Le 18 juin, une nouvelle étoile a émergé dans la constellation américaine de la confidentialité des données : le Texas a fièrement pris sa place en tant que onzième État à défendre les droits à la vie privée des consommateurs en promulguant la loi Texas Data Privacy and Security Act (TDPSA), avec le séchage de l’encre sur HB 4.
ountdown a commencé, avec la TDPSA qui devrait entrer en vigueur le 1er juillet 2024, le même jour que son homologue floridien, la Florida Digital Bill of Rights.
Une introduction à la loi sur la confidentialité et la sécurité des données du Texas
La TDPSA protège la vie privée et les droits des données personnelles de plus de 31 millions de Texans. Mais ce qui le distingue des autres législations sur la confidentialité des données au niveau des États aux États-Unis, c’est son langage et son application uniques.
Alors que la plupart des lois de ce type se concentrent sur les biens ou services « ciblant » les résidents de l’État, le terme « consommé » de la TDPSA pourrait être sa caractéristique la plus distinctive. Ce choix particulier de verbiage pourrait potentiellement étendre son champ d’application aux entreprises de l’extérieur de l’État qui traitent avec les Texans, en veillant à ce qu’elles adhèrent à TDPSA ou excluent les résidents du Texas de leur clientèle s’ils ne se conforment pas à des réglementations équivalentes.
Organisations sous l’égide de la TDPSA
Toute entreprise qui traite les renseignements personnels des consommateurs est touchée par la Loi. Le Texas définit un consommateur non seulement comme n’importe quel résident, mais spécifiquement comme un consommateur agissant à titre individuel ou familial, à l’exclusion des contextes commerciaux ou d’emploi.
En tant que tel, il est essentiel pour ces organisations d’informer leurs consommateurs sur les diverses activités de collecte et de traitement des données qu’elles perfectionnent, ce qui comprend la clarté sur la nature des données collectées, leur utilisation prévue et le partage potentiel par des tiers.
Le modèle d’opt-out
La TDPSA utilise un modèle de retrait, similaire à plusieurs autres États qui ont introduit des réglementations complètes sur la confidentialité des données. Cela oblige les entreprises à offrir aux consommateurs une voie claire pour refuser la collecte et le traitement des données.
Parallèlement, les entreprises et leurs sociétés affiliées tierces doivent appliquer des mesures et des mesures de protection raisonnables en matière de sécurité des données.
Définitions de base en vertu de la LTTDP
Données personnelles: TDPSA suit une approche conventionnelle pour définir les données personnelles. Il englobe toute information, sensible ou autre, qui peut être liée (ou peut être liée) à une personne identifiable.
Bien que la loi ne répertorie pas d’exemples spécifiques, les détails traditionnels tels que les noms, les numéros de téléphone, les adresses IP et les numéros de sécurité sociale entrent dans cette catégorie.
Consentement: S’inspirant du RGPD de l’Union européenne, la TDPSA définit le consentement comme un acte clair et sans équivoque indiquant l’accord volontaire d’un consommateur pour traiter ses données personnelles.
Cela pourrait prendre la forme de déclarations écrites ou d’autres mesures positives évidentes. Cependant, la Loi diffère de beaucoup d’autres en excluant certains cas précis – comme l’acceptation de conditions générales d’utilisation – de la qualification de consentement valide.
Données sensibles : Cette catégorie est réservée aux renseignements personnels qui, s’ils sont mal gérés, pourraient entraîner un préjudice important. Cela comprend des données révélant les origines raciales ou ethniques, les croyances religieuses, les diagnostics de santé, la sexualité, le statut de citoyenneté, les données génétiques ou biométriques, les informations des enfants de moins de 13 ans et les données de géolocalisation précises.
Responsable du traitement et processeur : Les entreprises qui dictent la manière et la finalité du traitement des données personnelles sont appelées « responsables du traitement ». Pendant ce temps, les entités tierces qui traitent des données pour le compte de ces entreprises sont appelées « sous-traitants ».
Vente: Ceci est défini comme le transfert ou la divulgation de données personnelles pour des gains tangibles ou autres gains de valeur. Il existe toutefois plusieurs exclusions : comme le partage de données pour la prestation de produits / services demandés ou dans le cadre de fusions.
Publicité ciblée : Il s’agit de publicités organisées en fonction des données d’un consommateur (collectées au fil du temps sur différentes plateformes), qui visent à prédire les préférences des consommateurs.
Exemptions à la LTPDT
Le Texas s’aligne sur les lois américaines existantes sur la confidentialité des données en prévoyant certaines exemptions, reconnaissant principalement les lois fédérales telles que HIPAA, COPPA et FCRA, pour n’en nommer que quelques-unes.
La Loi exclut également les données relatives aux sujets de recherche humains, aux RH, aux dossiers médicaux et aux fins de l’emploi. En outre, des entités telles que les agences gouvernementales de l’État, les établissements d’enseignement supérieur, les compagnies d’assurance, les institutions financières, les services publics d’électricité et les organisations à but non lucratif sont parmi les personnes exemptées.
Droits des consommateurs en vertu de la LTPSA
Les consommateurs texans peuvent exercer plusieurs droits en vertu de cette loi:
Droit d’accès
Cela permet aux consommateurs de vérifier si un responsable du traitement traite leurs données et d’y accéder.
Droit de rectification
Les consommateurs peuvent rectifier toute information inexacte ou périmée.
Droit de suppression
Les consommateurs peuvent demander au responsable du traitement d’effacer leurs données personnelles, sauf exception.
Droit à la portabilité
Cela garantit que les consommateurs peuvent récupérer leurs données dans un format utilisable.
Droit à la non-discrimination
Les responsables du traitement ne peuvent pas discriminer indûment les consommateurs pour faire valoir leurs droits.
Droit de retrait
Cela inclut la baisse de la vente de données personnelles, les publicités ciblées ou la prise de décision importante basée sur le profilage.
Les parents ou tuteurs légaux peuvent également représenter les enfants de moins de 13 ans. Notamment, contrairement à la loi californienne, la TDPSA n’accorde pas aux consommateurs le droit d’engager des poursuites judiciaires contre les contrevenants au traitement des données.
Conclusion
La loi sur la confidentialité et la sécurité des données du Texas met en valeur l’engagement du Texas à équilibrer les progrès technologiques et économiques de l’ère numérique avec les droits à la vie privée de ses citoyens.
Avec son langage unique et ses vastes implications, la TDPSA témoigne de l’évolution du paysage des lois sur la confidentialité des données aux États-Unis. Au fur et à mesure que le monde numérique continue de se développer, l’importance de ces réglementations pour offrir un plan directeur à d’autres États envisageant des mesures similaires augmentera également.