ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Nouvelle loi sur la protection des données dans l'Oregon

Catégories :

Nouvelle loi sur la protection des données dans l'Oregon : qu'est-ce que cela signifie pour les entreprises ?

Le 22 juin, le SB 619, l'Oregon Consumer Privacy Act (OCPA), a été adopté par les législateurs de Salem. Si elle est promulguée par le gouverneur Kotek, l'Oregon sera le onzième État américain (et le sixième en 2023) à adopter une législation complète sur la protection des données concernant la collecte, l'utilisation et le transfert des données des consommateurs. La plupart des exigences de l'OCPA entreront en vigueur le 1er juillet 2024 (à l'exception des organisations à but non lucratif, auxquelles la loi s'appliquera à partir du 1er juillet 2025).

Pour les entreprises de l'Oregon ou les entreprises opérant dans l'Oregon, la nouvelle loi sur la protection des données a quelques implications importantes. Voici les principales dispositions que les entreprises doivent prendre en compte :

1. un large champ d'application

Contrairement à de nombreuses autres lois gouvernementales sur la protection des données, l'OCPA n'exclut pas automatiquement les entreprises qui sont déjà soumises aux lois fédérales sur la protection des données. Elle prévoit uniquement des exceptions pour certaines données déjà régies par des lois telles que la loi sur la portabilité et la responsabilité en matière d'assurance santé (HIPAA) et la loi Gramm-Leach-Bliley (GLBA). En outre, les organisations à but non lucratif ne sont pas considérées comme des exceptions dans l'OCPA, sauf dans le cas des organisations qui "détectent et préviennent les fraudes en matière d'assurance" ou qui sont classées comme "institutions financières" en vertu du droit national.

2. définitions étendues des données collectées

L'OCPA fait référence aux "données à caractère personnel" et définit également une catégorie de "données sensibles" qui bénéficient d'une protection particulière. Toutefois, la définition des "données à caractère personnel" dans l'OCPA est unique en ce sens qu'elle inclut explicitement les "données dérivées", c'est-à-dire les conclusions concernant un client, ainsi que les données associées à un "appareil" et pouvant raisonnablement être attribuées à une ou plusieurs personnes dans un "ménage". Contrairement à d'autres lois similaires, l'OCPA ne prévoit pas de définition spécifique ni d'exceptions pour les données pseudonymisées.

La définition des "données sensibles" dans la loi de l'Oregon est également plus large que dans d'autres États et inclut, entre autres, "l'origine", "l'identité de genre en tant que transgenre ou non-binaire" et "le statut de victime d'un crime". En outre, l'OCPA définit largement le terme "données biométriques" et inclut les informations qui permettent d'identifier une personne de manière unique. Il existe toutefois une exception pour la "cartographie faciale ou la géométrie faciale", à condition que ces technologies ne soient pas utilisées pour identifier une personne de manière unique.

3. nouveaux droits des consommateurs

L'OCPA accorde aux consommateurs un certain nombre de droits qui sont désormais largement répandus, tels que le droit de confirmer

traitement des données, l'accès, la rectification, l'effacement, la portabilité des données personnelles, ainsi que le droit de s'opposer au ciblage publicitaire, à la vente de données et aux décisions importantes en matière de profilage. Toutefois, un aspect intéressant de l'OCPA est le droit des consommateurs de demander une liste des "tiers spécifiques" auxquels une entreprise transmet des données à caractère personnel. Il s'agit d'un défi opérationnel, similaire aux exigences définies dans les lois sur la protection des données dans le secteur de la santé récemment adoptées dans l'État de Washington et le Nevada. En outre, l'OCPA est la première loi globale sur la protection des données qui prévoit explicitement le droit de supprimer les "données dérivées".

4. obligations plus strictes pour les responsables de données

L'OCPA impose aux entreprises concernées un certain nombre d'obligations déjà connues dans d'autres lois sur la protection des données, telles que le maintien d'une sécurité adéquate des données, des exigences contractuelles pour les sous-traitants, la publication de déclarations de confidentialité et l'obtention de consentements pour le traitement de données sensibles. Toutefois, les obligations prévues par l'OCPA sont un peu plus strictes que celles prévues par les lois comparables d'autres États. Par exemple, les responsables de données doivent obtenir un consentement explicite pour profiler les données des adolescents âgés de 13 à 15 ans en vue de prendre des décisions importantes. En outre, l'OCPA indique que les mécanismes de conception visant à entraver le choix des consommateurs peuvent invalider le consentement des consommateurs en vertu de la loi. Enfin, la loi stipule que les évaluations d'impact sur la vie privée doivent être conservées pendant une période de cinq ans. Seul le Colorado a fixé des périodes de conservation similaires dans ses dispositions d'application.

5. utilisation et échange de données à des fins de recherche

L'OCPA prévoit des exceptions aux droits et obligations des consommateurs pour certaines utilisations des données à caractère personnel, telles que les procédures opérationnelles internes répondant aux attentes des consommateurs, la satisfaction des demandes d'enquête des services répressifs et le maintien de la sécurité des données. Toutefois, contrairement à d'autres lois sur la protection des données, l'OCPA ne prévoit pas d'exigences spécifiques pour l'utilisation des données à des fins de recherche. Tant que l'utilisation de données d'identification est conforme à la législation en vigueur, les entreprises sont exemptées des droits et obligations des consommateurs prévus par la loi.

La nouvelle loi sur la protection des données de l'Oregon entraîne des changements et des défis pour les entreprises. Il est important que les entreprises, en particulier celles de l'Oregon ou celles qui font des affaires dans l'Oregon, examinent attentivement les dispositions de l'OCPA et prennent les mesures appropriées pour se conformer aux exigences de la loi et assurer la protection des données des consommateurs.

Les tags :
Partager ce post :
fr_FRFrench