Le paysage américain de la confidentialité des données a souvent été caractérisé par une évolution constante. En l'absence d'une loi fédérale exhaustive, les législateurs des États du monde entier s'efforcent d'adopter des lois sur la confidentialité des données afin de mieux protéger les droits des consommateurs américains et de leur donner davantage de contrôle sur la manière dont les entreprises collectent et utilisent leurs données personnelles.
À l'heure actuelle, neuf États ont mis en place des lois complètes sur la confidentialité des données. Rien qu'en 2023, huit autres États ont adopté des projets de loi sur la confidentialité couvrant divers aspects, tels que la protection des identifiants biométriques et des données de santé. Découvrez les dernières législations nationales en matière de confidentialité dans ce guide.
Lois d'État actuellement en vigueur
Californie
La Californie a pris l'initiative en devenant le premier État à adopter une législation complète sur la confidentialité des données par le biais de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le Loi californienne sur les droits à la vie privée (CPRA). Le CCPA La loi CPRA a été promulguée le 8 juin 2018 et est entrée en vigueur le 1er janvier 2020. Elle établit le droit à la vie privée des Californiens et impose des exigences commerciales concernant la collecte et la vente de leurs informations personnelles. Le 3 novembre 2020, les électeurs californiens ont approuvé la CPRA, qui a modifié et élargi la CCPA. Si la CPRA est entrée en vigueur le 16 décembre 2020, la plupart des modifications apportées à la CCPA ne sont entrées en vigueur que le 1er janvier 2023.
Virginie
Le 21 mars 2021, la Virginie est devenue le deuxième État à adopter une législation complète sur la confidentialité des données, avec la promulgation de Loi de Virginie sur la protection des données des consommateurs (VCDPA)La loi, entrée en vigueur le 1er janvier 2023, accorde aux Virginiens le droit d'accéder à leurs données et de demander la suppression de leurs informations personnelles par les entreprises. Elle oblige également les entreprises à réaliser des évaluations de protection des données avant de traiter les données personnelles à des fins de publicité et de vente ciblées.
Colorado
Le Colorado est devenu le troisième État à entrer en scène, dépassant Loi sur la protection de la vie privée du Colorado (CPA) Le 8 juin 2021, la loi CPA entrera en vigueur le 1er juillet 2023. Elle définit cinq droits fondamentaux pour les consommateurs du Colorado : le droit d'accès, le droit de rectification, le droit de suppression, le droit à la portabilité des données et le droit de retrait. Cette loi protège les informations personnelles pouvant être liées à une personne spécifique, tout en excluant les données anonymisées et les informations accessibles au public.
Utah
Le 24 mars, le gouverneur Spencer Cox de l'Utah a signé l'accord. Loi sur la protection de la vie privée des consommateurs de l'Utah (UCPA) l'Utah est ainsi devenu le quatrième État à mettre en œuvre une législation complète sur la protection de la vie privée des consommateurs. UCPA entrera en vigueur le 31 décembre 2023.
Bien que l'UCPA s'inspire et intègre des éléments de ses prédécesseurs en matière de protection de la vie privée, elle adopte une approche plus favorable aux entreprises en matière de protection de la vie privée des consommateurs. Elle s'applique aux responsables du traitement ou aux sous-traitants exerçant leurs activités dans l'Utah ou ciblant des résidents de cet État, avec des seuils spécifiques de chiffre d'affaires et de données clients à respecter.
Connecticut
Le Connecticut a rejoint les rangs le 10 mai 2022, devenant ainsi le cinquième État à introduire un loi étendue sur la protection des données. Le Loi sur la confidentialité des données personnelles et la surveillance en ligne du Connecticut, dont l'entrée en vigueur est prévue pour le 1er juillet 2023, offre aux consommateurs du Connecticut des options concernant les données personnelles collectées par les entreprises opérant dans l'État. De plus, la loi impose des responsabilités supplémentaires aux entreprises qui traitent les données des consommateurs du Connecticut.
Iowa
Le 29 mars 2023, l'Iowa a rejoint les rangs en devenant le sixième État à adopter une loi complète sur la protection de la vie privée. Loi sur la protection des données des consommateurs de l'Iowa Entrée en vigueur le 1er janvier 2025. La loi de l'Iowa sur la protection de la vie privée s'applique aux entreprises qui contrôlent ou traitent les données personnelles d'au moins 100 000 consommateurs de l'Iowa ou qui tirent plus de 50% de revenus bruts de la vente de données personnelles et qui contrôlent ou traitent les données personnelles d'au moins 25 000 consommateurs de l'Iowa. Cette loi fixe un seuil basé sur le nombre de consommateurs et le chiffre d'affaires généré par la vente de données personnelles.
Indiana
L'Indiana est devenu le septième État à adopter une loi complète sur la protection de la vie privée, suivant de près l'Iowa le 1er mai de cette année. Loi sur la protection des données des consommateurs de l'Indiana, présente des similitudes avec les lois sur la confidentialité du Colorado, du Connecticut et de la Virginie en matière de droits et d'exigences. Cependant, l'Indiana se distingue en accordant aux organisations plus de deux ans et demi pour se mettre en conformité, la loi entrant en vigueur le 1er janvier 2026. Son champ d'application s'applique aux entreprises opérant dans l'Indiana ou servant des résidents de l'Indiana, avec des seuils spécifiques de contrôle ou de traitement des données personnelles. La loi couvre les données personnelles liées à une personne identifiable, à l'exclusion des données anonymisées, agrégées ou accessibles au public.
Tennessee
Le gouverneur Bill Lee a signé le Loi sur la protection des informations du Tennessee (TIPA) entrée en vigueur le 11 mai, rendant Tennessee Le huitième État à mettre en œuvre une loi complète sur la protection de la vie privée. La TIPA entrera en vigueur le 1er juillet 2024, avant les dates de mise en œuvre pour l'Indiana et l'Iowa. Elle s'applique aux personnes exerçant une activité au Tennessee ou ciblant des résidents du Tennessee, avec des seuils similaires à ceux des lois sur la protection de la vie privée en Virginie, en Iowa et en Indiana. La TIPA prévoit des exemptions pour les entités gouvernementales, les institutions financières régies par la loi Gramm-Leach-Bliley, les entreprises conformes à la loi HIPAA, les organismes à but non lucratif et les établissements d'enseignement supérieur. Elle exempte également certains types de données, notamment les informations de santé protégées et les données relatives à l'emploi.
Montana
Le Montana est récemment devenu le neuvième État à adopter une loi complète sur la protection de la vie privée des consommateurs, avec la signature de la Loi sur la protection des données des consommateurs du Montana Le 19 mai 2023, la loi entrera en vigueur le 1er octobre 2024. Elle s'applique aux particuliers et aux entreprises exerçant leurs activités dans le Montana et exige que les consommateurs âgés de 13 à 16 ans acceptent la vente de leurs données personnelles et la publicité ciblée. La « vente » de données personnelles est définie comme l'échange d'informations personnelles contre une contrepartie monétaire ou autre, par l'entreprise, à un tiers. Les consommateurs du Montana ont le droit de confirmer, d'accéder, de supprimer, d'obtenir une copie et de refuser certaines activités de traitement.
Le Texas à l'horizon
Le Sénat du Texas a approuvé le projet de loi HB 4, également connu sous le nom de Loi sur la confidentialité et la sécurité des données du Texas, qui devrait faire du Texas le dixième État à adopter une législation complète sur la protection de la vie privée. Ce projet de loi s'inspire de la loi de Virginie sur la protection des données des consommateurs, mais intègre également des éléments des lois du Colorado et du Connecticut. La loi sera bientôt présentée au gouverneur du Texas, M. Abbott, et, si elle est signée, elle entrera en vigueur le 1er mars 2024.
La loi proposée s'applique aux entreprises opérant au Texas ou fournissant des produits/services aux résidents du Texas, sans exigence de chiffre d'affaires minimum ni de traitement des données. Le projet de loi accorde aux consommateurs plusieurs droits, notamment le droit de confirmer si leurs données sont traitées, de corriger les inexactitudes, de supprimer des données personnelles, d'obtenir une copie de leurs données et de refuser certaines activités de traitement. Les responsables du traitement des données sont tenus de répondre aux demandes des consommateurs dans un délai de 45 jours et de procéder à des évaluations de la protection des données pour certains types d'activités de traitement présentant des risques pour les consommateurs.
D'autres dispositions clés incluent la minimisation des données, le consentement au traitement des données sensibles, la non-discrimination, les exigences en matière d'avis de confidentialité, la publicité ciblée, les principes de confidentialité dès la conception et les évaluations de la protection des données, les violations étant passibles d'une amende pouvant aller jusqu'à $7 500 chacune.
Elle établit un ton plus fort par rapport aux lois sur la confidentialité plus favorables aux entreprises dans d’autres États comme l’Utah et l’Iowa.
États avec des projets de loi actifs en lice
Le paysage réglementaire est en constante évolution, avec une poignée d’États qui contestent les projets de loi introduits, notamment :
Delaware
Le 12 mai 2023, le Delaware a introduit le Loi sur la protection des données personnelles du Delaware (HB154) Établir des droits des consommateurs concernant les données personnelles. Elle accorde aux résidents du Delaware le droit d'accéder à leurs informations personnelles détenues par les entreprises de l'État, de les corriger et de demander leur suppression. Le ministère de la Justice du Delaware mènera une campagne de sensibilisation auprès des consommateurs et des entreprises au moins six mois avant son entrée en vigueur.
Louisiane
Présenté le 4 avril 2023, le Loi sur la protection de la vie privée des consommateurs de la Louisiane S'applique aux entreprises de l'État ou ciblant ses résidents, dont le chiffre d'affaires annuel est égal ou supérieur à 1 million de livres sterling (TP4T25 millions). Elle exige la conformité des entités qui contrôlent ou traitent les données personnelles d'au moins 100 000 résidents de la Louisiane ou qui tirent plus de 501 millions de livres sterling (TP3T) de revenus de la vente de données personnelles et traitent les données d'au moins 25 000 résidents. Elle accorde aux consommateurs des droits tels que l'accès, la rectification et la suppression de leurs données personnelles, ainsi que le droit de refuser la publicité ciblée et la vente de données.
Maine
Le Loi sur la protection de la vie privée des consommateurs du Maine (LD 1973) S'applique aux entreprises du Maine ou ciblant ses résidents, avec des seuils spécifiques pour le traitement des données et les revenus issus de la vente de données personnelles. Elle prévoit des exemptions pour certaines entités et certains types de données régis par d'autres lois sur la confidentialité. La loi accorde aux consommateurs des droits d'accès, de rectification, de suppression et d'obtention de données personnelles. Elle interdit certaines activités de traitement sans le consentement préalable du consommateur et met l'accent sur les principes de protection de la vie privée dès la conception, tels que la limitation des finalités et les pratiques de sécurité des données.
Massachusetts
Le Massachusetts envisage un projet de loi complet sur la confidentialité des données appelé Loi sur la confidentialité et la sécurité des informations du Massachusetts (MIPSA), un projet de loi déposé en février 2022. S'il est adopté, le MIPSA s'appliquerait aux entreprises réalisant un chiffre d'affaires annuel de 14 millions de livres sterling ou plus, ou traitant les informations personnelles d'au moins 100 000 personnes. Il élargit les droits des résidents et introduit une réglementation sur les données biométriques et sensibles.
New Hampshire
Présenté le 19 janvier 2023— Projet de loi SB 255 du New Hampshire, vise à aligner les lois de l'État sur la confidentialité et la cybersécurité avec celles des autres États et pays. Les résidents du New Hampshire bénéficieraient de droits tels que l'information sur le traitement de leurs informations personnelles, l'accès à leurs données et leur rectification, le refus de la collecte et de l'utilisation de données, la demande de suppression de données et la protection contre la discrimination dans l'exercice de leurs droits à la vie privée.
New Jersey
Projet de loi A505 de l'Assemblée, connu sous le nom de Loi sur la transparence en matière de divulgation et de responsabilité du New Jersey, a été présenté à l'Assemblée générale de l'État du New Jersey. Ce projet de loi vise à établir des exigences pour le traitement et la divulgation des informations personnelles identifiables et à créer le Bureau de la protection des données et de l'utilisation responsable. Il comprend des dispositions relatives à l'obtention du consentement, à la garantie de la transparence, à l'octroi de droits aux personnes concernées, à la réglementation de la prise de décision automatisée, à la sécurisation des données personnelles des consommateurs et à des amendes pouvant atteindre 14 000 T.
New York (en anglais)
Projet de loi du Sénat SB 365, connu sous le nom de Loi sur la protection de la vie privée de l'État de New York, a été réintroduit au Sénat de l'État de New York le 6 janvier 2022. Ce projet de loi accorde aux consommateurs de nouveaux droits, tels que l'accès, la rectification et la contestation des décisions automatisées. Il impose également aux entreprises l'obligation de fournir un avis clair, de garantir la sécurité des données, d'obtenir le consentement, de procéder à des évaluations régulières et d'informer les consommateurs des préjudices prévisibles.
Caroline du Nord
La proposition Loi sur la protection de la vie privée des consommateurs de Caroline du Nord (CPA) La loi CPA a été introduite en 2021. Si elle est adoptée, elle s'appliquerait aux entreprises opérant en Caroline du Nord ou ciblant ce pays et traitant les données personnelles d'un certain nombre de consommateurs. Des exemptions sont prévues pour certaines entités et certains types de données, principalement protégés par des lois fédérales comme la loi HIPAA.
Oregon
Début janvier 2023, l’Oregon a introduit SB 619 — qui, si elle est adoptée, s'appliquera aux résidents exerçant des activités non commerciales et aux entreprises opérant en Oregon ou fournissant des services aux résidents de l'Oregon qui traitent les données personnelles des consommateurs. Les principales dispositions comprennent le droit de demander des informations aux responsables du traitement, de corriger les inexactitudes, de supprimer des données et d'exiger le consentement explicite pour les données personnelles sensibles.
Pennsylvanie
La loi de Pennsylvanie sur la protection des données des consommateurs, introduite sous le numéro HB 708 le 20 janvier 2022, vise à accorder aux consommateurs des droits tels que l'accès, la suppression, la rectification, le refus et la portabilité de leurs données personnelles. Elle établit également les principes de traitement des données, impose des pratiques de sécurité, applique les contrats entre responsables du traitement et sous-traitants, exige des évaluations de la protection des données et désigne le procureur général de Pennsylvanie pour l'application de ces droits.
Rhode Island
Le 23 mars 2023, le SB754 a été introduit comme Loi sur la transparence des données et la protection de la vie privée du Rhode IslandLe projet de loi donnerait aux consommateurs de Rhode Island de nouvelles protections importantes, notamment le droit de connaître les informations que les entreprises ont collectées à leur sujet, le droit d'accéder à ces informations, de les corriger et de les supprimer, ainsi que la possibilité d'exiger des entreprises qu'elles honorent les demandes de désinscription des agents autorisés.
Pour découvrir comment BigID peut vous aider à garder une longueur d’avance sur l’évolution de la législation sur la confidentialité : planifiez une démonstration individuelle aujourd'hui.
Auteur
