Quand la plupart des Américains pensent au New Jersey, « Jersey Shore » semble toujours venir à l'esprit. Jusqu'à présent, le New Jersey était le treizième État à adopter une loi sur la confidentialité des données des consommateurs.
La législature du New Jersey a adopté le projet de loi 332 du Sénat le 8 janvier 2024 et a été signé par le gouverneur du New Jersey, Phil Murphy, le 16 janvier 2024. La loi entrera en vigueur un an après sa promulgation. 16 janvier 2025.
Qu'est-ce que la loi SB 332 sur la confidentialité des données du New Jersey ?
La loi SB 332 du New Jersey est une loi complète sur la confidentialité des données, promulguée par l'État du New Jersey. Elle vise à protéger les informations personnelles des résidents du New Jersey et à garantir que les entreprises adoptent des mesures rigoureuses de protection des données pour préserver les données sensibles. En établissant des directives et des exigences claires, la loi S332 du New Jersey vise à renforcer la transparence, la responsabilité et les droits des consommateurs.
Ce que les entreprises doivent savoir
Le projet de loi SB 332 du New Jersey accorde une importance capitale à la protection de la vie privée des résidents du New Jersey. Cette loi confère des droits aux individus en leur accordant des droits sur leurs données personnelles et en exigeant des entreprises une transparence sur la collecte, le traitement et l'utilisation des données. Grâce à des mesures de confidentialité renforcées, les consommateurs auront davantage de contrôle sur leurs données personnelles.
Le projet de loi NJ SB 332 introduit plusieurs dispositions essentielles qui renforcent la confidentialité et la sécurité des données dans le New Jersey. Voici quelques aspects essentiels de la loi :
Qui doit s'y conformer ?
La loi NJ SB332 s'applique aux entreprises qui collectent, utilisent ou partagent les informations personnelles des résidents du New Jersey. Plus précisément, une entreprise est soumise à la loi NJ SB332 si elle :
Exerce des activités dans le New Jersey ou produit des produits ou des services pour les résidents du New Jersey et, au cours d'une année civile, soit :
- Contrôle ou traite les informations personnelles d'au moins 100 000 consommateurs du New Jersey, à l'exclusion des données personnelles traitées aux fins de conclure une transaction ; ou
- Contrôle ou traite les données personnelles d'au moins 25 000 consommateurs du New Jersey, et le responsable du traitement tire des revenus de la vente d'informations personnelles, ou reçoit une remise sur le prix de tout bien ou service, provenant de la vente de données personnelles.
La loi exclut les données des organismes à but non lucratif, des entités gouvernementales et de certaines entités réglementées.
Il est essentiel pour les organisations de comprendre si elles sont soumises au NJ SB332 et de prendre les mesures nécessaires pour se conformer à la nouvelle législation.
Préparation à la conformité à la norme SB 332 du New Jersey
Le respect de la loi SB332 du New Jersey est crucial pour les entreprises opérant dans le New Jersey. Le non-respect de cette loi peut entraîner des sanctions importantes et porter atteinte à la réputation des organisations. Voici quelques points essentiels à prendre en compte pour garantir la conformité :
Avis de confidentialité
Les organisations sont tenues de fournir un avis de confidentialité qui décrit :
- les catégories de données personnelles traitées
- la finalité du traitement
- les catégories de tiers auxquels les données personnelles sont divulguées
- les catégories de données personnelles partagées avec des tiers
- comment les consommateurs peuvent exercer leurs droits et faire appel d'une décision relative à une demande de droits sur les données
- comment l'organisation informe les consommateurs des modifications importantes apportées à l'avis de confidentialité
- les organisations doivent fournir une adresse e-mail ou un autre système en ligne (formulaire Web ou portail) que le consommateur peut utiliser pour contacter l'entreprise
Évaluations de la protection des données
Les entreprises doivent procéder régulièrement à des évaluations de la protection des données (APD) afin d'identifier et de corriger rapidement les vulnérabilités. La loi exige explicitement une APD lors du traitement de données présentant un risque accru de préjudice pour les consommateurs. Ces évaluations doivent être présentées au procureur général du New Jersey sur demande.
Mécanismes de retrait universel (UOOM)
Mécanismes de retrait universel Un débat permanent a eu lieu entre les différentes législatures des États, donnant lieu à plusieurs litiges. Si le New Jersey soutient les UOOM non seulement pour la publicité ciblée et la vente de données personnelles, leur champ d'application est élargi pour inclure la possibilité de se désinscrire du profilage utilisateur, une première parmi les lois de l'État. Cette loi autorise Division des affaires des consommateurs du procureur général du New Jersey d'appliquer les règles et règlements concernant les spécifications techniques de l'UOOM.
En outre, sous NJ SB332, une UOOM ne doit « pas utiliser un paramètre par défaut qui autorise un consommateur à traiter [à des fins de publicité ciblée] ou à vendre des données personnelles, à moins que le responsable du traitement n'ait déterminé que le consommateur a sélectionné un tel paramètre par défaut et que la sélection représente clairement le choix affirmatif, libre et sans ambiguïté du consommateur de consentir à tout traitement de ses données personnelles. »
Amendes et application de la loi
Un délai de grâce sera accordé pendant les 18 premiers mois suivant la date d'entrée en vigueur, soit un an après la promulgation du projet de loi. Le procureur général du New Jersey mettra en œuvre les règles et réglementations et fournira des orientations supplémentaires. demandes de droits sur les données, demande de vérification, évaluations du traitement des données et mécanismes de désinscription.
Une violation du NJ SB332 est considérée comme une violation des actes et pratiques trompeurs déloyaux du New Jersey (UDAP), et le procureur général pourrait demander des sanctions allant jusqu'à $10 000 pour la première violation et jusqu'à $20 000 pour la deuxième violation et les violations suivantes.
Droits des consommateurs du New Jersey
Le projet de loi S332 du New Jersey offrirait aux consommateurs de nombreux droits identiques à ceux déjà en vigueur dans les réglementations des États, comme en Californie, au Colorado, au Connecticut, en Utah et en Virginie, ainsi que dans plusieurs autres États dont les lois sur la confidentialité devraient entrer en vigueur en 2024 et 2025.
Le NJ SB332 accorde aux résidents du New Jersey des droits spécifiques sur leurs informations personnelles, notamment :
- Le droit de savoir quelles informations personnelles sont collectées et traitées
- Le droit d'accéder et d'obtenir une copie de leurs informations personnelles
- Le droit de demander la suppression des informations personnelles
- Le droit de refuser la vente de leurs informations personnelles, la publicité ciblée et le profilage
- Le droit de faire corriger, modifier ou mettre à jour leurs informations personnelles
- L'adhésion ou le refus sont obligatoires pour les enfants âgés d'au moins 13 ans et de moins de 17 ans.
- Le NJ S322 s'aligne sur la loi fédérale Loi sur la protection de la vie privée des enfants en ligne, qui s'applique aux données personnelles d'un enfant connu de moins de 13 ans
Les entreprises sont tenues de répondre aux demandes de données des consommateurs dans un délai de 45 jours, une prolongation de 45 jours étant possible si cela est raisonnablement nécessaire.
Comment BigID aide les organisations à se conformer à la loi SB332 du New Jersey
Les organisations qui ont adopté une approche proactive à l’égard de la CCPA Les entreprises du New Jersey et d'autres États membres seront mieux à même de se conformer aux lois sur la protection de la vie privée, mais devront néanmoins prendre les mesures nécessaires pour se conformer aux spécificités de la loi sur la protection de la vie privée des consommateurs du New Jersey. BigID permet aux organisations de se préparer proactivement à la loi SB332 du New Jersey afin d'être en conformité grâce à sa plateforme brevetée d'automatisation de la protection de la vie privée basée sur l'identité. Avec BigID, les entreprises peuvent :
- Découvrez les données : BigID fournit découverte et classification approfondies des données pour cartographier les flux de données et obtenir une visibilité complète sur toutes les informations personnelles et sensibles soumises à la réglementation NJ SB332.
- Appliquer les politiques : Réduisez les risques liés aux politiques grâce à des contrôles et flux de travail de correction des données pour prendre des mesures concernant les exigences du NJ SB332.
- Automatiser la gestion des droits sur les données : BigID permet aux organisations de manière proactive et gérer automatiquement les demandes de confidentialité, préférences et consentement, y compris UOOM permettant aux consommateurs de se désinscrire des ventes de données, de la publicité ciblée et du profilage des utilisateurs.
- Réduire les données : Appliquer principes de minimisation des données en identifiant et en catégorisant les données personnelles inutiles ou excessives pour gérer le cycle de vie des données, de la conservation à la suppression.
- Mettre en œuvre des contrôles de protection des données : BigID fournit des contrôles automatisés de protection des données pour appliquer des contrôles d'accès aux données et d'autres mesures de sécurité, qui sont essentielles pour protéger les données et se conformer à la norme NJ SB332.
- Évaluer les risques : Offres BigID évaluations automatisées de l'impact sur la vie privée, rapports d'inventaire de données et flux de travail de remédiation pour identifier les risques, signaler au procureur général du New Jersey et assurer la conformité avec le NJ SB332.
Planifiez une démonstration individuelle pour voir comment BigID peut accélérer votre conformité avec NJ SB332.
Auteur
