La loi du Delaware sur la protection des données personnelles
À une époque où la protection des données personnelles, notamment les informations personnelles identifiables et les informations médicales protégées (PII/PHI), est devenue primordiale, l’introduction de la loi sur la protection des données personnelles du Delaware (DPDPA) marque le dernier chapitre de la narrative législative des États-Unis concernant la confidentialité des données. En tant que septième loi étatique complète sur la confidentialité à être adoptée en 2023 (à ce moment, il n’existe pas de loi nationale sur la confidentialité des données aux É.-U.), la DPDPA dicte certaines pratiques commerciales telles que les notifications de confidentialité, les mesures de protection des données et les stipulations de consentement. Cet article vise à fournir un examen approfondi des stipulations de la DPDPA.
Vue d’ensemble de la loi sur la protection des données personnelles du Delaware
La loi sur la protection des données personnelles du Delaware (DPDPA) rejoint la liste croissante des lois étatiques de protection de la confidentialité des données aux É.-U., offrant des droits de protection des données complets aux consommateurs. La DPDPA s’applique aux entités menant des affaires dans le Delaware, ou produisant des biens ou services destinés aux résidents du Delaware. Les entreprises doivent se conformer si elles répondent à l’un des deux critères suivants :
- Elles ont contrôlé ou traité des données personnelles de plus de 35 000 consommateurs, ou
- Elles ont traité des données personnelles de plus de 10 000 consommateurs et ont tiré plus de 20 % de leurs revenus de la vente de données personnelles.
Contrairement à d’autres lois étatiques sur la confidentialité des données, la DPDPA n’accorde pas d’exemptions universelles pour les entités couvertes par la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), ni n’offre une exception large pour les organisations à but non lucratif. La DPDPA offre cependant une exemption au niveau de l’entité pour les entreprises couvertes par la loi Gramm-Leach-Bliley (GLBA), vraisemblablement pour éviter la redondance et la surréglementation.
Comme les lois sur la confidentialité des données du Colorado, du Connecticut et de l’Oregon, la DPDPA stipule un processus d’opt-in pour le traitement des données sensibles, reconnaît les signaux de préférence d’opt-out et mandate une disposition d’opt-out pour le profilage lié à des décisions entièrement automatisées capables de produire des effets juridiques ou similaires cruciaux sur les consommateurs.
Définition des données sensibles sous la DPDPA
Selon la DPDPA, les « données sensibles » font référence à des types spécifiques d’informations qui incluent :
- Les origines raciales ou ethniques d’un individu
- Leurs croyances religieuses
- Leurs conditions de santé mentale ou physique, y compris s’ils sont enceintes ou non
- Les détails concernant leur vie sexuelle
- Leur orientation sexuelle
- Leur statut de transgenre ou non binaire
- Leur statut de citoyenneté ou d’immigration
- Toutes données génétiques ou biométriques qu’ils pourraient avoir
- Toutes données liées aux enfants
- Les données de géolocalisation précises
Il est important de noter que la DPDPA exige que les entreprises obtiennent un consentement valide d’un résident de l’État (ou d’un parent/tuteur dans le cas des données d’un enfant) avant de traiter toute donnée sensible.
Cette large définition des données sensibles reflète un changement dans d’autres lois étatiques sur la confidentialité, incluant des éléments novateurs comme les données sur le statut de transgenre ou non binaire, et les données génétiques. De plus, la DPDPA est l’une des rares lois étatiques sur la confidentialité qui considère explicitement le statut de grossesse comme faisant partie des données sensibles, rendant sa définition l’une des plus complètes parmi les lois étatiques.
Qui sont les consommateurs, les contrôleurs et les processeurs sous la loi sur la protection des données personnelles du Delaware ?
Sous la DPDPA, les consommateurs sont définis comme étant les résidents du Delaware. Les contrôleurs font référence aux entreprises qui déterminent pourquoi et comment les données personnelles sont traitées, et les processeurs sont des entités qui traitent les données personnelles pour le compte d’un contrôleur.
La DPDPA désigne de nombreuses obligations essentielles pour les contrôleurs de données. Par exemple, les contrôleurs de données doivent :
- Limiter la collecte de données personnelles à ce qui est jugé pertinent, substantiel et justifiablement nécessaire par rapport à la raison pour laquelle les données sont traitées
- Éviter d’utiliser des données personnelles à des fins qui ne sont pas raisonnablement nécessaires ou compatibles avec les objectifs divulgués pour lesquels les données sont traitées
- Mettre en place, lancer et maintenir des méthodes de sécurité appropriées pour protéger la confidentialité, l’intégrité et la disponibilité des données personnelles
- Éviter de traiter des données sensibles liées à un consommateur sans obtenir d’abord l’approbation du consommateur
- S’abstenir de traiter des données personnelles d’une manière qui entre en conflit avec les lois étatiques ou fédérales du Delaware qui interdisent la discrimination illégale
- Fournir un moyen efficace pour un consommateur de retirer son consentement et d’arrêter le traitement des données dans les 15 jours suivant la réception d’une telle demande de révocation
- S’abstenir de traiter les données personnelles d’un consommateur pour de la publicité ciblée ou de vendre les données personnelles du consommateur sans le consentement du consommateur, en particulier lorsque le consommateur est âgé de 13 à 18 ans
- Éviter de faire preuve de préjugés contre un consommateur pour avoir exercé l’un de ses droits de consommateur
Kiteworks affiche une longue liste de réalisations en matière de conformité et de certification.
Droits définis par la loi sur la protection des données personnelles du Delaware
La loi sur la protection des données personnelles du Delaware fournit non seulement une définition large des données sensibles pour protéger la vie privée des résidents du Delaware, mais accorde également plusieurs droits aux consommateurs basés dans cet État. Ces droits comprennent :
Les résidents du Delaware ont le droit de demander l’accès à leurs données personnelles
Selon la DPDPA, les résidents du Delaware ont le droit de demander l’accès à leurs données personnelles et de savoir si une entreprise les collecte et les utilise, à moins que cela ne révèle les secrets commerciaux de l’entreprise. Ce droit permet aux individus de garder le contrôle sur leurs informations personnelles. Il exige des entreprises, si elles sont sollicitées, de divulguer les données personnelles qu’elles ont collectées, la manière dont elles sont utilisées et si elles ont été divulguées à des tiers. Toutefois, les entreprises ne sont pas obligées de fournir de telles informations si cela devait révéler des secrets commerciaux susceptibles de nuire à leur capacité à concurrencer sur leur marché respectif. Ce droit établit un équilibre entre le secret des affaires et les droits à la vie privée des individus.
Les résidents du Delaware ont le droit de demander que toute erreur ou incohérence dans leurs données personnelles soit corrigée
La DPDPA accorde aux individus le droit de demander la correction rapide des inexactitudes dans les données personnelles les concernant. Ce droit est crucial pour garantir que les données ne soient pas utilisées de manière trompeuse ou nuisible. Ce droit part du principe que toute donnée incorrecte ou mal représentée peut avoir de graves conséquences, et par conséquent, cette disposition permet aux individus de s’assurer que leurs données sont exactes.
Les résidents du Delaware ont le droit de demander la suppression de toute information personnelle que l’entreprise a accumulée ou recueillie à leur sujet
Communément connu sous le nom de “droit à l’oubli”, cette disposition concerne les données personnelles d’un résident du Delaware qui ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Elle permet aux résidents du Delaware de demander la suppression de toute donnée les concernant, protégeant contre une éventuelle utilisation abusive ou un accès non autorisé.
Les résidents du Delaware ont le droit d’obtenir une copie des données personnelles que l’entreprise a traitées dans un format utilisable et portable
Cette disposition de la loi sur la protection des données personnelles du Delaware garantit que les individus peuvent recevoir une copie de leurs données personnelles dans un format structuré, courant et lisible par machine. Cela peut leur permettre de changer de fournisseurs de services facilement et peut favoriser la concurrence.
Les résidents du Delaware ont l’option, avec certaines restrictions, de refuser certaines utilisations de leurs données personnelles, telles que la publicité ciblée et la vente de données
La DPDPA permet aux résidents du Delaware de s’opposer, dans certaines circonstances, à l’utilisation de leurs données personnelles à des fins telles que la publicité ciblée et la vente de données. Cette disposition permet aux résidents du Delaware d’exprimer leur consentement ou leur désaccord dans des scénarios spécifiques et aide à prévenir l’exploitation indésirable des données personnelles. Ce droit démontre l’accent mis par la DPDPA sur le consentement, la transparence et le contrôle individuel des données personnelles.
Qu’est-ce que l’avis de confidentialité DPDPA ?
Selon la DPDPA, les entreprises sont tenues de fournir aux consommateurs un avis de confidentialité complet. L’avis de confidentialité vise à maintenir la transparence et la conformité avec les obligations légales de la DPDPA. L’avis de confidentialité doit être facilement accessible, compréhensible et significatif afin de communiquer efficacement les détails suivants :
- Les types de données personnelles que l’entreprise traite ou gère
- Les finalités spécifiques pour lesquelles ces données personnelles sont traitées
- Des instructions claires sur la manière dont les consommateurs peuvent faire valoir leurs droits concernant leurs données personnelles
- Les catégories de données personnelles que l’entreprise partage avec des entités tierces
- Des informations sur les entités tierces avec lesquelles l’entreprise partage des données personnelles
- Les coordonnées de l’entreprise, y compris une adresse e-mail ou d’autres méthodes en ligne, par lesquelles les consommateurs peuvent initier une communication
Ces informations simplifient le processus de gestion des données et assurent aux consommateurs basés dans le Delaware que leurs données sont gérées en conformité avec la DPDPA.
Comment la loi sur la protection des données personnelles du Delaware est-elle appliquée ?
La DPDPA, qui entrera en vigueur le 1er janvier 2025, sera appliquée par le Département de la Justice du Delaware. Le Département a le mandat de superviser l’application de la loi, d’enquêter sur les violations potentielles et de mener des poursuites si nécessaire.
La DPDPA comprend une période de remédiation unique de 60 jours pour les entreprises en violation de la loi sur la confidentialité et leur offre une fenêtre pour résoudre toute infraction. Toutefois, cette disposition expirera le 31 décembre 2025, et la période de remédiation deviendra alors discrétionnaire.
Le Département de la Justice du Delaware peut considérer les infractions à la DPDPA comme des pratiques commerciales déloyales, chaque violation entraînant une amende maximale de 10 000 $.
Kiteworks aide les entreprises à démontrer leur conformité avec le DPDPA
Le Réseau de contenu privé de Kiteworks aide les entreprises à garantir la conformité avec le Delaware Personal Data Privacy Act. Kiteworks propose une plateforme sécurisée pour gérer et partager des informations sensibles comme les données personnelles, une exigence essentielle sous le DPDPA. Kiteworks fournit des contrôles de sécurité rigoureux pour protéger les informations personnelles des consommateurs, intégrant l’authentification multifactorielle, des contrôles de politique granulaires, des permissions basées sur les rôles, des intégrations d’infrastructure de sécurité, et un chiffrement de bout en bout.
Kiteworks consolide les canaux de communication tiers comme l’email, le partage de fichiers, et le transfert de fichiers sur une seule plateforme, protégée par une appliance virtuelle durcie autonome et préconfigurée.
Chaque fichier contenant des PII d’un consommateur est suivi lorsqu’il entre, circule ou quitte une organisation. Le suivi de toute l’activité des fichiers, à savoir qui a envoyé quoi à qui et quand, permet aux entreprises de signaler un comportement anormal, de mener des analyses forensiques, de se conformer aux demandes de conservation légale, et de démontrer la conformité avec de nombreuses lois et normes de confidentialité des données.
Pour en savoir plus sur le Réseau de contenu privé de Kiteworks et comment votre entreprise peut se conformer au Delaware Personal Data Privacy Act, planifiez une démonstration sur mesure dès aujourd’hui.