FAQ : Qu'est-ce que le Virginia Consumer Data Protection Act (VCDPA) ?

La confidentialité des données continue d'être un sujet de plus en plus pertinent de notre époque.

La Virginia Consumer Data Protection Act (CDPA ou VCDPA de Virginie) a récemment été promulguée par les deux chambres de la législature de Virginie, imposant de nouvelles restrictions sur la collecte, la divulgation et l'utilisation des informations personnelles identifiables (PII) des résidents de Virginie par des sociétés non exemptées.

Réponses aux questions VCDPA dans cette FAQ :

• Quelles sont les restrictions dans le nouveau VCDPA ?
• Quelles sont les protections des consommateurs fournies par le VCDPA ?
• Qui appliquera le VCDPA ?
• À qui s'applique le VCDPA ?
• Quand le VCDPA est-il devenu effectif ?
• Que doivent savoir les éditeurs sur le VCDPA ?

Quelles sont les restrictions dans le nouveau VCDPA ?

• Qu'ils honorent les demandes spécifiques et vérifiables des consommateurs de Virginie de divulguer, corriger ou supprimer des informations personnelles ;
• Qu'ils permettent aux consommateurs de Virginie de refuser le traitement des données personnelles à des fins spécifiques (et, en outre, que les données sensibles ne soient pas traitées sans un opt-in sans ambiguïté );
• Que les entreprises procèdent à des évaluations de protection de leurs actions de traitement de données (ainsi que d'autres actions de traitement de données personnelles « qui présentent un risque élevé de préjudice pour les consommateurs ») ;
• Que les entreprises maintiennent et publient des avis et des divulgations de confidentialité appropriés (et les respectent) ; et
• Que les entreprises et leurs sous-traitants incluent des clauses légales spécifiques dans leurs accords d'utilisation.

Afin d'assurer la sécurité des informations personnelles des clients à la lumière du nouveau VCDPA, les processeurs de données doivent désormais respecter quelques réglementations supplémentaires, principalement liées aux évaluations de la protection des données, aux demandes des consommateurs et aux notifications de violation de la sécurité.

Les lecteurs peuvent consulter le texte intégral de la VCDPA ici .

Certains observateurs ont établi des parallèles entre le California Consumer Privacy Act (le CCPA, qui est entré en vigueur en 2020) – la première mesure importante de confidentialité des données aux États-Unis – et le récent VCDPA, qui a été approuvé il y a plus de deux ans et demi. plus tard. (Notez que le CCPA a lui-même été modifié et élargi par le California Privacy Rights Act [CPRA] le 1er janvier 2023.)

D'autres, cependant, soutiennent que le règlement général sur la protection des données (RGPD) beaucoup plus robuste de l'UE est plus analogue au VCDPA.

Mais le VCDPA est aussi distinctement son propre ensemble de mesures. Bien que le VCDPA impose certaines restrictions sur le ciblage entreprise-consommateur (B2C), il existe également un certain nombre de façons de contourner ces restrictions.

De plus, bien que certaines de ces restrictions puissent avoir un effet sur les efforts de marketing B2C des entreprises, il semble que cibler un Virginien dans un contexte interentreprises (B2B) ou interentreprises (B2G) reste un jeu équitable, donc tant que cela est pertinent pour la fonction professionnelle de la cible et ne viole aucune loi. Mais si vous souhaitez atteindre un Virginien pendant qu'il se détend avec sa famille (et son téléphone) sur le canapé après une longue journée, vous voudrez peut-être réduire votre publicité ciblée.

Quelles sont les protections des consommateurs fournies par le VCDPA ?

Le VCDPA accorde aux consommateurs des droits spécifiques concernant leurs données privées. Ces protections en vertu de la Loi comprennent :

1. Le droit de voir, d'accéder et de confirmer les données personnelles
2. Le droit de supprimer les données personnelles
3. Le droit de corriger les inexactitudes dans les données personnelles
4. Le droit à la portabilité des données (c'est-à-dire un accès simplifié et portable à toutes les données personnelles détenues par une entreprise)
5. Le droit de refuser le traitement de toute donnée personnelle à des fins de publicité ciblée
6. Le droit de refuser la vente de données personnelles
7. Le droit de refuser le profilage basé sur les données personnelles
8. Le droit de ne pas faire l'objet de discrimination pour avoir exercé l'un des droits susmentionnés

En vertu de la VCDPA, pour être en conformité, les entreprises doivent fournir aux consommateurs des informations sur leurs droits ainsi qu'un mécanisme pour exercer ces droits. La loi codifie également diverses obligations en matière de données personnelles pour les entreprises. Lorsqu'il s'agit de collecter et d'utiliser des données personnelles sensibles telles que des données de géolocalisation précises, des données sur les caractéristiques protégées des utilisateurs et des données génétiques ou biométriques, par exemple, les entreprises soumises au respect de la loi doivent d'abord obtenir le consentement.

Le VCDPA est similaire au CCPA en ce sens que le VCDPA impose des contrats spéciaux entre les entreprises et les prestataires de services qu'ils utilisent pour traiter les données en leur nom. Ces contrats doivent respecter les exigences de la loi et définir les obligations des prestataires au regard des données personnelles qu'ils traitent.

De plus, la VCDPA exige que les entreprises conservent les renseignements personnels pendant une période n'excédant pas la période requise pour un objectif spécifique et n'excédant pas la période nécessaire pour atteindre l'objectif déclaré. Ces concepts sont respectivement connus sous le nom de limitation de la finalité et de minimisation des données.

Le VCDPA exige également que les entreprises mettent en place et maintiennent des politiques de sécurité des données adéquates pour protéger la confidentialité, l'intégrité et la disponibilité des informations des clients.

Les mesures de sécurité des données d'une entreprise sont probablement adéquates si elles respectent la norme reconnue de l'industrie, compte tenu de la taille et de la complexité de l'organisation et des données personnelles qu'elle traite ; cependant, on ne sait pas encore comment ces critères de caractère raisonnable seront mis en œuvre.

Enfin, le VCDPA, comme le règlement général sur la protection des données (RGPD) de l'Union européenne, oblige les organisations à effectuer et à documenter une évaluation de la protection des données avant de traiter des données sensibles ou de s'engager dans certaines activités avec des données personnelles, telles que la publicité ciblée, la vente ou profilage.

Qui appliquera le VCDPA ?

Le procureur général de Virginie sera responsable de l'application de la VCDPA, et bien qu'il y ait un délai de grâce de 30 jours pour corriger toute violation, continuer à enfreindre la loi au-delà de ce point peut entraîner une sanction civile pouvant aller jusqu'à 7 500 $ par incident. Il est important de noter que la loi n'accorde pas aux consommateurs individuels un droit privé d'action en justice comme le fait la CCPA.

En ce qui concerne cette dernière mise en garde, pour être considéré comme un consommateur en vertu de la VCDPA, un résident de Virginie doit être une personne physique "agissant uniquement dans un contexte individuel ou domestique". (Comparez cela avec le CCPA, qui ne limite pas sa définition de «consommateur» aux «individus ou ménages».) Le VCDPA précise également qu'aucune garantie n'est accordée à ceux qui «agissent dans un contexte commercial ou d'emploi».

À qui s'applique le VCDPA ?

Comme le CCPA, le VCDPA peut s'appliquer aux entreprises qui ne sont pas basées en Virginie mais qui font néanmoins des affaires dans l'État. Cette loi exige que les entreprises qui (1) mènent des activités en Virginie ou commercialisent auprès des résidents de Virginie ; et (2) soit : (a) traiter ou contrôler les données personnelles de 100 000 résidents de Virginie ou plus ; ou (b) traiter ou contrôler les données personnelles de 25 000 résidents de Virginie ou plus et tirer plus de 50 % des revenus bruts de la vente de données personnelles sont soumis au VCDPA.

Quand le VCDPA est-il devenu effectif ?

Le VCDPA est entré en vigueur le 1er janvier 2023, les entreprises doivent donc s'y conformer actuellement.

Le 2 mars 2021, la Virginie est devenue le deuxième État après la Californie à mettre en œuvre une législation complète sur la confidentialité des données, ajoutant à ce qui devient un État national patchwork de réglementations sur la confidentialité des données. (Les États du Nevada et du Maine ont également adopté des lois sur la confidentialité des données, bien qu'elles ne soient pas considérées comme « complètes » au sens de l'International Association of Privacy Professionals [IAPP].)

Que doivent savoir les éditeurs sur le VCDPA ?

Les entreprises doivent évaluer leurs opérations de traitement des données personnelles, les mesures de sécurité des données, les politiques de confidentialité et les contrats des fournisseurs de services dès que possible pour se protéger de l'application de la VCDPA. Nous suggérons également de considérer la situation dans son ensemble lorsqu'il s'agit de répondre aux demandes des consommateurs pour faire respecter les droits en vertu de la CCPA ou de la VCDPA.

Admiral, une CMP (Consent Management Platform), suit les lois sur le consentement à la vie privée qui ont un impact sur les éditeurs en ligne aux États-Unis et dans le monde. Il est recommandé de lire le FAQ CMP si vous avez des questions ou des préoccupations.

En plus des mandats réglementaires, la collecte du consentement des visiteurs peut établir un segment précieux de visiteurs à commercialiser et a fourni des CPM plus élevés pour certains éditeurs.

Il y aura bientôt des lois plus strictes sur la confidentialité des données

L'attention du public a été attirée sur la confidentialité des données alors que les histoires de violations de données, d'utilisation inappropriée des données des clients et de confidentialité deviennent de plus en plus courantes. Selon les résultats d'une enquête Cisco, 84 % des personnes interrogées veulent désormais avoir plus leur mot à dire sur leurs données et sur la manière dont elles sont utilisées.

84 % des répondants souhaitent désormais avoir plus de poids sur leurs données et leur utilisation. - Enquête Cisco

C'est la pointe de l'iceberg pour les maisons d'édition. L'Illinois, le Maine, le Massachusetts, le Nevada, le New Jersey et la Pennsylvanie ne sont que quelques-uns des États qui ont récemment adopté des lois sur la protection des données et la confidentialité.

Un effort est également en cours pour établir une agence fédérale de protection des données et des règles nationales de protection des données. En prévision, le Tech Lab de l'IAB a créé la General Privacy Platform, un protocole de conformité standardisé. La plate-forme de gestion du consentement d'Admiral est conforme aux BPP et conçue pour être flexible entre les États et les juridictions.

Se conformer à la VCDPA, CPRA, CCPA et GDPR

Pour les éditeurs, cela peut être un cauchemar d'essayer de suivre toute la législation sur la confidentialité et les complexités du GDPR, du CCPA, du CPRA et du VCDPA. Pour mieux gérer la confidentialité et le consentement des visiteurs, de nombreux éditeurs ont demandé l'aide d'Admiral.

Admiral est l'un des premiers CMP à se conformer à la méthodologie de l'Interactive Advertising Bureau (IAB) pour la transmission d'informations de désactivation aux fournisseurs en aval, l'identification automatique des visites de sites à partir d'adresses IP de Virginie et la fourniture aux visiteurs d'une interface utilisateur pour désactiver ventes de données.

Le CMP d'Admiral est la solution de gestion du consentement à la confidentialité la plus avantageuse pour les éditeurs de médias. Planifiez une démo aujourd'hui.