La loi de l'Oregon sur la protection de la vie privée des consommateurs (Oregon Consumer Privacy Act), promulguée par le projet de loi 619 du Sénat en juin 2023, est entrée en vigueur le 1er juillet 2024 et sa mise en application est prévue pour janvier 2026. Elle régit la manière dont les entreprises traitent les données personnelles des résidents de l'Oregon et leur confère des droits solides en matière de confidentialité.
Voici les principales responsabilités :
Déterminer si vous êtes responsable du traitement (décision de l'utilisation des données) ou sous-traitant (action au nom du responsable du traitement) ;
Proposer une politique de confidentialité claire couvrant les catégories de données, les finalités, le partage avec des tiers, les droits des consommateurs, les coordonnées, le profilage et les options de désinscription associées ;
Collecter uniquement les données nécessaires et les protéger par des mesures administratives, techniques et physiques raisonnables ;
Réaliser des évaluations de la protection des données lors du traitement de données sensibles, du profilage, de la publicité ciblée ou de la vente de données personnelles ;
Établir des contrats entre responsables du traitement et sous-traitants qui reflètent les obligations de l'OCPA.
Les entreprises devraient :
Réaliser un audit :
Effectuer un audit complet des pratiques de collecte et de partage des données et identifier les données personnelles collectées et leurs finalités
Mettre à jour la politique de confidentialité :
Examiner et mettre à jour les politiques de confidentialité et de cookies avec les divulgations spécifiques à l'OCPA
Mettre en œuvre la gestion du consentement :
Mettre en œuvre des bannières de consentement aux cookies et des flux de désactivation pour automatiser la capture du consentement et la gestion des préférences
Garantir les droits des consommateurs :
Mettre en place des mécanismes pour répondre aux demandes relatives aux droits des consommateurs dans un délai de 45 jours
Effectuer des évaluations de la protection des données :
Protégez la confidentialité en ce qui concerne la publicité ciblée, la vente de données, le profilage ou le traitement de données sensibles.
L'OCPA s'applique si, au cours d'une année civile, votre entreprise traite les données personnelles de 100 000 consommateurs ou plus de l'Oregon (hors données de paiement uniquement), ou traite les données de plus de 25 000 consommateurs tout en générant plus de 25 % de revenus provenant de la vente de données.
Elle s'applique aux entités exerçant des activités en Oregon ou au service de ses résidents, y compris les organismes à but non lucratif, dont le délai de mise en conformité a été reporté à compter du 1er juillet 2025.
Les exemptions incluent les agences gouvernementales, les institutions financières régies par la GLBA, les entités soumises à la loi HIPAA, les organismes éducatifs et les organismes à but non lucratif d'intérêt public (par exemple, la prévention de la fraude, les associations de presse).
La loi garantit aux résidents de l’Oregon ces droits :
Les consommateurs peuvent accéder et confirmer le traitement des données personnelles
Les consommateurs peuvent demander de corriger les inexactitudes
Les consommateurs peuvent demander que leurs données personnelles soient supprimées
Les consommateurs ont le droit de transférer/télécharger/transmettre leurs informations dans un format utilisable
Les consommateurs peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage qui produisent des effets juridiques/significatifs.
Les consommateurs peuvent savoir quels tiers ont reçu leurs données et confirmer si une entité les traite
Les responsables du traitement doivent répondre dans un délai de 45 jours, avec une possibilité de prolongation supplémentaire de 45 jours, et doivent motiver tout refus par des instructions d'appel. Les parents doivent consentir au traitement des données des enfants de moins de 13 ans, conformément à la loi COPPA.
Les cookies facilitant le suivi des données sensibles, les publicités ciblées ou le partage de données sont soumis à la réglementation de l'OCPA. Les entreprises doivent :
Informer clairement les utilisateurs dans des bannières d'information
Obtenir un consentement explicite pour les cookies non essentiels
Fournir un mécanisme simple de désactivation et de retrait du consentement
En vertu de l'OCPA, les entreprises doivent mettre en place des bannières ou des interfaces de consentement claires lorsque des cookies sont utilisés à des fins de publicité ciblée, de profilage ou de partage de données, y compris un consentement aux cookies spécifiquement adapté aux habitants de l'Oregon. La bannière doit clairement informer les utilisateurs des types de cookies utilisés, permettre l'activation ou la désactivation, et permettre aux utilisateurs de retirer facilement leur consentement.
Le procureur général de l'Oregon est chargé de l'application de l'OCPA. Après constatation d'une infraction, il peut émettre un avis de correction de 30 jours ; après le 1er janvier 2026, toute infraction peut entraîner des amendes civiles pouvant atteindre 7 500 USD par infraction, plus les frais de justice. Il n'existe aucun droit d'action privé ; seule l'application de la loi par le procureur général est autorisée.
En plus d'entreprendre certaines actions pour se conformer à l'OCPA Oregon, les organisations doivent également adhérer aux meilleures pratiques en matière de confidentialité des données, telles que :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre la gestion du consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre avec des choix précis, permettez aux utilisateurs de retirer leur consentement à tout moment et conservez les journaux de consentement
Vérifiez les contrats tiers :
Examiner les pratiques de partage de données par des tiers
Une plateforme de gestion du consentement comme CookieHub automatise les bannières de cookies, les flux d'inscription/de refus et les enregistrements de consentement, ce qui facilite considérablement le respect des obligations de l'OCPA en matière de bannières, de consentement et de retrait.
Elle s'applique aux entités exerçant des activités commerciales ou servant les résidents de l'Oregon et atteignant les seuils suivants : ≥ 100 000 consommateurs ou ≥ 25 000 + 25 % des revenus provenant des ventes de données.
Toutes les données qui peuvent raisonnablement être liées à un individu : noms, e-mails, identifiants d’appareil, géolocalisation, habitudes de navigation, etc.
Origine raciale/ethnique, religion, santé, données biométriques/génétiques, orientation sexuelle, géolocalisation précise, citoyenneté, statut de victime d’un crime, statut transgenre et données des enfants de moins de 13 ans.
L’application de la loi relève uniquement du bureau du procureur général de l’Oregon.
Organismes gouvernementaux, entités couvertes par HIPAA/GLBA, certaines organisations à but non lucratif (prévention de la fraude, reportages audiovisuels), données liées à l'emploi, données non identifiées accessibles au public.
Visitez le site Web consacré à la confidentialité des consommateurs du ministère de la Justice de l’Oregon pour obtenir des informations plus détaillées sur la conformité et l’application de l’OCPA.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
