Loi du Rhode Island sur la transparence des données et la protection de la vie privée

Le Rhode Island a officiellement adopté sa loi sur la protection des données des consommateurs, la Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA), en juin 2024.

Dans ce guide, je résume tout ce que les entreprises doivent savoir sur la RIDTPPA, notamment ses exigences, les droits qu'elle accorde aux consommateurs, les sanctions en cas de non-conformité, etc.

Table des matières

1. Qu'est-ce que la loi du Rhode Island sur la transparence des données et la protection de la vie privée (RIDTPPA) ?
2. Termes clés et définitions du RIDTPPA
3. Que couvre la loi du Rhode Island sur la transparence des données et la protection de la vie privée ?
4. Exigences de la loi du Rhode Island sur la transparence des données et la protection de la vie privée
5. Loi sur la transparence des données et la protection de la vie privée de Rhode Island par rapport à d'autres États : Similitudes et différences
6. Quel sera l'impact de la RIDTPPA sur les consommateurs ?
7. À qui s'applique le RIDTPPA ?
8. Quel sera l'impact de la RIDTPPA sur les entreprises ?
9. Qui doit se conformer à la nouvelle loi du Rhode Island sur la protection des données personnelles ?
10. Comment la RIDTPPA sera-t-elle appliquée ?
11. Amendes et pénalités en vertu de la loi du Rhode Island sur la transparence des données et la protection de la vie privée
12. Comment Termly va-t-il contribuer à la mise en conformité avec la RIDTPPA ?
13. Existe-t-il d'autres lois relatives à la protection de la vie privée au Rhode Island ?
14. Résumé

Qu'est-ce que la loi du Rhode Island sur la transparence des données et la protection de la vie privée (RIDTPPA) ?

La loi du Rhode Island sur la transparence des données et la protection de la vie privée (RIDTPPA) est la nouvelle loi de l'État sur la protection de la vie privée des consommateurs.

Elle protège la manière dont les informations personnelles des résidents du Rhode Island sont collectées, traitées et utilisées par des entités externes et accorde aux individus divers droits sur leurs données.

La loi prévoit également des sanctions en cas de non-respect.

RIDTPPA Date d'entrée en vigueur

La nouvelle loi du Rhode Island sur la protection des données personnelles entrera en vigueur le 1er janvier 2026.

Termes clés et définitions du RIDTPPA

Pour vous aider à vous conformer à la RIDTPPA, j'ai inclus quelques termes clés de la loi avec leurs définitions précises :

Lorsque j'utilise ces termes dans ce guide, c'est en gardant ces définitions à l'esprit.

Que couvre la loi du Rhode Island sur la transparence des données et la protection de la vie privée ?

La RIDTPPA couvre les informations personnelles des résidents du Rhode Island.

Elle ne couvre pas les personnes de l'État agissant dans le cadre d'un emploi ou dans un contexte commercial.

Exigences de la loi du Rhode Island sur la transparence des données et la protection de la vie privée

Dans la section suivante, je résume certaines exigences clés énoncées dans la loi du Rhode Island sur la transparence des données et la protection de la vie privée.

Base légale du traitement des données

Pour collecter, stocker ou vendre légalement des données à caractère personnel en vertu de la RIDTPPA, les sites web commerciaux ou les fournisseurs de services internet doivent divulguer toutes les données collectées aux utilisateurs à un endroit bien visible sur leur site web.

Toutefois, pour traiter des données sensibles, vous devez obtenir le consentement actif du client.

Consentement

Le consentement est requis en vertu de la RIDTPPA pour la collecte et le traitement d'informations ou de données personnelles sensibles concernant des enfants connus.

La loi définit le consentement comme étant

• Clair
• Affirmatif
• Librement consentie
• Spécifique
• Informé
• Sans ambiguïté

Le consentement peut prendre la forme d'une déclaration écrite par des moyens électroniques, mais ne peut pas impliquer le survol, la mise en sourdine, la mise en pause ou la fermeture d'un élément de contenu, ni aucun accord obtenu par des motifs obscurs.

Obligations contractuelles avec les responsables du traitement des données

Selon la RIDTPPA, un contrat doit exister entre tous les responsables du traitement des données et les contrôleurs, qui doit préciser les éléments suivants :

• Veiller à ce que chaque personne traitant les données soit soumise à un devoir de confidentialité ;
• Sur instruction du responsable du traitement, exiger du sous-traitant qu'il supprime ou restitue toutes les données à la fin du service, à moins que la loi n'exige leur conservation ;
• À la demande du responsable du traitement, mettre à disposition toutes les informations nécessaires pour démontrer que le sous-traitant respecte la RIDTPPA ;
• Les responsables du traitement doivent veiller à ce que les sous-traitants soient soumis à un contrat écrit décrivant ces mêmes obligations, tout en donnant au responsable du traitement la possibilité de s'opposer au sous-traitant ; et
• Coopérer aux évaluations raisonnables de la protection des données effectuées par le responsable du traitement ou l'évaluateur désigné, le cas échéant.

Évaluation de la protection des données

Des évaluations de la protection des données doivent être effectuées en vertu de la RIDTPPA pour traiter les données aux fins suivantes :

• Faire de la publicité ciblée
• Données de vente
• Le profilage lorsqu'il présente des risques raisonnablement prévisibles de traitement déloyal ou trompeur
• Traitement des données personnelles sensibles

Une évaluation unique peut être utilisée si une évaluation a déjà été réalisée pour satisfaire aux obligations prévues par d'autres lois sur la protection de la vie privée dont le champ d'application est similaire.

Le procureur général peut exiger d'un responsable du traitement qu'il mette à disposition l'évaluation de la protection des données afin de vérifier le respect de la RIDTPPA.

Sécurité des données

En vertu de la RIDTPPA, les entreprises doivent mettre en œuvre des mesures de sécurité pour protéger l'intégrité et l'accessibilité de toutes les données à caractère personnel collectées.

Bien qu'elle ne précise pas quelles sont les techniques de sécurité à utiliser, les approches les plus courantes sont les suivantes :

• Cryptage
• Anonymisation
• Contrôles d'accès
• Pare-feu

Loi sur la transparence des données et la protection de la vie privée de Rhode Island par rapport à d'autres États : Similitudes et différences

Plusieurs autres États américains ont adopté des lois sur la confidentialité des données, dont les suivants :

• California Consumer Protection Act(CCPA)- actuellement en vigueur
• Colorado Privacy Act(CPA)- actuellement en vigueur
• Loi du Connecticut sur la protection des données(CTDPA) - actuellement en vigueur
• Delaware Personal Data Privacy Act(DPDPA)- entrée en vigueur le 1er janvier 2025
• Charte des droits numériques de Floride(FDBR) - actuellement en vigueur
• Indiana Consumer Data Protection Act(Indiana CDPA) - entrée en vigueur le 1er janvier 2026
• Iowa Consumer Data Protection Act(Iowa CDPA)- entrée en vigueur le 1er janvier 2025
• Kentucky Consumer Data Protection Act(KCDPA)- entrée en vigueur le 1er janvier 2026
• Minnesota Consumer Data Privacy Act(MCDPA)- entrée en vigueur le 31 juillet 2025
• Montana Consumer Data Privacy Act(MCDPA)- entrée en vigueur le 1er octobre 2024
• Loi du Maryland sur la confidentialité des données en ligne(MODPA)- entrée en vigueur le 1er octobre 2025
• Nebraska Data Privacy Act(NDPA)- entrée en vigueur le 1er janvier 2025
• Loi sur la protection des données du New Hampshire(NHDPL)- entrée en vigueur le 1er janvier 2025
• New Jersey Data Privacy Act(NJDPA)- entrée en vigueur le 15 janvier 2025
• Oregon Consumer Privacy Act(OCPA)- actuellement en vigueur
• Tennessee Information Protection Act(TIPA)- entrée en vigueur le 1er juillet 2025
• Texas Data Privacy and Security Act(TDPSA) - actuellement en vigueur
• Utah Consumer Privacy Act(UCPA)- actuellement en vigueur
• Virginia Consumer Data Protection Act(VCDPA)- actuellement en vigueur

Le tableau ci-dessous permet de comparer certains aspects de la RIDTPPA à ces autres lois américaines sur la protection de la vie privée.

Droit national	Consentement explicite pour certains types de traitement de données	Consentement négatif pour certains types de traitement de données	Doit présenter aux utilisateurs un politique de confidentialité (ou un avis)	Nécessité d'une évaluation de la protection des données	L'obligation contractuelle avec les sous-traitants tiers est précisée	Permet des poursuites civiles ou un droit d'action privé	Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur
RIDTPPA	✓	✓	✓	✓	✓
CCPA/CPRA	✓	✓	✓	✓	✓	✓	✓
CPA		✓	✓	✓	✓		✓
CTDPA		✓	✓	✓	✓		✓
DPDPA	✓	✓	✓	✓	✓		✓
FDBR		✓	✓	✓	✓
CDPA de l'Indiana		✓	✓	✓	✓
CDPA de l'Iowa		✓	✓		✓
KCDPA	✓	✓	✓	✓	✓
CDPA du Minnesota	✓	✓	✓	✓	✓		✓
CDPA du Montana		✓	✓	✓	✓		✓
MODPA	✓	✓	✓	✓	✓		✓
NDPA	✓	✓	✓	✓	✓		✓
NHDPL	✓	✓	✓	✓	✓		✓
NJDPA	✓	✓	✓	✓	✓		✓
OCPA		✓	✓	✓	✓		✓
TIPA	✓	✓	✓	✓	✓
TDPSA		✓	✓	✓	✓		✓
UCPA		✓	✓		✓
VCDPA		✓	✓	✓	✓

Quel sera l'impact de la RIDTPPA sur les consommateurs ?

La RIDTPPA a un impact sur les consommateurs (appelés clients dans le texte de la loi) en leur accordant les droits suivants sur leurs informations personnelles :

• Confirmer qu'un responsable du traitement traite leurs données à caractère personnel et accéder à ces données
• Corriger les inexactitudes dans leurs données
• Demande de suppression des données personnelles
• Obtenir une copie portable de ses données personnelles
• Refus du traitement des données à des fins de publicité ciblée, de vente de données ou de profilage
• Accepter que leurs données personnelles sensibles soient collectées et traitées

À qui s'applique le RIDTPPA ?

La RIDTPPA s'applique aux résidents du Rhode Island mais ne s'applique pas à toute personne de l'État agissant dans un contexte commercial ou professionnel.

Quel sera l'impact de la RIDTPPA sur les entreprises ?

Au-delà des finalités légales du traitement des données, des obligations contractuelles et des autres exigences que j'ai déjà évoquées, la RIDTPPA a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.

Quelle sera l'incidence de la RIDTPPA sur ma politique de protection de la vie privée ?

La RIDTPPA affecte votre politique de protection de la vie privée en exigeant qu'elle contienne les informations suivantes :

• Identifier toutes les catégories de données à caractère personnel collectées par le biais du site web ou du service en ligne ;
• Identifier tous les tiers auxquels le responsable du traitement vend des données ;
• Identifier une adresse électronique active ou un autre mécanisme en ligne que les clients peuvent utiliser pour contacter le responsable du traitement ;
• Indiquer clairement si les données sont vendues à des tiers ou traitées à des fins de publicité ciblée.

Comment la RIDTPPA affectera-t-elle ma politique de cookies?

La RIDTPPA a une incidence sur votre politique de cookies , car la loi donne aux utilisateurs le droit de refuser ou d'accepter un traitement de données spécifique pouvant impliquer le déploiement de cookies Internet.

Par exemple, les clients doivent donner leur consentement avant que des données personnelles sensibles les concernant ne soient collectées et traitées, et ils ont le droit de refuser que leurs données soient vendues ou traitées à des fins de publicité ciblée.

Veillez à utiliser une plateforme de gestion du consentement qui permette à vos utilisateurs de Rhode Island d'exercer leurs droits d'acceptation et de refus, et présentez-leur toujours une politique de cookies actualisée et précise.

Qui doit se conformer à la nouvelle loi du Rhode Island sur la protection des données personnelles ?

Votre entreprise doit se conformer à la RIDTPPA si vous êtes à but lucratif, si vous exercez une activité commerciale dans l'État ou si vous produisez des biens et des services destinés aux résidents du Rotary, et.. :

• au cours d'une année civile, contrôle ou traite les données à caractère personnel de 35 000 clients, à l'exclusion des données traitées uniquement pour effectuer une transaction de paiement, ou
• Au cours d'une année civile, contrôle ou traite les données à caractère personnel de 10 000 clients et tire au moins 20 % de ses revenus bruts de la vente de données à caractère personnel.

Qui est exempté de la RIDTPPA ?

Les entités suivantes sont exemptées de suivre le RIDTPPA :

• Toute autorité, organisme, conseil, bureau, commission, district ou agence de l'État du Rotary ou des subdivisions politiques de l'État.
• Organisations à but non lucratif
• Établissements d'enseignement supérieur
• Associations nationales de valeurs mobilières enregistrées en vertu du Securities Exchange Act de 1934
• Institutions financières soumises à la loi Gramm-Leach-Bliley (GLBA)

Comment les entreprises peuvent-elles se préparer au RIDTPPA ?

Vos entreprises peuvent se préparer à la RIDTPPA en veillant à mettre à jour leurs politiques en matière de cookies et de protection de la vie privée afin de tenir compte de toutes les lignes directrices en matière de transparence et de notification définies par la loi.

Utilisez une plateforme de gestion du consentement (CMP) sur votre site web pour permettre à vos clients de Rhode Island de faire valoir leurs droits en matière de protection de la vie privée, par exemple en refusant la publicité ciblée ou la vente de leurs données.

Enfin, l'ajout d'un formulaire de demande d'accès à la base de données(DSAR) sur votre site web vous permet d'offrir à vos clients un moyen simple de soumettre des demandes de suivi de leurs droits supplémentaires.

Comment la RIDTPPA sera-t-elle appliquée ?

Le procureur général veillera à l'application de la RIDTPPA, et toute violation de la loi sera considérée comme une pratique trompeuse.

Amendes et pénalités en vertu de la loi du Rhode Island sur la transparence des données et la protection de la vie privée

Les entreprises qui enfreignent la RIDTPPA sont passibles d'amendes allant de 100 à 500 dollars par incident.

Toutefois, les clients n'ont pas le droit d'intenter une action privée en vertu de la loi.

Comment Termly va-t-il contribuer à la mise en conformité avec la RIDTPPA ?

Termly aidera les entreprises à simplifier leur mise en conformité avec la RIDTPPA en s'assurant de la qualité de nos services. Générateur de politique de confidentialité soit mis à jour pour répondre à toutes les directives de notification définies par la loi avant qu'elle ne devienne applicable en 2026.

Soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, il pose des questions à choix multiples sur votre entreprise et ses activités de traitement des données.

Il élabore une politique personnalisée en fonction de vos réponses.

Notre plateforme de gestion du consentement (CMP) est également configurable pour répondre aux exigences d'opt-out et d'opt-in décrites dans la RIDTPPA.

Il comprend un formulaire DSAR gratuit, qui permet aux entreprises de recevoir facilement les demandes des clients concernant le respect de leurs droits en matière de protection de la vie privée.

Existe-t-il d'autres lois relatives à la protection de la vie privée au Rhode Island ?

Il existe au Rhode Island quelques autres lois relatives à la protection de la vie privée qui fonctionneront en tandem avec la RIDTPPA, notamment les suivantes :

• Identity Theft Protection Act (loi sur la protection contre le vol d'identité) de 2015 : Cette loi prévoit des protections pour les informations personnelles concernant la divulgation des violations des systèmes de sécurité. Elle exige la mise en œuvre de programmes de sécurité fondés sur les risques afin de prévenir les cybercrimes.
• Consumer Empowerment and Identity Theft Prevention Act (loi sur la responsabilisation des consommateurs et la prévention du vol d'identité) de 2006 : Cette loi protège également les consommateurs contre les violations de données, en leur donnant le droit de placer un gel de sécurité sur leurs rapports de crédit.

Résumé

Avant l'entrée en vigueur de la RIDTPPA en 2026, veillez à ce que votre entreprise prenne les mesures nécessaires pour se préparer à la mise en conformité :

• Ajoutez une politique de confidentialité à votre site web ou à votre service en ligne pour informer les utilisateurs de toutes les données que vous collectez et pour leur indiquer si vous les partagez avec des tiers et de quelle manière.
• Mettez à jour votre politique de cookies pour vous assurer qu'elle mentionne tous les cookies Internet utilisés, afin que vos clients du R.I. puissent faire valoir leurs droits en matière de protection de la vie privée.
• Ajoutez un formulaire DSAR à votre site web afin que les clients du Rotary puissent facilement soumettre des demandes d'accès, de correction ou de suppression de leurs données personnelles.
• Utilisez et signez un contrat conforme si vous travaillez avec des sous-traitants de données.
• Effectuer des évaluations de la protection des données si nécessaire pour des objectifs spécifiques de traitement des données.

Heureusement, grâce à des solutions comme le Générateur de politique de confidentialité et le CMP de Termly, il n'a jamais été aussi facile de se conformer à des lois comme la LPRPDE.

Écrit par Natasha Piirainen

Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

Lire tous les articles de Natasha Piirainen

Révisé par Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy est avocate spécialisée dans la protection de la vie privée. Elle est titulaire d'une maîtrise de l'université Carnegie Mellon et d'un doctorat en droit de l'université de Pittsburgh. En tant qu'ancienne Fellow Westin Fellow l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et animé des webinaires et des tables rondes sur la protection de la vie privée et les technologies de protection de la vie privée aux États-Unis.

Lire tous les articles révisés par Anokhy Desai CIPP/US, CIPT, CIPM