Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Le « Virginia Consumer Data Protection Act » (VCDPA)

La loi sur la protection des données des consommateurs de Virginie (VCDPA) a été promulguée en mars 2021, et la Virginie est devenue le deuxième État des États-Unis à adopter une loi complète sur la confidentialité des données, après la Californie. 

Le VCDPA est entré en vigueur le 1er janvier 2023, et concerne les organisations qui mènent des activités en Virginie ou qui fournissent des produits/services à des personnes en Virginie. En d’autres termes, il n’est pas nécessaire que votre organisation soit située en Virginie pour que le VCDPA s’applique à votre situation.

🚀 Continuez à lire pour en savoir plus sur le VCDPA, y compris si vous êtes concerné ou non et comment s’y conformer.

Qu’est-ce que le « Virginia Consumer Data Protection Act » (VCDPA) ?

Le VCDPA accorde aux utilisateurs le droit d’accéder à leurs données et de demander aux organisations de supprimer leurs données personnelles. Il oblige également les entreprises à effectuer des évaluations de la sécurité des données lorsqu’il existe un traitement de données personnelles à des fins, entre autres, de publicité ciblée et de vente.

En vertu du VCDPA, les données personnelles désignent toute information liée ou pouvant raisonnablement être liée à une personne identifiée ou identifiable.

Il est donc important de remarquer que les adresses IP peuvent être considérées comme des données à caractère personnel dès lors qu’elles sont « liées ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable ».

Mon entreprise sera-t-elle concernée par le VCDPA ?

Pour entrer dans le champ d’application de la loi, les organisations menant des activités en Virginie doivent atteindre l’un des deux niveaux décrits, et ces deux seuils comprennent un nombre minimum d’utilisateurs concernés. 

Les organisations qui contrôlent ou traitent :
  1. des données personnelles d’au moins 100 000 utilisateurs au cours d’une année civile ; ou 
  2. des données personnelles d’au moins 25 000 utilisateurs et en générant plus de 50% de leur revenu brut grâce à la vente de ces données ;

seront concernées par le VCDPA. Continuez votre lecture pour découvrir comment votre entreprise peut se mettre en conformité. 👇

📌 Votre politique de confidentialité en vertu du VCDPA

Votre organisation doit fournir aux utilisateurs un avis de confidentialité raisonnablement accessible, clair et valable. Voici la liste complète des informations que vous devez inclure dans votre politique de confidentialité. 

Checklist pour votre politique de confidentialité ✅

Mentionnez les catégories de données personnelles traitées par votre organisation.

Mentionnez à quelles fins votre organisation traite des données personnelles.

Informez vos utilisateurs de la manière dont ils peuvent exercer leurs droits (voir ci-dessous), y compris de la manière dont ils peuvent faire appel d’une décision concernant leurs demandes. Vous devez proposer une ou plusieurs méthodes permettant aux utilisateurs d’envoyer une demande.

Indiquez les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant.

Indiquez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant.

Les résidents de Virginie ont les droits suivants en vertu de la loi VCDPA de Virginie :

  • le droit de savoir si leurs données personnelles sont collectées ou traitées ;
  • d’avoir accès à leurs données personnelles qui ont été collectées ou traitées par le responsable du traitement ;
  • d’obtenir une copie utilisable de leurs données personnelles conservées par un responsable du traitement ;
  • de ne pas subir de discrimination parce qu’ils ont exercé leurs droits ; 
  • de faire corriger des données personnelles inexactes ; 
  • de demander la suppression de données personnelles ; et 
  • de refuser que leurs données personnelles soient collectées ou traitées à des fins de publicité ciblée, de vente et de profilage.

N’oubliez pas qu’en vertu du VCDPA, rien n’indique que des liens d’opt-out permettant aux utilisateurs de renoncer au traitement de données personnelles à certaines fins soient nécessaires.

En effet, les dispositions du VCDPA traitent les droits d’opt-out des utilisateurs de la même manière que tous les autres droits des utilisateurs accordés par la loi. Voyez ci-dessous comment répondre aux demandes des utilisateurs 👇

📌 Comment répondre aux demandes des utilisateurs

Votre entreprise doit se conformer aux demandes des utilisateurs comme suit :

  • vous devez répondre à la demande dans un délai de 45 jours. Le délai de réponse peut être prolongé une fois de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire, à condition d’informer l’utilisateur de toute prolongation du délai de réponse initial de 45 jours, ainsi que de la raison de cette prolongation ;
  • si vous refusez de donner suite à la demande de l’utilisateur, informez-le de ce refus dans un délai de 45 jours, en indiquant la raison et les instructions sur la manière de faire appel de la décision ;
  • si vous n’êtes pas en mesure d’authentifier une demande en déployant des efforts commercialement raisonnables, vous n’êtes pas tenu de vous conformer à la demande, et vous pouvez demander des informations supplémentaires, qui sont raisonnablement nécessaires pour authentifier l’utilisateur et sa demande.

📌 Que se passe-t-il si je ne me conforme pas au VCDPA ?

Comme le VCDPA ne comprend pas d’agence dédiée à la confidentialité, le procureur général a l’autorité exclusive pour faire appliquer ses dispositions.

Avant d’entamer toute action, le procureur général fournira un avis écrit de 30 jours identifiant les dispositions spécifiques qui ont été ou sont en infraction :

👉 Si, dans le délai de 30 jours, vous remédiez à l’infraction constatée et fournissez au procureur général une déclaration écrite indiquant que les infractions présumées ont été corrigées et qu’aucune autre violation ne se produira, aucune action ne sera engagée contre votre entreprise.

👉 Si votre entreprise continue à enfreindre les dispositions de la loi après la période de suspension ou après une déclaration écrite faite au procureur général, ce dernier peut intenter une action en justice et demander une injonction pour empêcher toute infraction et donner des sanctions civiles pouvant aller jusqu’à 7 500 dollars pour chaque infraction.

A faire pour se préparer au VCDPA

Les États-Unis se dotent d’une nouvelle réglementation en matière de protection des données grâce au « Virginia Data Protection Act » (VCDPA).

Si votre organisation est déjà en conformité avec le RGPD et le CCPA/CPRA de Californie, il est probable que vous n’ayez pas beaucoup à faire pour mettre votre site web en conformité avec le VCDPA de Virginie.

🚀
Le VCDPA a pris effet le 1er janvier 2023.

Si votre organisation entre dans le champ d’application de la loi VCDPA, vous devriez chercher des solutions qui soient fiables et rédigées par des avocats.

Alors, si vous n’avez pas encore de solution pour cela, commencez la mise en place avec iubenda.

Générer dès maintenant