Le Connecticut a récemment rejoint quatre autres États américains en adoptant une loi sur la protection de la vie privée des consommateurs, le Connecticut Data Privacy Act (CTDPA). Cette nouvelle loi, signée par le gouverneur Ned Lamont le 10 mai 2022, entrera en vigueur le 1er juillet 2023, laissant aux organisations un temps limité pour se conformer.

/

Qu’est-ce que le Connecticut Data Privacy Act (CTDPA) ?

Le Connecticut Data Privacy Act (CTDPA) est une loi complète sur la protection des données personnelles des résidents du Connecticut. Elle comprend de nombreux droits, obligations et exceptions similaires à ceux des lois sur la protection de la vie privée des consommateurs en vigueur en Californie, au Colorado, dans l’Utah et en Virginie. Bien que certaines dispositions du CTDPA reflètent ces autres lois, il présente également quelques distinctions notables que les organisations doivent intégrer dans leurs stratégies de conformité.

Cette page de glossaire décrit les dispositions clés du Connecticut Data Privacy Act, ses effets sur le paysage commercial et comment les organisations peuvent assurer une conformité réglementaire en tout temps.

Que fait le Connecticut Data Privacy Act ?

Le Connecticut Data Privacy Act (CTDPA) établit un cadre complet pour protéger les données personnelles des résidents du Connecticut. Il définit les responsabilités des entreprises qui traitent, collectent ou stockent des données sur les résidents du Connecticut et accorde des droits à ces mêmes individus. Le CTDPA, par exemple, interdit la vente d’informations dérivées de données personnelles, avec certaines exceptions.

Le Connecticut Data Privacy Act (CTDPA) s’applique aux entités opérant dans le Connecticut ou produisant des biens ou services ciblant les résidents du Connecticut, qui au cours de l’année civile précédente ont soit traité des données personnelles d’au moins 100 000 consommateurs, soit généré plus de 25 % de leur chiffre d’affaires brut à partir de la vente de données personnelles d’au moins 25 000 consommateurs. Il ne s’applique pas aux entités traitant des données personnelles uniquement pour des transactions de paiement. Il ne comprend pas de seuil de revenu annuel, ce qui signifie qu’il ne s’applique pas aux entreprises ayant un certain revenu annuel.

Définition des termes clés sous le Connecticut Data Privacy Act

Le CTDPA établit un ensemble de définitions pour expliquer la portée de la loi. Il est important de connaître ces définitions pour comprendre les responsabilités imposées aux entreprises et les droits accordés aux résidents du Connecticut.

  • Consommateur—tout résident du Connecticut et exclut explicitement les individus agissant dans un contexte commercial ou d’emploi.
  • Contrôleur—une personne ou entité responsable de la collecte et du traitement des données personnelles.
  • Traitant—une personne ou entité qui traite des données personnelles pour le compte d’un contrôleur.
  • Tiers—une personne ou entité qui n’est ni un contrôleur ni un traitant.
  • Données Personnelles—toute information qui se rapporte à un individu identifiable. Toutefois, la loi exclut les données désidentifiées et les données publiquement disponibles de la définition des données personnelles.
  • Vente de Données Personnelles—l’échange de données personnelles contre une contrepartie monétaire ou autre considération précieuse par le contrôleur à un tiers ; cependant, les divulgations publiques à un traitant ou à une filiale du contrôleur ne comptent pas.
  • Informations Publiquement Disponibles—informations légalement disponibles via les registres gouvernementaux ou les médias largement diffusés, et le contrôleur a une base raisonnable pour croire que le consommateur a légalement rendu l’information disponible au public.
  • Données Sensibles—toute donnée personnelle révélant la race, les croyances religieuses, la santé, l’orientation sexuelle, les antécédents criminels ou les informations biométriques d’une personne.
  • Modèle Obscur—toute pratique utilisée pour obscurcir ou induire en erreur les consommateurs concernant la collecte et le traitement de leurs données personnelles.

Quels sont les droits des consommateurs sous le Connecticut Data Privacy Act ?

Le Connecticut Data Privacy Act (CTDPA) accorde aux consommateurs le droit d’accéder et de contrôler l’utilisation de leurs données. Tous les consommateurs ont le droit de confirmer si leurs données sont traitées et de demander une copie des données qui ont déjà été fournies au contrôleur. De plus, les consommateurs ont le droit de supprimer leurs données, de se désinscrire du traitement pour la publicité ciblée et de mettre à jour ou de corriger les inexactitudes. Les demandes pour ces actions, qui doivent être honorées dans les 45 jours, ne peuvent pas être soumises à des frais sauf si la demande est la deuxième ou la demande subséquente du consommateur dans la même période de 12 mois.

Le CTDPA permet également aux consommateurs de désigner un agent autorisé qui peut agir au nom du consommateur pour faire des demandes. Le contrôleur doit vérifier l’identité du consommateur et l’autorité de l’agent avant d’honorer la demande.

Afin de protéger les données des consommateurs, les traitants doivent adhérer aux instructions du contrôleur et mettre en œuvre les contrôles de sécurité appropriés. Ils doivent également aider le contrôleur à remplir leurs obligations, idéalement convenues par un contrat contraignant. Ce contrat devrait spécifier les instructions pour le traitement des données, le but et la durée du traitement, et les droits et obligations des deux parties. En accordant aux consommateurs ces droits ainsi qu’en définissant les obligations des traitants, le CTDPA garantit que les consommateurs ont le contrôle et l’accès à leurs données.

Obligations des contrôleurs sous le Connecticut Data Privacy Act

Le Connecticut Data Privacy Act (CTDPA) met la responsabilité sur le contrôleur concernant la collecte de données, pour opérer selon des principes communs tels que la limitation de l’objectif et la minimisation des données. Les contrôleurs doivent également obtenir le consentement pour l’utilisation secondaire des données et toute divulgation de ces données à des tiers. Pour garantir que le consommateur est conscient de ses droits et de la manière de les exercer, le contrôleur doit faire certaines divulgations, telles que les types de données collectées, le but de leur utilisation, un moyen de contacter le contrôleur et un moyen sécurisé pour le consommateur d’exercer ses droits. Le contrôleur ne doit pas non plus traiter de données sensibles sans obtenir le consentement du consommateur et doit disposer d’un mécanisme permettant au consommateur de révoquer son consentement.

Les contrôleurs doivent réaliser et documenter une évaluation de la protection des données pour leurs activités de traitement présentant un risque accru de préjudice pour le consommateur, telles que la publicité ciblée ou la vente de données personnelles. Lorsque de telles évaluations ont été réalisées et sont similaires en portée et en effet aux exigences du CTDPA, elles peuvent être utilisées pour satisfaire à l’exigence. Le CTDPA existe pour garantir que les données des consommateurs sont protégées, tout en augmentant la sensibilisation aux droits des consommateurs, créant ainsi un environnement de traitement des données sûr et fiable.

Comment le CTDPA sera-t-il appliqué ?

Le CTDPA sera appliqué par le procureur général du Connecticut. Le procureur général peut enquêter sur toute violation du CTDPA et, si nécessaire, intenter une action en justice civile pour faire respecter ses exigences. De plus, le procureur général peut demander des dommages-intérêts au nom des consommateurs.

Quelles sont les sanctions en cas de non-conformité avec le CTDPA ?

Les entités ou individus qui violent le CTDPA peuvent faire face à des sanctions civiles allant jusqu’à 5 000 $ par violation, conformément à la loi du Connecticut sur les pratiques commerciales déloyales. En plus des sanctions civiles, le procureur général peut également rechercher des mesures d’injonction, restitution ou confiscation des profits indus.

Communications de contenu sensible et le CTDPA

La loi sur la protection des données du Connecticut est une loi importante qui établit un cadre complet pour protéger les données personnelles des résidents du Connecticut. Elle impose des obligations aux entreprises qui traitent, collectent et stockent des données sur les résidents du Connecticut, et confère des droits à ces mêmes consommateurs. En comprenant les définitions, les droits, les obligations et les sanctions prévus par la loi sur la protection des données du Connecticut, les entreprises peuvent mieux garantir la conformité avec la loi et protéger la vie privée des résidents du Connecticut.

Pour se conformer au CTDPA, les entreprises doivent prendre des mesures pour suivre, contrôler et sécuriser les communications numériques des informations personnelles identifiables (PII) appartenant aux résidents du Connecticut. Les approches traditionnelles de cloisonnement des canaux de communication, tels que les e-mails, le partage de fichiers, les formulaires Web et les transferts de fichiers, ont abouti à des métadonnées fragmentées qui rendent difficile la gouvernance centralisée et la gestion des risques associés aux PII.

Heureusement, Kiteworks propose une solution innovante pour aider les entreprises à résoudre ce problème. En consolidant les communications numériques au sein d’un réseau de contenu privé, Kiteworks permet aux organisations de garantir la conformité avec le CTDPA tout en unifiant, suivant, contrôlant et sécurisant les PII partagées et envoyées à l’intérieur, à l’entrée et à la sortie de l’organisation. En conséquence, Kiteworks peut être un outil puissant pour les entreprises du Connecticut cherchant à se conformer à la loi sur la protection des données du Connecticut (CTDPA).

Regardez un court aperçu vidéo de la manière dont Kiteworks permet de mettre en place des réseaux de contenu privé. Ou planifiez simplement une démonstration sur mesure dès aujourd’hui pour voir la plateforme Kiteworks en action.

 

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks