Préparez-vous pour le CDPA : la côte est rencontre la côte ouest alors que la Virginie signe une loi sur la confidentialité
Publié: 2021-04-22
L'État de Virginie a récemment voté pour devenir le premier État de la côte Est à promulguer une loi régissant la manière dont les entreprises protègent les données personnelles des consommateurs. La nouvelle loi intervient alors que les géants de la technologie sont confrontés au refus des législateurs et des consommateurs concernant leur traitement des informations personnelles.
Le projet de loi Virginia Consumer Data Protection Act (CDPA) a été promulgué le 2 mars 2021 et entrera en vigueur en 2023.
Semblable au California Consumer Privacy Act de 2018 (CCPA), au California Privacy Rights Act de 2020 (CPRA) et même au GDPR européen, le CDPA est le dernier développement de ce qui a été une année charnière pour la législation sur la confidentialité aux États-Unis.
Mais les entreprises qui ont travaillé sur la conformité aux autres lois ne doivent pas se reposer sur leurs lauriers. Ils doivent encore se préparer à la CDPA, qui contient des dispositions différentes de celles de la CCPA ou de la CPRA.
Dans cet article, nous examinons ces dispositions distinctes du Virginia Act et les comparons au CCPA (tel que modifié par le CPRA) et au RGPD.
| Dispositions clés | Virginie CDPA | Californie CCPA + CPRA | RGPD Europe | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Capacité à traiter | |||||||||||||||||||||||
| Minimisation des données | Oui | Non | Oui | ||||||||||||||||||||
| Objectif autorisé | Oui | Non | Oui | ||||||||||||||||||||
| Droits individuels | |||||||||||||||||||||||
| Droit de recevoir une notification des activités de traitement | Oui | Oui | Oui | ||||||||||||||||||||
| Droit d'accès aux données personnelles | Oui | Oui | Oui | ||||||||||||||||||||
| Droit à la portabilité des données (c'est-à-dire que les données doivent être fournies dans un format facilement utilisable, de sorte qu'elles puissent être transférées d'une entité/plate-forme à une autre) | Oui | Oui | Oui | ||||||||||||||||||||
| Droit de corriger les erreurs dans les données personnelles | Oui | Non | Oui | ||||||||||||||||||||
| Droit de suppression des données personnelles | Oui | Oui | Oui | ||||||||||||||||||||
| Droit de refus de la publicité comportementale | Oui | Non | Oui | ||||||||||||||||||||
| Droit de s'opposer au profilage et à la prise de décision automatisés | Oui | Non | Oui | ||||||||||||||||||||
| Droit à la non-discrimination pour l'exercice de ces droits | Oui | Oui | Oui | ||||||||||||||||||||
| Droit de refuser la vente d'informations personnelles | Oui | Oui | Non | ||||||||||||||||||||
| Accepter ou refuser le traitement des informations sensibles | Adhésion | Se désengager | Adhésion | ||||||||||||||||||||
| Droit de faire appel du refus des demandes | Oui | Non | Non | ||||||||||||||||||||
| Responsabilité/Gouvernance | |||||||||||||||||||||||
| Évaluations de la protection des données | Oui | Non | Oui | ||||||||||||||||||||
| Sécurité | |||||||||||||||||||||||
| Sécurité des données appropriée pour protéger les informations | Oui | Oui | Oui | ||||||||||||||||||||
| Notification de violation | Oui | Oui | Oui | ||||||||||||||||||||
| Transferts de données hors EEE | |||||||||||||||||||||||
| Mesures supplémentaires pour les virements internationaux | Non | Non | Oui | ||||||||||||||||||||
| Transferts à des tiers | |||||||||||||||||||||||
| Exigences contractuelles dans les ententes avec les fournisseurs de services | Oui | Oui | Oui | ||||||||||||||||||||
| Commercialisation | |||||||||||||||||||||||
| Consentement aux cookies Adtech | Oui | Oui | Oui | ||||||||||||||||||||
| Consentement obtenu avant le marketing direct | Non | Non | Oui | ||||||||||||||||||||
| Les organismes d'application | |||||||||||||||||||||||
| procureur général | Procureur général, CPPA | APD | |||||||||||||||||||||
| Date d'entrée en vigueur | |||||||||||||||||||||||
| 1 janvier 2023 | 1er janvier 2020 / 1er janvier 2023 | 25 mai 2018 | |||||||||||||||||||||
Les entreprises qui ont travaillé à la mise en conformité avec le CCPA ou le RGPD constateront que ces lois ont beaucoup de verbiage et de terminologie similaires ; cependant, c'est une erreur de supposer que la loi de Virginie a des exigences identiques.
Bien qu'il existe des similitudes avec le CCPA et le RGPD, le CDPA contient des nuances qui sont susceptibles d'être uniques à chaque organisation.
Si vous êtes submergé par la lecture de ceci, consultez les instructions étape par étape que nous avons présentées ci-dessous pour vous aider à vous conformer à la nouvelle loi sur la confidentialité.
Tout d'abord, demandez aux avocats, aux professionnels de l'informatique et aux spécialistes de la protection de la vie privée de votre organisation d'évaluer l'application de la loi à votre entreprise. Ensuite, identifiez les lacunes et élaborez un plan de conformité qui comprend des solutions à ces problèmes.
Allons plus en détail, allons-nous?
Pour vous conformer à la CDPA, vous devez :
- Créer et maintenir un inventaire complet des données, fournissant un aperçu à la fois des types de données impliquées et de la nature des activités de traitement.
- Assurez-vous que les données sensibles sont séparées et gérées sans risques inutiles.
- Mettre en œuvre un cadre pour la réalisation d'évaluations d'impact sur la protection des données (DPIA).
- Évaluez les politiques, les pratiques et les contrôles de cybersécurité en place pour vous assurer qu'ils sont conformes aux normes reconnues par l'industrie.
- Permettre aux consommateurs de refuser la vente de leurs informations personnelles (le cas échéant).
- Mettre à jour les politiques de confidentialité destinées au public pour, entre autres changements, s'engager à ne pas réidentifier les données personnelles anonymisées et fournir des détails sur ses activités de traitement des données.
- Développer des mécanismes pour accepter, suivre, vérifier et honorer les demandes des consommateurs d'accéder, de corriger, de supprimer et de refuser les données personnelles en vertu de la CDPA.
- Assurez-vous que les employés de votre service client ont une connaissance précise de la réglementation pour répondre aux demandes des consommateurs de manière efficace et prévisible.
Enfin, même si 2023 peut sembler un avenir lointain, ne tardez pas à élaborer votre plan de conformité.
Si d'autres lois récentes sur la confidentialité nous ont appris quelque chose, c'est que ces initiatives nécessitent des efforts et du temps considérables pour planifier soigneusement, repérer les lacunes dans vos mécanismes de confidentialité et mettre en œuvre de nouvelles politiques, processus et efforts de remédiation.
Il n'est pas trop tôt pour commencer les efforts de conformité à la CDPA alors que de plus en plus d'États, comme New York et Washington, commencent à promulguer des lois sur la protection de la vie privée des consommateurs.
Alors que de plus en plus de législatures d'État s'activent à adopter des projets de loi ou des lois sur la protection de la vie privée des consommateurs, une chose devient claire : garantir la confidentialité des clients ne peut plus être une réflexion après coup. Il doit être intégré à votre modèle d'entreprise.
