• Page d'accueil
  • Des articles
  • SEO
  • Premier État du Nevada pour les lois de désactivation de la confidentialité : dans quelle mesure Convert est-il préparé ?

Premier État du Nevada pour les lois de désactivation de la confidentialité : dans quelle mesure Convert est-il préparé ?

Publié: 2019-06-13
Premier État du Nevada pour les lois de désactivation de la confidentialité : dans quelle mesure Convert est-il préparé ?

Le 29 mai 2019, le gouverneur du Nevada a promulgué la loi SB 220.

Cette loi modifie la loi existante du Nevada sur la sécurité et la confidentialité afin d' exiger de l'opérateur d'un site Web ou d'un service en ligne à des fins commerciales qu'il permette aux consommateurs de refuser la vente de toute information personnellement identifiable couverte que l'opérateur a collecté ou collectera sur le consommateur .

La loi entre en vigueur le 1er octobre 2019 , plusieurs mois avant la date d'entrée en vigueur du California Consumer Privacy Act (CCPA) du 1er janvier 2020, et devrait donc devenir la première du genre à être mise en œuvre aux États-Unis, à la suite du RGPD en l'UE.

SB 220 est un amendement substantiel à la loi sur la confidentialité existante du Nevada et présente un nouveau défi pour l'industrie en général. À première vue, la loi a une portée plus étroite que la CCPA et comprend des définitions plus étroites de «consommateur» et de «vente», ainsi que des exceptions pour les institutions financières couvertes par la loi Gramm-Leach-Bliley («GLBA») et entités couvertes en vertu de la loi sur la portabilité et la responsabilité de l'assurance maladie (« HIPPA »).

Néanmoins, les entreprises qui se concentrent sur la conformité au CCPA doivent maintenant réorienter leurs ressources pour se conformer au SB 220.

Ce qui suit fournit une comparaison de haut niveau entre le CCPA et la loi révisée sur la confidentialité en ligne du Nevada :

Loi sur la confidentialité du Nevada
Source de l'image : https://www.bclplaw.com

Exigences SB 220

SB 220 a quatre exigences principales, mais plusieurs définitions et exclusions clés régissent l'application de la loi :

  1. Un « opérateur » doit établir une « adresse de demande désignée » par laquelle un consommateur peut soumettre une « demande vérifiée » ordonnant à l'opérateur de ne faire aucune vente d'« informations couvertes » collectées sur le consommateur.
  2. Le consommateur peut soumettre une demande vérifiée via l'adresse de demande désignée, à tout moment, enjoignant à un opérateur de ne pas vendre les informations couvertes que l'opérateur a collectées sur le consommateur.
  3. Il est interdit à un opérateur qui reçoit une demande vérifiée de vendre toute information couverte que l'opérateur a collectée ou collectera sur le consommateur.
  4. Un opérateur doit répondre à la demande vérifiée d'un consommateur dans les 60 jours. L'exploitant peut prolonger le délai de réponse d'au plus 30 jours si (a) l'exploitant détermine qu'une telle prolongation est raisonnablement nécessaire ; et (b) un opérateur qui prolonge le délai de réponse informe le consommateur d'une telle prolongation.

Voyons donc ce que fait Convert pour respecter la loi du Nevada sur la protection de la vie privée et ses exigences ?

Les consommateurs du Nevada auront le droit de refuser la vente d'informations personnelles

Comme c'est le cas en vertu du CCPA, les consommateurs du Nevada pourront refuser la vente d'"informations couvertes", qui comprend l'un des éléments suivants collectés via un site Web ou un service en ligne :

  • Un prénom et un nom.
  • Un domicile ou une autre adresse physique qui comprend le nom d'une rue et le nom d'une ville ou d'un village.
  • Une adresse de courrier électronique (courriel).
  • Un numéro de téléphone.
  • Un numéro de sécurité sociale.
  • Identifiant qui permet de contacter une personne spécifique soit physiquement soit en ligne.
  • Toute autre information concernant une personne recueillie auprès de la personne via le site Internet ou le service en ligne de l'opérateur et conservée par l'opérateur en combinaison avec un identifiant sous une forme qui rend l'information personnellement identifiable.

De nombreuses organisations ont peu de visibilité sur les informations qu'elles vendent et sur leur emplacement.

Chez Convert, nous y avons été préparés grâce au principe de minimisation des données GDPR. Nous avons anonymisé les identifiants des visiteurs dans notre suivi en regroupant des centaines de visiteurs du site Web dans des groupes de visiteurs qui ne comptent que la présence du visiteur.

Les visiteurs individuels ne sont pas stockés dans Convert Experiences. Il n'est en aucun cas possible de reconnecter les comptes de groupe aux visiteurs individuels.

Le GDPR nous a donné l'occasion d'examiner de près ce que nous stockions dans Convert et quel était le cas d'utilisation pour le conserver dans un environnement de plus en plus centré sur la confidentialité.

Les organisations doivent établir une adresse de demande désignée

La nouvelle loi du Nevada stipule que les organisations relevant du champ d'application de la loi « doivent établir une adresse de demande désignée par laquelle un consommateur peut soumettre une demande vérifiée ».

Chez Convert, nous utilisons l'adresse [email protected] pour recevoir et vérifier les demandes de désinscription, et cela est en place depuis le RGPD. Ces demandes sont acheminées vers une file d'attente centrale et notre responsable de la protection des données y répond en temps opportun conformément aux exigences du RGPD et des autres lois sur la confidentialité en vigueur.

Les demandes vérifiées doivent recevoir une réponse dans les 60 jours

Le GDPR accorde aux organisations 30 jours pour répondre aux demandes des consommateurs, tandis que le CCPA est plus indulgent à 45 jours.

La loi du Nevada étend ce délai à 60 jours, tout en donnant aux organisations le droit à une prolongation de 30 jours si cela est raisonnablement nécessaire. Les trois lois ont des régimes de prolongation différents et obligent les opérateurs à informer les consommateurs dans des délais différents.

Convert est préparé pour la réponse GDPR de 30 jours et jusqu'à présent, nous avons répondu avec succès à toutes nos demandes, ce qui facilite la réponse aux demandes du Nevada dans le délai obligatoire de 60 jours.

La demande doit être vérifiée avant de répondre

Comme c'est le cas en vertu du RGPD et du CCPA, les organisations doivent vérifier l'identité du consommateur avant de répondre à une demande.

Convert facilite également cette vérification lorsqu'un consommateur soumet une demande de désinscription, en soumettant un identifiant via une pièce jointe sécurisée que seul le consommateur connaîtrait.

Convert prend toutes les lois sur la confidentialité (UE + États-Unis) au sérieux

Bien que les législations sur la protection de la vie privée aient stagné ou échoué dans d'autres États, l'adoption du SB-220 par le Nevada rappelle que le maintien de la conformité aux obligations légales et réglementaires dans un monde numérique restera un défi dans un proche avenir.

Nous surveillons plusieurs autres États où une forme de législation inspirée du CCPA est encore à l'étude (Oregon, Texas, Maine, Utah) et seront prêts à fonctionner dans un paysage où ils sont tous fonctionnels.

Convert maîtrise parfaitement toutes nos opérations de traitement de données et les tiers auxquels les données sont transférées.

Pour plus d'informations sur la façon de se préparer au CCPA et à d'éventuelles autres nouvelles lois américaines sur la confidentialité, consultez notre feuille de route GDPR.

Liste des fournisseurs de confidentialité
Liste des fournisseurs de confidentialité