En vertu de la CTDPA, les entreprises doivent obtenir un consentement explicite et éclairé avant d'installer des cookies ou d'autres technologies de suivi collectant des données personnelles ou sensibles auprès des résidents du Connecticut. Disposez-vous des outils de gestion du consentement adéquats pour vous conformer ?
La loi sur la protection des données du Connecticut (CTDPA) est entrée en vigueur le 1er juillet 2023. Elle accorde aux résidents du Connecticut des droits et protections essentiels en matière de données et impose des obligations aux entreprises et aux prestataires de services qui traitent les données personnelles des résidents du Connecticut.
Les responsables du traitement/sous-traitants qui atteignent des seuils quantitatifs ou qui traitent des données de santé de consommateurs (aucun seuil ne s'applique aux responsables du traitement des données de santé chroniques) sont concernés par la CTDPA.
Les entreprises doivent évaluer si elles dépassent les seuils (traitement des données de ≥ 100 000 résidents du Connecticut, ou de ≥ 25 000 résidents dont plus de 25 % du chiffre d'affaires provient de la vente de données) et si elles traitent des données de santé des consommateurs (CHD). Si tel est le cas, assurez-vous :
Mettre à jour la politique de confidentialité :
Mise à jour des politiques de confidentialité avec des informations spécifiques au Delaware
Mettre en œuvre la gestion du consentement :
Mettre en œuvre des bannières de consentement aux cookies et activer les droits des consommateurs
Effectuer des évaluations :
Préparer des évaluations des risques et de la protection des données
Prise en charge de l'inscription et de la désinscription :
Utilisez l'option d'adhésion pour les données sensibles et intégrez une prise en charge globale de l'exclusion (par exemple, GPC)
Mettre en œuvre les accords de traitement :
Mettre en place des accords pour faire respecter les normes CTDPA
La conformité à la CTDPA est requise pour toute organisation qui :
Les entités exemptées comprennent :
Les administrations locales et d'État
Les établissements d'enseignement supérieur et à but non lucratif
Les institutions financières couvertes par la GLBA
Les entités couvertes par la HIPAA
Les associations nationales de valeurs mobilières
Les résidents du Connecticut peuvent exercer les droits suivants :
Les consommateurs peuvent accéder aux données personnelles, y compris aux inférences dérivées du profilage
Les consommateurs peuvent demander de corriger les inexactitudes
Les consommateurs peuvent demander que leurs données personnelles soient supprimées
Les consommateurs ont le droit de télécharger/transmettre leurs informations
Les consommateurs peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage qui produisent des effets juridiques/significatifs.
Les bannières et les outils de consentement relatifs aux cookies doivent expliquer quelles données sont collectées, pourquoi et comment elles sont utilisées, et permettre aux utilisateurs d'accepter ou de refuser le suivi.
Les cookies qui traitent des données personnelles ou sensibles (par exemple, identifiants d'appareil, données biométriques, suivi de santé) nécessitent une acceptation explicite. Les avis relatifs aux cookies doivent détailler l'objectif et les types de cookies, et proposer des options d'acceptation/de refus simples. Les entreprises doivent enregistrer le consentement et mettre en place des mécanismes de « ne pas vendre ».
Le non-respect entraînera des sanctions financières. Jusqu'au 31 décembre 2024, la CTDPA prévoyait un délai de 60 jours après notification du procureur général, pendant lequel les infractions devaient être corrigées pour éviter les amendes. Depuis le 1er janvier 2025, ce délai a été supprimé. Le procureur général du Connecticut est habilité à imposer jusqu'à 5 000 USD par infraction intentionnelle, y compris la restitution et l'injonction.
Pour vérifier votre conformité avec la CTDPA, les organisations doivent :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre la gestion du consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre avec des choix précis, permettez aux utilisateurs de retirer leur consentement à tout moment et conservez les journaux de consentement
Vérifiez les contrats tiers :
Examiner les pratiques de partage de données par des tiers
Une plateforme de gestion du consentement comme CookieHub centralise le consentement aux cookies, les demandes de droits des consommateurs et la gestion des préférences, rendant ainsi la conformité CTDPA plus efficace et plus vérifiable.
Elle s'applique aux contrôleurs/processeurs exerçant des activités dans le Connecticut ou ciblant ses résidents qui traitent ≥ 100 000 données de consommateurs par an, ou ≥ 25 000 avec > 25 % de revenus provenant de la vente de données, ainsi qu'à tout contrôleur de données de santé des consommateurs.
Toute information liée à une personne identifiable (par exemple, nom, adresse, identifiants, identifiants de connexion), à l’exclusion des informations publiques.
Sous-ensemble de données personnelles comprenant l'origine raciale/ethnique, la religion, l'état de santé, l'orientation sexuelle, les données biométriques/génétiques et les données de santé des consommateurs : le traitement nécessite une participation.
Le procureur général du Connecticut applique la CTDPA ; l'application comprend des avis, des amendes, des injonctions et des restitutions.
Les entités exonérées comprennent les organismes gouvernementaux, les organismes à but non lucratif, les établissements supérieurs, les institutions financières couvertes par la GLBA, les entités couvertes par la HIPAA et les associations nationales de valeurs mobilières.
Pour obtenir des conseils officiels, visitez la page CTDPA du procureur général du Connecticut.
©2025 CookieHub ehf.
