L'Utah a adopté la loi sur la protection de la vie privée des consommateurs en mars 2022, devenant ainsi l'un des premiers États américains à promulguer une loi complète sur la protection de la vie privée des consommateurs.
Je résume ci-dessous les exigences de la LPUC, notamment son impact sur les entreprises, les droits qu'elle accorde aux consommateurs, la manière de s'y conformer et les sanctions encourues en cas de violation de la loi.
- Qu'est-ce que la loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA) ?
- Termes clés et définitions de l'UCPA
- Quand la loi de l'Utah sur la protection de la vie privée des consommateurs est-elle entrée en vigueur ?
- Qui la LPUC protège-t-elle ?
- Qui doit se conformer à la LPUC ?
- Droits des consommateurs en matière de protection de la vie privée
- Exigences commerciales de l'UCPA
- Utilisation de Termly pour la conformité à l'UCPA
- Résumé
Qu'est-ce que la loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA) ?
L'Utah Consumer Privacy Act(UCPA) est une loi sur la confidentialité des données au niveau de l'État américain qui protège les informations personnelles des résidents de l'Utah.
Considérée comme une loi plus favorable aux entreprises, la LPUC confère des droits aux consommateurs, définit des obligations pour les entreprises et prévoit des sanctions en cas de non-respect.
Termes clés et définitions de l'UCPA
Pour vous aider à mieux comprendre la LPUC, j'ai inclus ci-dessous une liste de certains termes clés avec leur définition telle qu'elle apparaît dans le texte de la loi.
L'Utah est l'un des seuls États à ne pas considérer la révélation de l'origine raciale ou ethnique comme une catégorie d'informations personnelles sensibles.
Quand la loi de l'Utah sur la protection de la vie privée des consommateurs est-elle entrée en vigueur ?
L'UCPA a pris effet le 31 décembre 2023 et est entièrement en vigueur.
Qui la LPUC protège-t-elle ?
L'UCPA protège les données personnelles des résidents de l'État de l'Utah agissant uniquement dans un contexte individuel ou domestique.
Elle ne s'applique pas aux personnes qui se trouvent dans l'État pour des raisons commerciales ou professionnelles.
Qui doit se conformer à la LPUC ?
Votre entreprise doit se conformer à l'UCPA si vous exercez des activités dans l'Utah ou si vos biens et services sont mis à la disposition des résidents de l'Utah, si vous avez un revenu annuel d'au moins 25 millions de dollars et si vous remplissez l'un des critères suivants :
- Vous traitez ou contrôlez les données à caractère personnel d'au moins 100 000 consommateurs ou
- Vous traitez ou contrôlez les données à caractère personnel d'au moins 25 000 consommateurs et vous tirez plus de 50 % de vos revenus de la vente de données à caractère personnel.
Vous êtes exempté de la LPUC si vous traitez des données en tant que contractant du gouvernement ou si votre organisation est un organisme à but non lucratif ou un établissement d'enseignement supérieur.
Droits des consommateurs en matière de protection de la vie privée
La loi de l'Utah sur la protection des données personnelles donne aux consommateurs les droits suivants sur leurs informations personnelles :
- Confirmer si un responsable du traitement traite leurs informations
- Accéder aux données collectées à leur sujet
- Demande de suppression des données personnelles
- Obtenir une copie portable de ses données
- Refuser la publicité ciblée
- S'opposer à la vente de données à caractère personnel
- Non-discrimination pour le respect de leurs droits
Contrairement à la plupart des lois sur la protection de la vie privée des autres États américains, les consommateurs de l'Utah n'ont pas le droit de corriger leurs informations ou de refuser le profilage.
Exigences commerciales de l'UCPA
Je résume ci-dessous les principales exigences professionnelles définies par l'UCPA.
politique de confidentialité Lignes directrices
En vertu de l'UCPA, les entreprises doivent présenter aux utilisateurs une politique de protection de la vie privée comprenant les informations suivantes :
- Les catégories de traitements de données à caractère personnel
- La finalité du traitement
- Comment les consommateurs peuvent-ils exercer leurs droits ?
- Les catégories de données partagées avec des tiers, le cas échéant
- Les catégories de tiers avec lesquels les données sont partagées, le cas échéant
- Une divulgation visible du droit des consommateurs à refuser la vente de leurs données et la publicité ciblée.
Gestion des consentements
Les entreprises soumises à la loi UCPA doivent gérer les préférences de consentement des consommateurs conformément à la loi pour certains types de traitement de données.
Par exemple, vous devez mettre en place un moyen pour vos consommateurs de refuser facilement la vente de leurs données et la publicité ciblée.
De même, si le consentement n'est pas nécessaire pour traiter des informations sensibles, vous devez donner aux consommateurs la possibilité de s'y opposer.
Cela est possible en ajoutant une bannière de consentement sur votre site web avec un lien vers votre politique de cookies et un centre de préférences où les consommateurs peuvent changer d'avis à tout moment.
Obligations contractuelles
La LPUC exige que les responsables du traitement des données et les sous-traitants concluent des contrats qui.. :
- Indiquer les instructions relatives au traitement, sa nature, sa finalité et le type de données faisant l'objet du traitement,
- Inclure des informations sur la durée du traitement et les droits des deux parties,
- Exiger de toutes les personnes traitant les données qu'elles assurent un devoir de confidentialité,
- Exiger des transformateurs qu'ils engagent des sous-traitants dans le cadre d'un contrat prévoyant les mêmes stipulations.
Ces exigences sont moins complètes que les autres lois sur la protection de la vie privée adoptées par les États américains.
Répondre aux demandes des consommateurs
En vertu de la LPUC, les entreprises sont tenues de vérifier l'identité des consommateurs qui demandent à ce que leurs droits en matière de protection de la vie privée soient respectés.
Les responsables du traitement disposent de 45 jours pour envoyer une réponse, délai qui peut être prolongé de 45 jours supplémentaires lorsque cela est raisonnablement nécessaire, en fonction de la complexité de la demande.
Vous ne pouvez pas facturer de frais pour ces demandes, sauf s'il s'agit de la deuxième demande d'un consommateur au cours d'une période de 12 mois.
Lignes directrices sur la sécurité des données
En vertu de la loi de l'Utah sur la protection de la vie privée des consommateurs, les responsables du traitement doivent utiliser des pratiques de sécurité pour protéger les données personnelles des consommateurs.
Ces pratiques comprennent des mesures administratives, techniques et physiques.
Pour déterminer quels types de mesures de sécurité sont raisonnables dans votre cas, la loi vous permet de tenir compte de la taille de votre entreprise, du type de données à caractère personnel concernées et de la quantité de données que vous traitez.
Sanctions en cas de violation de la LPUC
Les personnes qui enfreignent la loi de l'Utah sur la protection de la vie privée des consommateurs peuvent être soumises à deux types d'amendes ou de sanctions :
- Les dommages réels causés au consommateur par la violation de la loi par l'entreprise
- Une amende maximale de 7 500 dollars par infraction
Le procureur général veille à l'application de la loi et les consommateurs ne disposent pas d'un droit d'action privé.
Utilisation de Termly pour la conformité à l'UCPA
Les entreprises peuvent utiliser la gamme complète de solutions de conformité de Termlypour simplifier le respect des exigences de la LPUC.
Notre Générateur de politique de confidentialité comprend toutes les caractéristiques et clauses nécessaires pour répondre aux directives de transparence et de divulgation définies par la loi sur la protection de la vie privée de l'Utah.
Il pose des questions simples sur votre activité et sur la manière dont vous traitez les données, puis élabore une politique globale sur la base de vos réponses.
Nous proposons également une plateforme de gestion du consentement (CMP) qui peut être configurée pour répondre aux exigences de retrait décrites par la loi.
Il comprend un formulaire gratuit de demande d'accès pour les personnes concernées, que vous pouvez relier à votre site web afin de permettre aux consommateurs de l'Utah de faire valoir facilement leurs droits en matière de protection de la vie privée.
Résumé
Si votre entreprise est soumise à l'application de la LPUC, vous devez prendre quelques mesures essentielles pour vous mettre en conformité.
Veillez à disposer d'une politique de confidentialité actualisée qui réponde à toutes les exigences de notification définies par la loi sur la protection de la vie privée de l'Utah. Ajoutez une bannière de consentement à votre site web avec un centre de préférences pour que les consommateurs puissent exercer leurs droits de retrait.
N'oubliez pas de mettre en œuvre des mesures de sécurité adéquates pour protéger toutes les données à caractère personnel que vous recueillez contre les accès non autorisés, les violations et autres risques.
La suite de solutions de Termlypermet de répondre aux exigences de l'UCPA et de plusieurs autres lois sur la protection de la vie privée à travers le monde, tout en réduisant la complexité de la mise en conformité.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
