La DPDPA exige des entreprises qu'elles mettent en place un mécanisme de consentement aux cookies, comme une bannière avec un centre de préférences, afin d'assurer la transparence et de recueillir les consentements pour la publicité ciblée, la vente de données, le profilage et le traitement des données sensibles. Êtes-vous en conformité ?
La loi sur la protection des données personnelles du Delaware (DPDPA) a été promulguée le 11 septembre 2023 et est entrée en vigueur le 1er janvier 2025. Cette loi complète sur la protection de la vie privée confère des droits aux consommateurs du Delaware et impose des obligations aux responsables du traitement des données personnelles.
Les entreprises doivent procéder comme suit pour se conformer à la DPDPA Delaware :
Mettre à jour la politique de confidentialité :
Mise à jour des politiques de confidentialité avec des divulgations spécifiques au Delaware.
Mettre en œuvre la gestion du consentement :
Mettre en œuvre des bannières de consentement aux cookies et des flux de désactivation pour obtenir un consentement clair et affirmatif
Traitement des données personnelles :
Établir des processus de traitement des demandes des personnes concernées.
Sécurité des données :
S’assurer que des mesures de sécurité des données sont en place.
Examiner et divulguer les pratiques en matière de données et de cookies :
Divulguer les pratiques de traitement des données, y compris la collecte, le stockage et le partage des types de cookies, des finalités, etc.
Consultez un conseiller juridique et envisagez d’utiliser une plateforme de gestion du consentement (CMP) pour faciliter la conformité.
La DPDPA du Delaware s'applique à tout responsable du traitement ou sous-traitant qui :
exerce des activités dans le Delaware ou cible des résidents du Delaware ; et
au cours de l'année précédente, a traité les données de ≥ 35 000 consommateurs (hors données de paiement uniquement) ou de ≥ 10 000 consommateurs et a tiré plus de 20 % de son chiffre d'affaires brut de la vente de données personnelles.
Les exemptions incluent les organismes gouvernementaux (à l'exclusion de l'enseignement supérieur), les institutions financières réglementées par la GLBA, les exceptions à but non lucratif au niveau de l'entité (par exemple, la lutte contre la fraude à l'assurance), ainsi que les exemptions au niveau des données (informations couvertes par la loi HIPAA, FERPA, FCRA, DPPA, déréglementation des compagnies aériennes, COPPA pour les enfants de moins de 13 ans, etc.).
Les consommateurs du Delaware ont le droit de :
Les consommateurs peuvent accéder et confirmer le traitement des données personnelles
Les consommateurs peuvent demander de corriger les inexactitudes
Les consommateurs peuvent demander que leurs données personnelles soient supprimées
Les consommateurs ont le droit de transférer/télécharger/transmettre leurs informations dans un format utilisable
Les consommateurs peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage qui produisent des effets juridiques/significatifs.
Les consommateurs peuvent obtenir une liste de tiers spécifiques qui ont reçu leurs données
De plus, les responsables du traitement doivent répondre dans un délai de 45 jours (avec une possibilité de prolongation de 45 jours) et prévoir un processus d’appel.
Les cookies qui collectent des données permettant d'identifier une personne, telles que son adresse IP, son historique de navigation ou sa géolocalisation, sont considérés comme des informations personnelles. À ce titre, les entreprises doivent :
Communiquer l'utilisation des cookies (types, finalités, tiers).
Obtenir un consentement clair et explicite pour les cookies non essentiels liés à la publicité ciblée, au profilage, à la vente de données et au traitement de données sensibles.
Tenir compte des désabonnements via les flux sur site et les signaux de préférence universels d'ici 2026.
Des sanctions s'appliquent en cas de non-respect de la DPDPA, et sont appliquées par le ministère de la Justice du Delaware :
Jusqu'à 10 000 USD par infraction.
La mise en œuvre comprend un délai de 60 jours pour remédier à la situation (en vigueur jusqu'au 31 décembre 2025). Après cette date, la mise en œuvre est discrétionnaire.
Aucun droit d'action privé ; seule l'application du DOJ est applicable.
Pour vérifier votre conformité avec la DPDPA, les organisations doivent :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre la gestion du consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre avec des choix précis, permettez aux utilisateurs de retirer leur consentement à tout moment et conservez les journaux de consentement
Vérifiez les contrats tiers :
Examiner les pratiques de partage de données par des tiers
Une plateforme de gestion du consentement comme CookieHub peut centraliser votre bannière de consentement aux cookies, votre centre de préférences et la conformité des signaux de préférences, simplifiant ainsi la gouvernance de la DPDPA et la préparation aux audits.
La DPDPA couvre les contrôleurs et les processeurs exerçant des activités dans le Delaware ou ciblant ses résidents et atteignant des seuils de volume de données ou de revenus (≥ 35 000 utilisateurs ou ≥ 10 000 utilisateurs plus plus de 20 % de revenus provenant des ventes de données).
Toute information liée ou raisonnablement rattachable à une personne identifiée ou identifiable, à l’exclusion des informations anonymisées ou accessibles au public (par exemple, noms, e-mails, adresses IP).
Données révélant la race, la religion, les conditions de santé/médicales (y compris la grossesse), la vie sexuelle/l'orientation (y compris trans/non binaire), la citoyenneté, les données génétiques ou biométriques, la géolocalisation précise et les données personnelles d'un enfant connu.
Le Département de la Justice du Delaware, Unité de protection des consommateurs, applique la loi ; il n’existe aucune disposition prévoyant des poursuites privées.
Les exemptions incluent les agences d'État (à l'exception des universités), les entités financières réglementées par la GLBA, les organismes à but non lucratif spécifiés et les données déjà réglementées par des lois telles que HIPAA, FERPA, FCRA, COPPA, Airline Deregulation Act, DPPA, etc.
Consultez les FAQ et la loi du ministère de la Justice du Delaware : site Web du procureur général du Delaware et HB154 dans le Code du Delaware.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
