Utah : un autre État à adopter une loi sur la confidentialité des données, l'UCPA
Publié: 2022-05-31
En mars 2022, le gouverneur de l'Utah, Spencer J. Cox, a promulgué le projet de loi du Sénat (SB) 227, également connu sous le nom de Utah Consumer Privacy Act (UCPA) .
L'UCPA est une loi interprofessionnelle sur la protection de la vie privée qui accorde aux consommateurs de l'Utah des droits de confidentialité importants sur leurs informations personnelles. Toute donnée liée à une personne identifiée ou identifiable est qualifiée de donnée personnelle . Des exigences de conformité supplémentaires s'appliquent à des catégories de « données sensibles » plus précisément définies. La loi entrera en vigueur le 31 décembre 2023.
L'UCPA est similaire mais pas identique aux lois sur la protection de la vie privée des consommateurs de la Californie, de la Virginie, du Nevada et du Colorado. Il est fortement inspiré du Virginia Consumer Data Protection Act (VCDPA), et certains éléments de type VCDPA peuvent également être trouvés dans le Colorado Privacy Act.
À première vue, certaines caractéristiques de l'UCPA semblent similaires au California Consumer Privacy Act (CCPA). En pratique, cependant, il s'agit d'une approche plus douce et plus conviviale de la vie privée des consommateurs que ses prédécesseurs .
En quoi l'UCPA est-elle différente des autres lois sur la confidentialité des États ?
Voici une comparaison de haut niveau des dispositions de l'UCPA avec celles de
- La loi sur la confidentialité du Colorado (CPA)
- La loi sur la confidentialité de l'État du Nevada (SB200)
- VCDPA
- CCPA (tel que modifié par le California Privacy Rights Act (CPRA))
- Le Règlement Général sur la Protection des Données (RGPD)
| Dispositions clés | UCPA de l'Utah | CPA du Colorado | Névada SB220 | Virginie CDPA | Californie CCPA + CPRA | RGPD Europe | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacité à traiter | |||||||||||||||||||||||||||||||||||||||||
| Minimisation des données | Oui | Oui | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Objectif autorisé | Oui | Oui | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Droits individuels | |||||||||||||||||||||||||||||||||||||||||
| Droit de recevoir une notification des activités de traitement | Oui | Oui | Oui | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Droit d'accès aux données personnelles | Oui | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Droit à la portabilité des données. Les données doivent être disponibles dans un format facilement utilisable pour le transfert d'une entité/plate-forme à une autre. | Oui | Oui | . | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Droit de corriger les erreurs dans les données personnelles | Non | Oui | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Droit de suppression des données personnelles | Oui | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Droit de refus de la publicité comportementale | Oui | Non | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Droit de s'opposer au profilage et à la prise de décision automatisés | Oui | Non | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Droit à la non-discrimination pour l'exercice de ces droits | Oui | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Droit de refuser la vente d'informations personnelles | Oui | Oui | Oui | Oui | Oui | Non | |||||||||||||||||||||||||||||||||||
| Accepter ou refuser le traitement des informations sensibles | Se désengager | Adhésion | – | Adhésion | Se désengager | Adhésion | |||||||||||||||||||||||||||||||||||
| Droit de faire appel du refus des demandes | Non | Non | – | Oui | Non | Non | |||||||||||||||||||||||||||||||||||
| Responsabilité/Gouvernance | |||||||||||||||||||||||||||||||||||||||||
| Évaluations de la protection des données | Non | Oui | – | Oui | Non | Oui | |||||||||||||||||||||||||||||||||||
| Sécurité | |||||||||||||||||||||||||||||||||||||||||
| Sécurité des données appropriée pour protéger les informations | Non | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Notification de violation | Oui | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Transferts de données en dehors de l'Espace économique européen (EEE) | |||||||||||||||||||||||||||||||||||||||||
| Mesures supplémentaires pour les virements internationaux | Oui | Oui | – | Non | Non | Oui | |||||||||||||||||||||||||||||||||||
| Transferts à des tiers | |||||||||||||||||||||||||||||||||||||||||
| Exigences contractuelles dans les ententes avec les fournisseurs de services | Non | Oui | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Commercialisation | |||||||||||||||||||||||||||||||||||||||||
| Consentement aux cookies Adtech | Non | Non | – | Oui | Oui | Oui | |||||||||||||||||||||||||||||||||||
| Consentement obtenu avant le marketing direct | Non | Oui | – | Non | Non | Oui | |||||||||||||||||||||||||||||||||||
| Les organismes d'application | |||||||||||||||||||||||||||||||||||||||||
| Département du commerce de l'Utah | procureur général | – | procureur général | Procureur général, CPPA | APD | ||||||||||||||||||||||||||||||||||||
| Date d'entrée en vigueur | |||||||||||||||||||||||||||||||||||||||||
| 31 décembre 2023 | 1 juillet 2023 | 1 octobre 2019 | 1 janvier 2023 | 1er janvier 2020/ 1er janvier 2023 | 25 mai 2018 | ||||||||||||||||||||||||||||||||||||
Comme le montre le tableau ci-dessus, les entreprises qui se conforment aux CCPA, CPRA, VCDPA et CPA n'auront probablement aucun problème à respecter les critères de l'UCPA.
L'UCPA utilise la nomenclature « contrôleur » et « sous-traitant » du RGPD et n'offre pas aux consommateurs un droit privé d'action en cas de violation alléguée. Comme toutes les autres réglementations gouvernementales, elle donne aux consommateurs le contrôle de leurs informations personnelles .
Cependant, il fait également certaines distinctions essentielles.
Par exemple, l'UCPA ne donne pas aux consommateurs le droit de faire corriger les erreurs dans leurs données personnelles , et n'exige pas non plus que les responsables du traitement effectuent des analyses d'impact sur la protection des données (DPIA) d'opérations de traitement spécifiques.
L'UCPA oblige les entreprises couvertes à fournir aux consommateurs des avis et la possibilité de se retirer avant de traiter leurs données sensibles.
Cela contraste avec le VCDPA et le CPA, qui exigent une autorisation d'adhésion pour collecter et traiter des données sensibles. De plus, au lieu d'aller directement au procureur général (AG), les plaintes des consommateurs sont acheminées par le département du commerce de l'Utah, qui peut soumettre des préoccupations à l'AG.
Dispositions clés de l'UCPA
Voici quelques dispositions clés de l'UCPA.
Définition large des données personnelles et des données sensibles
Selon l'UCPA, les données personnelles sont toutes les informations qui se rapportent ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable. Il classe les types de données spécifiés comme des « données sensibles », qui sont soumises à des normes et limitations supplémentaires non applicables aux autres types de données personnelles.
Moins de droits des personnes concernées
Les consommateurs ont quatre droits fondamentaux en vertu de l'UCPA :
- Droit d'accès : Le droit de savoir si un responsable du traitement traite ou non les données personnelles du consommateur et d'avoir accès à ces données.
- Droit à la suppression : droit du consommateur à la suppression des données personnelles fournies au responsable du traitement.
- Droit à la portabilité : Le droit d'obtenir une copie des données personnelles du consommateur précédemment fournies au responsable du traitement dans un format portable et facilement accessible, permettant aux consommateurs de transmettre les données à un autre responsable du traitement sans restrictions.
- Droit de refus : Le droit de refuser le traitement des données personnelles à des fins de « publicité ciblée » et de « vente ».
Malgré tous ces droits importants, l'UCPA, contrairement à d'autres lois d'État, n'offre pas aux consommateurs la possibilité de faire corriger des informations personnelles inexactes.
Avis de confidentialité accessibles et clairs
L'UCPA demande également aux responsables du traitement de fournir aux consommateurs un avis qui doit contenir au moins les informations suivantes :
- Les types de données personnelles que le responsable du traitement traite
- Les finalités pour lesquelles les différentes catégories de données sont traitées
- Comment les clients peuvent exercer leurs droits
- Les types de données personnelles que le responsable du traitement, le cas échéant, partage avec des tiers
- Tiers avec lesquels le responsable du traitement échange des données personnelles , le cas échéant
Accords de traitement de données plus légers (DPA)
L'UCPA comprend des accords de traitement de données plus légers et exige qu'un responsable du traitement s'associe à un sous-traitant. Ce sous-traitant gère et traite les données personnelles du responsable du traitement.
Les conditions que le responsable du traitement et le sous-traitant concluent doivent spécifier :
- La nature et l'objet de l'accord
- Durée du traitement
- Le type de personne concernée
- Les droits et obligations de chaque partie
Les sous-traitants doivent également obliger tout sous-traitant à préserver la confidentialité et à ne les mandater que par le biais d'un contrat documenté . Ce contrat considère le sous-traitant comme sous-traitant s'il gère les données pour le compte d'un sous-traitant.
Contrairement à d'autres lois sur la protection de la vie privée, l'UCPA n'exige pas de conditions de traitement des données pour auditer les sous-traitants ou permettre aux contrôleurs de refuser de sous-traiter un sous-traitant.
Exigences de sécurité familières
L'UCPA a une section sur la sécurité. Il précise que les responsables du traitement emploient des pratiques administratives, techniques et physiques appropriées en matière de sécurité des données pour sécuriser les données personnelles et éliminer les risques prévisibles de préjudice pour les consommateurs en fonction de la taille, de la portée, du volume et de la nature du traitement.
Liste de contrôle de conformité UCPA de Convert
Les organisations opérant dans l'Utah doivent considérer l'UCPA de la même manière que les autres lois de l'État. Cependant, il peut être difficile de cocher toutes les cases en matière de conformité.
Pour aider les organisations à naviguer dans les subtilités de l'UCPA, nous avons compilé cette liste de contrôle de conformité pratique.
Voici ce que vous devez garder à l'esprit :
- Assurez-vous que votre entreprise est couverte par l'UCPA . Les organisations doivent évaluer si elles respectent le seuil juridictionnel de l'UCPA, y compris le seuil financier et de volume de données.
- Revoyez votre politique de confidentialité. Révisez votre politique de confidentialité pour refléter le traitement des données personnelles, communiquer les droits supplémentaires des consommateurs et identifier les moyens permettant aux consommateurs d'exercer ces droits.
- Utilisez des pratiques raisonnables de sécurité des données pour protéger vos données. Examinez vos politiques, pratiques et contrôles de cybersécurité pour vous assurer qu'ils respectent les normes de l'industrie.
- Autoriser les visiteurs à refuser le traitement de leurs données personnelles (le cas échéant). Fournir aux résidents de l'Utah un moyen d'exercer leur droit de refus si une entreprise vend ou utilise leurs informations personnelles à des fins publicitaires ciblées.
- Mettre en place un mécanisme de collecte de données sensibles. Les entreprises ne doivent pas collecter de données sensibles sans donner aux consommateurs un avertissement et la possibilité de se retirer. Pour se conformer à cette obligation, les entreprises doivent mettre en place des systèmes d'opt-out adaptés.
- Recevez et répondez rapidement aux demandes des consommateurs. Élaborer des procédures pour accepter, suivre, reconnaître et répondre aux demandes des consommateurs d'exercer leurs droits d'accès et d'effacement UCPA.
Convert respecte toutes les lois sur la confidentialité (UE + États-Unis)
Le respect des lois de l'Utah doit être traité de la même manière que les autres lois de l'État, avec des modifications linguistiques mineures pour clarifier le fait qu'elles ne s'appliquent qu'aux résidents de l'Utah. L'UCPA peut exiger un ciblage géographique différent des messages d'opt-out, qui doit être explicitement indiqué.
Convert surveille de près la législation nationale sur la confidentialité et la cybersécurité. Pour plus d'informations sur "comment se préparer à l'UCPA" et aux autres nouvelles lois américaines sur la confidentialité, consultez notre feuille de route GDPR .
