Le Commonwealth de Virginie a adopté sa propre loi sur la confidentialité des consommateurs de Virginie : la Loi sur la protection des données des consommateurs (CDPA) – inspiré par le Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le projet proposé Loi sur la protection de la vie privée de l'État de WashingtonLes assemblées législatives de la Chambre et du Sénat de Virginie ont approuvé le CDPA dans un délai de trois semaines — et il est maintenant entre les mains du gouverneur pour qu'il soit promulgué.
À l'instar du projet de loi sur la protection de la vie privée de Washington et du CCPA qui l'ont précédé, le CDPA introduit un nouvel ensemble de droits pour les consommateurs virginiens et impose de nouvelles obligations aux responsables du traitement et aux processeurs de données.
Qu'est-ce que le CDPA ?
Largement calqué sur le Washington Privacy Act, le CDPA s'applique aux personnes qui exercent des activités dans le Commonwealth de Virginie ou produisent des produits ou des services ciblant les résidents de Virginie — et :
-
- contrôler ou traiter les données personnelles de 100 000 consommateurs de Virginie ou plus au cours d'une année civile
- contrôler ou traiter les données personnelles d'au moins 25 000 consommateurs et tirer plus de 50% de revenus bruts de la vente de données personnelles.
Exemptions CDPA
La CDPA comprend un certain nombre d’exemptions pertinentes, telles que celles pour :
- institutions financières soumises au titre V de GLBA
- entités couvertes et partenaires commerciaux régis par les règles de confidentialité, de sécurité et de notification des violations HIPAA/HITECH
- organisations à but non lucratif
- établissements d'enseignement supérieur
La CCPA, en revanche, exempte uniquement les données réglementées par la GLBA et la HIPAA.
En outre, la CDPA proposée exempte 14 catégories d'informations de sa couverture, y compris, mais sans s'y limiter, les informations de santé protégées par la HIPAA et les données personnelles réglementées par la FCRA, FERPA, la Loi sur la protection de la vie privée des conducteurs et les lois sur le crédit agricole. Les données collectées dans le cadre de l'emploi ne relèvent pas non plus de la CDPA.
Nouveau Définitions des données
Données personnelles
Selon la CDPA, cela signifie : « toute information liée ou raisonnablement liée à une personne physique identifiée ou identifiable ». Cela exclut les données accessibles au public et anonymisées, et la loi prévoit des normes spécifiques sur la manière de traiter ces données.
Ce que les entreprises doivent faire : découvrir et inventorier toutes les données sensibles et personnelles appartenant à une identité — directes et inférées — pour avoir une image complète des données consommateurs que vous collectez.
Catégorie de données sensibles
La CDPA définit les données sensibles comme :
- données révélant l'origine raciale ou ethnique, les croyances religieuses, le diagnostic de santé mentale ou physique, la citoyenneté ou le statut d'immigration
- données génétiques ou biométriques
- données collectées auprès d'un enfant, ou
- données de géolocalisation précises
Les responsables du traitement ne peuvent traiter les données sensibles qu'avec le consentement du consommateur — ou le « consentement parental » pour les données des enfants conformément à la loi sur la protection de la vie privée des enfants en ligne (COPPA).
Ce que les entreprises doivent faire : Automatiquement trouver, identifier et classer Toutes vos données sensibles, où qu'elles se trouvent (sur site, dans le cloud et en mode hybride), sur toutes vos sources, à l'échelle du pétaoctet. Vérifiez si la géolocalisation est enregistrée.
Exigences de la CDPA
Droits des données
Virginie droits des consommateurs en matière de données personnelles inclure:
- droit d'accès, qui comprend le droit de confirmer si une organisation traite les données personnelles du consommateur, ainsi que le droit d'accéder à ces informations
- droit de rectification
- droit à l'effacement
- droit à la portabilité des données
- droit de s'opposer au traitement à des fins de publicité ciblée, de vente de données personnelles ou de profilage en vue de la prise de décisions produisant des effets juridiques ou des effets similaires significatifs concernant le consommateur.
Il faut donner suite aux demandes des consommateurs dans les 45 jours suivant la réception de la demande et les organisations doivent établir un processus d’appel interne pour les cas où un responsable du traitement refuse de donner suite à une demande d’un consommateur.
Ce que les entreprises doivent faire : Permettez à votre organisation de répondre aux demandes des consommateurs par:
- réagir rapidement et efficacement aux exigences réglementaires, permettre des flux de travail de correction, répondre à toutes les demandes de données des consommateurs à grande échelle et rendre compte de l'activité
- déterminer quelles données doivent être supprimées et où elles se trouvent — et assurer une validation continue de la suppression via des requêtes automatisées
- suivi et documentation de la gestion des préférences, du consentement et de tout partage de données avec des tiers
Exigences pour les responsables du traitement des données
Évaluations de la protection des données
La loi proposée oblige les responsables du traitement à effectuer des évaluations de la protection des données impliquant des données personnelles pour chacune des activités de traitement suivantes :
- le traitement des données personnelles à des fins de publicité ciblée
- la vente de données personnelles
- le traitement de données à caractère personnel à des fins de profilage lorsque ce profilage présente un risque raisonnablement prévisible de préjudice important pour les consommateurs
- le traitement des données sensibles
- toute activité de traitement impliquant des données personnelles qui présente un risque accru de préjudice pour le consommateur
Ce que les entreprises doivent faire : Données d'inventaire; documenter les flux de données, RoPA et l'activité de partage ; et automatiser le processus d'évaluation pour un programme de gestion de la confidentialité plus solide.
Minimisation des données
La collecte de données à caractère personnel par le responsable du traitement doit être adéquate, pertinente et limitée à ce qui est raisonnablement nécessaire au regard de la finalité spécifiée et expresse pour laquelle ces données sont traitées, telle que divulguée au consommateur.
Ce que les entreprises doivent faire : Définir et appliquer conservation des données règles avec des flux de travail automatisés — et vousncover données en double, dérivées et similaires pour une gouvernance respectueuse de la vie privée et un reporting efficace.
Éviter l'utilisation secondaire
À moins qu'un responsable du traitement n'obtienne le consentement d'un consommateur, les responsables du traitement ne sont pas autorisés à traiter des données à caractère personnel à des fins qui ne sont pas raisonnablement nécessaires ou compatibles avec les finalités spécifiées et expresses pour lesquelles les données à caractère personnel sont traitées, telles qu'elles ont été communiquées au consommateur.
Ce que les entreprises doivent faire : Suivre et documenter les obligations de gestion des préférences et de gouvernance du consentement concernant les données sensibles.
Sécurité des données
Les responsables du traitement sont tenus d’établir, de mettre en œuvre et de maintenir des pratiques raisonnables de sécurité administrative, technique et physique des données afin de protéger la confidentialité, l’intégrité et l’accessibilité des données personnelles.
Ce que les entreprises doivent faire : Identifiez et corrélez des informations personnelles, comme une adresse e-mail, avec des mots de passe, afin de mieux les protéger contre d'éventuelles violations. Identifiez les utilisateurs potentiellement impactés par des violations de données connues pour une réponse proactive aux incidents.
Exigences supplémentaires pour les sous-traitants de données
En vertu de la CDPA, les activités de traitement des données doivent être régies par un contrat écrit entre un responsable du traitement et un sous-traitant contenant des instructions de traitement. Ce contrat doit préciser :
- la nature et la finalité du traitement
- le type de données personnelles faisant l'objet du traitement
- la durée du traitement
- obligations et droits des deux parties
Ce que les entreprises doivent faire : En plus de garantir des conditions de protection des données appropriées dans les accords, les responsables du traitement doivent surveiller et suivre leur flux de partage de données avec des tierss.
Sur instruction du responsable du traitement, le sous-traitant est tenu de supprimer ou de restituer toutes les données personnelles au responsable du traitement à l'issue de sa prestation. Il est tenu de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer son respect des obligations légales, ainsi que pour permettre les audits et les inspections.
Ce que les entreprises doivent faire : Les processeurs doivent avoir la capacité de corriger toutes les données personnelles qu'ils reçoivent du responsable du traitement — et activez les analyses de validation pour garantir que les données sont supprimées.
En outre, les sous-traitants doivent s’assurer que les personnes qui traitent des données personnelles sont soumises à des obligations de confidentialité et engager des sous-traitants en vertu d’un accord écrit qui exige que les sous-traitants respectent les obligations imposées aux sous-traitants.
Les sous-traitants doivent également aider les responsables du traitement à respecter leurs obligations légales et leur fournir les informations nécessaires pour mener et documenter leurs évaluations de la protection des données.
Ce que les entreprises doivent faire : Les processeurs doivent créer leur propre inventaire de données et documenter les flux commerciaux afin de répondre facilement à toute demande de droits sur les données que les contrôleurs avec lesquels ils travaillent peuvent recevoir de la part des consommateurs.
Application et date d'entrée en vigueur de la CDPA
La CDPA est exécutoire par le biais d'actions civiles intentées par le procureur général de l'État de Virginie. Bien qu'il n'existe aucun droit d'action privé pour les consommateurs, le procureur général est autorisé à intenter des actions civiles en leur nom, sous réserve d'un préavis de 30 jours, et peut réclamer des dommages et intérêts pouvant atteindre 1 TP4T7 500 pour chaque violation de la loi affectant le consommateur.
La loi devrait entrer en vigueur le 1er janvier 2023, le jour même où la California Privacy Rights Act (CPRA) — la nouvelle version du CCPA — devrait également entrer en vigueur.
La loi de Virginie s'inscrit dans une tendance bipartite croissante des législatures des États à adopter une législation complète sur la protection de la vie privée. De plus, il existe un consensus croissant sur le fait que le modèle de Virginie inspirera d'autres États compte tenu de sa rapidité d'adoption. Et bien sûr, plus les lois des États se multiplient, plus le Congrès est motivé à collaborer à l'adoption d'une législation fédérale sur la protection de la vie privée. Obtenir une démonstration 1:1 pour voir comment BigID aide les organisations à répondre aux exigences à venir en matière de conformité CDPA – et à créer un programme de confidentialité durable et proactif pour répondre aux réglementations actuelles et émergentes.