Loi sur la protection des données des consommateurs du Kentucky (KY CDPA) : Ce que vous devez savoir

Le Kentucky est connu pour son Derby, mais le paysage américain de la confidentialité des données est une véritable course de chevaux entre États. Le Kentucky a adopté la loi sur la confidentialité des données des consommateurs (KY CDPA), devenant ainsi le quatorzième État à adopter une loi sur la confidentialité des données.

La législature du Kentucky a adopté Projet de loi 15 de la Chambre le 4 avril 2024, signé par le gouverneur Andy Beshar. La KCDPA entrera en vigueur le 1er janvier 2026.

Qu'est-ce que la loi KY HB 15 sur la confidentialité des données des consommateurs (KCDPA) ?

La loi KY HB 15 n'est pas une simple loi de plus sur la confidentialité des données ; c'est une législation complète et rigoureuse promulguée par le Kentucky. La KCDPA vise à protéger les données personnelles des résidents du Kentucky et à garantir que les entreprises mettent en œuvre des mesures strictes de protection des données. Véritable modèle de transparence, de responsabilité et de respect des droits des consommateurs, elle établit des directives et des exigences claires dans tout l'État.

Ce que les entreprises doivent savoir sur la KCDPA

La KCDPA est essentielle à la protection de la vie privée des résidents du Kentucky. Elle confère aux individus des droits sur leurs les informations personnelles et exige des entreprises qu'elles soient transparentes sur l'utilisation, la collecte et le traitement des données. Ces nouvelles mesures de confidentialité renforcées offrent aux consommateurs un meilleur contrôle sur leurs données.

La KCDPA introduit plusieurs dispositions essentielles qui renforcent la confidentialité et la sécurité des données au Kentucky. Voici quelques aspects essentiels de la loi :

Qui doit s'y conformer ?

La loi KY CDPA s'applique aux entreprises qui collectent, utilisent ou partagent les informations personnelles des résidents du Kentucky. Les entreprises sont soumises à la loi KY HB 15 si elles :

Exerce des activités commerciales dans le Kentucky ou produit des produits ou des services destinés aux résidents du Kentucky, soit :

• Contrôle ou traite les informations personnelles d'au moins 100 000 kY consommateurs, à l’exclusion des données personnelles traitées pour réaliser une transaction.
• Contrôle ou traite les données personnelles d'au moins 25 000 consommateurs du Kentucky, et le contrôleur gagne 50% de revenus bruts provenant de la vente d'informations personnelles.

Préparation à la conformité KCDPA

Le respect de la KCDPA est crucial pour les entreprises opérant dans le Kentucky. La loi peut entraîner des amendes et des pénalités importantes, ainsi qu'une atteinte à la réputation des organisations qui ne s'y conforment pas. Voici quelques points clés à prendre en compte pour se conformer :

Avis de confidentialité

La loi du Kentucky exige que les organisations fournissent aux consommateurs une information « accessible, claire et significative » avis de confidentialité, qui comprend :

• Les catégories de données personnelles traitées
• Finalité du traitement des données
• Les catégories de tiers auxquels les données personnelles peuvent être divulguées
• Les catégories de données qu'il peut divulguer
• Les informations sur la manière dont les consommateurs peuvent exercer leurs droits et faire appel des décisions.

Minimisation des données

La législation exige que les entreprises limitent la collecte de données personnelles à ce qui est considéré comme « adéquat, pertinent et raisonnablement nécessaire », à moins que les entreprises n’aient obtenu le consentement du consommateur.

Sécurité et protection des données

Les organisations doivent établir et maintenir des pratiques de sécurité des données pour protéger les données personnelles et empêcher l'accès non autorisé.

Protection des données et évaluations des risques

La KCDPA fait actuellement référence à ses évaluations de la protection des données (DPA) comme analyses d'impact sur la protection des données (AIPD), similaire au RGPD. Les entreprises doivent mener un DPA sur les données personnelles traitées, créées ou générées à compter du 1er juin 2026, susceptibles de nuire aux consommateurs et de présenter un risque accru, notamment le traitement de données sensibles, le profilage, la vente de données et la publicité ciblée.

Application de la loi KCDPA et amendes

Le procureur général (« PG ») est seul compétent pour faire appliquer la Loi. Il peut intenter une action en dommages-intérêts pouvant atteindre 1 TP4T7 500 par infraction continue. L'organisation doit être avisée par écrit des infractions potentielles et bénéficie d'un délai de 30 jours pour y remédier.

Droits des consommateurs du Kentucky

La KCDPA accorde aux résidents du Kentucky des droits spécifiques sur leurs informations personnelles, notamment :

• Le droit à confirmer si une entreprise traite ou non les données personnelles des consommateurs
• Le droit à accéder données personnelles à moins que la confirmation et l'accès ne révèlent un secret commercial
• Le droit à correct inexactitudes dans les données personnelles du consommateur
• Le droit à supprimer données personnelles sur le consommateur
• Le droit à portabilité des données dans lequel le consommateur doit pouvoir obtenir une copie de ses données personnelles
• Le droit à se retirer du traitement des données personnelles à des fins de publicité ciblée, de vente de données personnelles ou de profilage en vue de décisions produisant des effets juridiques ou des effets similaires significatifs concernant le consommateur
• Le droit de ne pas être discriminé pour exercer tout droit du consommateur.
• En outre, les entreprises ne doivent pas traiter de données sensibles concernant un consommateur sans obtenir son consentement, ni traiter des données sensibles collectées auprès d'un enfant. Les données des enfants doivent être traitées conformément à la législation fédérale. Loi sur la protection de la vie privée des enfants en ligne (COPPA)

Les entreprises doivent répondre au consommateur sans délai, mais dans tous les cas dans les quarante-cinq (45) jours suivant la réception de la demandeLes informations fournies en réponse à une demande d’un consommateur doivent être fournies gratuitement, jusqu’à deux fois par an par consommateur.

Processus d'appel

Les entreprises doivent mettre en place une procédure permettant aux consommateurs de contester le refus de donner suite à une demande dans un délai raisonnable après réception de la décision. Cette procédure d'appel devrait être disponible selon un processus et un format similaires à ceux utilisés pour soumettre une demande de droits relatifs aux données. Dans les soixante (60) jours suivant la réception d'un appel, une entreprise doit informer le consommateur par écrit de toute mesure prise en réponse à l’appel, y compris une explication écrite des motifs des décisions.

Comment BigID aide les organisations à se conformer à la loi du Kentucky sur la protection des données des consommateurs

BigID permet aux organisations de se préparer de manière proactive à la KCDPA et de se conformer à une plateforme brevetée d'automatisation de la confidentialité tenant compte de l'identitéAvec BigID, les entreprises peuvent :

• Identifier toutes les données : Découvrir et classer données pour créer un inventaire, cartographier les flux de données et obtenir une visibilité sur toutes les informations personnelles et sensibles soumises aux exigences du KCDPA.
• Appliquer les politiques : Corrigez les risques liés aux politiques grâce à des contrôles et des flux de travail pour prendre des mesures conformément aux exigences de la KCDPA.
• Automatiser la gestion des droits sur les données : Gérer automatiquement les demandes, les préférences et le consentement en matière de protection de la vie privée, y compris le refus de la vente de données, de la publicité ciblée et du profilage des utilisateurs.
• Réduire les données : Appliquer les pratiques de minimisation des données en identifiant, catégorisant et supprimer les données à caractère personnel inutiles ou excessives pour gérer efficacement le cycle de vie des données.
• Mettre en œuvre des contrôles de protection des données : Automatisez les contrôles de protection des données pour renforcer l'accès aux données et d'autres mesures de sécurité, qui sont essentielles pour protéger les données et se conformer à la KCDPA.
• Évaluer les risques : Automatisez les évaluations d'impact sur la vie privée, les rapports d'inventaire des données et flux de travail de remédiation identifier et remédier aux risques afin de maintenir la conformité.

Planifiez une démonstration individuelle pour voir comment BigID peut accélérer votre conformité avec KCDPA.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.