DPDPA du Delaware : La confidentialité des résidents avant tout

Depuis l’introduction de législations historiques comme la Règlement général sur la protection des données (RGPD) en 2016 et Loi californienne sur la protection de la vie privée des consommateurs (CCPA) en 2018, plusieurs États américains Plusieurs États ont adopté leurs propres mesures dans l'espoir de mieux protéger la confidentialité des données de leurs citoyens. Le Delaware est l'un des derniers États à rejoindre ce mouvement, avec l'adoption de la loi sur la confidentialité des données personnelles du Delaware (DPDPA) le 11 septembre 2023.

Dans ce guide complet, nous nous plongeons dans les subtilités de la DPDPA, en la comparant à ses homologues : la GDPR et le CCPANous explorerons à qui s'applique la DPDPA, ses exemptions et ses seuils, les droits qu'elle accorde aux individus, et bien plus encore.

Qu'est-ce que la loi sur la confidentialité des données personnelles du Delaware ?

La DPDPA fait du Delaware le 13e État à adopter une loi complète sur la confidentialité des données des consommateurs, rejoignant ainsi Californie, Virginie, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Floride, Texaset Oregon. À la base, la loi sur la confidentialité des données personnelles du Delaware (DPDPA) est une législation historique conçue pour améliorer la protection des données personnelles et les droits à la vie privée des individus dans l'État du Delaware.

Inspiré du RGPD et du CCPA, le DPDPA impose des exigences strictes aux organisations qui traitent des données personnelles, exigeant la transparence, la responsabilité et des mesures proactives pour protéger les informations sensibles. La DPDPA entrera en vigueur le 1er janvier 2025.

Comment le DPDPA se compare-t-il au RGPD et au CCPA ?

Comme la grande majorité des lois sur la confidentialité des données, la loi du Delaware sur la confidentialité des données suit le règlement général sur la protection des données (RGPD) de l'UE en ce qui concerne la définition du consentement valide : « un acte affirmatif clair signifiant l'accord librement donné, spécifique, éclairé et sans ambiguïté d'un consommateur pour permettre le traitement des données personnelles le concernant. »

Contrairement à la CCPA (Californie), la DPDPA ne prévoit pas de seuil distinct pouvant être déclenché uniquement sur la base du chiffre d'affaires annuel. De même, contrairement à la CCPA, la loi du Delaware exclut de la définition de « consommateur » les personnes physiques agissant dans un contexte commercial ou professionnel, faisant de la Californie le seul État dont la loi générale sur la protection de la vie privée couvre les données personnelles dans le contexte des ressources humaines, de l'emploi et du B2B.

À qui s'applique la loi sur la protection de la vie privée du Delaware ?

La DPDPA s'appliquera aux entités qui exercent des activités dans l'État du Delaware et qui contrôlent ou traitent les données personnelles d'au moins 35 000 consommateurs ou contrôlent ou traitent les données personnelles d'au moins 10 000 consommateurs et tirent plus de 20 % de leur chiffre d'affaires brut de la vente de données personnelles.

La loi sur la confidentialité du Delaware exige que le ministère de la Justice du Delaware s'engage dans une action de sensibilisation du public pour informer les consommateurs et le monde des affaires sur la loi au moins 6 mois avant la date d'entrée en vigueur du DPPA.

Exemptions et seuils de la DPDPA

Bien que la DPPA impose des obligations strictes aux responsables du traitement et aux sous-traitants, certaines exemptions et certains seuils peuvent s'appliquer dans des circonstances particulières. Les entités exemptées et leurs services comprennent :

• Les organismes gouvernementaux, y compris les organismes réglementaires, administratifs, législatifs ou judiciaires
• Organismes de santé publique Institutions financières (également entités et sociétés affiliées soumises à la GLBA)
• Presse, dépêches ou autres services d'information (et activités non commerciales des entités médiatiques)
• Victimes ou témoins d'activités criminelles

Les réglementations exemptées (et les données traitées en rapport avec celles-ci) comprennent :

• Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)
• Loi Gramm-Leach-Bliley (GLBA)
• Loi sur les rapports de solvabilité équitables (FCRA)
• Loi sur la protection de la vie privée des conducteurs
• Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA)
• Loi sur le crédit agricole
• Loi sur la déréglementation du transport aérien

Droits individuels en vertu de la loi sur la protection de la vie privée du Delaware

La loi du Delaware sur la protection des données personnelles accorde aux résidents du Delaware, appelés « consommateurs », des droits spécifiques d'accès et de contrôle concernant leurs données personnelles. Les consommateurs ont le droit d'adresser des demandes authentifiées à un responsable du traitement, notamment :

• Vérifier si le responsable du traitement traite ses données et accède à leurs données
• Rectification de toute donnée personnelle inexacte
• Suppression des données personnelles
• Recevoir une copie de leurs données personnelles (portabilité des données)
• Recevoir une liste des catégories de tiers avec lesquels le responsable du traitement a partagé leurs données personnelles
• Refuser le traitement de leurs données personnelles à des fins de publicité ciblée, de vente ou de profilage pour des décisions exclusivement automatisées ayant des effets juridiques significatifs

Les responsables du traitement sont tenus de répondre aux demandes des consommateurs visant à exercer ces droits dans un délai de 45 jours, avec la possibilité de prolonger ce délai de 45 jours supplémentaires si nécessaire en raison de la complexité ou du volume des demandes.

Traitement des données et exigences de consentement en vertu de la DPDPA

À l'instar de plusieurs autres lois américaines sur la protection des données, la loi du Delaware sur la protection des données personnelles impose aux responsables du traitement de conclure des contrats avec les sous-traitants afin de réglementer le traitement des données. Ces contrats, en vertu de la loi du Delaware sur la protection des données personnelles, doivent préciser explicitement les instructions relatives au traitement des données personnelles, la finalité et la nature du traitement, les catégories de données concernées, la durée du traitement, ainsi que les droits et responsabilités respectifs des parties concernées.

En outre, ces contrats doivent inclure des dispositions relatives à la confidentialité et stipuler que les sous-traitants ne peuvent engager des sous-traitants qu'après avoir obtenu l'approbation du responsable du traitement et conclu un accord écrit garantissant que le sous-traitant respecte les obligations du sous-traitant concernant les données personnelles.

Loi du Delaware sur la protection et la confidentialité en ligne

Le 1er janvier 2016, la loi du Delaware sur la protection et la confidentialité en ligne (« DOPPA ») est entrée en vigueur. Elle offre une protection renforcée de la vie privée en ligne à ses habitants. Cette nouvelle loi visait trois domaines de conformité : (1) la publicité destinée aux enfants ; (2) l'affichage visible d'une politique de confidentialité conforme ; et (3) le renforcement de la protection de la vie privée des utilisateurs de livres numériques (« e-books »). Elle a conféré à l'Unité de protection des consommateurs du ministère de la Justice de l'État le pouvoir d'enquêter et de poursuivre les infractions à la loi.

En vertu de la DOPPA, les opérateurs de sites Web et d'applications qui destinaient leurs services aux enfants devaient s'assurer qu'ils ne faisaient pas de publicité ni de commercialisation de certains contenus énumérés considérés par la loi comme inappropriés pour les enfants, tels que l'alcool, le tabac, les armes à feu, la pornographie et une multitude d'autres catégories délimitées par la loi.

Comment les données personnelles sont-elles définies par la législation ?

Les données personnelles, telles que définies dans la DPDPA, font référence à « toute information qui est liée ou raisonnablement rattachable à une personne identifiée ou identifiable, et n’incluent pas les données dépersonnalisées ou les informations accessibles au public ».

Conséquences du non-respect de la DPDPA

À l'instar de nombreuses autres lois des États américains sur la confidentialité des données, la loi du Delaware sur la confidentialité des données personnelles ne prévoit pas de droit d'action privé. Le pouvoir d'application de la loi est exclusivement dévolu au ministère de la Justice du Delaware. Jusqu'au 31 décembre 2025, le ministère de la Justice est tenu d'émettre un avis de violation et d'accorder aux responsables du traitement un délai de 60 jours pour remédier à la violation, s'il estime que cette réparation est possible. À compter du 1er janvier 2026, le ministère de la Justice peut, à sa discrétion, offrir la possibilité de remédier à une violation présumée.

En vertu de la loi du Delaware sur la protection des données personnelles, le ministère de la Justice du Delaware est habilité à enquêter sur les violations et à engager des poursuites conformément à la loi sur la protection des consommateurs du Delaware. Ce pouvoir permet de délivrer des ordonnances de cessation et d'abstention, d'exercer des recours administratifs, d'engager des poursuites judiciaires et d'établir les règles et réglementations nécessaires. En cas de procédure judiciaire, un tribunal peut imposer des sanctions civiles pouvant atteindre 10 000 dollars américains par violation intentionnelle.

Meilleures pratiques pour atténuer les risques

La mise en œuvre de mesures proactives pour atténuer les risques liés à la loi du Delaware sur la protection des données personnelles (DPDPA) est essentielle pour garantir la conformité et la protection des données sensibles. Voici quelques bonnes pratiques à suivre :

• Effectuer un inventaire complet des données : Commencez par réaliser un inventaire complet de toutes les données personnelles collectées, traitées et stockées par votre organisation. Identifiez où se trouvent ces données, comment elles sont utilisées et qui y a accès.
• Mettre à jour les politiques et avis en matière de protection de la vie privée : Assurez-vous que les politiques et avis de confidentialité de votre organisation sont mis à jour pour refléter les exigences de la DPDPA. Expliquez clairement aux individus comment leurs données personnelles sont collectées, traitées et protégées.
• Obtenir un consentement valide : Mettre en œuvre des procédures pour obtenir le consentement valable des personnes avant le traitement de leurs données personnelles. Le consentement doit être spécifique, éclairé et donné librement, conformément aux exigences de la DPDPA.
• Établir des politiques de conservation des données : Élaborez des politiques claires de conservation des données, précisant la durée de conservation des données personnelles et les critères de suppression. Assurez-vous que les données ne sont pas conservées plus longtemps que nécessaire pour atteindre leur finalité.

L'approche de BigID pour atteindre la conformité

Bien que la DPDPA soit similaire à plusieurs autres lois sur la confidentialité des États, les organisations doivent toujours prendre les mesures nécessaires pour se conformer aux aspects spécifiques de la loi sur la confidentialité du Delaware. BigID permet aux organisations de se préparer de manière proactive à la DPDPA pour se conformer à sa plateforme leader du secteur pour confidentialité des données, sécuritéet gouvernanceAvec BigID, vous pouvez :

• Découvrez vos données : BigID's découverte et classification des données offre une visibilité complète sur toutes les informations personnelles et sensibles soumises à la DPDPA.
• Réduire les données : Mettez en œuvre la minimisation des données en identifiant et en catégorisant les données personnelles ROT inutiles pour gérer le cycle de vie des données, de la conservation à la suppression.
• Automatiser la gestion des droits sur les données : BigID permet aux organisations de gérer les demandes de confidentialité, les préférences et le consentement, y compris UOOM permettant aux consommateurs de refuser les ventes de données, la publicité ciblée et le profilage.
• Mettre en œuvre le DSPM : BigID fournit gestion de la posture de sécurité des données de nouvelle générationt pour protéger toutes vos données sensibles dans l'ensemble du paysage de votre entreprise, que ce soit dans le cloud ou sur site afin que vous puissiez mieux protéger vos données et vous conformer à la DPDPA.
• Évaluer les risques : BigID propose des évaluations automatisées de l'impact sur la confidentialité, des rapports d'inventaire des données et flux de travail de remédiation identifier les risques et les signaler au ministère de la Justice du Delaware.

Pour découvrir comment BigID peut vous aider à vous conformer à la DPDPA : planifiez dès aujourd'hui un entretien individuel avec nos experts en confidentialité des données.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.