Dans un développement certain d’augmenter la pression sur le Congrès pour qu’il passe à l’adoption d’une législation fédérale sur la confidentialité des données, le Commonwealth de Virginie semble être en passe de devenir le prochain État à adopter une loi complète sur la confidentialité des données des consommateurs. Le Sénat de Virginie et la Chambre des délégués ont récemment adopté des textes de loi presque identiques sur la confidentialité des données avec un fort soutien bipartisan, ce qui est de bon augure pour un rapprochement direct des deux projets de loi.
Le Consumer Data Protection Act (CDPA) de Virginie se dirige maintenant vers le bureau du gouverneur Ralph Northam pour qu’il signe le projet de loi ou pour y opposer son veto. En supposant que le projet de loi soit signé, le CDPA deviendra la prochaine loi sur la confidentialité des données au niveau des États aux États-Unis, et la prochaine dans un paysage (en l’absence de législation fédérale sur la protection des données) qui semble se transformer en un patchwork de lois sur la protection de la vie privée de chaque État.
Le CDPA reflète de près d’autres lois radicales sur la confidentialité des données qui l’ont précédé, comme le California Consumer Privacy Act (CCPA) et le règlement général sur la protection des données (RGPD) de l’Union européenne. Une fois la loi de Virginie adoptée, elle entrera en vigueur le 1er janvier 2023, offrant aux résidents de Virginie une protection étendue des données et tenant pour responsables les organisations qui traitent les données personnelles des Virginiens.
Les consommateurs de Virginie se verront accorder les cinq droits suivants en vertu de la CDPA:
- Le droit de confirmer si un responsable du traitement traite des données personnelles et le droit d’accéder à ces données (Droit d’accès).
- Le droit de corriger les données personnelles inexactes (Droit de correction).
- Le droit de supprimer les données personnelles (Droit de suppression).
- Le droit d’obtenir des données personnelles dans un format portable et facilement utilisable (Droit à la portabilité des données).
- Le droit de refuser le traitement des données à caractère personnel à des fins de publicité ciblée, de vente de données à caractère personnel et de « profilage dans le cadre de décisions qui produisent des effets juridiques ou similaires importants concernant le consommateur » (Droit de retrait).
Le CDPA définit les données personnelles comme «toute information qui est liée ou raisonnablement reliée à une personne physique identifiée ou identifiable», à l’exclusion des «données dépersonnalisées ou des informations accessibles au public».
En ce qui concerne les contrôleurs de données, le CDPA s’appliquerait à toute organisation qui exerce ses activités en Virginie ou fabrique des produits ou services destinés aux résidents de Virginie, et contrôle ou traite les données d’au moins 100000 résidents de Virginie au cours d’une année civile ou contrôle ou traite les «données personnelles d’au moins 25 000 consommateurs et tire (s) plus de 50% des revenus bruts de la vente de données personnelles».
Les responsables du traitement seraient tenus, en vertu de la loi, de maintenir un niveau de transparence concernant leurs pratiques en matière de données, notamment en rédigeant des avis de confidentialité et en informant les consommateurs de la vente de leurs données ou de toute utilisation de leurs données personnelles à des fins de publicité ciblée. De plus, les responsables du traitement seraient tenus de respecter les principes de minimisation des données et de limitation des finalités. Les obligations supplémentaires du responsable du traitement en vertu de la loi comprendraient la réalisation d’évaluations de la protection des données pour le traitement de données à caractère personnel hautement sensibles et l’exigence d’obtenir le consentement éclairé des consommateurs avant de traiter des données à caractère personnel sensibles.
Toute organisation liée par la CDPA s’exposerait à des amendes allant jusqu’à un maximum de 7 500 $ par violation, appliquées exclusivement par le procureur général de Virginie. Il convient également de noter que les droits privés d’action sont explicitement interdits dans la CDPA, ce qui signifie que les consommateurs eux-mêmes n’auraient pas le droit d’intenter une action contre une organisation particulière pour toute violation perçue en vertu de la loi.
Bien que le respect de ces lois puisse être coûteux et gourmand en ressources, la date d’entrée en vigueur de janvier 2023 devrait donner aux entreprises suffisamment de temps pour mettre leurs canards dans une rangée et se préparer à se conformer à la loi. En effet, les organisations de tout le pays devraient se préparer à la conformité à la confidentialité des données dans tous les cas, car de plus en plus d’États présenteront certainement une législation similaire à l’avenir, car les progrès sur une loi nationale sur la confidentialité des données restent bloqués en raison d’une impasse partisane au Congrès.
Il est clair que les consommateurs américains ont désespérément besoin de solides protections de la confidentialité des données. Mais en l’absence de législation fédérale protégeant tous les Américains de manière égale dans tous les domaines, il incombe aux États individuels d’introduire des lois sur la confidentialité des données pour protéger les consommateurs et tenir les entreprises responsables de leurs pratiques en matière de données.
Un patchwork de 50 lois différentes au niveau des États sur la confidentialité des données aux États-Unis n’est pas un scénario idéal, mais c’est là que le pays se dirigera si le Congrès reste incapable de s’entendre sur la manière dont une loi nationale devrait être mise en œuvre. Peut-être que la Virginie, suivant les traces de la Californie et adoptant une loi complète sur la confidentialité des données, exercera une pression supplémentaire sur le Congrès pour qu’il accomplisse enfin quelque chose au niveau fédéral.
