Loi sur la protection de la vie privée du New Hampshire : Préparation au SB 255

Le New Hampshire est souvent surnommé la « Suisse de l'Amérique ». Cependant, le New Hampshire est loin d'être neutre en matière de confidentialité des données : il est devenu le 14e État à adopter une loi sur la protection de la vie privée avec la loi sur la protection des données. Loi sur la protection de la vie privée du New Hampshire (NHPA) SB 255La nouvelle législation s'aligne étroitement sur Virginie, Connecticut, et le récent décès New Jersey SB 332 loi sur la protection de la vie privée.

L'Assemblée législative du New Hampshire a adopté le projet de loi sénatorial 255 le 18 janvier 2024, qui sera signé par le gouverneur du New Hampshire, Chris Sununu. Une fois signé, le projet de loi entrera en vigueur le 1er janvier 2025.

Qu'est-ce que la loi SB 255 sur la confidentialité des données du New Hampshire ?

La loi NH SB 255 est une loi complète sur la confidentialité des données promulguée par le New Hampshire. Elle vise à protéger les informations personnelles des résidents du New Hampshire et à garantir que les entreprises mettent en œuvre des mesures de protection des données pour préserver les données sensibles. La NHPA vise à améliorer la transparence, la responsabilité et les droits des consommateurs dans tout le New Hampshire en établissant des directives et des exigences claires.

Ce que les entreprises doivent savoir

La NHPA accorde une importance capitale à la protection de la vie privée et des droits en matière de données des résidents du New Hampshire. La loi accorde aux particuliers droits sur les données personnelles et exige que les entreprises soient transparentes sur la collecte, le traitement et la gestion des données.

La NHPA renforce la confidentialité et la sécurité des données dans le New Hampshire. Voici quelques aspects essentiels de la NHPA :

Qui doit s'y conformer ?

La NHPA s'applique aux entreprises qui collectent, utilisent ou partagent les renseignements personnels des résidents du New Hampshire. Plus précisément, une entreprise est soumise à la NHPA si elle :

Exerce des activités dans le New Hampshire ou produit des produits ou des services aux résidents du New Hampshire et, au cours d'une année civile, soit :

• Contrôle ou traite les données personnelles d'au moins 35 000 consommateurs uniques, à l'exclusion des données personnelles contrôlées ou traitées pour réaliser une transaction financière
• Contrôle ou traite les données personnelles d'au moins 10 000 consommateurs uniques et tire plus de 25% de ses revenus de la vente de données personnelles

Exemptions de la NHPA pour les entités spécifiques aux données

• Gouvernement
• organismes sans but lucratif
• Établissements d'enseignement supérieur
• Organisations relevant de la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)
• Institutions financières sous réserve de la Loi Gramm-Leach-Bliley

Il est essentiel pour les entreprises de comprendre si elles sont soumises à la NHPA et de prendre les mesures nécessaires pour se conformer à la nouvelle législation.

Préparation à la conformité à la NHPA

La conformité à la NHPA est essentielle pour les entreprises opérant dans le New Hampshire. Voici quelques exigences essentielles pour y parvenir :

Définition des données personnelles sensibles

La NHPA inclut une définition des données sensibles, similaire aux lois existantes, qui sont des informations qui pourraient potentiellement révéler :

• Racisme ou origine ethnique, croyances religieuses, état de santé mentale ou physique ou diagnostic, vie sexuelle, orientation sexuelle, citoyenneté ou statut d'immigration
• Le traitement de données génétiques ou biométriques pour identifier de manière unique un individu
• Données personnelles collectées auprès d'un enfant connu (moins de 13 ans)
• Données de géolocalisation précises (dans un rayon de 1 750 pieds)

Les entreprises doivent d’abord obtenir le consentement du consommateur (ou du parent au nom d’un enfant) avant de traiter des données sensibles.

Avis de confidentialité

Les organisations sont tenues de fournir aux consommateurs un avis de confidentialité qui comprend :

• Les catégories de données personnelles traitées
• Finalité du traitement des données personnelles
• Les catégories de tiers auxquels les données personnelles sont divulguées
• Les catégories de données personnelles partagées avec des tiers
• Une description de la manière dont les consommateurs peuvent exercer leurs droits à la vie privée et faire appel d'une décision relative à une demande de droits sur les données
• Adresse e-mail ou autre système en ligne (formulaire Web ou portail) que les consommateurs peuvent utiliser pour contacter l'entreprise

Droits des consommateurs

La NHPA accorde aux consommateurs de nombreux droits identiques à ceux prévus par les réglementations nationales existantes, en s'alignant explicitement sur les lois sur la confidentialité de Virginie et du New Jersey.

La NHPA accorde des droits spécifiques en matière de données aux résidents du New Hampshire, notamment :

• Le droit de confirmer quelles données personnelles sont collectées et traitées
• Le droit d'accéder et d'obtenir une copie de leurs informations personnelles dans un format portable et facilement utilisable/transférable
• Le droit de supprimer les données personnelles fournies ou obtenues sur le consommateur
• Le droit de refuser la vente d'informations personnelles, la publicité ciblée et le profilage
• Le droit de corriger les informations personnelles inexactes
• Les consommateurs ont également la droit de ne pas être discriminé pour exercer leurs droits
• Le consentement du consommateur est requis pour les enfants âgés d'au moins treize ans mais de moins de seize ans lors du traitement de données à des fins de publicité ciblée ou de vente de données personnelles.
• La NHPA exige le respect des Loi sur la protection de la vie privée des enfants en ligne (COPPA), qui s'applique aux données personnelles d'un enfant connu de moins de 13 ans

Délais de demande, appels et agents autorisés

Calendrier des demandes de droits sur les données

Une organisation doit se conformer à une demande de données pour que le consommateur puisse exercer ses droits rapidement :

• Une entreprise doit répondre rapidement au consommateur mais au plus tard 45 jours après recevoir la demande.
• L'entreprise peut prolonger le délai de réponse en 45 jours supplémentaires lorsque cela est raisonnablement nécessaire. Elle doit néanmoins informer le consommateur de toute prolongation dans le délai initial de réponse de 45 jours et du motif de cette prolongation.
• Supposons qu'une entreprise refuse de répondre à la demande d'un consommateur. Dans ce cas, elle doit en informer le consommateur. au plus tard 45 jours après réception de la demande, avec la justification du refus et instructions sur la manière de faire appel de la décision.

Processus d'appel

• Une organisation doit mettre en place une procédure permettant au consommateur de faire appel d'un refus d'action dans un délai raisonnable après réception de la décision. Conformément à la loi, cette procédure d'appel doit être facilement accessible et similaire à celle de dépôt d'une demande d'action.
• Dans les 60 jours suivant la réception d'un appel, une entreprise doit informer le consommateur par écrit de toute mesure prise ou non en réponse à l'appel, y compris une explication écrite des motifs des décisions.
• Si l’appel est rejeté, une organisation doit également fournir au consommateur un mécanisme en ligne, s’il est disponible, ou une autre méthode par laquelle le consommateur peut contacter le procureur général pour déposer une plainte.

Agent autorisé

• Un consommateur peut désigner un agent autorisé pour exercer ses droits de refuser le traitement de ses données en son nom.
• Lors du traitement des données personnelles d'un enfant connu, le parent ou le tuteur légal peut exercer ces droits de consommateur au nom de l'enfant.
• Un consommateur peut également désigner une autre personne pour agir en tant qu'agent autorisé du consommateur et agir en son nom pour refuser le traitement des données personnelles.
• Un responsable du traitement doit se conformer à une demande de retrait reçue d'un agent autorisé si le responsable du traitement peut vérifier, avec des efforts commercialement raisonnables, l'identité du consommateur et l'autorité de l'agent autorisé à agir au nom de ce consommateur.

Obligations commerciales

La NHPA impose des obligations commerciales très similaires à celles des autres États. Ces responsabilités incluent les exigences suivantes :

1. Limiter la collecte de données personnelles à ce qui est adéquat, pertinent et raisonnablement nécessaire.
2. Établir, mettre en œuvre et maintenir des pratiques de sécurité des données.
3. Fournir une solution efficace Mécanisme de retrait universel (UOOM) pour que les consommateurs puissent refuser leur consentement.
4. Interdire le traitement des données personnelles en violation des lois interdisant la discrimination illégale à l’encontre des consommateurs et s’abstenir de toute discrimination à l’encontre des consommateurs qui exercent leurs droits.
5. Interdire le traitement des données personnelles des consommateurs à des fins de publicité ciblée ou de vente sans consentement, en particulier lorsque le consommateur a au moins 13 ans mais moins de 16 ans.

Exigences en matière d'évaluation de la protection des données

La NHPA exige la documentation d'une évaluation de la protection des données afin d'identifier les risques potentiels pour les consommateurs si l'activité de traitement des données présente un risque accru de préjudice. Un « risque accru » comprend :

• Publicité ciblée
• Profilage
• Vente de données personnelles
• Traitement des données sensibles

Les évaluations doivent être présentées au procureur général du New Hampshire sur demande.

Application de la loi NHPA

Le procureur général du New Hampshire dispose d'un pouvoir exclusif d'exécution. Jusqu'à fin 2025, il doit fournir aux organisations un préavis de 60 jours et un délai de correction avant de prendre toute mesure en réponse à une violation, si une correction est possible. À compter du 1er janvier 2026, le procureur général pourra fournir un préavis avec la possibilité de corriger la situation. Conformément à l'article 358-A:4, le non-respect de la NHPA ne dépassera pas 10 000 £ par violation.

Comment BigID aide les organisations à se conformer à la loi SB255 du New Hampshire

Bien que la NHPA soit similaire à plusieurs autres lois étatiques sur la protection de la vie privée, les organisations doivent néanmoins prendre les mesures nécessaires pour se conformer aux spécificités de la loi du New Hampshire sur la protection de la vie privée des consommateurs. BigID permet aux organisations de se préparer proactivement à la NHPA afin d'être en conformité grâce à sa plateforme brevetée d'automatisation de la protection de la vie privée basée sur l'identité. Avec BigID, les entreprises peuvent :

• Découvrez NH Data : Découverte et classification des données de BigID offre une visibilité complète sur toutes les informations personnelles et sensibles soumises à la NHPA.
• Appliquer les politiques de la NHPA : Réduisez les risques liés aux politiques grâce à des contrôles et des flux de travail de correction des données pour garantir la conformité aux exigences de la NHPA.
• Automatiser la gestion des droits sur les données : BigID permet aux organisations de gérer automatiquement les demandes de confidentialité, les préférences et le consentement, y compris UOOM permettant aux consommateurs de refuser les ventes de données, la publicité ciblée et le profilage.
• Réduire les données : Exécutez la minimisation des données en identifiant et en catégorisant les données personnelles inutiles ou excessives pour gérer le cycle de vie des données, de la conservation à la suppression.
• Mettre en œuvre des contrôles de protection des données : BigID fournit des contrôles automatisés de protection des données pour appliquer des contrôles d'accès aux données et d’autres mesures de sécurité, qui sont essentielles pour protéger les données et se conformer à la NHPA.
• Évaluer les risques : Offres BigID évaluations automatisées de l'impact sur la vie privée, des rapports d'inventaire de données et des flux de travail de correction pour identifier les risques et les signaler au procureur général du New Hampshire.

Planifiez une démonstration individuelle pour voir comment BigID peut vous aider à vous conformer à la NHPA.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.