Le Nebraska Data Privacy Act(NDPA) est une loi complète sur la confidentialité des données qui protège les informations personnelles des résidents de l'État.
Dans ce guide, je vous expliquerai quels types d'entités doivent se conformer à la nouvelle loi du Nebraska sur la protection de la vie privée, quel est l'impact de la nouvelle loi sur les entreprises et les consommateurs, et quelles sont les amendes et les sanctions prévues en cas de violation de certaines parties de la loi.
- Qu'est-ce que la loi du Nebraska sur la protection des données (NDPA) ?
- Termes clés et définitions de la NDPA
- Que couvre la loi du Nebraska sur la protection des données personnelles ?
- Exigences de la loi du Nebraska sur la confidentialité des données
- Loi sur la protection des données du Nebraska par rapport à d'autres États : Similitudes et différences
- Quel sera l'impact de la NDPA sur les consommateurs ?
- À qui s'applique la NDPA ?
- Quel sera l'impact de la NDPA sur les entreprises ?
- Qui doit se conformer à la nouvelle loi du Nebraska sur la protection des données personnelles ?
- Comment les entreprises peuvent-elles se préparer à la NDPA ?
- Comment la NDPA sera-t-elle appliquée ?
- Amendes et sanctions en vertu de la loi du Nebraska sur la protection des données personnelles
- Comment Termly aide à la mise en conformité avec la NDPA
- Existe-t-il d'autres lois relatives à la protection de la vie privée au Nebraska ?
- Résumé
Qu'est-ce que la loi du Nebraska sur la protection des données (NDPA) ?
La NDPA est la première loi complète sur la confidentialité des données des consommateurs au Nebraska, le dix-septième État à adopter une telle loi aux États-Unis.
Elle définit des lignes directrices sur la manière dont les entités peuvent collecter, traiter et utiliser les informations personnelles des résidents de l'État.
La loi confère également aux consommateurs de nouveaux droits et contrôles sur leurs données et définit les sanctions applicables en cas de violation de certaines parties de la loi.
Date d'entrée en vigueur de l'APDN
La nouvelle loi du Nebraska sur la protection de la vie privée est entrée en vigueur le 1er janvier 2025.
Termes clés et définitions de la NDPA
Ci-dessous, j'ai inclus quelques termes clés de la NDPA avec les définitions telles qu'elles apparaissent dans le texte de la loi.
Que couvre la loi du Nebraska sur la protection des données personnelles ?
La NDPA couvre les informations personnelles des résidents de l'État du Nebraska.
Cependant, il exclut plusieurs types de données, y compris, mais sans s'y limiter, les suivantes :
- Informations sur la santé protégées en vertu de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA)
- Dossiers de santé
- Informations d'identification du patient à des fins spécifiques
- Informations privées identifiables collectées aux fins de la politique fédérale de protection des sujets humains ou des lignes directrices sur les bonnes pratiques cliniques publiées par le Conseil international pour l'harmonisation des exigences techniques relatives aux produits pharmaceutiques à usage humain.
Exigences de la loi du Nebraska sur la confidentialité des données
Vous trouverez ci-dessous quelques-unes des principales exigences de la nouvelle loi du Nebraska sur la protection de la vie privée.
Base légale du traitement des données
Conformément à l'article 12 de la NDPA, les entreprises doivent limiter le traitement des données à ce qui est raisonnablement nécessaire pour atteindre les objectifs du traitement tels qu'ils ont été communiqués au consommateur.
Vous devez obtenir le consentement du consommateur pour collecter des informations sortant de ce cadre ou pour collecter et traiter des catégories d'informations personnelles sensibles.
Consentement
En vertu de la NDPA, le consentement doit être librement donné, spécifique, éclairé et sans ambiguïté, et le consommateur doit prendre une mesure claire et affirmative pour indiquer son consentement.
En d'autres termes, la NDPA décrit un type de consentement "opt-in" et indique clairement que le fait de survoler, de mettre en sourdine, en pause ou de fermer un contenu ne constitue pas un consentement.
L'utilisation de schémas obscurs ou de mécanismes de consentement alambiqués avec des conditions d'utilisation générales n'est pas non plus considérée comme un consentement correctement obtenu.
Demandes vérifiables des consommateurs
En vertu de la NDPA, les consommateurs peuvent à tout moment adresser des demandes vérifiables à un responsable du traitement pour qu'il donne suite à leurs différents droits en matière de protection de la vie privée.
Le responsable du traitement dispose alors de 45 jours à compter de la réception d'une demande pour y répondre, avec la possibilité de prolonger ce délai de 45 jours supplémentaires, en fonction de la complexité de la demande.
L'information doit être fournie gratuitement au consommateur jusqu'à deux fois par année civile.
Mécanismes universels de retrait du consentement
La NDPA permet aux consommateurs de soumettre des demandes vérifiées pour exercer leurs droits en matière de protection de la vie privée à l'aide d'une technologie telle qu'un mécanisme universel d'exclusion (UOOM).
En vertu de cette loi, les entreprises doivent s'assurer que leurs sites web peuvent lire les signaux de consentement provenant de la technologie UOOM, comme le Global Privacy Control(GPC), qui transmet automatiquement aux sites web sur lesquels l'utilisateur navigue son choix de refuser la publicité ciblée et la vente de ses données.
Exigences en matière de sécurité des données
Les entreprises qui collectent des informations personnelles en vertu de la NDPA doivent établir, mettre en œuvre et maintenir des pratiques de sécurité des données techniques, administratives et physiques afin de protéger la confidentialité, l'intégrité et l'accessibilité des informations.
Obligations contractuelles entre les responsables du traitement et les sous-traitants
Les contrôleurs de données au sens de la NDPA doivent conclure des contrats avec tous les sous-traitants de données qui décrivent tous les détails suivants :
- Des instructions claires pour le traitement des données.
- La nature et la finalité du traitement.
- Le type de données faisant l'objet du traitement.
- La durée du traitement.
- Les droits et obligations des deux parties.
- Veiller à ce que toutes les parties concernées soient soumises à un devoir de confidentialité concernant les données.
- L'obligation pour le sous-traitant de supprimer ou de renvoyer au responsable du traitement toutes les données demandées après la fin du contrat, à moins que la loi n'exige la conservation des données.
- Le sous-traitant doit mettre toutes les données à la disposition du responsable du traitement pour démontrer le respect de la NDPA.
- Le sous-traitant doit permettre toute évaluation raisonnable effectuée par le responsable du traitement ou par l'évaluateur du responsable du traitement et y coopérer.
- Tout sous-traitant doit être soumis à la signature d'un contrat reprenant les mêmes lignes directrices.
Évaluation de la protection des données
La NDPA exige des entreprises qu'elles procèdent à des évaluations de la protection des données pour toutes les activités de traitement suivantes impliquant des données à caractère personnel :
- Traitement des données à des fins de publicité ciblée
- La vente de données à caractère personnel
- Traitement des données à des fins de profilage
- Traitement des données sensibles
- Toute activité de traitement présentant un risque accru de préjudice pour tout consommateur
L'évaluation doit identifier et peser les risques par rapport aux avantages du traitement et prendre en compte les éléments suivants :
- L'utilisation de données dépersonnalisées
- Les attentes du consommateur
- Le contexte du traitement
- La relation entre le contrôleur et le consommateur
Pour satisfaire à cette partie de la NDPA, un responsable du traitement peut utiliser une évaluation unique de la protection des données mise en œuvre pour se conformer à d'autres lois sur la protection de la vie privée avec des niveaux de protection identiques ou plus stricts.
Loi sur la protection des données du Nebraska par rapport à d'autres États : Similitudes et différences
Plusieurs autres États américains disposent également de lois sur la protection de la vie privée, dont les suivants :
- California Consumer Protection Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) - actuellement en vigueur
- Colorado Privacy Act (CPA) - actuellement en vigueur
- Loi du Connecticut sur la protection des données (CTDPA ) - actuellement en vigueur
- Loi du Delaware sur la protection des données personnelles (DPDPA) - actuellement en vigueur
- Charte des droits numériques de Floride (FDBR ) - actuellement en vigueur
- Indiana Consumer Data Protection Act (Indiana CDPA ) - entrée en vigueur le 1er janvier 2026
- Iowa Consumer Data Protection Act (Iowa CDPA) - actuellement en vigueur
- Kentucky Consumer Data Protection Act (KCDPA) - entrée en vigueur le 1er janvier 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - entrée en vigueur le 31 juillet 2025
- Loi du Maryland sur la confidentialité des données en ligne (MODPA) - entrée en vigueur le 1er octobre 2025
- Montana Consumer Data Privacy Act (MCDPA) - actuellement en vigueur
- Loi sur la protection des données du New Hampshire (NHDPL ) - actuellement en vigueur
- New Jersey Data Privacy Act (NJDPA ) - actuellement en vigueur
- Oregon Consumer Privacy Act (OCPA) - actuellement en vigueur
- Tennessee Information Protection Act (TIPA) - entrée en vigueur le 1er juillet 2025
- Texas Data Privacy and Security Act (TDPSA ) - actuellement en vigueur
- Utah Consumer Privacy Act (UCPA) - actuellement en vigueur
- Virginia Consumer Data Protection Act (VCDPA) - actuellement en vigueur
Vous pouvez comparer ces lois à la NDPA dans le tableau ci-dessous.
| Droit national | Consentement explicite pour certains types de traitement de données | Consentement négatif pour certains types de traitement de données | Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) | Nécessité d'une évaluation de la protection des données | L'obligation contractuelle avec les sous-traitants tiers est précisée | Permet des poursuites civiles ou un droit d'action privé | Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quel sera l'impact de la NDPA sur les consommateurs ?
La NDPA a un impact sur les consommateurs en leur accordant de nouveaux droits et contrôles sur la manière dont leurs données personnelles sont collectées, traitées et utilisées, ce qui inclut le droit de.. :
- Confirmer si un responsable du traitement traite des données les concernant
- Corriger les inexactitudes dans leurs données
- Effacer les données fournies par eux ou obtenues à leur sujet
- Obtenir une copie portable de ses données
- Refuser la publicité ciblée
- S'opposer à la vente de leurs données
- Refuser le profilage
À qui s'applique la NDPA ?
La nouvelle loi du Nebraska sur la confidentialité des données ne s'applique qu'aux résidents de l'État agissant dans un contexte individuel ou domestique.
Elle ne s'applique pas à toute personne de l'État agissant dans un contexte commercial ou d'emploi.
Quel sera l'impact de la NDPA sur les entreprises ?
Outre les exigences légales que j'ai déjà abordées dans ce guide, la NDPA a également un impact sur les politiques des entreprises en matière de protection de la vie privée et de cookies.
Quelles sont les conséquences de la NDPA sur ma politique de protection de la vie privée ?
La NDPA affecte les politiques de confidentialité des entreprises en exigeant qu'elles incluent les détails suivants :
- Les catégories de données à caractère personnel traitées, y compris les données sensibles
- La finalité du traitement
- Comment les consommateurs peuvent-ils exercer leurs droits et quelle est la procédure de recours contre la décision du responsable du traitement concernant leur demande ?
- Toute catégorie de données à caractère personnel partagée avec un tiers, le cas échéant
- Toute catégorie de tiers avec lesquels les données sont partagées, le cas échéant
- Une description de chaque méthode requise par l'acte, par laquelle un consommateur peut soumettre des demandes vérifiables pour exercer ses droits.
Comment la NDPA affectera-t-elle mon site politique de cookies?
La NDPA affecte les politiques en matière de cookies de diverses manières, obligeant les entreprises à présenter aux utilisateurs une politique précise et à leur fournir des contrôles appropriés pour la gestion du consentement.
En raison des obligations de notification prévues par la loi, les entreprises doivent disposer de politiques actualisées et précises en matière de cookies, afin que les résidents du Nebraska sachent si des cookies collectent des données à caractère personnel les concernant et dans quel but.
En vertu de la loi, les consommateurs ont également le droit de refuser certains types de traitement de données qui sont souvent effectués en laissant des cookies sur les navigateurs des utilisateurs, comme la publicité ciblée et la vente de données.
Qui doit se conformer à la nouvelle loi du Nebraska sur la protection des données personnelles ?
Votre entreprise doit se conformer à la NDPA si vous exercez une activité commerciale au Nebraska ou si vous produisez des biens ou des services consommés par des résidents de l'État et.. :
- traite ou s'engage dans la vente de données à caractère personnel et
- n'est pas une petite entreprise au sens de la loi fédérale sur les petites entreprises (Small Business Act)
La référence du seuil juridique au Small Business Act rend cette loi similaire au Texas Data Privacy and Security Act.
Qui est exempté de la NDPA ?
Les entités suivantes sont exemptées de la NDPA :
- Agence de l'État ou subdivision politique de l'État.
- Institution financière, société affiliée à une institution financière ou personne concernée par le titre V de la loi Gramm-Leach-Bliley (GLBA).
- Entité couverte ou associé commercial régi par les règles de confidentialité, de sécurité et de notification des violations édictées par le ministère de la santé et des services sociaux des États-Unis.
- Organisations à but non lucratif.
- Établissement d'enseignement supérieur.
- Fournisseur d'électricité ou fournisseur d'électricité.
- Service public de gaz naturel ou service public de gaz naturel détenu ou exploité par une ville ou un district de services publics métropolitains.
Comment les entreprises peuvent-elles se préparer à la NDPA ?
Pour se préparer à la NDPA, les entreprises doivent prévoir de mettre à jour leurs politiques en matière de confidentialité et de cookies afin de répondre à toutes les directives de notification requises par la loi.
Vous devez également vous assurer que les consommateurs disposent d'au moins deux moyens de faire valoir leurs droits en matière de protection de la vie privée, par exemple en leur fournissant un formulaire d'accès aux données personnelles(DSAR), une bannière de consentement ou une adresse électronique active.
Il est également judicieux de préparer votre site web pour qu'il puisse accepter des UOOM comme GPC, afin de permettre aux utilisateurs de vérifier qu'ils ont bien exercé leur droit de retrait.
Comment la NDPA sera-t-elle appliquée ?
Le procureur général a l'autorité exclusive pour faire appliquer la NDPA.
Ils peuvent ouvrir une enquête civile s'ils ont des motifs raisonnables de croire qu'une entité enfreint la loi.
Les entités disposent d'un délai de 30 jours pour remédier à toute violation présumée.
Toutefois, les particuliers ne disposent pas d'un droit d'action privé en vertu de cette loi.
Amendes et sanctions en vertu de la loi du Nebraska sur la protection des données personnelles
Les amendes pour violation de la NDPA peuvent atteindre 7 500 dollars par infraction.
Comment Termly aide à la mise en conformité avec la NDPA
Termly vous aide à vous conformer à la NDPA car notre Générateur de politique de confidentialité inclut les exigences de notification prévues par la loi.
Soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, le générateur pose des questions simples sur votre entreprise et élabore une politique unique et complète sur la base de vos réponses.
Nous proposons également un site plateforme de gestion du consentement (CMP) qui peut être configuré pour répondre aux exigences de la loi en matière d'opt-out.
Il comprend un formulaire DSAR gratuit qui vous permet de présenter aux utilisateurs un moyen facile de faire respecter leurs droits en matière de confidentialité des données.
Existe-t-il d'autres lois relatives à la protection de la vie privée au Nebraska ?
Quelques autres lois relatives à la protection de la vie privée existent au Nebraska, notamment les suivantes :
- Financial Data Protection and Consumer Notification of Data Security Breach Act (loi sur la protection des données financières et la notification aux consommateurs des violations de la sécurité des données): Cette loi décrit les exigences de l'État en matière de notification des violations de données.
- Loi sur la pratique de la santé mentale: Cette loi interdit aux praticiens de la santé mentale de divulguer des informations sur leurs patients, sauf s'ils obtiennent leur consentement ou si la loi l'exige.
- Loi sur la protection de la vie privée sur le lieu de travail: Cette loi interdit aux employeurs d'accéder aux comptes personnels des employés, à quelques exceptions près.
Résumé
Si votre entreprise doit se conformer à la nouvelle loi du Nebraska sur la protection de la vie privée, quelques étapes suffisent pour réussir.
Préparez-vous à mettre à jour vos politiques en matière de cookies et de protection de la vie privée afin de vous assurer qu'elles sont exactes et qu'elles répondent à toutes les exigences en matière de notification lorsque vous les présentez aux utilisateurs, et fournissez à vos utilisateurs un formulaire DSAR ou un courriel afin qu'ils puissent facilement soumettre des demandes vérifiées pour faire valoir leurs droits.
Assurez-vous que votre site web est prêt à honorer les signaux de préférence de consentement envoyés par les UOOM et mettez en place des techniques de sécurité appropriées pour protéger les données à caractère personnel que vous collectez.
Simplifiez la conformité avec des lois telles que la NDPA et d'autres en utilisant Termly's Générateur de politique de confidentialité et CMP.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
