Loi sur la confidentialité des données du Connecticut : comment nous nous assurons que Convert reste conforme
Publié: 2022-07-13
Avec l'introduction du Connecticut SB 6, communément appelé Connecticut Data Privacy Act ou "CTDPA" , le Connecticut a rejoint les rangs des États américains comme la Californie, la Virginie, le Colorado, le Nevada et l'Utah qui ont adopté des lois complètes sur la confidentialité pour protéger les individus. renseignements personnels.
Malgré les réglementations sur la confidentialité et la sécurité des données existant aux États-Unis depuis des décennies, ces réglementations ne s'appliquaient auparavant qu'à des entreprises, des domaines et des types de données spécifiques.
Ces nouvelles réglementations étatiques, plutôt que de restreindre strictement certaines formes de traitement des données, renforcent une tendance croissante à protéger plus largement les droits à la vie privée des individus.
De plus en plus d'États américains promulguent des lois régissant le traitement des informations en ligne. Consultez nos évaluations des lois sur la confidentialité dans
- Utah,
- Californie,
- Virginie,
- Nevada,
- Colorado
La différence entre le Connecticut SB 6 et les autres lois sur la confidentialité
Vous trouverez ci-dessous une ventilation des dispositions du Connecticut SB 6 par rapport à celles de
- La loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- La loi sur la confidentialité du Colorado (CPA)
- La loi sur la confidentialité de l'État du Nevada (SB200)
- Le Virginia VCDPA
- CCPA (tel que modifié par le California Privacy Rights Act (CPRA))
- Le règlement européen général sur la protection des données (RGPD)
| Dispositions clés | Connecticut SB6 | Utah UCPA | CPA du Colorado | Névada SB220 | Virginie CDPA | Californie CCPA + CPRA | RGPD Europe | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacité à traiter | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimisation des données | Oui | Oui | Oui | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Objectif autorisé | Oui | Oui | Oui | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droits individuels | |||||||||||||||||||||||||||||||||||||||||||||||
| Droit de recevoir une notification des activités de traitement | Oui | Oui | Oui | Oui | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit d'accès aux données personnelles | Oui | Oui | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit à la portabilité des données. Les données doivent être disponibles dans un format facilement utilisable pour le transfert d'une entité/plate-forme à une autre. | Oui | Oui | Oui | . | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit de corriger les erreurs dans les données personnelles | Oui | Non | Oui | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit de suppression des données personnelles | Oui | Oui | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit de refus de la publicité comportementale | Oui | Oui | Non | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit de s'opposer au profilage et à la prise de décision automatisés | Oui | Oui | Non | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit à la non-discrimination pour l'exercice de ces droits | Oui | Oui | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Droit de refuser la vente d'informations personnelles | Oui | Oui | Oui | Oui | Oui | Oui | Non | ||||||||||||||||||||||||||||||||||||||||
| Accepter ou refuser le traitement des informations sensibles | Se désengager | Se désengager | Adhésion | – | Adhésion | Se désengager | Adhésion | ||||||||||||||||||||||||||||||||||||||||
| Droit de faire appel du refus des demandes | Oui | Non | Non | – | Oui | Non | Non | ||||||||||||||||||||||||||||||||||||||||
| Responsabilité/Gouvernance | |||||||||||||||||||||||||||||||||||||||||||||||
| Évaluations de la protection des données | Oui | Non | Oui | – | Oui | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Sécurité | |||||||||||||||||||||||||||||||||||||||||||||||
| Sécurité des données appropriée pour protéger les informations | Oui | Non | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Notification de violation | Oui | Oui | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Transferts de données en dehors de l'Espace économique européen (EEE) | |||||||||||||||||||||||||||||||||||||||||||||||
| Mesures supplémentaires pour les virements internationaux | Oui | Oui | Oui | – | Non | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Transferts à des tiers | |||||||||||||||||||||||||||||||||||||||||||||||
| Exigences contractuelles dans les ententes avec les fournisseurs de services | Oui | Non | Oui | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Commercialisation | |||||||||||||||||||||||||||||||||||||||||||||||
| Consentement aux cookies Adtech | Oui | Non | Non | – | Oui | Oui | Oui | ||||||||||||||||||||||||||||||||||||||||
| Consentement obtenu avant le marketing direct | Oui | Non | Oui | – | Non | Non | Oui | ||||||||||||||||||||||||||||||||||||||||
| Les organismes d'application | |||||||||||||||||||||||||||||||||||||||||||||||
| procureur général | Département du commerce de l'Utah | procureur général | – | procureur général | Procureur général, CPPA | APD | |||||||||||||||||||||||||||||||||||||||||
| Date d'entrée en vigueur | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 juillet 2023 | 31 décembre 2023 | 1 juillet 2023 | 1 octobre 2019 | 1 janvier 2023 | 1er janvier 2020/ 1er janvier 2023 | 25 mai 2018 | |||||||||||||||||||||||||||||||||||||||||
Une tendance semble émerger dans la façon dont les législatures des États abordent les lois générales sur la protection de la vie privée, comme illustré dans le tableau ci-dessus.
Le Connecticut SB 6 adopte pratiquement textuellement des sections substantielles des lois du Colorado et de la Virginie, y compris comment définir les données personnelles, comment traiter les informations personnelles sensibles et quand effectuer des évaluations d'impact sur la protection des données.
Quelles sont les principales dispositions du SB 6 du Connecticut ?
Voici quelques-unes des dispositions les plus importantes du Connecticut SB 6 :
1. Mêmes droits à la vie privée que les autres lois de l'État
La loi sur la confidentialité des données du Connecticut établit un ensemble de droits individuels à la vie privée qui sont similaires à ceux trouvés dans l'UCPA de l'Utah, le CPA du Colorado, le VCDPA de Virginie et le CCPA/CPRA de Californie.
Ces droits incluent la visualisation, la correction, la copie et la suppression des informations personnelles.
Les consommateurs peuvent également refuser le traitement de leurs données personnelles à des fins publicitaires, de vente de données et de création de profil.
SB 6, comme les autres lois nationales sur la protection de la vie privée, comprend un système d'acceptation pour le type de traitement de données impliquant des enfants âgés de 13 à 16 ans.
2. Demandes de confidentialité sans approbation technique
En ce qui concerne la manière dont les demandes de droits à la vie privée sont soumises et traitées, la nouvelle loi du Connecticut ressemble plus à la CPA du Colorado qu'à la loi de Virginie.
Le Connecticut rejoint la Californie et le Colorado pour obliger les entreprises à offrir aux clients la possibilité de se retirer de la publicité ou des ventes ciblées par le biais d'une sorte de mécanisme technique. Contrairement à la Californie et au Colorado, le Connecticut SB 6 n'exige pas l'approbation des exigences du mécanisme technique par le régulateur de l'État.
3. Définition large de la vente de données personnelles
En vertu du Connecticut SB 6, la « vente de données personnelles » signifie l'échange de données personnelles contre de l'argent ou toute autre contrepartie de valeur avec un tiers.
En embrassant la « considération précieuse » ainsi que la contrepartie monétaire, SB 6 fournit une définition plus complète de la vente, similaire aux définitions de la California CCPA et du Colorado CPA.
Il existe plusieurs exceptions à la définition de la vente de données personnelles, y compris la divulgation de données personnelles à la demande d'un consommateur, les divulgations au sein d'une entreprise, et la divulgation ou le transfert de données personnelles à un tiers qui se produit dans le cadre d'une acquisition, d'une faillite, ou un autre type de transaction.
4. Application uniquement par le procureur général
Connecticut SB 6 suit le schéma consistant à autoriser uniquement le procureur général à poursuivre les infractions.
Le procureur général du Connecticut, comme celui du Colorado, est tenu d'offrir un préavis de 60 jours et la possibilité de rectifier les infractions.
Les violations du SB 6 sont considérées comme des pratiques commerciales trompeuses en vertu de la loi sur les actes et pratiques déloyales et trompeuses de l'État et peuvent entraîner des amendes civiles pouvant aller jusqu'à 5 000 $ en plus des dommages-intérêts réels et punitifs, ainsi que des honoraires et des frais d'avocat.
5. Sécurité renforcée pour les informations sensibles
Le Connecticut SB 6, comme plusieurs autres lois sur la confidentialité, fournit des garanties renforcées pour des types d'informations spécifiques.
Ces « données sensibles » comprennent des informations sur la race, l'origine ethnique, les croyances religieuses, l'état ou le diagnostic de santé mentale ou physique, la vie sexuelle, l'orientation sexuelle, le statut de citoyen ou le statut d'immigration d'une personne ; les données génétiques et biométriques pouvant être utilisées pour l'identification ; les informations recueillies auprès des enfants ; et des informations de géolocalisation.
Le traitement de données sensibles nécessite le consentement du consommateur et, inévitablement, augmente le potentiel de préjudice pour le consommateur, c'est pourquoi une évaluation de l'impact sur la confidentialité des données (DPIA) est requise.
6. Divulgations de la politique de confidentialité
Connecticut SB 6 exige que les organisations mettent à jour leurs politiques de confidentialité pour inclure les divulgations suivantes :
- Les types de données personnelles que l'entreprise traite ;
- Pourquoi l'entreprise traite des données personnelles ;
- Un ou plusieurs moyens sûrs et fiables permettant aux consommateurs d'exercer leurs droits à la vie privée, y compris la possibilité de faire appel d'une décision concernant une demande de droits à la vie privée ;
- Les catégories de données personnelles échangées avec des tiers, le cas échéant ;
- Les types de tiers avec lesquels les données personnelles sont échangées, le cas échéant ;
- Une adresse e-mail active où un client peut contacter l'entreprise ;
- Si une entreprise vend ou traite des données personnelles à des fins publicitaires ciblées, la politique de confidentialité doit l'indiquer, ainsi que la manière dont les clients peuvent se retirer.
Plan de conformité à la confidentialité de Convert
À mesure que de nouvelles lois sur la protection de la vie privée sont introduites, nous pouvons nous attendre à ce que le paysage évolue davantage, avec une législation encore plus nouvelle concernant la confidentialité des données, ainsi que davantage de séries de commentaires et de révisions.
Ces facteurs peuvent tous avoir un impact sur la conformité de votre logiciel et la formulation de votre politique de confidentialité.
Alors, comment Convert garde-t-il une trace de toutes ces données et s'assure-t-il que nous n'oublions rien ?
1. Création d'alertes de mots clés pertinentes pour la confidentialité
Nous commençons par configurer Google Alerts pour les termes appropriés. Notre système nous alertera chaque fois qu'une nouvelle législation est adoptée, qu'un nouveau projet de loi est introduit ou qu'une affaire est tranchée qui contient l'un de nos termes de recherche. La capture d'écran ci-dessous illustre certaines de ces alertes.
Les résultats de la recherche peuvent ne pas tous être pertinents, nous devons donc passer au crible les alertes pour nous assurer que nous n'évaluons que les données pertinentes.
Tout bon chercheur sait que vous ne devez pas compter sur une seule source pour toutes vos informations. C'est pourquoi Convert est membre de plusieurs forums de confidentialité. Nous vérifions également les documents fournis par l'International Association of Privacy Professionals, sur une base hebdomadaire.
L'IAPP, par exemple, publie un tableau comparatif des lois sur la protection de la vie privée (voir ci-dessous) qui contient des informations utiles sur tous les projets de loi sur la protection de la vie privée qui ont été introduits.
2. Vérification des sites Web des autorités de protection des données (DPA)
S'il est crucial de suivre les nouveaux projets de loi, lois et statuts, il est tout aussi important de suivre les autorités de protection des données et leurs interprétations. De telles entités peuvent vous fournir des informations cruciales sur ce qui sera appliqué et comment.
Dans un article récent, nous avons expliqué comment l'autorité autrichienne de protection des données a rendu illégale l'utilisation de Google Analytics.
3. Lire les articles sur la confidentialité
Nous lisons des articles d'opinion et des histoires sur la confidentialité et la technologie, ainsi que les perspectives de l'industrie sur la confidentialité et des informations sur ce que le grand public pense des protections actuelles de la confidentialité.
Savoir ce que l'industrie et le grand public pensent de la confidentialité et de la technologie nous aide à évaluer les tendances en matière d'application de la loi et d'action législative, ainsi que la direction que prend notre secteur à l'avenir.
4. Mise à jour des politiques et des informations pertinentes
Il est important de noter que Convert s'occupe de tout ce qui précède, non seulement pour les politiques de confidentialité, mais également pour les conditions générales, les contrats de licence utilisateur final, les clauses de non-responsabilité, les contrats et les scripts de suivi A/B réels.
Après avoir rassemblé toutes les informations, nous déterminons s'il faut ou non apporter des révisions aux politiques, puis nous les mettons à jour.
5. Informer les visiteurs du site Web
Alors que de plus en plus de consommateurs vérifient si un site Web a une politique de confidentialité et quelles pratiques de confidentialité sont énoncées dans ces politiques, l'étape suivante consiste à informer les visiteurs de notre site Web et les utilisateurs de Convert des changements que nous apportons. Toutes les nouvelles lois exigent que les politiques de confidentialité indiquent leur date d'entrée en vigueur ou leur dernière date de révision. Si votre politique de confidentialité inclut cette divulgation, les utilisateurs du site Web peuvent facilement déterminer si la politique a été modifiée en regardant simplement sa date.
Plan de conversion pour le Connecticut SB 6
Si vous avez déjà un compte Convert, vous n'avez rien à craindre ! Nous garderons une trace de cette nouvelle loi, ainsi que de toute révision ou réglementation, pour vous. Si la loi s'applique à vous, vos politiques seront révisées pour inclure les informations ci-dessus avant que la loi n'entre en vigueur.
Chez Convert, nous surveillons de près la législation nationale sur la confidentialité et la cybersécurité. Pour plus d'informations sur "comment se préparer au SB 6" et aux autres nouvelles lois américaines sur la confidentialité, consultez notre feuille de route GDPR .
