étatiques laisse les entreprises dans une position précaire quant à la meilleure façon d’aborder la conformité de manière efficace et rentable.
Jusqu’à récemment, la plupart des organisations privilégiaient soit une approche État par État de la conformité, soit une approche du «plus grand dénominateur commun», selon laquelle la norme d’État la plus stricte pour chaque exigence de conformité discrète est mise en œuvre dans toutes les juridictions où les lois sur la protection de la vie privée des consommateurs sont désormais en vigueur.
LIRE LA SUITE Le NIST actualise les directives de gestion des risques de la chaîne d’approvisionnement logicielle
Avec un cinquième état désormais ajouté à l’équation de conformité, une troisième approche émerge – les entreprises abandonnant complètement l’approche fragmentaire et choisissant à la place d’offrir aux consommateurs les mêmes droits et le même contrôle sur leurs informations personnelles, quel que soit l’endroit où ils se trouvent.
Cette approche uniforme à l’échelle nationale pourrait bientôt gagner en popularité dans un avenir proche, car des dizaines d’autres États introduisent également leurs propres projets de loi sur la protection de la vie privée des consommateurs en 2022.
Non seulement cette approche simplifie et rationalise les charges de conformité organisationnelle, mais elle offre également l’avantage supplémentaire de fournir aux consommateurs de nombreux États un contrôle et une protection plus importants de leurs informations personnelles que ce qui est requis par la loi.
Cela offre potentiellement un avantage concurrentiel substantiel sur le marché hautement concurrentiel d’aujourd’hui, d’autant plus que les consommateurs exigent une plus grande transparence et un meilleur contrôle en ce qui concerne la manière dont leurs informations personnelles sensibles sont collectées, utilisées et protégées par les entreprises auxquelles ils donnent leur argent durement gagné.
Alors que les lois sur la protection de la vie privée des consommateurs en Californie, en Virginie, au Colorado, dans l’Utah et maintenant dans le Connecticut sont prêtes à entrer en vigueur l’année prochaine, il est maintenant temps pour les entreprises de consulter un conseiller expérimenté en matière de confidentialité et de stratégie de données pour commencer à déterminer l’approche à utiliser. . Ensuite, ils peuvent développer leurs programmes de conformité pour s’assurer que la conformité est réalisable d’ici 2023.
