Dans le cadre du KCDPA, le traitement de données personnelles sensibles (par exemple, la géolocalisation précise, les données biométriques, les données des enfants, la santé, etc.) nécessite un consentement clair et affirmatif — par exemple via une bannière de cookies ou un centre de préférences. Êtes-vous conforme ?
La Kentucky Consumer Data Protection Act (KCDPA), qui entrera en vigueur le 1er janvier 2026, est la première loi complète sur la protection des données dans l’État. Elle impose des exigences en matière de gouvernance et de transparence des données aux organismes exerçant une activité dans le Kentucky ou visant ses résidents, et s’inspire du cadre juridique de la CDPA de Virginie.
Les obligations prévues par la KCDPA incluent : la minimisation des données, la transparence, la mise en place de garanties techniques et organisationnelles, la non-discrimination, le consentement préalable pour le traitement de données sensibles, ainsi que la réalisation d’analyses d’impact (DPIA) pour les traitements à haut risque.
Prenez les mesures suivantes dans le cadre de la conformité au KCDPA Kentucky :
Mettre à jour la politique de confidentialité :
Mettre à jour les politiques de confidentialité et de cookies en précisant les finalités, les catégories de données, les tiers concernés et les méthodes de refus (opt-out).
Mettre en place une gestion du consentement :
Déployer des bannières de consentement aux cookies et des parcours de refus pour obtenir un consentement clair et affirmatif, offrir aux consommateurs des mécanismes pour exercer leurs droits, et consigner les consentements ainsi que les refus.
Réaliser des évaluations :
Effectuer des analyses d’impact sur la protection des données (DPIA) pour les traitements sensibles, le profilage, la publicité ciblée ou la vente de données.
Gérer les tiers :
Conclure des accords de traitement des données avec les prestataires et sous-traitants.
Vous devez entreprendre ces actions afin de vous conformer au KCDPA.
Les entreprises exerçant une activité dans l’État ou ciblant les résidents du Kentucky.
Les organisations qui traitent les données de 100 000 consommateurs du Kentucky ou plus, ou celles qui traitent les données d’au moins 25 000 consommateurs et tirent plus de 50 % de leurs revenus de la vente de données, sont soumises au KCDPA.
Sont exemptés : les entités gouvernementales, les entreprises réglementées par la GLBA, les prestataires couverts par la HIPAA, les organisations à but non lucratif, les établissements d’enseignement supérieur, les petites entreprises de télécommunications/services publics, les usages liés à l’application de la loi, les données de santé, la FERPA, la FCRA et d’autres données réglementées similaires.
Les consommateurs du Kentucky bénéficient des droits suivants :
Les consommateurs peuvent accéder à leurs données personnelles et confirmer leur traitement.
Les consommateurs peuvent demander la correction d’inexactitudes.
Les consommateurs peuvent demander la suppression de leurs données personnelles.
Consumers have a right to port/download/transmit their information in a usable format
Les consommateurs peuvent refuser la vente de leurs données personnelles, la publicité ciblée et le profilage produisant un effet juridique ou significatif.
Les entreprises disposent de 45 jours pour se conformer (prolongeables de 45 jours supplémentaires).
Les cookies peuvent déposer des données personnelles ou sensibles.
L’utilisation de cookies non sensibles (par exemple, à des fins d’analytique) est autorisée avec un mécanisme d’opt-out. En revanche, le traitement de données sensibles via des cookies requiert un consentement explicite par opt-in.
Les organisations qui ne respectent pas le KCDPA s’exposent à des sanctions pouvant atteindre 7 500 USD par violation.
Une période de correction de 30 jours est prévue, mais des amendes peuvent être appliquées si les problèmes ne sont pas résolus.
La conformité est contrôlée et appliquée par le Procureur général du Kentucky.
Le KCDPA ne prévoit aucun droit d’action privé pour les particuliers.
Pour vérifier que votre approche de la protection des données respecte les bonnes pratiques et est conforme au KCDPA Kentucky, les organisations doivent :
Audit:
Réaliser un audit des données afin d’identifier tous les cookies et traceurs présents sur leurs sites web.
Catégoriser :
Classer les cookies (par exemple : nécessaires, préférences, analytiques, marketing).
Mettre en place une gestion du consentement :
S’assurer que les bannières de consentement sont correctement déployées avec des choix granulaires, permettre aux utilisateurs de retirer leur consentement à tout moment et conserver des journaux de consentement.
Vérifier les contrats tiers :
Examiner les pratiques de partage de données avec des tiers.
Une plateforme de gestion du consentement comme CookieHub automatise les bannières de cookies, l’enregistrement des consentements, les parcours d’opt-out et la gestion des données sensibles — simplifiant ainsi la conformité au KCDPA et la préparation aux DPIA.
Le KCDPA s’applique aux personnes physiques dans un cadre individuel ou domestique dans le Kentucky, mais pas dans les contextes professionnels ou commerciaux. La réglementation concerne les responsables de traitement et les sous-traitants qui atteignent certains seuils de volume de données ou de revenus et qui ciblent les résidents du Kentucky.
« Toute information liée ou raisonnablement susceptible d’être liée à une personne physique identifiée ou identifiable », à l’exclusion des données désidentifiées ou publiques. Cela inclut les noms, adresses IP, adresses e-mail, historiques d’achats et empreintes numériques des appareils.
Les données sensibles comprennent : l’origine raciale ou ethnique, la religion, la santé, l’orientation sexuelle, la citoyenneté, les données biométriques/génétiques permettant l’identification, les données personnelles d’enfants connus, ainsi que la géolocalisation précise (dans un rayon d’environ 533 m).
Le Procureur général du Kentucky dispose de l’autorité exclusive d’application. Il n’existe aucun droit d’action privé pour les consommateurs.
Les catégories exemptées incluent : les entités gouvernementales, les organismes réglementés par la GLBA/HIPAA, les organisations à but non lucratif, les établissements d’enseignement supérieur, les petites entreprises de télécommunications ou de services publics, les gestionnaires de données liées à l’application de la loi ou à la prévention de la fraude, ainsi que certains types de données réglementées au niveau fédéral (santé, FERPA, FCRA, etc.).
Consultez le texte intégral de la loi HB 15 ainsi que les directives du Procureur général pour les définitions officielles, les dates d’entrée en vigueur et les règles de conformité.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
