VCDPA : Explication de la loi de Virginie sur la protection des données des consommateurs

Le Virginia Consumer Data Protection Act (VCDPA) est une loi complète sur la confidentialité des données qui protège les citoyens de Virginie et a été promulguée en 2021. 

Dans ce guide, j'explique les exigences de la loi sur la protection des consommateurs et de leur impact sur les entreprises et les consommateurs, et je vous propose des ressources pour simplifier la mise en conformité.

Qu'est-ce que la loi de Virginie sur la protection des données des consommateurs (VCDPA) ?

Le Virginia Consumer Data Protection Act(VCDPA) est une loi américaine sur la confidentialité des données qui protège les informations personnelles des résidents de Virginie.

Elle décrit les exigences que les entités doivent respecter pour collecter, traiter et utiliser légalement les données à caractère personnel, accorde divers droits aux consommateurs et décrit les sanctions en cas de violation de la loi.

La Virginie a été l'un des quatre premiers États américains à adopter une loi sur la protection de la vie privée des consommateurs, dont le champ d'application est similaire à celui de la loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Termes clés et définitions de la VCDPA

Ci-dessous, j'ai compilé une liste de termes clés et de définitions tels qu'ils apparaissent dans le texte de la VCDPA afin de vous aider à mieux comprendre le champ d'application de la loi.

Quand la loi de Virginie sur la protection des données des consommateurs est-elle entrée en vigueur ?

La VCDPA est entrée en vigueur le 1er janvier 2023.

Un amendement à la VCDPA qui renforce la protection de la vie privée des enfants est entré en vigueur le 1er janvier 2025.

Qui est protégé par la loi VCDPA ?

La VCDPA s'applique à tout résident de Virginie agissant dans un contexte individuel ou domestique.

Elle ne s'applique pas aux personnes de l'État agissant dans un contexte commercial ou professionnel.

Qui doit se conformer à la VCDPA ?

Votre entreprise doit se conformer à la VCDPA si vous exercez des activités en Virginie ou si vous destinez vos produits et services aux résidents de la Virginie et que vous atteignez l'un ou l'autre des seuils :

• contrôle ou traite les données à caractère personnel de 100 000 consommateurs au cours d'une année civile, ou
• Contrôle ou traite les données à caractère personnel de 25 000 consommateurs et tire 50 % de son revenu brut de la vente de données à caractère personnel.

Toutefois, les entités suivantes sont exemptées de l'application de la loi sur la protection des données à caractère personnel :

• Banques ou institutions financières
• Agences d'État
• Organisations à but non lucratif
• Collèges et universités

Il existe également des dérogations pour certains types d'informations, notamment les suivantes :

• Entreprises agissant dans un contexte commercial ou d'emploi
• Informations relevant de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA)
• Données personnelles régies par le Family Educational Rights and Privacy Act (FERPA) (loi sur les droits et la confidentialité en matière d'éducation familiale)
• Informations et données relatives aux rapports de crédit, telles que réglementées par la loi fédérale Fair Credit Reporting Act (FCRA)
• Informations et données relatives aux informations sur les conducteurs de véhicules, conformément à la loi fédérale de 1994 sur la protection de la vie privée des conducteurs (Driver's Privacy Protection Act)
• Informations et données soumises au titre V de la loi Gramm-Leach-Bliley (15 U.S.C. § 6801 et seq.), qui réglemente les banques et les institutions financières.

Droits des consommateurs en matière de protection de la vie privée

La loi sur la protection des consommateurs accorde aux consommateurs des droits spécifiques concernant la collecte et l'utilisation de leurs données à caractère personnel, notamment les droits suivants :

• Confirmer si un responsable du traitement traite leurs données
• Accéder à leurs données personnelles
• Corriger les inexactitudes dans leurs données
• Demande de suppression par les entreprises
• Obtenir une copie des données personnelles
• Refus du traitement des données personnelles à des fins de publicité ciblée
• Refuser la vente de leurs données personnelles
• Refus du profilage
• Non-discrimination dans l'exercice des droits
• Déposer une plainte pour violation des droits

Exigences commerciales de l'APDCV

J'ai résumé ci-dessous les principales exigences professionnelles définies par la loi de Virginie sur la protection de la vie privée.

Traitement licite des données

En vertu de la VCDPA, les entreprises doivent limiter leur collecte de données à caractère personnel à celles qui sont adéquates, pertinentes et raisonnablement nécessaires au regard de la finalité du traitement telle qu'elle a été communiquée au consommateur.

Les entités couvertes ne peuvent pas non plus traiter les données sensibles des consommateurs sans avoir obtenu au préalable leur consentement explicite.

politique de confidentialité Lignes directrices

La VCDPA exige des entreprises qu'elles présentent aux utilisateurs un avis de confidentialité clair, raisonnablement accessible et significatif, comprenant les informations suivantes :

• La finalité du traitement des données à caractère personnel
• Catégories de données traitées
• Catégories de données partagées avec des tiers
• Catégories de données vendues à des tiers
• Divulgue les catégories de tiers elles-mêmes
• Explique comment les demandes des consommateurs peuvent être soumises
• Prévoit un mécanisme d'appel des décisions relatives aux demandes des consommateurs
• divulgue clairement le traitement des données à caractère personnel à des fins de publicité ciblée
• Droit de refuser le traitement des données

Gestion des consentements

La loi VCDPA impose aux entreprises d'obtenir le consentement explicite et affirmatif des consommateurs pour certains types de traitement de données, y compris la collecte de données sensibles.

En vertu de la VCDPA, le consentement doit être affirmatif, éclairé et sans ambiguïté.

Mais vous devez également permettre aux consommateurs de refuser les publicités ciblées, la vente de leurs informations et le profilage.

Les entreprises soumises à cette loi doivent mettre en œuvre des solutions de gestion du consentement afin que les résidents de Virginie puissent facilement faire valoir leurs droits.

Obligations contractuelles

Tout responsable du traitement des données qui fait appel à un tiers en tant que sous-traitant doit établir et faire signer aux deux parties un contrat qui énonce les stipulations suivantes :

• Veiller à ce que toute personne traitant des données soit soumise à un devoir de confidentialité,
• Effacer ou restituer toutes les données à la fin du contrat, selon les instructions du responsable du traitement,
• Mettre toutes les informations en possession du sous-traitant à la disposition du responsable du traitement, sur demande raisonnable de ce dernier, afin de démontrer le respect de la loi,
• Coopérer et permettre des évaluations raisonnables de la part du contrôleur ou de l'évaluateur tiers,
• Engager les sous-traitants dans un contrat écrit en suivant les mêmes lignes directrices.

Répondre aux demandes des consommateurs

Les entreprises relevant de la VCDPA doivent répondre aux demandes des consommateurs concernant le suivi de leurs droits dans un délai de 45 jours.

Ce délai peut être prolongé de 45 jours supplémentaires si nécessaire, en fonction de la complexité et du nombre de demandes reçues par l'entreprise.

En vertu de la VCPDA, les entreprises doivent répondre gratuitement aux demandes des consommateurs jusqu'à deux fois par an.

Les entreprises sont tenues de vérifier l'identité du consommateur qui a soumis une demande avant d'envoyer une réponse. Le cas échéant, vous êtes autorisé à demander des informations supplémentaires à la personne pour confirmer son identité.

Procédure de recours

La VCDPA exige des entreprises qu'elles mettent en place une procédure permettant aux consommateurs de faire appel de leur décision de refuser de répondre à une demande de respect des droits en matière de protection de la vie privée.

La procédure doit être aussi simple pour le consommateur que l'envoi initial d'une demande, et vous devez y répondre dans un délai de 60 jours à compter de la réception de la demande.

Évaluation de la protection des données

Les entreprises visées par la loi sur la protection des données doivent procéder à des évaluations de la protection des données pour les activités de traitement des données suivantes :

• Traitement des données personnelles à des fins de publicité ciblée
• Vente de données à caractère personnel
• Traitement de données à caractère personnel à des fins de profilage
• Traitement des données personnelles sensibles
• Toute activité de traitement présentant un risque accru de préjudice pour les consommateurs

Après le 1er janvier 2025, tout responsable de traitement proposant des services, des produits ou des fonctionnalités en ligne destinés à des enfants connus devra également procéder à ces évaluations.

L'évaluation doit identifier et mettre en balance les avantages directs et indirects du traitement pour le responsable du traitement, le consommateur et les autres parties prenantes, et les risques pour les droits des consommateurs.

Le procureur général peut demander aux contrôleurs de divulguer leurs évaluations de la protection des données lorsqu'elles sont pertinentes pour les enquêtes concernant le respect de la loi.

Si votre entreprise relève de plusieurs législations prévoyant une obligation d'évaluation de la protection des données, le VCDPA vous permet d'utiliser une seule évaluation pour autant qu'elle porte sur des ensembles comparables d'opérations de traitement et qu'elle comprenne des activités similaires.

Lignes directrices sur la sécurité des données

La loi VCDPA impose aux entreprises d'établir, de mettre en œuvre et de maintenir des mesures administratives, techniques et physiques raisonnables en matière de sécurité des données afin d'assurer la sécurité de toutes les données.

Les mesures de sécurité doivent protéger la confidentialité, l'intégrité et l'accessibilité des données.

Les mesures de sécurité doivent être adaptées au volume et à la nature des informations.

Les méthodes courantes comprennent le cryptage des données, l'authentification multifactorielle et la limitation de l'accès aux données personnelles collectées.

Sanctions en cas de violation de la VCDPA

Les sanctions pour violation de la VCDPA comprennent des amendes allant jusqu'à 2 500 dollars pour chaque violation non intentionnelle et jusqu'à 7 500 dollars pour chaque violation intentionnelle.

Le procureur général est habilité à faire appliquer la VCDPA.

Les consommateurs ne disposent pas d'un droit d'action privé en vertu de cette loi.

Utilisation de Termly pour la conformité VCDPA

Les entreprises peuvent utiliser Termly pour simplifier la mise en conformité avec plusieurs aspects de la VCDPA, notamment les lignes directrices relatives à la notification de la protection de la vie privée, la gestion du consentement et l'aide apportée aux utilisateurs pour qu'ils respectent facilement leurs droits en matière de protection de la vie privée.

Les Termlyarticle Générateur de politique de confidentialité de Termly comprend toutes les clauses requises par le texte de la LPDBC. Il pose des questions de base sur votre entreprise et ses activités de traitement, puis élabore pour vous une politique unique et complète sur la base de vos réponses.

Soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, il comprend des conseils utiles pour faciliter les réponses aux questions.

De plus, les entreprises peuvent utiliser la plateforme de gestion du consentement consentement (CMP) deTermly pour répondre aux exigences en matière de consentement énoncées dans la Loi sur la protection des renseignements personnels et les documents électroniques. Elle comprend une bannière de consentement personnalisable et une politique de cookies qui est mise à jour chaque fois que vous effectuez un balayage du site Web.

Il s'accompagne également d'un formulaire gratuit de demande d'accès pour les personnes concernées, de sorte que vos utilisateurs peuvent facilement soumettre des demandes pour faire valoir leurs divers droits en matière de protection de la vie privée en vertu de la loi de Virginie.

Résumé

La loi VCDPA est une loi complète sur la protection de la vie privée qui a plusieurs incidences sur les entreprises et les consommateurs.

Si votre entreprise est soumise à cette loi, veillez à mettre à jour votre politique de confidentialité et à mettre en place une plateforme de gestion du consentement afin de répondre aux exigences de notification et de transparence définies par la loi.

Ajoutez à votre site web un ou plusieurs moyens simples permettant aux résidents de Virginie de faire respecter leurs droits en matière de protection de la vie privée.

Facilitez la mise en conformité et utilisez la suite de solutions Termlypour répondre facilement aux directives de lois telles que la VCDPA et bien d'autres.

En savoir plus sur l'auteur

Écrit par Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur