La nouvelle loi du Connecticut prend sa place dans le cadre américain de confidentialité des données
1er juillet 2022 – En mai, l’État du Connecticut a promulgué la loi sur la confidentialité des données personnelles et la surveillance en ligne (la « CTDPA ») qui comprend un large éventail de réglementations sur la confidentialité qui entreront en vigueur le 1er juillet 2023. (SB 6, Assemblée générale, sess. rég. (Conn. 2022)). Le Connecticut rejoint quatre autres États – la Californie, la Virginie, le Colorado et l’Utah – qui ont promulgué des lois sur la confidentialité au cours des dernières années.
Bien que la CTDPA présente de nombreuses similitudes avec les quatre lois américaines existantes sur la protection de la vie privée, elle possède également ses propres différences uniques, ajoutant ainsi à la mosaïque croissante de lois étatiques sur la protection de la vie privée qui se forme en l’absence d’une règle fédérale.
Applicabilité
Inscrivez-vous maintenant pour un accès GRATUIT et illimité à Reuters.com
Le CTDPA s’applique aux personnes qui exercent des activités dans le Connecticut ou « produisent des produits ou des services destinés aux résidents [of Connecticut]. » La loi régit ceux qui, au cours de l’année civile précédente, ont contrôlé ou traité les données personnelles de (1) au moins 100 000 consommateurs, à l’exclusion des données personnelles utilisées uniquement dans le but d’effectuer une opération de paiement ou (2) d’au moins 25 000 consommateurs et dérivées plus de 25 % de leurs revenus bruts proviennent de la vente de données personnelles (§ 2).
Le champ d’application de la CTDPA est plus étroit que certains des règlements d’État existants, mais plus large que d’autres.
Par exemple, le montant des revenus bruts requis par la CTDPA est inférieur à celui de la Virginie et de l’Utah, qui exigent qu’au moins 50 % des revenus bruts proviennent de la vente de données personnelles, mais supérieur à celui du Colorado, qui n’a pas de montant seuil à tout. (VCDPA § 59.1-572 ; UCPA § 13-61-102).
De plus, contrairement à la Consumer Privacy Act (CCPA) et à la Privacy Rights Act (CPRA) de la Californie, la CTDPA n’a pas de seuil de revenu supérieur indépendant, et donc, même les grandes entreprises générant des revenus ne seront pas soumises à la réglementation sans satisfaire aux exigences minimales des consommateurs. (CCPA § 1798.140(c)(1); CPRA § 14(d))). La CTDPA est également unique en ce sens qu’elle restreint sa portée en ne couvrant pas les données collectées uniquement aux fins des transactions de paiement.
La définition de la CTDPA de « vente de données personnelles » comprend « l’échange de données personnelles à des fins monétaires ou autres contreparties de valeur » à un tiers. Cette définition est similaire à la loi sur la confidentialité du Colorado (CPA) ainsi qu’à la CCPA et à la CPRA de la Californie, mais elle est plus large que la loi sur la confidentialité des consommateurs de l’Utah (UCPA) et la loi sur la protection des données des consommateurs de Virginie (VCDPA) qui n’incluent pas la « considération valable » dans le cadre de la définition de vente de données personnelles. (CTDPA § 1(18); CCPA § 1798.140