L'Iowa a rejoint la liste de plus en plus longue des États américains dotés d'une loi sur la protection des données lorsque l'Iowa Consumer Data Protection Act (Iowa CDPA) a été signé par le gouverneur en mars 2023.
Si la CDPA de l'Iowa présente de nombreuses similitudes avec d'autres lois sur la protection de la vie privée adoptées par les États américains, elle introduit également quelques différences importantes.
Dans ce guide, j'aborderai tout ce que vous devez savoir sur la CDPA de l'Iowa, qui elle protège, à qui elle s'applique et quelles sont les mesures que votre entreprise doit prendre pour se préparer à la mise en conformité.
- Qu'est-ce que la loi de l'Iowa sur la protection des données des consommateurs (Iowa CDPA) ?
- Termes clés et définitions de la CDPA de l'Iowa
- Que couvre la loi de l'Iowa sur la protection des données des consommateurs ?
- Exigences de la loi de l'Iowa sur la protection des données des consommateurs
- La loi de l'Iowa sur la protection des données personnelles et les lois d'autres États : Similitudes et différences
- Quel sera l'impact de la CDPA de l'Iowa sur les consommateurs ?
- Quel sera l'impact de la CDPA de l'Iowa sur les entreprises ?
- Qui doit se conformer à la nouvelle loi de l'Iowa sur la protection des données personnelles ?
- Comment les entreprises peuvent-elles se préparer à la CDPA de l'Iowa ?
- Comment la CDPA de l'Iowa sera-t-elle appliquée ?
- Amendes et pénalités en vertu de la loi de l'Iowa sur la protection des données des consommateurs
- Comment le site Termly peut-il aider à la mise en conformité avec la CDPA de l'Iowa ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée en Iowa ?
- Résumé
Qu'est-ce que la loi de l'Iowa sur la protection des données des consommateurs (Iowa CDPA) ?
La CDPA de l'Iowa est une loi sur la confidentialité des données créée pour protéger les informations personnelles des consommateurs de l'Iowa et prévoit des sanctions civiles pour les entités qui violent les nouvelles exigences et les droits des consommateurs.
Iowa CDPA Date d'entrée en vigueur
La loi de l'Iowa sur la protection des données des consommateurs est entrée en vigueur le 1er janvier 2025.
Termes clés et définitions de la CDPA de l'Iowa
La nouvelle loi de l'Iowa sur la protection des données personnelles décrit plusieurs termes clés dans la section 1, 715D.1 "Définitions".
Il est essentiel de comprendre ces définitions pour se conformer aux exigences de cette nouvelle loi. C'est pourquoi j'ai repris ci-dessous les termes clés tels qu'ils apparaissent dans le texte de la loi :
Que couvre la loi de l'Iowa sur la protection des données des consommateurs ?
La CDPA de l'Iowa couvre les résidents de l'État de l'Iowa agissant dans un contexte non commercial et non professionnel.
Ce champ d'application est expliqué à la section 1 dans le cadre de la définition du terme " consommateur".
Exigences de la loi de l'Iowa sur la protection des données des consommateurs
La section suivante présente brièvement les principales exigences que l'Iowa CDPA impose aux entreprises pour se conformer à la loi.
Exigences en matière de sécurité des données
Conformément à la section 4, 715D.4 de la CDPA de l'Iowa, les responsables du traitement doivent mettre en œuvre des pratiques de sécurité raisonnables pour protéger la confidentialité des données à caractère personnel collectées.
Les pratiques de sécurité des données que vous mettez en œuvre doivent tenir compte à la fois du volume et de la nature des données collectées.
Base juridique du traitement des données
Les responsables du traitement peuvent légalement traiter des données à caractère personnel s'ils respectent les lignes directrices spécifiques définies par la loi de l'Iowa sur la protection de la vie privée.
Ces lignes directrices prévoient la collecte de données qui
- est raisonnablement nécessaire et proportionnée aux objectifs présentés aux consommateurs
- est adéquate, pertinente et limitée à ce qui est nécessaire pour les objectifs spécifiques énumérés
- tient compte de la nature et de l'objectif de cette collecte, de cette utilisation ou de cette conservation
- fait l'objet de mesures administratives, techniques et physiques raisonnables pour protéger la confidentialité, l'intégrité et l'accessibilité des données à caractère personnel
Obligations contractuelles avec des sous-traitants tiers
Les responsables du traitement et les sous-traitants qui collaborent dans le cadre de la nouvelle loi de l'Iowa sur la protection de la vie privée doivent tous deux signer des contrats comprenant les dispositions spécifiques requises par la loi.
Conformément à la section 5, partie 715D.5, le contrat doit exiger des transformateurs qu'ils
- Veiller à ce que les sous-traitants soient soumis à un devoir de confidentialité concernant les données.
- Supprimer, sur instruction du responsable du traitement, ou renvoyer toutes les données à caractère personnel au responsable du traitement, à moins que leur conservation ne soit exigée par la loi.
- mettre à la disposition du responsable du traitement toutes les informations nécessaires pour se conformer aux obligations prévues par la CDPA de l'Iowa, à la demande raisonnable du responsable du traitement.
- S'assurer que tous les sous-traitants ou agents sont liés par un contrat écrit qui répond à toutes les normes définies par la CDPA de l'Iowa.
Un aspect intéressant de cette loi est qu'elle ne tient pas les responsables du traitement ou les sous-traitants pour responsables s'ils ont conclu un contrat avec un tiers qui viole certaines parties de la loi, à condition qu'ils n'aient pas su, au moment de la divulgation des données, que le destinataire avait l'intention de commettre une infraction.
D'autres lois des États américains tiennent les deux parties pour responsables si une telle situation se produit, ce qui rend cet aspect particulièrement unique de la CDPA de l'Iowa.
Exigences concernant les données relatives aux enfants
Comme d'autres lois nationales sur la confidentialité des données, la CDPA de l'Iowa exige des entreprises qu'elles respectent la loi fédérale sur la protection de la vie privée des enfants en ligne(COPPA) lorsqu'elles collectent et traitent des données concernant des enfants connus.
Les entités doivent également permettre aux tuteurs légaux de soumettre des demandes de consommation vérifiables au nom d'enfants connus, donnant ainsi suite aux droits des consommateurs décrits dans cette loi.
La loi de l'Iowa sur la protection des données personnelles et les lois d'autres États : Similitudes et différences
L'Iowa est l'un des nombreux États américains qui ont récemment adopté des lois sur la protection de la vie privée, dont l'État de New York :
- California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
- Loi du Colorado sur la protection de la vie privée (CPA)
- Loi du Connecticut sur la protection des données (CTDPA)
- Loi du Delaware sur la protection des données personnelles (DPDPA)
- Charte des droits numériques de Floride (FDBR)
- Loi de l'Indiana sur la protection des données des consommateurs (Indiana CDPA)
- Loi du Kentucky sur la protection des données des consommateurs (KCDPA)
- Loi du Minnesota sur la protection des données des consommateurs (MCDPA)
- Loi du Maryland sur la protection des données en ligne (MODPA)
- Loi du Montana sur la protection des données des consommateurs (MCDPA)
- Loi du Nebraska sur la protection des données (NDPA)
- Loi sur la protection des données du New Hampshire (NHDPL)
- Loi sur la protection des données du New Jersey (NJDPA)
- Loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA)
- Loi sur la protection des informations du Tennessee (TIPA)
- Loi du Texas sur la confidentialité et la sécurité des données (TDPSA)
- Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- Loi sur la protection des données des consommateurs de Virginie (VCDPA)
Si ces lois présentent certaines similitudes, elles comportent également des différences essentielles, comme le montre le tableau ci-dessous, qui compare la CDPA de l'Iowa à toutes les autres lois américaines sur la confidentialité des données énumérées ci-dessus.
| Droit national | Consentement explicite pour certains types de traitement de données | Consentement négatif pour certains types de traitement de données | Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) | Nécessité d'une évaluation de la protection des données | L'obligation contractuelle avec les sous-traitants tiers est précisée | Permet des poursuites civiles ou un droit d'action privé | Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur |
| CDPA de l'Iowa | ✓ | ✓ | ✓ | ||||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Indiana | ✓ | ✓ | ✓ | ✓ | |||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quel sera l'impact de la CDPA de l'Iowa sur les consommateurs ?
La CDPA de l'Iowa a un impact sur les consommateurs de l'Iowa en leur accordant de nouveaux droits sur la manière dont les entreprises et autres entités collectent, traitent et utilisent leurs informations personnelles.
Conformément à la section 3, 715D.3 "Droits des consommateurs en matière de données", les personnes protégées par cette loi ont le droit de.. :
- Confirmer si un responsable du traitement traite leurs données à caractère personnel et accéder à ces données.
- faire effacer les données qu'ils ont fournies à un responsable du traitement.
- Obtenir une copie portable des données à caractère personnel qu'ils ont fournies à un responsable du traitement, à moins qu'elles ne fassent l'objet d'une protection contre les failles de sécurité.
- S'opposer à la vente de leurs données personnelles.
- Refuser la publicité ciblée.
- refuser que leurs informations personnelles sensibles soient collectées et traitées.
Les responsables du traitement des données doivent se conformer à toutes les demandes des consommateurs susmentionnées et doivent y répondre sans retard injustifié ou au moins dans les 90 jours suivant la réception de la demande.
Si une entité rejette une demande d'un consommateur, elle doit en donner la raison et permettre à l'individu de faire appel de la procédure, gratuitement, d'une manière visible et disponible, similaire à la méthode originale de soumission des demandes.
Qui la CDPA de l'Iowa protège-t-elle ?
Comme indiqué ci-dessus, le CDPA de l'Iowa ne s'applique qu'aux données à caractère personnel des résidents de l'Iowa.
En particulier, ils doivent agir dans un contexte personnel ou domestique.
Le champ d'application de la loi de l'Iowa sur la protection des données des consommateurs est expliqué à la section. 2, partie 715D.2 "Champ d'application et exemptions".
Quel sera l'impact de la CDPA de l'Iowa sur les entreprises ?
La CDPA de l'Iowa a un impact sur les entreprises de différentes manières.
Outre les obligations contractuelles, les exigences en matière de sécurité et la base juridique pour le traitement des données à caractère personnel mentionnées précédemment dans ce guide, les entreprises doivent également se préparer à mettre à jour les politiques de confidentialité et les politiques en matière de cookies.
Examinons les modifications que les entreprises peuvent être amenées à apporter à ces documents.
En quoi la CDPA de l'Iowa affecte-t-elle ma politique de confidentialité ?
La nouvelle loi de l'Iowa sur la protection des données exige des responsables du traitement qu'ils fournissent aux consommateurs une politique de protection de la vie privée répondant à plusieurs lignes directrices spécifiques.
Cette exigence signifie que les entreprises doivent préparer quelques mises à jour de leur politique existante.
Selon l'article 4 de la loi, la politique de protection de la vie privée doit contenir toutes les informations suivantes :
- Les catégories de données personnelles traitées.
- La finalité du traitement des données.
- Une description de la manière dont les consommateurs peuvent exercer leurs droits et faire appel de la décision d'un responsable du traitement.
- les catégories de données partagées avec des tiers, le cas échéant.
- Les catégories de tiers avec lesquels vous partagez des données - le cas échéant
- Si une entreprise vend des données à caractère personnel à des tiers ou fait de la publicité ciblée, toutes ces informations doivent être clairement divulguées et il est nécessaire de présenter aux utilisateurs un moyen de refuser ces activités.
- Établir et décrire les moyens sûrs et fiables permettant aux consommateurs de soumettre des demandes d'exercice de leurs droits.
Comment la CDPA de l'Iowa affectera-t-elle mon site politique de cookies?
Certains cookies Internet sont considérés comme des données personnelles en vertu de la loi sur la protection des données des consommateurs de l'Iowa, ce qui peut avoir une incidence sur la politique de l'entreprise en matière de protection des données personnelles. politique de cookies.
En vertu de la CDPA de l'Iowa, les consommateurs ont notamment le droit de refuser la publicité ciblée, la vente de leurs données personnelles, ainsi que la collecte et le traitement d'informations personnelles sensibles.
Si une entreprise utilise des cookies Internet qui conduisent à des publicités ciblées ou collecte des données sur les utilisateurs qui sont vendues à des tiers, elle doit mentionner la nature de ces cookies et fournir aux utilisateurs un moyen de les refuser.
Un mécanisme d'exclusion similaire doit être mis en place si vous collectez des données personnelles sensibles.
Qui doit se conformer à la nouvelle loi de l'Iowa sur la protection des données personnelles ?
Une entreprise doit se conformer à la CDPA de l'Iowa si elle exerce une activité commerciale dans l'Iowa ou si elle produit des produits et des services destinés à des consommateurs résidant dans l'État et atteignant l'un des seuils suivants au cours d'une année civile :
- Contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus
- contrôle ou traite les données à caractère personnel d'au moins 25 000 consommateurs et tire plus de 50 % de son revenu annuel brut de la vente de données à caractère personnel
Qui est exempté de l'application de la CDPA de l'Iowa ?
Les entités suivantes sont exemptées de la loi de l'Iowa sur la protection des données des consommateurs :
- L'État ou toute subdivision politique de l'État
- les institutions financières, leurs affiliés ou les personnes concernées en vertu de la loi fédérale Gramm-Leach-Bliley Act(GLBA)
- Personnes soumises à la loi sur la portabilité et la responsabilité en matière d'assurance maladie(Health Insurance Portability and Accountability Act- HIPAA)
- Personnes soumises à la loi de 2009 sur les technologies de l'information en matière de santé(Health Information Technology for Economic and Clinical Health Act) (HITECH)
- Organisations à but non lucratif
- Établissements d'enseignement supérieur
Comment les entreprises peuvent-elles se préparer à la CDPA de l'Iowa ?
Mise à jour de la politique de confidentialité
Les entreprises concernées par la nouvelle loi de l'Iowa sur la protection des données personnelles doivent prévoir de mettre à jour leur politique de confidentialité afin de répondre à toutes les exigences de la loi.
Mettre en œuvre la gestion des consentements
Ils doivent également utiliser un site plateforme de gestion du consentement (CMP) avec une bannière de consentement adéquate et un centre de préférences qui permet aux utilisateurs de faire valoir leurs droits en matière de protection de la vie privée, comme refuser la vente de leurs données et les publicités ciblées.
Proposer un formulaire de demande d'accès pour les personnes concernées
L'ajout d'un formulaire de demande d'accès de la personne concernée(DSAR) à un site web est un autre moyen adéquat de fournir aux utilisateurs un moyen facile de soumettre des demandes pour faire valoir leurs droits et faire appel de toute décision prise par un responsable du traitement des données.
Projets d'accords sur le traitement des données
Si une entreprise fait appel à des tiers pour traiter des données en son nom, elle doit utiliser un accord de traitement des données(DPA) qui comprend toutes les clauses nécessaires décrites dans la CDPA de l'Iowa.
Comment la CDPA de l'Iowa sera-t-elle appliquée ?
Le procureur général de l' Iowa a le pouvoir exclusif de faire appliquer toutes les parties de la CDPA de l'Iowa.
Si le procureur général a de bonnes raisons de penser qu'une entité enfreint la loi, il peut émettre une demande d'enquête civile.
Ils donneront au responsable du traitement ou au sous-traitant une notification écrite de 90 jours indiquant les parties de la CDPA de l'Iowa qu'ils auraient violées.
Les entités doivent remédier aux infractions dans un délai de 90 jours et envoyer une déclaration écrite à l'AG indiquant qu'aucune autre infraction ne sera commise.
En cas d'approbation, l'AG ne prendra aucune mesure négative à l'encontre du responsable du traitement ou du sous-traitant.
Mais si l'AG ne reçoit jamais de déclaration écrite ou si d'autres infractions se produisent, les entreprises doivent s'attendre à se voir infliger une amende.
Amendes et pénalités en vertu de la loi de l'Iowa sur la protection des données des consommateurs
En vertu de la CDPA de l'Iowa, les responsables du traitement ou les sous-traitants qui ne respectent pas la période de remède après avoir commis une infraction présumée risquent de se voir infliger des amendes.
Ces amendes peuvent atteindre 7 500 dollars par infraction.
Le procureur général ajoutera ensuite l'argent collecté grâce aux infractions au fonds d'éducation des consommateurs et de règlement des litiges.
Comment le site Termly peut-il aider à la mise en conformité avec la CDPA de l'Iowa ?
Les Termlyarticle Générateur de politique de confidentialité et plateforme de gestion du consentement peuvent aider les entreprises à se conformer à la CDPA de l'Iowa.
Le site Générateur de politique de confidentialité pose des questions simples sur votre entreprise et ses pratiques en matière de collecte de données et utilise ces réponses pour élaborer une politique de confidentialité complète et personnalisée.
La capture d'écran ci-dessous donne un exemple de ce à quoi ressemble le générateur :
Vous pouvez également configurer Termly's plateforme de gestion du consentement de manière à ce qu'il soit compatible avec les exigences d'exclusion des consommateurs définies par la CDPA de l'Iowa pour la publicité ciblée et la vente de données personnelles.
Voir à quoi cela ressemble ci-dessous.
La meilleure partie de l'utilisation de Termly? Les générateurs de politiques et les outils sont soutenus par des experts en droit et en protection des données.
De plus, Termly met à jour ses produits au fur et à mesure de l'évolution des lois et des réglementations, ce qui signifie que vous pouvez être sûr que les outils sont toujours à jour.
Existe-t-il d'autres lois relatives à la protection de la vie privée en Iowa ?
Si la loi de l'Iowa sur la protection des données des consommateurs est la première loi de l'État qui traite directement de la collecte et du traitement des informations personnelles des consommateurs, l'Iowa dispose d'une autre loi qui a une incidence sur la sécurité et l'intégrité de ces données.
Plus précisément, une section du code de l'Iowa traite des violations de données à caractère personnel, le titre XVI.
Pour se conformer à cette section du code, les entités doivent informer les consommateurs et le procureur général des violations de données personnelles impliquant des dossiers électroniques ou papier si plus de 500 résidents de l'Iowa sont affectés par une violation de données.
Cette section du code de l'Iowa fonctionnera en tandem avec les nouvelles exigences de l'Iowa en matière de confidentialité des données et les droits des consommateurs décrits dans la CDPA de l'Iowa.
Résumé
Facilitez la mise en conformité de votre entreprise avec la CDPA de l'Iowa en prenant les mesures nécessaires pour répondre à toutes les exigences de la loi.
Prévoyez de mettre à jour votre politique de confidentialité afin qu'elle réponde à toutes les exigences de la CDPA de l'Iowa, et mettez en place des options de refus pour les consommateurs concernant les données personnelles sensibles, la publicité ciblée et la vente de données personnelles.
Les entreprises peuvent rendre la conformité encore plus simple en utilisant des ressources telles que le Générateur de politique de confidentialité deTermly et la plateforme de gestion du consentement.
En savoir plus sur l'auteur
Rédigé par Stefani Schmidt, M.S., CIPM, CIPP-US
Stefani est une professionnelle de la confidentialité des données, du risque, de la conformité et de la gestion de programme, avec une expérience dans les secteurs de la communication, de la finance et de l'adtech. Stefani a travaillé en étroite collaboration avec les parties prenantes de différents départements pour faire avancer les initiatives en matière de protection de la vie privée dans les entreprises, y compris les examens de la protection de la vie privée et de la sécurité des nouvelles initiatives commerciales et des nouveaux fournisseurs. Stefani est titulaire d'une maîtrise en technologies de la sécurité de l'Université du Minnesota - Twin Cities et d'une licence en journalisme et sciences politiques. En savoir plus sur l'auteur
