Utah Consumer Privacy Act : une nouvelle législation ajoute une autre ride au paysage juridique américain

L’année dernière a apporté de nombreux développements notables en matière de confidentialité des consommateurs qui ont eu un impact significatif sur les entreprises qui collectent et utilisent des données personnelles dans le cadre de leurs opérations, notamment la promulgation de deux nouvelles lois sur la confidentialité des consommateurs par la Virginie et le Colorado.

Tout récemment, l’Utah est devenu le quatrième État à promulguer une loi complète sur la protection de la vie privée des consommateurs, l’Utah Consumer Privacy Act (UCPA), qui entrera en vigueur le 31 décembre 2023.

Bien que l’UCPA contienne un certain nombre de dispositions similaires à la California Privacy Rights Act de 2020 (CPRA), à la Virginia Consumer Data Protection Act (VCDPA) et à la Colorado Privacy Act (CPA) toutes deux de 2021, la loi de l’Utah s’écarte également de ces lois sur la confidentialité des consommateurs. à plusieurs égards importants.

Mais alors que la myriade de façons nouvelles et innovantes d’exploiter les données personnelles à des fins commerciales continue de proliférer, les risques juridiques associés augmentent également aux États-Unis alors que les législateurs cherchent à renforcer les exigences imposées aux pratiques de collecte et de traitement des données des entreprises.

Portée et applicabilité

L’UCPA s’applique à toute entité qui ; exerce ses activités dans l’Utah ou fabrique un produit ou un service destiné aux consommateurs de l’Utah ; a un revenu annuel d’au moins 25 millions de dollars ; et répond à l’un des critères suivants ou aux deux – au cours d’une année civile, contrôle ou traite les données personnelles de 100 000 consommateurs ou plus ; ou tire plus de 50 % des revenus bruts de l’entité de la vente de données personnelles et contrôle ou traite les données personnelles de 25 000 consommateurs ou plus.

Il est important de noter que l’exigence de l’UCPA selon laquelle les entreprises doivent respecter à la fois un seuil financier et un seuil de traitement des données présente une barre beaucoup plus élevée pour tomber sous le champ d’application de l’UCPA par rapport à la CPRA, VCDPA et CPA – et éliminera probablement certaines entreprises qui sont soumises à la Lois de la Californie, de la Virginie et du Colorado dans le champ d’application de la loi récemment promulguée de l’Utah.

L’UCPA classe les entités qui traitent des données personnelles en tant que « contrôleurs » ou « sous-traitants », et impose des exigences différentes pour chacun. Les contrôleurs sont les entités qui déterminent les finalités et les moyens par lesquels les données personnelles sont traitées, tandis que les sous-traitants traitent simplement les données personnelles pour le compte d’un contrôleur.

‘Données personnelles’

En vertu de l’UCPA, les données personnelles se rapportent à toute information liée ou raisonnablement liée à une personne identifiée ou à une personne identifiable.

De la même manière que le CPRA, le VCDPA et le CPA, l’UCPA classe certains types de données comme « données sensibles » qui sont soumises à des exigences et des restrictions supplémentaires non applicables aux autres types de données personnelles.

En vertu de la loi, les données sensibles comprennent ; des données révélant l’origine raciale ou ethnique, les croyances religieuses, l’orientation sexuelle, la citoyenneté ou le statut d’immigration ; des informations concernant les antécédents médicaux, l’état de santé mentale ou physique, ou un traitement médical ou un diagnostic ; données génétiques ou biométriques ; et des données de géolocalisation spécifiques.

LIRE LA SUITE Le projet de loi sur la confidentialité de l’Utah impose des contrôles plus stricts sur les données des consommateurs

L’UCPA garantit aux consommateurs quatre droits fondamentaux :

Accéder: Le droit de confirmer si un responsable du traitement traite les données personnelles du consommateur et d’accéder à ces données.

Effacement: Le droit de supprimer les données personnelles du consommateur que le consommateur a fournies au responsable du traitement.

Portabilité: Le droit d’obtenir une copie des données personnelles du consommateur que le consommateur a précédemment fournies au responsable du traitement dans un format portable et facilement utilisable qui permet au consommateur de transmettre les données à un autre responsable du traitement sans entrave.

Se désengager: Le droit de s’opposer au traitement des données personnelles à des fins de publicité ciblée et de « vente » de données personnelles (défini par l’UCPA comme l’échange de données personnelles à titre onéreux par un responsable du traitement à un tiers).

Mais surtout, contrairement à CPRA, VCDPA et CPA, l’UCPA ne donne pas aux consommateurs le droit de corriger des données personnelles inexactes.

L’UCPA impose aux responsables du traitement de se conformer aux demandes de droits des consommateurs, notamment en établissant un ou plusieurs moyens permettant aux consommateurs de soumettre des demandes d’exercice de leurs droits de consommateurs. Il n’impose pas aux responsables du traitement de mettre en place une procédure de recours interne permettant aux consommateurs de contester les refus d’agir en réponse à leurs demandes.

Avis de confidentialité

Également similaire à la CPRA, VCDPA et CPA, l’UCPA exige que les contrôleurs fournissent un avis aux consommateurs contenant, au minimum, les informations suivantes :

• Les catégories de données personnelles traitées par le responsable du traitement

• Les finalités pour lesquelles les catégories de données sont traitées

• Comment les consommateurs peuvent exercer leurs droits

• Les catégories de données personnelles que le responsable du traitement partage avec des tiers, le cas échéant

• Et les catégories de tiers, le cas échéant, avec lesquels le responsable du traitement partage des données personnelles.

TU POURRAIS AUSSI AIMER Projet de loi indien sur la confidentialité des données personnelles : qu’est-ce que cela signifie pour les particuliers et les entreprises ?

Avant de traiter des données sensibles, un responsable du traitement doit d’abord informer clairement les consommateurs et leur donner la possibilité de refuser le traitement.

Les responsables du traitement doivent établir, mettre en œuvre et maintenir des pratiques raisonnables de sécurité des données conçues pour protéger la confidentialité et l’intégrité des données personnelles et réduire les risques raisonnablement prévisibles de préjudice pour les consommateurs liés au traitement des données personnelles.

L’UCPA énonce également une série d’exigences à l’égard des sous-traitants de données à caractère personnel, notamment la conclusion de contrats écrits avec les responsables du traitement qui définissent les instructions auxquelles le sous-traitant est lié, ainsi que l’assistance aux responsables du traitement dans l’accomplissement de leurs obligations UCPA, y compris les obligations relatives à la sécurité du traitement des données personnelles et toutes les notifications de violation de données nécessaires.

Responsabilité et exécution

L’UCPA ne prévoit pas de droit d’action privé pour les particuliers pour intenter des poursuites contre des entités pour des violations présumées de la loi. Au contraire, le pouvoir d’exécution appartient exclusivement au procureur général de l’Utah.

Les entreprises qui enfreignent l’UCPA peuvent être passibles de sanctions civiles pouvant aller jusqu’à 7 500 $ par infraction. Cependant, il est important de noter que l’UCPA comprend une disposition de réparation qui offre aux entreprises la possibilité d’éviter les mesures d’exécution si les violations sont corrigées dans les 30 jours suivant la réception de l’avis de non-conformité présumée.

Prendre part

Bien que l’UCPA n’entre pas en vigueur avant la fin de 2023, les entreprises devraient ajouter la conformité à l’UCPA à leurs plans de préparation à la protection de la vie privée des consommateurs de 2023 (qui devraient déjà inclure la conformité à la CPRA, à la VCDPA et à la CPA) pour garantir une conformité totale d’ici la date d’entrée en vigueur de l’UCPA. du 31 décembre 2023.

En particulier, les entreprises doivent immédiatement mettre en œuvre les mesures d’action suivantes (si elles ne l’ont pas déjà fait) :

• Effectuez un exercice de cartographie et d’inventaire des données

• Mettre en œuvre une politique de confidentialité accessible au public

• Fournir un avis écrit à toutes les personnes au moment ou avant le moment où les données personnelles sont collectées

• Concevoir et mettre en œuvre des processus et des procédures pour répondre aux demandes des consommateurs

• Mettre en œuvre des mesures de sécurité des données pour protéger et sécuriser les données personnelles

• Et consultez un avocat expérimenté en matière de protection de la vie privée pour garantir la conformité avec le paysage juridique actuel en constante évolution de la protection de la vie privée.