Skip to content
Voir tous les articles

Liste de contrôle de conformité CDPA – Protection des données des consommateurs

La Virginie est peut-être le 10e État des États-Unis, mais elle est le 2e État après la Californie à adopter cette loi. législation sur la protection des données dans la loi.

Cliquez ici pour télécharger la liste de contrôle – ou continuez pour plus de détails sur la manière dont les entreprises peuvent se préparer à la Loi sur la protection des données des consommateurs de Virginie (CDPA).

Présentation du CDPA

La Virginie Loi sur la protection des données des consommateurs (CDPA) a été promulguée le 1er janvier 2023. La nouvelle législation met les droits sur les données entre les mains des consommateurs de Virginie et impose de nouvelles obligations aux contrôleurs et aux processeurs de données, qui s'appliquent à toute personne qui exerce une activité dans le Commonwealth de Virginie - ou produit des produits ou des services pour les résidents de Virginie.

Qui est protégé par la loi sur la protection des données des consommateurs ?

La loi protège toute personne résidant en Virginie ou faisant partie d’un ménage qui peut raisonnablement être identifié.

La législation a été conçue pour protéger les consommateurs de Virginie et motiver (et obliger) toutes les organisations qui traitent les informations des résidents de Virginie à être responsables de la protection de la confidentialité des données et de la protection appropriée des données des consommateurs.

Portée territoriale de la CDPA

Toute entreprise qui collecte des données personnelles et exerce ses activités dans le Commonwealth de Virginie, ou qui produit des produits ou services destinés aux résidents de Virginie, doit se conformer à la CDPA. La CDPA fixe des limites quant à la quantité de données collectées, traitées et monétisées, conformément aux conditions spécifiques suivantes :

  • Toute entreprise qui contrôle ou traite les données personnelles de 100 000 consommateurs ou plus de Virginie au cours d'une année
  • Toute entreprise qui contrôle ou traite les données personnelles d'au moins 25 000 consommateurs et obtient plus de 50% de revenus bruts provenant de la vente de données personnelles.

Sanctions et application de la CDPA

  • La loi CDPA de Virginie ne prévoit pas de droit d'action privé, ce qui signifie que les citoyens de Virginie ne peuvent pas intenter d'action en justice pour les violations de la loi CDPA.
  • Le procureur général de Virginie gère exclusivement l’application de la CDPA.
  • Tout manquement du responsable du traitement peut entraîner une amende pouvant aller jusqu'à $7 500 par infraction. Le responsable du traitement doit remédier à la situation et fournir une notification écrite précisant la violation et la solution.

Droits des consommateurs en matière de données CDPA

  • droit d'accès : les consommateurs peuvent soumettre un demande d'accès aux données personnelles (DSAR) d'accéder à leurs informations personnelles, ce qui inclut également le droit de confirmer si une organisation traite les données personnelles du consommateur
  • droit de rectification : Les entreprises doivent offrir aux consommateurs la possibilité de mettre à jour et de corriger les informations inexactes qu’une entreprise pourrait détenir à leur sujet.
  • droit à la suppression : Les consommateurs ont le droit de demander que leurs données soient supprimées (ou raisonnablement mises en quarantaine)
  • droit à la portabilité des données : Les consommateurs doivent pouvoir transférer leurs données de manière sûre et sécurisée entre les systèmes.
  • droit de retrait : Les consommateurs peuvent refuser le traitement de leurs données à des fins de publicité ciblée, de vente de données personnelles ou de profilage dans le cadre de décisions produisant des effets juridiques ou des effets similaires importants concernant le consommateur.

Les organisations doivent donner suite aux demandes des consommateurs dans les 45 jours suivant leur réception et établir un processus d'appel lorsqu'une demande du consommateur n'est pas terminé.

Ce que la CDPA signifie pour les organisations

Le CDPA, semblable à CPRA, a des exigences spécifiques pour minimisation des données, politiques de conservationet analyses d'impact sur la protection des données (AIPD) pour atténuer les risques liés à la vie privée :

  • Minimisation des données : la CDPA exige que les organisations mettent en œuvre des principes de minimisation des données pour limiter le traitement des données au-delà d'un objectif nécessaire.
  • Politiques de conservation des données : les entreprises doivent appliquer des politiques de conservation pour garantir que les données raisonnablement nécessaires sont conservées.
  • Évaluations des risques liés à la protection des données : pour que les entreprises puissent évaluer correctement les risques, la CDPA exige que les organisations effectuent des évaluations d'impact sur la protection des données (DPIA) lorsque :
    • Traitement des données à des fins de marketing ciblé
    • Vente de données personnelles
    • Traitement des données à des fins de profilage
    • Traitement des données sensibles
    • Toute activité de traitement qui présente un risque pour les consommateurs

Responsabilités des organisations en matière de données personnelles en vertu de la CDPA

Au sens de la CDPA, les données personnelles désignent les informations liées ou raisonnablement liées à l'identification d'une personne physique en Virginie. Cependant, cela exclut les données accessibles au public et anonymisées, et la loi établit des normes spécifiques sur la gestion des données anonymisées.
Les organisations ne sont autorisées à traiter des données sensibles qu'avec le consentement des consommateurs ou le « consentement parental » lorsqu'il s'agit de données relatives aux enfants. Loi sur la protection de la vie privée des enfants en ligne (COPPA).

La CDPA définit les données sensibles comme :

  • Race ou origine ethnique, croyances religieuses, citoyenneté ou statut d'immigration
  • Données biométriques ou génétiques
  • Données sur les enfants
  • Données de géolocalisation

Liste de contrôle CDPA

Téléchargez la liste de contrôle de conformité CDPA pour prioriser les bonnes actions pour se conformer à la CDPA, notamment comment :

Comment BigID aide avec le CDPA

BigID aide les organisations à se conformer aux réglementations en matière de confidentialité, comme la CDPA. Utilisez BigID pour vous conformer à la CDPA grâce à des analyses d'impact sur la protection des données, un portail en libre-service, la gestion automatisée des DSAR et des rapports réglementaires pour simplifier la conformité en matière de confidentialité. Avec BigID, les organisations peuvent :

Découvrez comment BigID aide les organisations à gérer les attentes de conformité pour la CDPA – de Exécution des DSAR à évaluations des risques pour la vie privée - Obtenir une démo

Contenu