Le Texas a rejoint la liste croissante des États amĂ©ricains qui ont promulguĂ© des lois complètes sur la protection des donnĂ©es. Le 29 mai, la lĂ©gislature du Texas a adoptĂ© le Texas Data Privacy and Security Act (TDPSA), Ă©galement connu sous le nom de H.B. 4, qui a Ă©tĂ© promulguĂ© le 18 juin par le gouverneur Greg Abbott.Â
La loi entrera en vigueur le 1er juillet 2024, donnant aux entreprises un peu plus d’un an pour prĂ©parer leur mise en conformitĂ©.
Cet article donne un aperçu des dispositions clés du Texas Data Privacy and Security Act et de ses implications pour les entreprises et consommateurs.
- Ă€ qui s’applique le Texas Data Privacy and Security Act?
- Droits des consommateurs dans le cadre de la TDPSA
- Règles relatives au traitement des données personnelles dans le cadre de la TDPSA
- Avis de confidentialité et évaluations de la protection des données dans le cadre de la TDPSA
- Application et sanctions en vertu de la TDPSA
Ă€ qui s’applique le Texas Data Privacy and Security Act ?Â
Le Texas Data Privacy and Security Act diffère des lois sur la protection de la vie privĂ©e en vigueur dans les États par sa vaste portĂ©e, car il ne prĂ©voit aucun seuil de revenus ou de volume de traitement des donnĂ©es. Il s’applique aux entreprises et aux particuliers qui:
- exercent des activités commerciales au Texas ou proposent des produits ou services utilisés par les résidents du Texas;
- traitent ou vendent des données personnelles ; et
- n’entrent pas dans la dĂ©finition de la petite entreprise, telle que dĂ©finie par la Small Business Administration des États-Unis
La loi ne s’applique pas, entre autres, aux:Â
- organismes publics;
- organisations Ă but non lucratif;
- Ă©tablissements d’enseignement supĂ©rieur; ouÂ
- entités régies par le Health Information Portability and Accountability Act (HIPAA) ou la Gramm-Leach-Bliley Act.
Note: Comme prĂ©vu, la loi ne prĂ©voit pas de volume de traitement des donnĂ©es ni de seuil de recettes, ce qui la rend applicable Ă la plupart des entreprises du Texas. Toutefois, les petites entreprises*, telles que dĂ©finies par la Small Business Administration (SBA), sont exemptĂ©es de certaines dispositions.Â
Petite entreprise*
Une petite entreprise, telle que dĂ©finie dans le Tableau des normes de taille de la Small Business Administration (SBA), dĂ©signe une entreprise qui rĂ©pond Ă des critères prĂ©cis fondĂ©s sur les codes du Système de classification des industries de l’AmĂ©rique du Nord (NAICS). Ces critères varient considĂ©rablement d’une industrie Ă l’autre, puisqu’ils englobent une gamme de revenus allant de 1 million de dollars Ă plus de 40 millions de dollars et emploient entre 100 et plus de 1 500 employĂ©s.
Droits des consommateurs dans le cadre de la TDPSA
Le Texas Data Privacy and Security Act accorde plusieurs droits aux consommateurs concernant leurs donnĂ©es personnelles.Â
Les consommateurs ont le droit de:Â
- confirmer si leurs données sont traitées;
- accéder à leurs données personnelles ;
- corriger les inexactitudes;
- supprimer leurs données ;
- obtenir une copie portable de leurs données ;
- refuser le traitement Ă des fins de publicitĂ©s ciblĂ©es;Â
- refuser la vente de donnĂ©es personnelles ; etÂ
- refuser certains profilages.
Ces droits permettent aux consommateurs de mieux contrôler leurs données personnelles et leur utilisation par les entreprises.
Règles relatives au traitement des données personnelles dans le cadre de la TDPSA
La loi impose des restrictions Ă la collecte et au traitement des donnĂ©es personnelles par les responsables du traitement.Â
Les responsables doivent:
- Collecter uniquement les donnĂ©es nĂ©cessaires aux finalitĂ©s divulguĂ©es, et ne pas traiter les donnĂ©es aux finalitĂ©s qui ne sont pas raisonnablement nĂ©cessaires ou compatibles sans consentement du consommateur.Â
- Mettre en place des mesures de protection des données et s’interdire d’utiliser des « dark patterns » pour obtenir le consentement au traitement.
Les DonnĂ©es sensibles, y compris des informations telles que race, origine ethnique, religion, donnĂ©es gĂ©nĂ©tiques ou biomĂ©triques et gĂ©olocalisation prĂ©cise, ne peuvent ĂŞtre traitĂ©es qu’avec le consentement du consommateur.
Avis de confidentialité et évaluations de la protection des données dans le cadre de la TDPSA
Le Texas Data Privacy and Security Act oblige les responsables à fournir un avis de confidentialité raisonnablement accessible et clair aux consommateurs, soulignant, entre autres:
- les catégories de données personnelles, y compris les données sensibles, le cas échéant, traitées et les finalités du traitement;
- comment les consommateurs peuvent exercer leurs droits ; et
- les catégories de données personnelles partagées avec des tiers et les catégories de tiers avec lesquels les informations sont partagées.
Si les responsables effectuent la vente de donnĂ©es sensibles, ils sont tenus de fournir une divulgation appropriĂ©e aux consommateurs.Â
Pour certains types de traitement de donnĂ©es, les responsables du traitement doivent effectuer des Ă©valuations de la protection des donnĂ©es.Â
Application et sanctions en vertu de la TDPSA
Le procureur gĂ©nĂ©ral du Texas est la seule autoritĂ© d’application et d’enquĂŞte pour le Texas Data Privacy and Security Act.
Avant d’intenter une action contre un contrevenant prĂ©sumĂ©, le procureur gĂ©nĂ©ral doit lui laisser un dĂ©lai de 30 jours pour remĂ©dier Ă la violation. Après ce dĂ©lai de grâce, le procureur gĂ©nĂ©ral peut imposer des pĂ©nalitĂ©s pouvant atteindre 7 500 $ par violation, ainsi que demander une injonction et le règlement des honoraires d’avocat.