Au dernier jour de sa session législative de 2021, le «capitale mondiale du melon, autrement connu sous le nom d'État du Colorado, a obtenu le sceau d'approbation pour mettre en œuvre la troisième loi complète sur la confidentialité des consommateurs aux États-Unis.
Promulguée par le gouverneur Jared Polis le 7 juillet, la Loi sur la protection de la vie privée du Colorado (CPA) Cela prend une importance particulière à la lumière des récents échecs de projets de loi similaires à Washington, en Floride et à New York — et alors que le temps continue de tourner pour des efforts similaires dans d’autres législatures d’État.
Qu'est-ce que la loi sur la protection de la vie privée du Colorado (CPA) ?
Le CPA est calqué sur l'échec Loi sur la protection de la vie privée de l'État de Washington et Loi de Virginie sur la protection des données des consommateurs (CDPA), avec quelques différences clés.
La loi s'applique aux « contrôleurs de données » qui exercent des activités dans le Colorado ou fournissent des produits ou des services qui ciblent intentionnellement les résidents du Colorado — et soit :
- contrôler ou traiter les données personnelles de 100 000 résidents du Colorado ou plus chaque année ; ou
- générer des revenus ou recevoir une remise sur le prix des biens ou des services à partir de la « vente » de données personnelleset traiter ou contrôler les données personnelles de 25 000 résidents du Colorado ou plus.
Champ d'application et exemptions de la CPA
La CPA définit le terme « consommateur » comme une personne physique résidant au Colorado et agissant à titre individuel ou familial. N'incluant pas les personnes agissant dans un contexte commercial ou professionnel, la loi prévoit une exclusion pour les contextes professionnel et interentreprises.
Contrairement à l’exclusion limitée du modèle californien en vertu de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA)La CPA du Colorado contient plusieurs exclusions substantielles, y compris une exclusion complète pour les institutions financières soumises à la loi fédérale Loi Gramm-Leach-Bliley (GLBA). En ce qui concerne les données de santé couvertes par la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)), cependant, la CPA n'inclut pas d'exclusion complète pour soins de santé organisations — seuls certains types de services de santé et informations destinées aux patients.
Définitions des données selon la CPA
Données personnelles — En vertu de la LPC, les données personnelles désignent : « les informations qui sont liées ou raisonnablement liées à une personne identifiée ou identifiable ».
Données sensibles — CPA définit données sensibles comme:
- données personnelles révélant l'origine raciale ou ethnique, les croyances religieuses, le diagnostic de santé mentale ou physique, la vie sexuelle ou l'orientation sexuelle, ou le statut de citoyenneté
- données génétiques ou biométriques susceptibles d'être traitées dans le but d'identifier de manière unique un individu
- données personnelles d'un enfant connu
Contrairement à la loi CDPA de Virginie et à la future loi californienne sur la protection de la vie privée (CPRA), cette définition des données sensibles n'inclut pas de géolocalisation précise, ce qui crée une différence significative pour les responsables du traitement quant à la manière dont ils étiquettent et qualifient leurs données en fonction de leur lieu de résidence. Il est à noter que les responsables du traitement ne peuvent traiter les données sensibles qu'avec le consentement du consommateur, ou le consentement parental donné par le parent ou le tuteur légal de l'enfant.
Exigences de la loi sur la protection de la vie privée du Colorado
Droits des données
Les consommateurs du Colorado peuvent exercer leur droits sur les données en soumettant des demandes formelles, et les responsables du traitement doivent agir sur une demande dans un délai de 45 jours. Droits des consommateurs en ce qui concerne les données personnelles, ils comprennent le droit de :
- refuser certains traitements de données personnelles
- accéder aux données personnelles
- corriger les données personnelles inexactes
- supprimer les données personnelles ; et
- portabilité des données
Les responsables du traitement sont soumis à des exigences de transparence supplémentaires, dans lesquelles ils doivent divulguer de manière claire et significative des types spécifiques de pratiques, ainsi que la manière dont les consommateurs peuvent exercer leurs droits.
La CPA n’exige pas spécifiquement une page « ne pas vendre mes informations » comme la loi californienne, mais le procureur général du Colorado devrait annoncer des règles détaillant les spécifications techniques d’un ou plusieurs « mécanismes de désinscription universels ».
Exigences pour les responsables du traitement des données
Évaluations de la protection des données — La CPA proposée oblige les responsables du traitement à effectuer des évaluations de la protection des données impliquant des données personnelles pour chacune des activités de traitement suivantes :
- le traitement des données personnelles à des fins de publicité ciblée
- la vente de données personnelles
- le traitement de données à caractère personnel à des fins de profilage lorsque ce profilage présente un risque raisonnablement prévisible de préjudice important pour les consommateurs
- le traitement des données sensibles
- toute activité de traitement impliquant des données personnelles qui présente un risque accru de préjudice pour le consommateur
Spécification de l'objectif — Un responsable du traitement doit préciser la finalité expresse pour laquelle les données à caractère personnel sont collectées et traitées — une exigence qui est conforme à la législation de l'UE Règlement général sur la protection des données (RGPD) et les principes de pratiques équitables en matière d’information.
Minimisation des données — La collecte de données à caractère personnel par un responsable du traitement doit être adéquate, pertinente et limitée à ce qui est raisonnablement nécessaire au regard de la finalité spécifiée et expresse pour laquelle ces données sont traitées.
Obligation d'éviter l'utilisation secondaire — Un responsable du traitement ne peut pas traiter des données à caractère personnel à des fins qui ne sont pas raisonnablement nécessaires ou compatibles avec les finalités spécifiées pour lesquelles les données à caractère personnel sont traitées sans obtenir au préalable le consentement.
Devoir de diligence — Le devoir de vigilance se prolonge par des exigences de sécurité. Les responsables du traitement comme les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité proportionnel au risque. Pour de nombreuses entreprises, ce type d'exigence de sécurité des données existe déjà. Informations personnelles identifiables (IPI) en vertu de la loi sur la sécurité des données du Colorado. Cependant, la définition de « données personnelles » au sens du CPA est nettement plus large que celle des PII au sens de la loi sur la sécurité des données du Colorado.
Exigences supplémentaires pour les sous-traitants de données
Comme pour la CDPA de Virginie et le RGPD de l'UE, les sous-traitants sont tenus de respecter les obligations du CPA et d'aider les responsables du traitement à s'y conformer. Cela nécessite également un contrat écrit précisant :
- quelles données personnelles seront traitées
- comment les données seront traitées et conservées
- droits d'audit/de conformité
Application et date d'entrée en vigueur de la CPA
Tout comme la CDPA de Virginie, la CPA du Colorado est exécutoire par voie d'action civile intentée par le procureur général de l'État. Bien que les consommateurs ne disposent pas d'un droit d'action privé, le procureur général et les procureurs de district disposent de pouvoirs d'exécution exclusifs, pouvant entraîner jusqu'à 20 000 TP4T par infraction, chaque consommateur concerné constituant une infraction distincte. La sanction maximale est de 500 000 TP4T pour une série d'infractions liées.
À l'instar de la loi californienne, le procureur général du Colorado est habilité à promulguer des règles pour la mise en œuvre du CPA. De plus, il est explicitement tenu d'adopter des règles relatives aux spécifications techniques des mécanismes de retrait universel au plus tard le 1er juillet 2023. S'il le souhaite, le bureau du procureur général peut également créer ses propres règles et directives pour aider les entreprises à se conformer au CPA ; ces règles doivent être publiées d'ici janvier 2025.
Pour les entreprises qui se conforment pour la première fois à une réglementation étatique sur la protection de la vie privée, la CPA nécessitera des modifications importantes. Les règles du procureur général du Colorado fourniront davantage de directives, mais les entreprises doivent dès maintenant s'assurer de maîtriser parfaitement leurs politiques de collecte et d'utilisation des données, ainsi que leurs politiques documentées, afin de se préparer à respecter leurs obligations de conformité futures.
Alors que les entreprises déjà soumises à CPRA, CDPAet GDPR aura une longueur d'avance dans la préparation de la nouvelle loi, en élaborant une stratégie proactive pour se conformer aux dispositions uniques de la CPA - et son intégration dans la matrice des réglementations existantes en matière de confidentialité - sera essentielle.
Obtenez un Démonstration 1:1 pour voir comment BigID aide les organisations à répondre aux exigences à venir en matière de conformité CPA — et à créer un programme de confidentialité proactif pour les entreprises actuelles et émergentes règlements.