En vertu de l'INCDPA, les entreprises doivent obtenir un consentement explicite et clair avant de traiter des données personnelles sensibles, y compris les cookies qui collectent des données de géolocalisation ou biométriques précises. Le consentement doit être documenté, révocable et directement lié à la finalité spécifique des cookies. Votre gestion du consentement est-elle conforme aux meilleures pratiques ?
La loi de l'Indiana sur la protection des données des consommateurs (INCDPA), signée le 1er mai 2023 et entrée en vigueur le 1er janvier 2026, est une loi d'État complète sur la protection de la vie privée, calquée sur la loi de Virginie sur la protection des données des consommateurs (VCDPA). Elle établit les droits des consommateurs en matière de données et les obligations des responsables du traitement.
Les entreprises ciblant les résidents de l'Indiana doivent évaluer l'applicabilité, mettre à jour les bannières de cookies, affiner les mécanismes de consentement, réaliser des analyses d'impact sur la protection des données (AIPD) et mettre en place des politiques de confidentialité strictes, en utilisant des outils tels que des plateformes de gestion du consentement pour optimiser la conformité et réduire les risques.
Pour déterminer si l'INCDPA s'applique, demandez-vous si vous exercez vos activités dans l'Indiana ou si vous ciblez des résidents de l'Indiana. Si oui, traitez-vous les données personnelles d'au moins 100 000 résidents de l'Indiana par an, ou d'au moins 25 000 résidents, tout en générant plus de 50 % de votre chiffre d'affaires grâce à la vente de leurs données ?
Si oui, la conformité exige que vous :
Examiner les pratiques en matière de données :
Cartographier toutes les données personnelles et sensibles collectées (y compris les cookies).
Mettre en œuvre la gestion du consentement :
Consultez les bannières de consentement et les avis sur les cookies.
Mettre en place des mesures de retrait :
Assurez des options de désinscription pour les ventes de données, le profilage et la publicité ciblée.
Assurer la sécurité des données :
Implement data security measures and DPIAs for high-risk activities.Mettre en œuvre des mesures de sécurité des données et des analyses d’impact sur la protection des données pour les activités à haut risque.
Les responsables du traitement ou les sous-traitants doivent se conformer à l'INCDPA si :
Ils exercent leurs activités dans l'Indiana ou ciblent ses résidents ; et
Traitent les données personnelles de ≥ 100 000 résidents par an ; ou
Traitent les données personnelles de ≥ 25 000 résidents par an et tirent plus de 50 % de leurs revenus de la vente de données personnelles.
Les exemptions incluent :
Les organismes gouvernementaux, les organismes à but non lucratif, les établissements d'enseignement, les services publics, les entités couvertes par la GLBA ou la HIPAA, les données relatives à l'emploi et les casinos fluviaux utilisant la reconnaissance faciale approuvée par l'État.
Les résidents de l’Indiana ont les droits suivants :
Les consommateurs peuvent accéder et confirmer le traitement des données personnelles
Les consommateurs peuvent demander de corriger les inexactitudes
Les consommateurs peuvent demander que leurs données personnelles soient supprimées
Les consommateurs ont le droit de transférer/télécharger/transmettre leurs informations dans un format utilisable
Les consommateurs peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage qui produisent des effets juridiques/significatifs.
Les demandes doivent être traitées dans un délai de 45 jours (extensible à 90 jours) et tout refus doit permettre un appel.
Les cookies qui collectent des données sensibles ou personnelles (par exemple, la localisation, le profilage d'utilisation) nécessitent le consentement explicite de l'utilisateur. Même les cookies d'analyse peuvent être soumis à la loi s'ils traitent les données personnelles d'un nombre suffisant de résidents de l'Indiana.
Des bannières de cookies claires, des options de désactivation et des contrôles de consentement précis sont essentiels.
Les organisations qui ne se conforment pas à l'INCDPA s'exposent à des sanctions. Appliquées par le procureur général de l'Indiana, les sanctions civiles post-traitement peuvent atteindre 7 500 USD par infraction.
Pour vérifier votre conformité INCDPA, les organisations doivent :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre la gestion du consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre avec des choix précis, permettez aux utilisateurs de retirer leur consentement à tout moment et conservez les journaux de consentement
Vérifiez les contrats tiers :
Examiner les pratiques de partage de données par des tiers
Une plateforme de gestion du consentement comme CookieHub centralise et automatise le déploiement des bannières de cookies, permet une capture granulaire du consentement, assure l'application de la désinscription et permet la journalisation des audits, simplifiant ainsi la conformité INCDPA pour les entreprises.
S'applique aux entreprises ciblant les résidents de l'Indiana (ou y exerçant leurs activités) qui traitent les données personnelles d'au moins 100 000 consommateurs, ou d'au moins 25 000 consommateurs dont le chiffre d'affaires généré par les données dépasse 50 % de leur chiffre d'affaires brut. Des exclusions s'appliquent.
Toute information liée ou raisonnablement liée à une personne identifiée ou identifiable, comme le nom, l’adresse e-mail, l’adresse IP, les informations de santé, le comportement de navigation.
Inclut des données révélant l'origine ethnique, la religion, l'orientation sexuelle, la citoyenneté, la santé, la biométrie, la géolocalisation précise et les données connues des enfants. Nécessite un consentement explicite.
Le procureur général de l'Indiana, doté de l'autorité exclusive d'application et du pouvoir d'imposer des sanctions après un avis de correction de 30 jours.
Les entités exemptées comprennent les agences gouvernementales, les organismes à but non lucratif, les écoles, les services publics, les institutions réglementées par la GLBA ou la HIPAA, les données employeurs-employés et les casinos fluviaux suivant les règles de reconnaissance faciale.
Vous trouverez de plus amples informations en consultant le projet de loi 5 du Sénat de l'Indiana (Code de l'Indiana §24-15) et le site Web du procureur général de l'Indiana pour obtenir des exemples d'avis.
Avis de non-responsabilité: Les informations fournies sur cette page sont fournies à titre indicatif uniquement et ne constituent pas un avis juridique ou réglementaire. La réglementation relative à la confidentialité des données est complexe et sujette à de fréquentes mises à jour, interprétations et variations juridictionnelles. Bien que nous mettions tout en œuvre pour maintenir ce document exact et à jour, nous ne pouvons garantir son exhaustivité ni son applicabilité à votre situation particulière. Pour toute question relative à la conformité ou aux obligations légales, veuillez consulter des juristes qualifiés ou les autorités réglementaires compétentes.
©2025 CookieHub ehf.
