La législature de l'Utah a adopté à l'unanimité la loi sur la protection de la vie privée des consommateurs de l'Utah. (SB 227) le 3 mars 2022, un jour avant la levée de sa 64e session.
Le projet de loi, présenté le 18 février 2022, a été examiné par le Sénat moins d'une semaine plus tard. Le 25 février, le Sénat a voté à l'unanimité pour l'adopter, le transmettant à la Chambre des représentants pour approbation, où il a également été adopté à l'unanimité après quelques amendements mineurs.
Le Sénat a confirmé hier les amendements de la Chambre, malgré une coalition de groupes de protection de la vie privée exhortant le gouverneur de l'État à renvoyer le projet de loi à l'assemblée législative pour un examen plus approfondi.
La quatrième loi sur la protection de la vie privée des États-Unis
Le projet de loi est désormais soumis au gouverneur, qui disposera de vingt jours pour décider de le signer, de ne pas le signer ou d'y opposer son veto. En l'état actuel des choses, la SB 227 deviendra la quatrième loi sur la protection de la vie privée aux États-Unis, après la Californie, la Virginie et le Colorado.
Le projet de loi SB 227 présente plusieurs similitudes avec CDPA de Virginie (VCDPA) et CPA du Colorado (CPA)Par exemple, le projet de loi impose des obligations distinctes à une entité couverte selon que l’entité agit en tant que responsable du traitement ou en tant que sous-traitant des données des consommateurs.
Le projet de loi s'appliquerait à tout responsable du traitement ou sous-traitant qui exerce des activités dans l'Utah ou fournit des produits et/ou des services de consommation destinés aux résidents de l'Utah ; a un revenu annuel de $25 000 000 ou plus ; et remplit une ou plusieurs des conditions suivantes :
Contrôle ou traite les données personnelles de 100 000 consommateurs ou plus ; ou
Gagne plus de 50% de son chiffre d'affaires brut grâce à la vente de données personnelles et contrôle ou traite les données personnelles de 25 000 consommateurs ou plus.
Exceptions au projet de loi de l'Utah
Le projet de loi ne s'appliquerait pas aux entités gouvernementales, aux données des employés, aux organisations à but non lucratif, aux établissements d'enseignement supérieur, aux tribus ou aux entreprises couvertes par la loi. Loi HIPAA.
Tout comme le lois sur la protection de la vie privée adoptées dans les trois autres États, le projet de loi ne s'appliquerait pas non plus aux informations régies par la FCRA, les GLBAou Loi HIPAA.
Quelques autres points importants à prendre en compte si le UCPA Les propositions qui sont adoptées dans la loi prévoient notamment qu'elle :
- Accorder aux consommateurs le droit d’accéder à leurs données personnelles, de les corriger ou de les supprimer (avec quelques exceptions) — ainsi que le droit de refuser certaines activités de traitement, telles que la publicité ciblée et la vente de données personnelles ;
- Appliquer le terme « données sensibles » aux données personnelles des enfants (c'est-à-dire les mineurs de moins de 13 ans dans l'Utah) ;
- Permettre à un parent ou à un tuteur légal d’un enfant d’exercer les droits du consommateur en son nom ; et
- Attribuer au procureur général de l'Utah des pouvoirs d'exécution, au lieu d'accorder aux consommateurs un droit d'action privé comme le prochain CPRA.
Application de l'UCPA par le procureur général
Comme indiqué pour la première fois par le IAPP, un détail qui distingue l'UCPA des autres lois sur la protection de la vie privée des États est la mise en œuvre d'une procédure d'application en deux étapes. Tout d'abord, le consommateur doit déposer une réclamation auprès de la Division de la protection des consommateurs du Département du Commerce de l'Utah. La division examine ensuite la légitimité de la réclamation du consommateur et l'approuve ou la rejette en fonction de ses conclusions.
Si la Division approuve la réclamation du consommateur, elle la soumettra au bureau du procureur général de l'Utah afin de déterminer s'il convient d'engager une action coercitive contre l'entreprise. Cependant, le procureur général doit d'abord en informer l'entreprise par écrit et lui accorder 30 jours pour remédier à la violation. Si l'entreprise ne remédie pas à la violation, le procureur général pourra alors intenter une action coercitive contre elle.
Si elle est promulguée, l’UCPA entrera en vigueur le 31 décembre 2023. Avec l'aide de BigID, les clients satisfont aux exigences de conformité énoncées dans l'UCPA — comme l’hébergement et automatisation des demandes des personnes concernées, fournir des mesures de sécurité et de protection pour les données sensibles des consommateurs, répondre aux demandes de désinscription pour la vente de données personnelles ou activités de traitement En matière de publicité ciblée, nous fournissons aux entreprises les outils nécessaires pour comprendre pourquoi et comment elles utilisent les données personnelles collectées auprès des consommateurs. En savoir plus. obtenez une démo BigID 1:1.