Conformité aux lois américaines sur la confidentialité pour votre site web, application et entreprise
Des lois d’États américains imposent de nouvelles exigences aux entreprises, et donc de nouvelles charges juridiques et techniques. La conformité, de manière générale, peut être compliquée. Nos solutions vous aident à clarifier et mettre en place les majeurs aspects juridiques et techniques pour que vous puissiez vous concentrer sur le développement de votre entreprise.
En général, les lois sur la confidentialité des États américains, comme le CPRA (anciennement CCPA) et le VCDPA, peuvent s'appliquer à vous si vous ciblez des utilisateurs basés dans ces États et si vous remplissez simultanément l'une des conditions ci-dessous.
CPRA
VCDPA
CPA
CTDPA
UCPA
TDPSA
MTCDPA
OCPA
NJDPA
DPDPA
NHDPA
Nevada Privacy Law
NDPA
Le « California Privacy Rights Act » (CPRA) s'appuie sur les dispositions existantes du CCPA, renforce les droits des consommateurs et ajoute de nouvelles exigences pour les entreprises qui traitent les données personnelles de résidents californiens. Il concerne les entités juridiques qui mènent des activités à but lucratif en Californie, qui traitent les informations personnelles de consommateurs et qui remplissent un ou plusieurs des critères suivants :
des revenus bruts annuels supérieurs à 25 millions de dollars ;
achètent, vendent ou partagent en une année les informations personnelles d’au moins 100 000 consommateurs/ménages ou plus ; ou
tirent 50 % ou plus de leurs revenus annuels de la vente ou du partage* d’informations personnelles de consommateurs.
* Peut inclure les intégrations tiers sur votre site web.
Le Virginia Consumer Data Protection Act (VCDPA) a été promulgué en mars 2021, et la Virginie est devenue le deuxième État des États-Unis à adopter une loi exhaustive sur la confidentialité des données, après la Californie. Le VCDPA est entré en vigueur le 1er janvier 2023.
Il concerne les personnes qui mènent leur activité en Virginie ou qui fournissent des produits ou des services destinés aux résidents de la Virginie et qui :
au cours d’une année civile contrôlent ou traitent les données à caractère personnel d’au moins 100 000 consommateurs ; ou
contrôlent ou traitent les données à caractère personnel d’au moins 25 000 consommateurs et tirent de la vente de données à caractère personnel plus de 50 % de leur revenu brut.
Le Colorado Privacy Act (CPA) est entré en vigueur le 1er juillet 2023 et vise à protéger le droit à la vie privée des résidents du Colorado en réglementant la manière dont les entreprises collectent, traitent et stockent les données à caractère personnel.
Il s’applique aux responsables qui exercent des activités commerciales dans le Colorado ou ciblent intentionnellement les résidents du Colorado avec des produits ou services commerciaux, et qui :
contrôlent ou traitent les données à caractère personnel de 100 000 consommateurs ou plus au cours d’une année civile ; ou
tirent des revenus de la vente de données à caractère personnel et traitent ou contrôlent les données à caractère personnel de 25 000 consommateurs ou plus.
Le Connecticut Data Privacy Act (CTDPA) est entré en vigueur le 1er juillet 2023 et vous oblige à fournir aux consommateurs des avis de confidentialité clairs et pertinents qui incluent des informations sur le traitement des données à caractère personnel, des finalités, des droits des consommateurs et le partage avec des tiers, entre autres obligations.
Il concerne les personnes qui exercent des activités commerciales dans le Connecticut ou fournissent des produits ou services destinés aux résidents du Connecticut et qui, au cours de l’année civile précédente :
ont contrôlé ou traité des données à caractère personnel d’au moins 100 000 consommateurs (à l’exclusion des données à caractère personnel contrôlées ou traitées pour finaliser exclusivement une opération de paiement) ; ou
ont contrôlé ou traité des données à caractère personnel d’au moins 25 000 consommateurs et tiré de la vente de données à caractère personnel plus de 25 % de leur revenu brut.
L’Utah Consumer Privacy Act (UCPA) est une nouvelle loi sur la protection de la vie privée des consommateurs en Utah qui est entrée en vigueur le 31 décembre 2023. L’UCPA adopte une approche favorable aux entreprises en matière de protection de la vie privée des consommateurs, et vise à fournir une norme applicable aux entreprises tout en protégeant les droits garantis aux consommateurs de l’Utah.
Il concerne toute société qui :
Exerce des activités commerciales en Utah ; ou
Fournit un produit ou service destiné aux consommateurs qui sont résidents de l’Utah ;
Génère un revenu annuel de 25 000 000 $ ou plus ; et
Répond à un ou plusieurs des seuils suivants :
Au cours d’une année civile, contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus ; ou
Tire de la vente de données à caractère personnel plus de 50 % du revenu brut de l’entité, et contrôle ou traite les données à caractère personnel de 25 000 consommateurs ou plus.
Le Texas Data Privacy and Security Act (TDPSA), également connu sous le nom de H.B. 4, a été promulgué le 18 juin par le gouverneur Greg Abbott et est entré en vigueur le 1er juillet 2024.
La loi concerne les entreprises :
Exerçant des activités au Texas ;
Fournissant des produits ou des services aux résidents du Texas ;
Traitant ou vendant des données à caractère personnel ; et
N’étant pas considérées comme des petites entreprises au sens des lignes directrices de la U.S Small Business Administration.
Le Montana Consumer Data Privacy Act (MTCDPA) est entré en vigueur le 1er octobre 2024. Cette législation vise à octroyer aux résidents du Montana plus de contrôle sur leurs données à caractère personnel, en garantissant leur vie privée dans un monde numérique en constante évolution.
La loi concernent les entreprises opérant dans le Montana ou ciblant ses résidents qui répondent à l’un des critères suivants :
Contrôler ou traiter les données à caractère personnel d’au moins 50 000 consommateurs (à l’exclusion des données relatives aux opérations de paiement) ; ou
Contrôler ou traiter les données d’au moins 25 000 consommateurs et tirer de la vente de données à caractère personnel plus de 25 % de son revenu brut.
Les organisations à but non lucratif et certaines autres entités sont exemptées de cette loi.
L’Oregon Consumer Privacy Act (OCPA) a été promulgué par le gouverneur Tina Kotek le 18 juillet 2023 et est entré en vigueur le 1er juillet 2024. Cette loi vise à renforcer le droit à la vie privée des résidents de l’Oregon.
L’OCPA concerne les entreprises opérant dans l’Oregon ou fournissant des produits ou des services aux résidents de l’Oregon qui :
Contrôlent ou traitent les données à caractère personnel de 100 000 consommateurs de l’Oregon ou plus ; ou
Contrôlent ou traitent les données à caractère personnel de 25 000 consommateurs de l’Oregon ou plus et tirent de la vente de ces données 25 % de leur chiffre d’affaires annuel.
Les entreprises à but non lucratif disposent d’une année supplémentaire, jusqu’au 1er juillet 2025, pour se conformer à cette loi.
La loi sur la protection des données du New Jersey (NJDPA) vise à renforcer les droits en matière de vie privée des résidents du New Jersey en réglementant la manière dont les entreprises collectent, utilisent et gèrent les données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le New Jersey ; ou
Offrent des produits ou des services destinés aux résidents du New Jersey, et :
Contrôlent ou traitent les données personnelles de 100 000 consommateurs ou plus ; ou
Tirent plus de 50 % de leur chiffre d’affaires brut de la vente de données personnelles.
La loi sur la protection des données personnelles du Delaware (DPDPA) exige des entreprises qu’elles mettent en œuvre des pratiques de traitement des données claires et accorde aux résidents du Delaware des droits sur leurs données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le Delaware ; ou
Offrent des produits ou des services destinés aux résidents du Delaware, et :
Contrôlent ou traitent les données personnelles d’au moins 100 000 résidents du Delaware ; ou
Tirent plus de 50 % de leur chiffre d’affaires brut de la vente de données personnelles et contrôlent ou traitent les données personnelles d’au moins 25 000 résidents du Delaware.
La Loi sur la protection des données du New Hampshire (NHPA) impose des protections strictes en matière de confidentialité des données pour les résidents du New Hampshire, définissant les responsabilités des entreprises concernant le traitement des données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le New Hampshire ; ou
Offrent des produits ou services aux résidents du New Hampshire, et :
Ont contrôlé ou traité les données personnelles d’au moins 100 000 consommateurs au cours de l’année civile précédente ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent les données personnelles d’au moins 25 000 consommateurs.
La loi sur la vie privée du Nevada est garante de protections non négligeables pour les consommateurs résidant au Nevada concernant la manière dont leurs données personnelles sont traitées par les entreprises.
Elle s’applique aux :
Entreprises qui exercent des activités au Nevada ; ou
Offrent des produits ou des services aux résidents du Nevada, et :
Contrôlent ou traitent les données personnelles de 100 000 consommateurs ou plus au cours d’une année civile ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent les données personnelles d’au moins 25 000 consommateurs.
La loi sur la protection des données du Nebraska (NDPA) vise à octroyer aux consommateurs du Nebraska des droits pour contrôler leurs données personnelles, afin de s’assurer que les entreprises respectent la transparence et la responsabilité en matière de traitement des données.
Elle s’applique aux :
Entreprises qui exercent des activités dans le Nebraska ; ou
Offrent des produits ou services destinés aux résidents du Nebraska, et :
Ont contrôlé ou traité les données personnelles d’au moins 100 000 consommateurs au cours de l’année civile précédente ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent des données personnelles d’au moins 25 000 consommateurs.
CPRA
Le « California Privacy Rights Act » (CPRA) s'appuie sur les dispositions existantes du CCPA, renforce les droits des consommateurs et ajoute de nouvelles exigences pour les entreprises qui traitent les données personnelles de résidents californiens. Il concerne les entités juridiques qui mènent des activités à but lucratif en Californie, qui traitent les informations personnelles de consommateurs et qui remplissent un ou plusieurs des critères suivants :
des revenus bruts annuels supérieurs à 25 millions de dollars ;
achètent, vendent ou partagent en une année les informations personnelles d’au moins 100 000 consommateurs/ménages ou plus ; ou
tirent 50 % ou plus de leurs revenus annuels de la vente ou du partage* d’informations personnelles de consommateurs.
* Peut inclure les intégrations tiers sur votre site web.
Le Virginia Consumer Data Protection Act (VCDPA) a été promulgué en mars 2021, et la Virginie est devenue le deuxième État des États-Unis à adopter une loi exhaustive sur la confidentialité des données, après la Californie. Le VCDPA est entré en vigueur le 1er janvier 2023.
Il concerne les personnes qui mènent leur activité en Virginie ou qui fournissent des produits ou des services destinés aux résidents de la Virginie et qui :
au cours d’une année civile contrôlent ou traitent les données à caractère personnel d’au moins 100 000 consommateurs ; ou
contrôlent ou traitent les données à caractère personnel d’au moins 25 000 consommateurs et tirent de la vente de données à caractère personnel plus de 50 % de leur revenu brut.
CPA
Le Colorado Privacy Act (CPA) est entré en vigueur le 1er juillet 2023 et vise à protéger le droit à la vie privée des résidents du Colorado en réglementant la manière dont les entreprises collectent, traitent et stockent les données à caractère personnel.
Il s’applique aux responsables qui exercent des activités commerciales dans le Colorado ou ciblent intentionnellement les résidents du Colorado avec des produits ou services commerciaux, et qui :
contrôlent ou traitent les données à caractère personnel de 100 000 consommateurs ou plus au cours d’une année civile ; ou
tirent des revenus de la vente de données à caractère personnel et traitent ou contrôlent les données à caractère personnel de 25 000 consommateurs ou plus.
CTDPA
Le Connecticut Data Privacy Act (CTDPA) est entré en vigueur le 1er juillet 2023 et vous oblige à fournir aux consommateurs des avis de confidentialité clairs et pertinents qui incluent des informations sur le traitement des données à caractère personnel, des finalités, des droits des consommateurs et le partage avec des tiers, entre autres obligations.
Il concerne les personnes qui exercent des activités commerciales dans le Connecticut ou fournissent des produits ou services destinés aux résidents du Connecticut et qui, au cours de l’année civile précédente :
ont contrôlé ou traité des données à caractère personnel d’au moins 100 000 consommateurs (à l’exclusion des données à caractère personnel contrôlées ou traitées pour finaliser exclusivement une opération de paiement) ; ou
ont contrôlé ou traité des données à caractère personnel d’au moins 25 000 consommateurs et tiré de la vente de données à caractère personnel plus de 25 % de leur revenu brut.
UCPA
L’Utah Consumer Privacy Act (UCPA) est une nouvelle loi sur la protection de la vie privée des consommateurs en Utah qui est entrée en vigueur le 31 décembre 2023. L’UCPA adopte une approche favorable aux entreprises en matière de protection de la vie privée des consommateurs, et vise à fournir une norme applicable aux entreprises tout en protégeant les droits garantis aux consommateurs de l’Utah.
Il concerne toute société qui :
Exerce des activités commerciales en Utah ; ou
Fournit un produit ou service destiné aux consommateurs qui sont résidents de l’Utah ;
Génère un revenu annuel de 25 000 000 $ ou plus ; et
Répond à un ou plusieurs des seuils suivants :
Au cours d’une année civile, contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus ; ou
Tire de la vente de données à caractère personnel plus de 50 % du revenu brut de l’entité, et contrôle ou traite les données à caractère personnel de 25 000 consommateurs ou plus.
TDPSA
Le Texas Data Privacy and Security Act (TDPSA), également connu sous le nom de H.B. 4, a été promulgué le 18 juin par le gouverneur Greg Abbott et est entré en vigueur le 1er juillet 2024.
La loi concerne les entreprises :
Exerçant des activités au Texas ;
Fournissant des produits ou des services aux résidents du Texas ;
Traitant ou vendant des données à caractère personnel ; et
N’étant pas considérées comme des petites entreprises au sens des lignes directrices de la U.S Small Business Administration.
MTCDPA
Le Montana Consumer Data Privacy Act (MTCDPA) est entré en vigueur le 1er octobre 2024. Cette législation vise à octroyer aux résidents du Montana plus de contrôle sur leurs données à caractère personnel, en garantissant leur vie privée dans un monde numérique en constante évolution.
La loi concernent les entreprises opérant dans le Montana ou ciblant ses résidents qui répondent à l’un des critères suivants :
Contrôler ou traiter les données à caractère personnel d’au moins 50 000 consommateurs (à l’exclusion des données relatives aux opérations de paiement) ; ou
Contrôler ou traiter les données d’au moins 25 000 consommateurs et tirer de la vente de données à caractère personnel plus de 25 % de son revenu brut.
Les organisations à but non lucratif et certaines autres entités sont exemptées de cette loi.
NJDPA
La loi sur la protection des données du New Jersey (NJDPA) vise à renforcer les droits en matière de vie privée des résidents du New Jersey en réglementant la manière dont les entreprises collectent, utilisent et gèrent les données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le New Jersey ; ou
Offrent des produits ou des services destinés aux résidents du New Jersey, et :
Contrôlent ou traitent les données personnelles de 100 000 consommateurs ou plus ; ou
Tirent plus de 50 % de leur chiffre d’affaires brut de la vente de données personnelles.
DPDPA
La loi sur la protection des données personnelles du Delaware (DPDPA) exige des entreprises qu’elles mettent en œuvre des pratiques de traitement des données claires et accorde aux résidents du Delaware des droits sur leurs données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le Delaware ; ou
Offrent des produits ou des services destinés aux résidents du Delaware, et :
Contrôlent ou traitent les données personnelles d’au moins 100 000 résidents du Delaware ; ou
Tirent plus de 50 % de leur chiffre d’affaires brut de la vente de données personnelles et contrôlent ou traitent les données personnelles d’au moins 25 000 résidents du Delaware.
NHDPA
La Loi sur la protection des données du New Hampshire (NHPA) impose des protections strictes en matière de confidentialité des données pour les résidents du New Hampshire, définissant les responsabilités des entreprises concernant le traitement des données personnelles.
Elle s’applique aux entités qui :
Font des affaires dans le New Hampshire ; ou
Offrent des produits ou services aux résidents du New Hampshire, et :
Ont contrôlé ou traité les données personnelles d’au moins 100 000 consommateurs au cours de l’année civile précédente ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent les données personnelles d’au moins 25 000 consommateurs.
Nevada Privacy Law
La loi sur la vie privée du Nevada est garante de protections non négligeables pour les consommateurs résidant au Nevada concernant la manière dont leurs données personnelles sont traitées par les entreprises.
Elle s’applique aux :
Entreprises qui exercent des activités au Nevada ; ou
Offrent des produits ou des services aux résidents du Nevada, et :
Contrôlent ou traitent les données personnelles de 100 000 consommateurs ou plus au cours d’une année civile ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent les données personnelles d’au moins 25 000 consommateurs.
NDPA
La loi sur la protection des données du Nebraska (NDPA) vise à octroyer aux consommateurs du Nebraska des droits pour contrôler leurs données personnelles, afin de s’assurer que les entreprises respectent la transparence et la responsabilité en matière de traitement des données.
Elle s’applique aux :
Entreprises qui exercent des activités dans le Nebraska ; ou
Offrent des produits ou services destinés aux résidents du Nebraska, et :
Ont contrôlé ou traité les données personnelles d’au moins 100 000 consommateurs au cours de l’année civile précédente ; ou
Tirent plus de 50 % de leur chiffre d’affaires de la vente de données personnelles et traitent des données personnelles d’au moins 25 000 consommateurs.
Calendrier d’application des lois d’États américains
Loi de la Californie sur la vie privée des consommateurs (CCPA)
La loi de la Californie sur la vie privée des consommateurs (CCPA) entre en vigueur, avec un délai de grâce de six mois.
Loi de la Californie sur la vie privée des consommateurs (CCPA)
Le bureau du procureur général de l’État de Californie effectue désormais un suivi actif de la conformité avec la loi CCPA et fait appliquer cette loi. Il émet des avis de non conformité, accorde aux auteurs de violations un délai de 30 jours pour y remédier et prononce des amendes lorsque ceux-ci n’y remédient pas dans les temps.
California Privacy Rights Act (CPRA)
La période rétrospective de douze mois prévue par la loi de la Californie sur les droits en matière de vie privée (CPRA) commence. Les sociétés doivent désormais tenir compte des informations personnelles recueillies et traitées sur une période de douze mois précédant toute demande d’un consommateur.
California Privacy Rights Act (CPRA)
En Californie, la loi CPRA vient modifier la loi CCPA et entre en vigueur. Le délai de 30 jours pour remédier aux violations n’est plus accordé.
Pour respecter la loi CPRA, vous devez peut-être prendre les mesures suivantes :
Loi de la Virginie sur la protection des données de consommateurs (VCDPA)
La loi de la Virginie sur la protection des données de consommateurs (VCDPA) entre en vigueur et en application.
Pour respecter la loi VCDPA, vous devez peut-être prendre les mesures suivantes :
Important : les mesures précises que vous devez prendre pour vous mettre en conformité dépendent de plusieurs facteurs, comme la nature de votre activité ou le type d’informations personnelles que vous recueillez et traitez.
L’agence de protection de la vie privée de l’État de Californie (CPPA) effectue désormais un suivi actif de la conformité avec la loi CPRA et fait appliquer cette loi. Elle prononce des amendes ou des sanctions en cas de non conformité.
Note : par décision du Tribunal supérieur du comté de Sacramento, l’application de la réglementation finale émise par l’agence de protection de la vie privée de l’État de Californie a été reportée au 29 mars 2024. Toutefois, cette décision n’affecte pas les exigences de la loi CPRA, en application depuis le 1er juillet 2023.
Loi du Colorado sur la vie privée (CPA)
La loi du Colorado sur la vie privée (CPA) entre en vigueur.
Pour respecter la loi CPA, vous devez peut-être prendre les mesures suivantes :
Loi du Connecticut sur la confidentialité des données (CTDPA)
La loi du Connecticut sur la confidentialité des données (CTDPA) entre en vigueur.
Pour respecter la loi CTDPA, vous devez peut-être prendre les mesures suivantes :
Pour plus d’informations sur la manière de respecter les exigences ci-dessus, cliquez ici.
Loi de l’Utah sur la vie privée des consommateurs (UCPA)
La loi de l’Utah sur la vie privée des consommateurs (UCPA) entre en vigueur.
Pour respecter la loi UCPA, vous devez peut-être prendre les mesures suivantes :
Pour plus d’informations sur la manière de respecter les exigences ci-dessus, cliquez ici.
Colorado Privacy Act (CPA)
L’exigence de prise en compte des demandes d’opposition des consommateurs soumises par le biais d’un mécanisme d’opposition universel prévue par la loi CPA est désormais en vigueur.
Loi de l’Oregon sur la protection de la vie privée des consommateurs (OCPA)
La loi de l’Oregon sur la protection de la vie privée des consommateurs (OCPA) est désormais en vigueur.
Veuillez noter que les organisations à but non lucratif disposent d’une année supplémentaire, jusqu’au 1er juillet 2025, pour se conformer à cette loi.
Texas Data Privacy and Security Act (TDPSA)
Le Texas Data Privacy and Security Act (TDPSA) est désormais en vigueur.
Loi du Montana sur la protection des données des consommateurs (MTCDPA)
La loi du Montana sur la protection des données des consommateurs (MTCDPA) est désormais en vigueur.
Veuillez noter que les organisations à but non lucratif et certaines autres entités sont exemptées de cette loi.
Montana Consumer Data Privacy Act (MTCDPA)
La loi du Montana sur la confidentialité des données des consommateurs exige désormais que les entreprises reconnaissent et honorent les signaux d’opposition universels des consommateurs qui choisissent de s’opposer à la vente de leurs données à caractère personnel ou à la publicité ciblée.
Loi sur la protection de la vie privée des consommateurs du Utah (UCPA)
Début de l’application.
Loi sur la protection de la vie privée des consommateurs de l’Oregon (OCPA)
Début de l’application.
Date limite importante : Les entreprises doivent se conformer aux demandes de droits des consommateurs et à d’autres exigences de l’OCPA.
Loi sur la confidentialité et la sécurité des données du Texas (TDPSA)
Début de l’application.
Date limite importante : Les entreprises doivent commencer à mettre en œuvre les droits des consommateurs et les mesures de sécurité des données en vertu de la TDPSA.
Loi sur la protection des données des consommateurs du Montana (MTCDPA)
Début de l’application.
Date limite importante : Les entreprises doivent garantir la conformité aux droits des consommateurs et aux obligations de traitement des données établies par la MTCDPA.
Loi sur la protection des données des consommateurs de l’Iowa (ICDPA)
Début de l’application.
Date limite importante : Les entreprises doivent se conformer aux nouvelles exigences en matière de droits à la vie privée en vertu de la loi de l’Iowa.
Loi sur la protection de la vie privée des consommateurs de l’Oregon (OCPA)
La loi de l’Oregon sur la protection de la vie privée des consommateurs exige désormais que les entreprises reconnaissent les signaux « Global Privacy Control » émis par des navigateurs comme Chrome, qui permettent aux utilisateurs de refuser la vente de données ou les publicités ciblées.
Loi sur la protection des données du New Jersey (NJDPA)
Début de l’application.
Loi sur la protection des données du New Hampshire (NHDPA)
Début de l’application.
Loi sur la protection des données personnelles du Delaware (DPDPA)
Début de l’application.
Loi sur la vie privée du Nevada
Début de l’application.
Date limite importante : Les entreprises doivent se conformer aux droits des consommateurs et aux dispositions relatives à la sécurité des données en vertu de la loi modifiée sur la confidentialité du Nevada.
Loi sur la protection des données du Nebraska (NDPA)
Début de l’application.
Date limite importante : Les entreprises doivent respecter tous les délais de conformité énoncés dans la loi du Nebraska.
Quelles sont les exigences liées à la conformité aux États-Unis ?
Du fait que les réglementations diffèrent légèrement d'un État à un autre, gérer chaque potentiel scénario peut être complexe. Les solutions iubenda appliquent les normes les plus strictes pour vous aider à vous conformer facilement. Il vous suffit de sélectionner Lois d’États américains dans votre générateur pour vous conformer aux principales lois à travers les États-Unis.
Disposer d'une politique de confidentialité détaillée
Obligatoire (USA)
Les entreprises doivent inclure des informations spécifiques dans leur politique de confidentialité. Ces informations comprennent une description des droits des consommateurs, les tiers, les finalités, les sources d'où proviennent ces données, etc. Ces informations doivent être complètes, à jour, et facilement accessibles depuis l'ensemble du site web ou application.
Les politiques ne sont pas valables si des informations nécessaires sont manquantes
Pour être conforme, votre politique doit au minimum contenir :
Indiquez les catégories de renseignements personnels que votre entreprise a vendus ou partagés avec des tiers au cours des 12 derniers mois, une liste de tiers pertinents et votre finalité commerciale. Vous devez également divulguer si vous n’avez pas vendu ou partagé les informations personnelles des utilisateurs au cours des 12 derniers mois.
Ajouter une déclaration indiquant si votre entreprise vend ou partage sciemment les renseignements personnels des utilisateurs de moins de 16 ans.
Indiquez les catégories de renseignements personnels que votre entreprise a divulgués (à des fins commerciales) à des tiers au cours des 12 derniers mois, une liste de tiers pertinents et la finalité de votre entreprise. Vous devez également indiquer si vous n’avez pas divulgué les renseignements personnels des consommateurs au cours des 12 mois précédents.
Indiquez si votre entreprise utilise ou communique des informations personnelles sensibles à des finalités autres que celles précisées dans la loi.
Fournissez des liens vers des formulaires de demande ou des portails en ligne afin que vos utilisateurs puissent faire des demandes concernant la collecte, la communication ou la vente de leurs renseignements personnels.
Indiquez les catégories de données personnelles traitées par votre organisation.
Indiquez la finalité du traitement des données personnelles de votre organisation.
Informez vos utilisateurs de la manière dont ils peuvent exercer leurs droits (voir ci-dessous), y compris la manière dont ils peuvent faire appel d'une décision portant sur leurs demandes. Vous devez fournir une ou plusieurs méthodes aux utilisateurs pour soumettre une demande.
Indiquez les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant.
Indiquez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant.
Plus précisément, la CPA exige que vous fournissiez un avis de confidentialité comprenant les renseignements suivants :
Catégories de données personnelles collectées ou traitées.
Finalités pour lesquelles les catégories de données personnelles sont traitées.
Comment et où les consommateurs peuvent exercer leurs droits, y compris les coordonnées et la façon de faire appel des actions d’un responsable à l’égard de la demande d’un consommateur.
Catégories de données personnelles qui sont partagées avec des tiers, le cas échéant;
Catégories de tiers avec lesquels les données personnelles sont partagées, le cas échéant.
La nouvelle loi sur la protection de la vie privée de Connecticut exige que vous fournissiez aux consommateurs un avis de confidentialité clair et significatif qui soit raisonnablement accessible. Voici une liste de contrôle de ce qui doit être inclus dans votre politique de confidentialité pour se conformer à la nouvelle loi:
Catégories de données personnelles : Votre politique de confidentialité doit inclure une liste des catégories de données personnelles que vous traitez.
Finalités du traitement: Votre politique de confidentialité doit indiquer clairement les finalités du traitement des données personnelles. Cela inclut toute raison pour laquelle vous collectez et utilisez des données personnelles, par exemple pour exécuter un contrat ou fournir un service.
Droits des consommateurs : Votre politique de confidentialité doit expliquer comment les consommateurs peuvent exercer leurs droits en vertu de la loi. Cela inclut la manière dont un consommateur peut accéder à ses données personnelles, les corriger, les supprimer ou en restreindre le traitement. Vous devez également inclure des informations sur la manière dont un consommateur peut faire appel d'une décision liée à sa demande.
Partage par des tiers : Si vous partagez des données personnelles avec des tiers, votre politique de confidentialité doit spécifier les catégories de données personnelles que vous partagez.
Catégories de tiers: Votre politique de confidentialité doit également préciser les catégories de tiers avec lesquels vous partagez des données personnelles.
Coordonnées Votre politique de confidentialité doit fournir une adresse électronique active ou un autre mécanisme en ligne que les consommateurs peuvent utiliser pour vous contacter pour toute question ou préoccupation concernant leurs données personnelles.
Vente ou publicité ciblée : Si vous traitez des données personnelles à des finalités de vente ou Publicité ciblée, votre politique de confidentialité doit le révéler clairement et de manière visible. Vous devez également fournir des informations sur la manière dont les consommateurs peuvent exercer leur droit de refuser un tel traitement.
Si vous êtes concerné par la Consumer Privacy Act (UCPA) de l’Utah, vous devez fournir aux consommateurs une politique de confidentialité raisonnablement accessible et claire. Votre politique de confidentialité devrait inclure les éléments suivants:
Catégories de données personnelles traitées: Identifiez les types de données personnelles que votre organisation collecte et traite, telles que les noms, adresses e-mail et informations de paiement.
Finalités du traitement des données personnelles : Décrivez les raisons pour lesquelles votre organisation collecte et traite des données personnelles, par exemple pour exécuter des commandes, fournir un service client ou améliorer ses produits ou services.
Droits des consommateurs : Expliquer comment les consommateurs peuvent exercer leurs droits, comme celui d'accéder à leurs données personnelles et de les supprimer. Notez que l'UCPA n'accorde pas aux consommateurs le droit de demander la rectification de données personnelles inexactes.
Partage de données personnelles : Divulguer les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant. Par exemple, vous pouvez partager des informations de paiement avec un sous-traitant ou des adresses postales avec un fournisseur d'expédition.
Tiers: Identifiez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant. Il peut s’agir de fournisseurs, prestataires de services ou partenaires marketing.
La loi texane sur la confidentialité et la sécurité des données exige des responsables du traitement qu’ils fournissent aux consommateurs un avis de confidentialité raisonnablement accessible et clair, décrivant notamment :
les catégories de données à caractère personnel, y compris les données sensibles, le cas échéant, qui sont traitées et les finalités du traitement ;
comment les consommateurs peuvent exercer leurs droits ; et
les catégories de données à caractère personnel partagées avec des tiers et les catégories de tiers avec lesquels les informations sont partagées.
Si les responsables du traitement procèdent à la vente de données sensibles, ils sont tenus d’en informer les consommateurs de manière appropriée.
Pour certains types de traitement de données, les responsables du traitement doivent effectuer des évaluations de la protection des données.
Fournissez un avis clair sur la protection de la vie privée qui indiquent :
les catégories de données à caractère personnel traitées ;
les finalités du traitement ;
le partage des pratiques ;
les coordonnées ; et
la manière d’exercer les droits des consommateurs.
L’OCDPA impose aux responsables du traitement de fournir aux consommateurs un avis clair, accessible et pertinent en matière de protection de la vie privée. Cet avis doit comprendre :
Les catégories de données à caractère personnel (y compris les données sensibles) traitées par le responsable du traitement et les finalités du traitement.
Les catégories de données à caractère personnel partagées avec des tiers et l’identité de ces tiers.
Le détail des activités de traitement liées à la publicité ciblée.
Des instructions sur la manière dont les consommateurs peuvent contacter le responsable du traitement et exercer leurs droits en matière de protection de la vie privée, y compris la procédure de recours.
La loi sur la protection des données du New Jersey (NJDPA) exige que les entreprises fournissent un avis de confidentialité qui inclut les informations clés suivantes :
Catégories de données personnelles collectées : Votre politique de confidentialité doit stipuler les types de données personnelles que vous collectez ou traitez (par exemple, les noms, les coordonnées et les informations relatives au paiement).
Finalités du traitement: Vous devez clairement indiquer les raisons du traitement des données personnelles, telles que l’exécution des commandes, la fourniture de services ou le marketing.
Droits des consommateurs : Votre politique de confidentialité doit expliquer la manière dont les consommateurs peuvent exercer leurs droits en vertu de la NJDPA, y compris comment ils peuvent accéder, modifier ou supprimer leurs données personnelles, et la façon dont ils peuvent se désinscrire de la vente ou du traitement de la publicité ciblée de leurs données personnelles.
Partage par des tiers : Votre politique doit préciser les catégories de données personnelles partagées avec des tiers, le cas échéant.
Catégories de tiers : Vous devez indiquer les types de tiers avec lesquels vous partagez des données personnelles, tels que les prestataires de services, les partenaires commerciaux ou les annonceurs.
La loi sur la protection des données personnelles du Delaware (DPDPA) exige que votre avis de confidentialité inclue ce qui suit :
Catégories de données personnelles collectées : Énumérez les catégories de données personnelles que vous traitez (par exemple, les noms, les coordonnées et les informations de paiement).
Finalités du traitement : Indiquez clairement les finalités du traitement des données, y compris l’exécution des contrats ou la fourniture de services.
Droits des consommateurs : Expliquez comment les consommateurs peuvent exercer leurs droits en vertu de la DPDPA, tels que l’accès, la suppression ou la restriction de leurs données personnelles. Il devra également fournir des informations sur la façon de se désinscrire de la vente ou du traitement de la publicité ciblée de leurs données.
Partage avec des tiers : Énumérez les catégories de données personnelles que vous partagez avec des tiers, le cas échéant.
Catégories de tiers : Identifiez les tiers avec lesquels vous partagez des données personnelles, tels que les fournisseurs d’analyses, les prestataires de services ou les partenaires commerciaux.
Conformément à la loi sur la protection des données du New Hampshire (NHDPA), votre politique de confidentialité doit inclure ce qui suit :
Catégories de données personnelles collectées : Indiquez les types de données personnelles que vous collectez, telles que les noms, les adresses électroniques ou les informations relatives au paiement.
Finalités du traitement : Expliquez pourquoi vous collectez et traitez des données personnelles, que ce soit pour l’exécution d’un contrat, la fourniture de services ou le marketing.
Droits des consommateurs : Informez les consommateurs de leurs droits d’accéder, de modifier ou de supprimer leurs données personnelles et de la manière dont ils peuvent exercer ces droits en vertu de la loi du New Hampshire. Incluez des informations sur l’option de refus de la vente ou du traitement pour la publicité ciblée.
Partage avec des tiers : Votre politique doit stipuler les catégories de données personnelles qui sont partagées avec des tiers.
Catégories de tiers : Identifiez les catégories de tiers avec lesquelles vous partagez des données personnelles, telles que les prestataires de services, les partenaires commerciaux ou les agences de marketing.
La loi sur la vie privée du Nevada exige que les entreprises incluent les informations suivantes dans leurs politiques de confidentialité :
Catégories de données personnelles collectées : Stipulez les types de données personnelles que vous collectez (par exemple, les coordonnées, les identifiants en ligne, etc.).
Finalités du traitement : Indiquez les raisons pour lesquelles vous collectez et traitez des données personnelles, telles que la fourniture de services, l’exécution de contrats ou le marketing.
Droits des consommateurs : Vous devez expliquer aux consommateurs leurs droits de refuser la vente de leurs données personnelles et les étapes pour exercer ce droit.
Partage avec des tiers : Indiquez le type de données personnelles, le cas échéant, qui sont partagées avec des tiers.
Catégories de tiers : Énumérez les tiers avec lesquels vous partagez des données personnelles, tels que les sous-traitants de paiement, les prestataires de services ou les partenaires publicitaires.
La loi sur la protection des données du Nebraska exige que votre politique de confidentialité inclue ce qui suit :
Catégories de données personnelles collectées : Identifiez les catégories de données personnelles que vous traitez (par exemple, les coordonnées, les données financières, etc.).
Finalités du traitement : Décrivez les raisons de traiter des données personnelles, telles que l’exécution de contrats, la fourniture de services ou la réalisation d’activités commerciales.
Droits des consommateurs : Expliquez la façon dont les consommateurs peuvent exercer leurs droits en vertu de la NDPA, tels que l’accès, la suppression ou la restriction du traitement de leurs données personnelles, et comment se désinscrire de la vente de données ou de la publicité ciblée.
Partage avec des tiers : Votre politique de confidentialité doit stipuler toutes les données personnelles partagées avec des tiers.
Catégories de tiers : Vous devez identifier les types de tiers avec lesquels vous partagez des données personnelles, tels que les annonceurs, les prestataires de services ou les partenaires commerciaux.
Générateur de Politique de Confidentialité et de Cookies
Créez votre politique de confidentialité et de cookies en quelques minutes.
Personnalisable grâce à +2000 clauses, disponible en jusqu’à 27 langues et mise à jour automatiquement en cas de changements dans la loi, notre générateur vous permet de créer un document juridique en peu de temps et de l'intégrer facilement à votre site web ou application.
Afficher un avis et permettre le droit d'opposition
Le CPRA (venu modifier le CCPA) requiert l'affichage, lors de la collecte ou avant, d'un avis informant les consommateurs des catégories d'informations personnelles qui seront collectées et à quelles fins. Les consommateur doivent également être autorisés à s’opposer à ce traitement. En tant qu'entreprise, vous êtes donc responsable d'informer les consommateurs de cette option et de fournir les moyens réels d'opposition.
En particulier, vous devez:
Détectez si un consommateur est basé en Californie et s’il a visité votre site Web avant
Faciliter les demandes d'opposition via un lien DNSMPI
Demander aux tiers concernés de cesser de traiter les informations du consommateur lorsqu'une demande d'opposition est reçue.
Leur signifier un avis à la première visite des lieux contenant les divulgations nécessaires
Veuillez noter que la VCDPA n’exigepas de liens d’opposition permettant aux utilisateurs de refuser le traitement des données personnelles à certaines finalités.
En fait, les dispositions de la VCDPA traitent les droits d’opposition des utilisateurs de la même manière que les autres droits des utilisateurs accordés en vertu de la Loi.
Votre entreprise doit répondre aux demandes des utilisateurs comme suit:
Vous devez accéder à la demande dans les 45 jours. Le délai de réponse peut être prolongé une fois de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire, pour autant que vous informiez votre utilisateur de toute prolongation dans le délai de réponse initial de 45 jours, avec la raison de la prolongation;
Si vous refusez de prendre des mesures concernant la demande de vos utilisateurs, informez l’utilisateur de ce Refus dans les 45 jours, en indiquant la justification pertinente et les instructions sur la façon de faire appel de la décision;
Si vous n'êtes pas en mesure d'authentifier une demande par des efforts commercialement raisonnables, vous n'êtes pas tenu d'accéder à la demande, et vous pouvez demander des informations supplémentaires, qui sont raisonnablement nécessaires pour authentifier l'utilisateur et sa demande.
Veuillez noter qu’en vertu de la LPC, rien n’indique que des liens d’opposition permettant aux consommateurs de refuser le traitement des données personnelles à certaines finalités soient requis. Toutefois, si vous traitez des données personnelles pour Publicité ciblée ou vente, vous devez fournir aux consommateurs une méthode claire et visible pour exercer leur droit de refus.
Cette méthode doit être décrite clairement et bien en vue dans l'avis de confidentialité et doit être facilement accessible en dehors de l'avis de confidentialité.
Vous devez également autoriser les consommateurs à refuser le traitement de leurs données personnelles à des fins de Publicité ciblée ou de vente par le biais d’un signal d’opposition envoyé via une plateforme, une technologie ou un mécanisme, avec le consentement du consommateur. Ce mécanisme doit:
ne pas désavantager injustement les autres responsables,
exiger du consommateur un choix affirmatif et sans ambiguïté,
être facile à utiliser,
être aussi compatible que possible avec d'autres mécanismes similaires exigés par les lois ou règlements fédéraux ou des États, et
permettre au responsable de déterminer si le consommateur est un résident du Connecticut et a fait une demande d'opposition légitime.
En vertu de l'Utah Consumer Privacy Act (UCPA), les consommateurs ont le droit de refuser le traitement de leurs données personnelles à des finalités de publicité ciblée ou de vente de leurs données personnelles à des tiers. Toutefois, la loi ne contient pas de directives précises sur la façon dont vous devriez permettre aux consommateurs d’exercer ce droit.
Pour vous conformer à la UCPA, vous devez:
fournir aux consommateurs un moyen de présenter des demandes d'opposition;
préciser le droit qu'ils entendent exercer.
Il est important de noter que, dans le cadre de l’UCPA, les liens d’opposition entrent en ligne de compte uniquement dans le cadre du droit des consommateurs de s’opposer au traitement des données sensibles.
Le TDPSA exige le consentement explicite de l’utilisateur dans les cas suivants :
Consentement explicite au traitement des données sensibles : Les responsables du traitement ne peuvent pas traiter de données sensibles sans le consentement explicite de l’utilisateur. Lorsqu’ils traitent des données sensibles à caractère personnel relatives aux enfants, les responsables du traitement doivent également se conformer à la loi de 1998 sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act).
Consentement explicite au traitement des données relatives aux enfants : Aux fins de cette loi, les enfants sont définis comme des mineurs âgés de moins de 13 ans.
Les entreprises peuvent généralement traiter les données des consommateurs sans leur consentement si les finalités du traitement sont les mêmes que celles initialement stipulées. Pour les finalités qui ne sont pas raisonnablement nécessaires et compatibles avec celles indiquées initialement dans la politique de confidentialité, il est nécessaire d’obtenir le consentement de l’utilisateur.
Les entreprises doivent obtenir le consentement des consommateurs pour les raisons suivantes :
Le traitement des données sensibles.
Le traitement des données à caractère personnel relatives aux enfants âgés de 13 à 16 ans à des fins de vente et de publicité ciblée, si l’entreprise a connaissance de leur âge.
Fournissez aux consommateurs d’une méthode facile pour retirer leur consentement. Lorsqu’un consommateur révoque son consentement, mettez fin au traitement de ses données à caractère personnel dans un délai de 45 jours.
Mécanismes d’opposition
Indiquer si les données à caractère personnel seront vendues ou utilisées à des fins de publicité ciblée.
Fournir des méthodes permettant aux consommateurs de s’opposer à la vente de données, à la publicité ciblée et au profilage.
Reconnaître les signaux d’opposition vérifiables provenant d’agents autorisés, y compris les mécanismes d’opposition globaux.
D’ici le 1er janvier 2025, les entreprises devront permettre aux consommateurs de refuser la publicité ciblée et la vente de leurs données à caractère personnel à l’aide de signaux d’opposition.
Pour traiter des données à caractère personnel au-delà de ce qui est raisonnablement nécessaire aux fins initialement stipulées aux consommateurs, les entités doivent obtenir le consentement actif et explicite des consommateurs. Les mêmes règles de consentement s’appliquent à la collecte et au traitement des informations sensibles.
L’OCPA stipule des obligations claires en matière de consentement :
Les consommateurs doivent prendre des mesures claires et positives.
Le consentement doit être sans ambiguïté et éclairé.
Le mécanisme de consentement ne peut pas occulter, ébranler ou compromettre la prise de décision des consommateurs.
Les consommateurs doivent disposer d’un moyen simple et similaire de retirer leur consentement à tout moment.
L’inaction du consommateur ne constitue pas un consentement.
En outre, le consentement actif d’un tuteur est nécessaire pour traiter les données relatives aux enfants âgés de moins de 13 ans, y compris pour la publicité ciblée ou la vente de leurs informations.
En vertu de la loi sur la protection des données du New Jersey (NJDPA), les entreprises doivent fournir un mécanisme clair et visible permettant aux consommateurs de refuser la vente de leurs données personnelles, ainsi que le traitement des données personnelles à des fins de publicité ciblée. Ce mécanisme doit :
Être facile à utiliser et accessible aux consommateurs ;
Exiger du consommateur un choix affirmatif et sans ambiguïté ;
Être cohérent avec d’autres mécanismes d’opposition établis par les réglementations fédérales ou étatiques.
De plus, les entreprises doivent respecter les demandes d’opposition et mettre en œuvre rapidement les actions nécessaires.
La loi sur la protection des données personnelles du Delaware (DPDPA) exige que les entreprises permettent aux consommateurs de se désinscrire de la vente de leurs données personnelles ou du traitement des données personnelles à des fins de publicité ciblée. Le mécanisme d’opposition doit :
Être facilement accessible et facile à utiliser pour les consommateurs ;
Fournir des instructions claires pour soumettre une demande d’opposition ;
Être en conformité avec toutes les réglementations fédérales ou étatiques en vigueur concernant les préférences en matière de confidentialité.
Le mécanisme doit également garantir que les entreprises peuvent vérifier l’identité du consommateur qui faisant la demande.
En vertu de la loi sur la protection des données du New Hampshire, les consommateurs ont le droit de s’opposer au traitement de leurs données personnelles à des fins de publicité ciblée ou de vente. Les entreprises sont tenues de :
Fournir une méthode claire et facile à utiliser pour que les consommateurs soumettent des demandes d’opposition ;
Permettre aux consommateurs de soumettre des demandes via une interface facilement accessible ;
S’assurer que les mécanismes d’opposition sont conformes aux lois fédérales et étatiques sur la confidentialité.
L’opposition doit être respectée rapidement, et les consommateurs doivent être informés sur la manière dont leurs données personnelles seront traitées.
La loi sur la confidentialité du Nevada autorise les consommateurs à refuser la vente de leurs données personnelles. Pour se conformer à cette loi, les entreprises doivent :
Fournir un mécanisme facilement accessible par lequel les consommateurs peuvent soumettre des demandes d’opposition ;
Indiquer clairement comment le consommateur peut exercer son droit de s’opposer à la vente de données ;
S’assurer que le mécanisme d’opposition est aussi simple et facile que possible.
Les entreprises doivent respecter la demande du consommateur de se désinscrire et l’informer que ses préférences ont bien été enregistrées.
La loi sur la protection des données du Nebraska exige que les entreprises permettent aux consommateurs de se désinscrire de la vente de données personnelles ou de leur traitement à des fins de publicité ciblée. Pour se conformer à la NDPA, les entreprises doivent :
Fournir une méthode d’opposition claire et accessible pour les consommateurs ;
S’assurer que le mécanisme est facile à utiliser et conforme aux autres réglementations fédérales et étatiques ;
Indiquer clairement aux consommateurs la manière dont leurs données seront utilisées et comment ils peuvent exercer leurs droits d’opposition.
Une fois qu’une demande d’opposition est faite, les entreprises doivent y répondre rapidement et conformément aux préférences déclarées du consommateur.
Notre solution
Privacy Controls and Cookie Solution pour le CCPA
Avertissez les consommateurs et gérez les demandes d'opposition (opt-out). Compatible avec le cadre de conformité au CCPA de l'IAB.
Notre solution vous permet de :
Afficher un avis de collecte afin d’informer les utilisateurs
Afficher un lien « Ne pas vendre mes informations personnelles » (DNSMPI) dans l'avis et ailleurs sur votre site web ou application, facilitant ainsi l'opposition à la vente
Détecter et appliquer automatiquement les bons critères (même s'il y en a plusieurs) en fonction de la localisation de l'utilisateur. Notre solution vous permet d'appliquer à la fois les standards du CPRA (anciennement CCPA) et ceux du RGPD, aux mêmes utilisateurs
Enregistrer les préférences des utilisateurs (ex. l'opt-out) et les transférer aux partenaires publicitaires qui font partie du cadre de conformité au CCPA de l'IAB (comme Google et AdRoll)
L'outil Privacy Controls and Cookie Solution iubenda permet d’exprimer sa préférence d’opposition
Les signaux comme le GPC
et la GPP
conformément au CPRA
Maintenir un registre à jour des actions d'opt-out réalisées manuellement
Obligatoire (USA)
Comme mentionné précédemment, similairement au CPRA (anciennement CCPA), la plupart des lois de ces États donnent aux utilisateurs le droit d’opposition. Dans les cas où le traitement des données est plutôt manuel (ex. non lié à des scripts du site web, comme pour le marketing direct par e-mail), les entreprises doivent parfois gérer manuellement les demandes d'opt-out.
De plus, des lois comme le CPRA exigent que les utilisateurs ayant exercé leur droit d'opposition ne soient pas contactés pour un minimum de 12 mois après la demande. Pour cette raison, il est plus prudent de conserver les détails de l'opt-out incluant l'utilisateur concerné, la date et les sous-traitants à informer en cas de demande.
Notre solution
Consent Database
Notre Consent Database s'intègre à vos formulaires web pour vous permettre de transmettre automatiquement les préférences des consommateurs via une API et vers un tableau de bord central et intuitif. Vous pouvez enregistrer toutes les informations requises par la loi, y compris la date et l'heure de l'opt-out, la version de la politique de confidentialité présentée à l'utilisateur au moment de l'opt-out, son identifiant, ses adresses e-mail et IP, tout cela pour constituer une demande vérifiable ultérieurement.
Pénalité civile de 2 500 dollars par infraction ou de 7 500 dollars par infraction si elle est intentionnelle ou si elle implique les informations personnelles d'un enfant.
Pénalité civile pouvant aller jusqu'à 7 500 dollars pour chaque infraction.
Bien que ces amendes puissent sembler peu élevées par rapport à d'autres lois sur la confidentialité, il faut savoir que ces amendes sont calculées par infraction et par consommateur. Pour une entreprise qui n'a que quelques clients, ces amendes peuvent représenter une somme importante.
Globalement, quelles sont les principales obligations des propriétaires de sites web et d'applications ?
Partage et profilage
Si vous avez des utilisateurs des États-Unis, vous devrez probablement vous conformer à des lois telles que le CPRA et le VCDPA lors du profilage ou du partage d’informations d’utilisateurs. Cela signifie que vous devez informer les utilisateurs du traitement de leurs données et leur donner la possibilité de s’opposer à ce partage (opt-out).
Registre des consentements
Vous êtes tenu par certaines régions comme l'Europe et le Brésil à conserver les preuves de consentement (également appelées registres de consentement). Dans de nombreux cas, sans ces registres, les consentements que vous collectez peuvent être considérés comme non valables, ce qui vous place en infraction de la loi.
Exigences inter-régionales
Si vous avez des utilisateurs de différentes régions (par exemple, en Europe et aux États-Unis), vous devrez probablement vous conformer simultanément aux lois de plusieurs régions, comme le CPRA de Californie ou le RGPD européen. Cela signifie que vos documents de confidentialité doivent, entre autres, contenir des informations spécifiques à chaque région.
Déjà 140 000 clients dans plus de 100 pays nous font confiance
« Si, comme moi, vous faites partie d'une équipe constamment à la recherche de nouvelles astuces et détestez mettre à jour votre politique de confidentialité à chaque fois que vous ajoutez du code sur votre site web, alors les solutions iubenda sont faites pour vous. Elles sont vraiment abordables et faciles à utiliser. »
ESSAYEZ AVANT D'ACHETER ou UTILISEZ LA VERSION GRATUITE
3209739 documents déjà générés
FAQ
Comment se préparer au CPRA ?
Le CPRA entre en vigueur le 1er janvier 2023 et sera en application à partir du 1er juillet 2023.
Chez iubenda, comme toujours, nous surveillons de près les dernières actualités et nous assurons que tous nos documents et produits soient adaptés à temps pour rester conformes.
Si vous avez déjà mis en place des procédures dans le cadre du CCPA, il est recommandé de commencer à revoir vos processus et à prendre note de ces éléments :
Les États-Unis se dotent d’une nouvelle réglementation en matière de protection des données grâce au « Virginia Data Protection Act » (VCDPA).
Le VCDPA prendra effet le 1er janvier 2023.
Si votre organisation entre dans le champ d’application de la loi VCDPA, vous devriez commencer à chercher des solutions qui soient fiables et rédigées par des avocats.
Alors, si vous n’avez pas encore de solution pour cela, commencez la mise en place avec iubenda, et nous vous informerons lorsque les clauses relatives seront disponibles !
Inscrivez-vous à notre prochain webinar pour obtenir un aperçu des obligations légales et poser vos questions en direct
Tous nos produits sont conformes aux WCAG avec un niveau AAA
Une solution à 360° pour la mise en conformité de vos sites web et applications
Conformité pour vos sites web et applications
Générateur de Politique de Confidentialité et de Cookies
Créez votre politique de confidentialité et de cookies en quelques minutes.
Personnalisable grâce à +2000 clauses, disponible en jusqu’à 27 langues et mise à jour automatiquement en cas de changements dans la loi, notre générateur vous permet de créer un document juridique en peu de temps et de l'intégrer facilement à votre site web ou application.
Gérez les préférences de consentement conformément à la directive ePrivacy, le RGPD, la loi CPRA (venue modifier la loi CCPA) et la LGPD. Compatible avec le TCF de l'IAB et avec le cadre de conformité à la loi CCPA.
Notre solution vous permet de générer un bandeau cookies/bannière de consentement complètement personnalisable, de collecter le consentement aux cookies, configurer le blocage préalable (dont le blocage automatique), définir les préférences publicitaires, et plus encore.
Adaptez vos documents au RGPD et à la LGPD : collectez une preuve de consentement et documentez l'opt-in et l'opt-out.
Notre solution s'intègre facilement à vos formulaires de collecte de données, se synchronise à vos documents juridiques et inclut un tableau de bord intuitif qui vous permet à tout moment de récupérer les consentements obtenus.
Documentez toutes les activités de traitement de données réalisées au sein de votre organisation.
Pour la mise en conformité aux lois sur la confidentialité et en particulier au RGPD, les entreprises doivent tenir un registre des modalités de stockage et d'utilisation des données de leurs utilisateurs. Notre solution vous permet de documenter facilement toutes les activités de traitement en place au sein de votre organisation.
