Nouvelle année – nouveau paysage de la confidentialité. La saison dernière, nous avons été confrontés à sept nouvelles lois étatiques complètes sur la confidentialité. Des États comme le Kentucky, le Maryland, le Minnesota, le Nebraska, le New Hampshire, le New Jersey et le Rhode Island ont tous choisi d'offrir à leurs administrés une meilleure protection dans un monde numérique en constante évolution.
Or, bon nombre de ces lois sur la protection de la vie privée devraient fleurir en 2025. Faisons un rapide tour d’horizon de toutes les lois nationales complètes sur la protection de la vie privée qui entreront en vigueur cette année.
1. Delaware
Loi sur la confidentialité des données personnelles du Delaware (DPDPA), qui est entré en vigueur le 1er janvier 2025, établit des protections complètes de la vie privée pour les résidents de l'État, faisant du Delaware la dernière en date à rejoindre la liste croissante des juridictions américaines dotées d'une législation rigoureuse en matière de confidentialité. Cette loi oblige les entreprises à améliorer la transparence de leurs pratiques en matière de données et exige consentement explicite lors de la collecte ou de l'utilisation de données personnelles sensibles, telles que des informations relatives à la race, à la religion, à l'état de santé, données biométriques, et l'emplacement.
En vertu de la nouvelle loi, les consommateurs du Delaware obtiennent des droits puissants sur leurs les informations personnellesIls peuvent se retirer de la vente de leurs données, de la publicité ciblée et de certains types de décisions automatisées. La DPDPA prévoit également des étapes de mise en œuvre progressive : 1er juillet 2025, les entreprises doivent effectuer des évaluations de la protection des données pour certaines activités de traitement, et à partir de 1er janvier 2026, ils doivent honorer option de retrait universelle signaux de préférences des consommateurs. De plus, le « droit de réparation » obligatoire en cas de violation prendra fin le 31 décembre 2025, après quoi l'application par le bureau du procureur général du Delaware ne nécessitera plus de délai de grâce.
2. Iowa
Le Loi sur la protection des données des consommateurs de l'Iowa (ICDPA) est entré en vigueur le 1er janvier 2025 et cible les entreprises qui contrôlent ou traitent les données personnelles d'au moins 100 000 consommateurs de l'Iowa ou qui tirent plus de 50% de leur chiffre d'affaires de la vente des données personnelles d'au moins 25 000 résidents de l'Iowa. La loi prévoit des sanctions pouvant atteindre $7 500 par infraction, mais assortie d'un délai de correction généreux de 90 jours, non échu, laissant aux entreprises suffisamment de temps pour remédier à la non-conformité.
Il est à noter que l’ICDPA est plus favorable aux entreprises que d’autres lois des États, car elle ne comporte pas certaines exigences telles que la reconnaissance des mécanismes de retrait universel, la réalisation d’évaluations de l’impact sur la vie privée ou l’obtention du consentement explicite pour le traitement des données sensibles.
3. Maryland
Le Loi sur la protection des données en ligne du Maryland (MODPA) entrera en vigueur le 1er octobre 2025La MODPA s'applique aux entreprises opérant dans le Maryland ou ciblant ses résidents. Les organisations sont soumises à la loi si, au cours de l'année civile précédente, elles ont contrôlé ou traité les données personnelles d'au moins 35 000 consommateurs (hors données de transactions de paiement) ou traité les données personnelles d'au moins 10 000 consommateurs tout en générant plus de 201 TP3T de revenus bruts provenant de la vente de données personnelles.
Le non-respect de cette règle peut entraîner des sanctions pouvant aller jusqu'à 10 000 £ par infraction et 25 000 £ en cas d'infraction répétée. Un délai de 60 jours, valable jusqu'au 1er avril 2027, est accordé à la discrétion du procureur général du Maryland.
4. Minnesota
Le Loi sur la protection des données des consommateurs du Minnesota (MCDPA) devrait entrer en vigueur le 31 juillet 2025Elle établit des obligations en matière de confidentialité pour les entreprises ciblant les résidents du Minnesota. Elle s'applique aux organisations qui traitent chaque année les données personnelles d'au moins 100 000 consommateurs ou qui tirent plus de 251 TP3T de leur chiffre d'affaires brut de la vente de données personnelles tout en traitant les données personnelles d'au moins 25 000 consommateurs.
Les contrevenants s'exposent à des amendes pouvant aller jusqu'à $7 500, avec un délai de 30 jours pour remédier à la situation, jusqu'au 31 janvier 2026. La MCDPA exempte notamment les petites entreprises, qui doivent toutefois obtenir un consentement explicite avant de vendre des données personnelles sensibles. La loi impose également, de manière unique, l'inventaire des données, une mesure qui favorise une conformité plus large, mais qui est rarement exigée par la loi.
5. Nebraska
Le Loi sur la confidentialité des données du Nebraska (NDPA) est entré en vigueur à compter du 1er janvier 2025 et établit des obligations en matière de confidentialité pour les entités exerçant des activités au Nebraska ou proposant des produits et services à ses résidents. Contrairement à de nombreuses lois étatiques sur la confidentialité, la NDPA s'applique aux organisations qui traitent ou vendent des données personnelles, quel que soit le volume de données, à condition qu'elles ne soient pas classées comme petites entreprises au sens fédéral. Directives de la Small Business Administration.
Les contrevenants s'exposent à des amendes pouvant aller jusqu'à $7 500 par infraction, assorties d'un délai de 30 jours pour remédier à la situation. Bien que les petites entreprises soient exemptées de la plupart des exigences, elles doivent obtenir un consentement explicite avant de vendre des données personnelles sensibles.
6. New Hampshire
Le Loi sur la protection des données du New Hampshire (NHDPA) Entrée en vigueur le 1er janvier 2025, la loi impose d'importantes obligations en matière de confidentialité aux entités exerçant des activités dans l'État ou proposant des produits et services à ses résidents. Elle s'applique aux organisations qui, sur une période d'un an, contrôlent ou traitent les données personnelles d'au moins 35 000 consommateurs (hors données traitées uniquement pour les transactions de paiement) ou tirent plus de 251 TP3T de revenus bruts de la vente des données personnelles d'au moins 10 000 consommateurs.
Le non-respect peut entraîner des amendes pouvant aller jusqu'à $10 000 par violation, avec une période de correction de 60 jours disponible jusqu'à 1er janvier 2026.
Se distinguant des lois étatiques sur la protection de la vie privée, la NHDPA présente des seuils d'applicabilité relativement bas, ce qui accroît sa portée auprès des petites entreprises. Contrairement à l'Iowa, elle impose des évaluations d'impact sur la vie privée pour certaines activités, et contrairement au Delaware, elle prévoit des exemptions au niveau de l'entité pour les organismes sans but lucratif et les organisations sous réglementation fédérale. HIPAA ou GLBAGrâce à sa portée globale, la NHDPA est destinée à améliorer les pratiques de protection des données dans tout le New Hampshire.
7. New Jersey
Loi sur la protection des données du New Jersey (NJDPA) est entré en vigueur à compter du 15 janvier 2025 Elle fixe des seuils de conformité clairs. Elle s'applique aux entités qui contrôlent ou traitent chaque année les données personnelles d'au moins 100 000 consommateurs (hors données traitées uniquement pour les transactions de paiement) ou à celles qui traitent les données d'au moins 25 000 consommateurs et génèrent des revenus ou bénéficient de remises sur la vente de données personnelles. Les sanctions en cas de non-conformité peuvent atteindre 10 000 £ pour une première infraction et 20 000 £ pour les infractions suivantes, avec un délai de 30 jours pour remédier à la situation. 15 juillet 2026.
Contrairement à d'autres lois d'État, la NJDPA n'impose pas de revenu minimum pour être applicable, ce qui la rend pertinente au-delà des courtiers en données traditionnels et des réseaux de technologies publicitaires. De plus, les organismes à but non lucratif ne sont pas exemptés de la loi, bien que les données financières utilisées exclusivement pour les transactions de paiement soient exclues. Il est à noter que la NJDPA traite certaines données financières comme sensibles et exige un consentement explicite pour leur traitement en dehors des fins transactionnelles.
8. Tennessee
Loi sur la protection des informations du Tennessee (TIPA) deviendra effectif 1er juillet 2025 Elle établit des exigences en matière de confidentialité pour les entreprises opérant dans l'État. La loi s'applique aux organisations dont le chiffre d'affaires annuel dépasse 1 400 000 TPT, qui exercent leurs activités au Tennessee ou ciblent ses résidents et qui répondent à l'un des critères suivants : traiter les informations personnelles d'au moins 175 000 consommateurs par an ou traiter les données personnelles de 25 000 consommateurs tout en générant plus de 501 TPT3T de chiffre d'affaires brut. Les infractions peuvent entraîner des amendes pouvant atteindre 1 400 000 TPT par infraction, avec des dommages-intérêts triples en cas de violation intentionnelle et un délai de réparation de 60 jours sans effet rétroactif.
La TIPA fixe un seuil de consommateurs particulièrement élevé (175 000 contre 100 000 normes) et s'applique exclusivement aux entreprises dont le chiffre d'affaires est d'au moins 1 425 millions de livres sterling (TP4T25), ce qui en restreint la portée. Unique parmi les lois étatiques sur la protection de la vie privée, la TIPA permet aux entreprises d'établir une défense positive en mettant en œuvre un programme de confidentialité documenté et conforme à la loi. Cadre de confidentialité du NIST ou des normes similaires. Bien qu'elle ne soit pas une solution infaillible, cette mesure proactive peut atténuer la responsabilité des organisations conformes.
Respectez la confidentialité avec BigID
Quel que soit le secteur d’activité représenté par votre organisation, 2025 exigera que votre équipe examine de plus près les différentes législations sur la confidentialité qui peuvent désormais avoir un impact sur vos opérations quotidiennes. BigID est la plateforme DSPM leader du secteur pour la confidentialité des données, la sécurité, la conformité et la gestion des données par l'IA. Bénéficiez d'une meilleure visibilité sur les données de votre entreprise et assurez une conformité simplifiée avec les lois complètes sur la confidentialité des données, telles que la MODPA, la TIPA, la NJDPA, etc.
Avec BigID, les organisations peuvent :
- Découvrez vos données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
- Connaître ses données: Classer, catégoriser, étiqueter et étiquette données sensibles et personnelles avec précision, granularité et évolutivité.
- Cartographiez vos données : Associer automatiquement les IIP et les IP aux identités, aux entités et aux résidences afin de visualiser les données dans l'ensemble des systèmes.
- Appliquer les politiques de protection de la vie privée : Assurer l'alignement et l'application des politiques de données conformément aux mandats de protection de la vie privée afin de satisfaire aux exigences de conformité réglementaire.
- Gestion universelle du consentement et des préférences : Gérez et ajustez le consentement et les préférences des consommateurs de manière universelle et centralisée sur différents canaux en toute simplicité.
- Évaluer de manière exhaustive les risques liés à la confidentialité : Initier, gérer, documenter et réaliser diverses évaluations, notamment PIA, DPIA, fournisseur, IA, TIA, LIA et plus encore pour la conformité et la réduction des risques.
- Rationalisez la gestion du cycle de vie des données : Appliquez une approche basée sur des politiques pour automatiser la gestion du cycle de vie des données à travers la collecte, la conservation et la suppression.
N'attendez pas que les délais de conformité vous rattrapent — Prenez de l'avance avec une démonstration individuelle des experts en confidentialité de BigID dès aujourd'hui.
Auteur
