Accueil ' Ressources ' Articles 'Loi de l'Oregon sur la protection de la vie privée des consommateurs : Première...

Loi de l'Oregon sur la protection de la vie privée des consommateurs : Premier aperçu et résumé

Couvert par Termly

Par : Josh Langeland, CIPM Josh Langeland, CIPM | Updated on: January 5, 2026

Générer une politique de confidentialité gratuitement
Qu'est-ce que la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA-01) ?

La loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA) est désormais en vigueur. Elle est similaire à d'autres lois existantes dans les États américains, mais diffère en ce qu'elle s'applique à certaines organisations à but non lucratif.

Vous trouverez ci-dessous des informations sur la nouvelle loi sur la protection de la vie privée dans l'Oregon, notamment sur les obligations des entreprises, les droits des consommateurs, les sanctions en cas de violation de la loi, etc.

Table des matières
  1. Qu'est-ce que la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA) ?
  2. Termes clés et définitions de l'OCPA
  3. Que couvre la loi de l'Oregon sur la protection de la vie privée des consommateurs ?
  4. Exigences de la loi de l'Oregon sur la protection de la vie privée des consommateurs
  5. La loi de l'Oregon sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences
  6. Quel sera l'impact de l'OCPA sur les consommateurs ?
  7. À qui s'applique l'OCPA ?
  8. Quel sera l'impact de l'OCPA sur les entreprises ?
  9. Qui doit se conformer à la nouvelle loi de l'Oregon sur la protection des données personnelles ?
  10. Comment les entreprises peuvent-elles se préparer à l'OCPA ?
  11. Comment l'OCPA sera-t-il appliqué ?
  12. Amendes et sanctions en vertu de la loi sur la protection des consommateurs de l'Oregon
  13. Comment le site Termly contribuera-t-il à la mise en conformité avec l'OCPA ?
  14. Existe-t-il d'autres lois relatives à la protection de la vie privée en Oregon ?
  15. Résumé

Qu'est-ce que la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA) ?

L'Oregon Consumer Privacy Act (OCPA) est une nouvelle loi adoptée dans l'État américain de l'Oregon (Oregon Bill 619 à l'origine).

Elle décrit les obligations en matière de collecte et de traitement des informations personnelles concernant les consommateurs de l'Oregon et leur accorde des droits et un contrôle sur l'utilisation de ces données.

Elle prévoit également des sanctions en cas de violation de la loi.

Date d'entrée en vigueur de l'OCPA

La plupart des dispositions de l'OCPA sont entrées en vigueur le 1er juillet 2024, mais voici d'autres dates importantes à venir :

  • Les dispositions relatives aux organisations à but non lucratif entrent en vigueur le 1er juillet 2025,
  • L'obligation pour les entités de reconnaître les signaux de préférence de retrait via les navigateurs des utilisateurs devient exécutoire le 1er janvier 2026.
  • La période de cure de 30 jours de l'OCPA prend également fin le 1er janvier 2026.

Termes clés et définitions de l'OCPA

Pour vous conformer à l'OCPA, vous devez comprendre certains termes clés utilisés dans la loi. C'est pourquoi j'ai repris ci-dessous les termes tels qu'ils apparaissent dans la section 1 de la nouvelle loi de l'Oregon sur la protection de la vie privée :

Que couvre la loi de l'Oregon sur la protection de la vie privée des consommateurs ?

La nouvelle loi de l'Oregon sur la protection des données personnelles couvre les informations personnelles des personnes physiques résidant dans l'État, à l'exception de toute personne agissant dans un contexte commercial ou professionnel.

Dans un contexte juridique, une personne physique désigne un être humain vivant, quel que soit son statut de citoyen.

Exigences de la loi de l'Oregon sur la protection de la vie privée des consommateurs

L'OCPA énonce plusieurs exigences légales auxquelles toutes les entités soumises à la loi doivent se conformer, que je décris plus en détail dans la section suivante.

Base juridique du traitement des données à caractère personnel

En vertu de l'article 5 de l'OCPA, les entités ne peuvent traiter que les informations personnelles qui sont "adéquates, pertinentes et raisonnablement nécessaires" aux fins décrites dans leur avis de confidentialité.

Toutefois, aucune disposition de la loi n'interdit aux responsables du traitement ou aux sous-traitants de.. :

  • Prévenir, détecter, répondre et enquêter sur les menaces à la cybersécurité, telles que l'usurpation d'identité, la fraude, le harcèlement ou d'autres activités illégales.
  • Identifier les erreurs techniques dans les systèmes d'information qui nuisent à leur fonctionnalité
  • Effectuer des recherches internes pour développer de nouveaux services ou de nouvelles technologies
  • Enquêter sur l'établissement, l'introduction ou la défense de réclamations juridiques
  • Effectuer des opérations internes qui sont raisonnablement alignées sur les attentes des consommateurs, que ces derniers peuvent anticiper sur la base de leur relation existante avec le responsable du traitement.

Elle n'interdit pas non plus aux responsables du traitement ou aux sous-traitants de se conformer aux lois nationales ou fédérales.

Consentement

Pour traiter des données à caractère personnel qui sortent du cadre de ce qui est considéré comme raisonnablement nécessaire, les entités doivent obtenir le consentement actif et volontaire des consommateurs.

Les mêmes règles de consentement s'appliquent si vous souhaitez collecter et traiter des informations sensibles.

L'article 1 de la loi OCPA décrit clairement ce qu'est le consentement et ce qu'il n'est pas :

  • Le consommateur doit fournir une action claire et affirmative.
  • Le consentement doit être sans ambiguïté et éclairé
  • Le mécanisme de consentement ne peut pas obscurcir, subvertir ou entraver leur prise de décision.
  • Vous devez fournir un moyen facile et similaire de retirer leur consentement à tout moment.

L'inaction du consommateur ne constitue pas un consentement.

Vous devez également obtenir le consentement actif d'un tuteur légal pour traiter des données concernant des enfants de moins de treize ans, y compris à des fins de publicité ciblée ou de vente de leurs informations.

Données personnelles et obligations de sécurité

Une autre exigence énoncée par l'OCPA concerne la protection adéquate de l'intégrité, de la confidentialité et de la sécurité des données à caractère personnel collectées, comme décrit dans la section 5, partie 1 (c).

Plus précisément, les responsables du traitement des données en vertu de cette loi doivent établir, mettre en œuvre et maintenir des pratiques de sécurité qui répondent aux normes décrites dans le chapitre 646A.622 de la loi révisée de l'Oregon.

Il décrit les mesures de protection administratives, organisationnelles et physiques que vous devez appliquer aux informations personnelles des consommateurs afin de les protéger contre tout accès non autorisé ou toute violation.

Obligations contractuelles avec des sous-traitants tiers

Les responsables du traitement des données et les sous-traitants doivent conclure des contrats juridiques comportant des lignes directrices et des clauses spécifiques.

La loi explique qu'aucune disposition de l'article 6 n'exonère le responsable du traitement ou le sous-traitant des responsabilités découlant des articles 1 à 9 de la LOPC.

Évaluation de la protection des données

Vous devez procéder à des évaluations de la protection des données pour mener certaines activités de traitement des données qui présentent un risque accru pour les consommateurs, comme l'explique la section 8 de l'OCPA.

Selon la loi, tous les éléments suivants présentent ce risque accru :

  • Traitement des données pour la publicité ciblée
  • Traitement des données sensibles
  • Vente de données à caractère personnel
  • L'utilisation de données à caractère personnel à des fins de profilage qui présente des risques prévisibles tels qu'un traitement inéquitable, un préjudice pour les clients ou une atteinte à la vie privée.

Vous pouvez utiliser une seule évaluation de la protection des données si les activités présentent des niveaux similaires de risque de préjudice pour les consommateurs.

Elle doit identifier et évaluer les avantages que le traitement des données peut apporter au responsable du traitement, au consommateur, aux autres parties prenantes et au public, par rapport aux risques éventuels pour le consommateur.

Elle devrait également prendre en compte

  • Toute mesure de sécurité ou de sauvegarde en place
  • Comment les données dépersonnalisées peuvent-elles réduire les risques ?
  • Les attentes raisonnables des consommateurs
  • Le contexte dans lequel vous traitez les données
  • La relation entre le responsable du traitement et les consommateurs dont les données à caractère personnel seront traitées par le responsable du traitement

Reconnaissance des mécanismes universels d'exclusion

Les entités relevant de l'OCPA doivent reconnaître les extensions de navigateur et les paramètres globaux des dispositifs de protection de la vie privée comme l'agent désigné et autorisé par le consommateur en ce qui concerne ses droits en matière de protection de la vie privée, comme l'explique la section 4, partie 4, de la loi.

Les mécanismes universels d'opt-out tels que le Global Privacy Control (GPC) permettent aux consommateurs de communiquer automatiquement leurs préférences en matière d'opt-out sur leur navigateur.

Tant qu'elle est commercialement réalisable, cette technologie doit être honorée.

Même si la majeure partie de l'OCPA entre en vigueur en 2024, cette section du texte devient exécutoire en 2026.

La loi de l'Oregon sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences

L'OCPA figure parmi les lois sur la confidentialité des données en vigueur ou récemment adoptées dans les États américains:

Vous pouvez comparer ces lois à l'OCPA dans le tableau ci-dessous.

Droit national Consentement explicite pour certains types de traitement de données Consentement négatif pour certains types de traitement de données Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) Nécessité d'une évaluation de la protection des données L'obligation contractuelle avec les sous-traitants tiers est précisée Permet des poursuites civiles ou un droit d'action privé Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur
OCPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
CDPA de l'Indiana
CDPA de l'Iowa
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
TIPA
TDPSA
UCPA
VCDPA

Quel sera l'impact de l'OCPA sur les consommateurs ?

En vertu de l'OCPA, les consommateurs disposent de nouveaux droits et d'un contrôle sur la manière dont les entités traitent et utilisent leurs informations personnelles.

Selon la section 3 du texte, les consommateurs peuvent :

  • Confirmer si un responsable du traitement traite ou a traité des informations à caractère personnel les concernant et les catégories de données.
  • Une liste des tiers avec lesquels les données sont partagées.
  • Une copie de toutes les données à caractère personnel traitées ou en cours de traitement.
  • Corriger les inexactitudes dans leurs données personnelles.
  • Exiger d'un responsable du traitement qu'il supprime leurs données à caractère personnel, y compris les données que le consommateur a fournies au responsable du traitement et les données obtenues auprès d'une autre source.
  • refuser la publicité ciblée, la vente de leurs données ou le profilage.

À qui s'applique l'OCPA ?

L'OCPA s'applique aux personnes physiques de l'Oregon qui s'y trouvent uniquement à des fins commerciales ou domestiques.

Elle ne s'applique pas aux personnes se trouvant dans l'État à des fins commerciales ou professionnelles.

Quel sera l'impact de l'OCPA sur les entreprises ?

La nouvelle loi de l'Oregon sur la protection de la vie privée des consommateurs a plusieurs répercussions sur les entreprises, au-delà des exigences de sécurité, des obligations contractuelles et des normes d'évaluation de la protection de la vie privée mentionnées précédemment.

L'OCPA a également un impact sur votre politique de confidentialité et peut avoir une incidence sur votre utilisation des cookies Internet.

Comment l'OCPA affectera-t-il mon site politique de confidentialité?

Conformément à la section 5, partie 4 de la loi de l'Oregon sur la protection de la vie privée des consommateurs, les contrôleurs doivent présenter aux consommateurs un "avis de confidentialité raisonnablement accessible, clair et significatif" qui comprend des informations spécifiques :

  • Une liste des catégories de données à caractère personnel, y compris toute donnée sensible traitée
  • Une description des finalités du traitement des informations par le responsable du traitement
  • Une explication de la manière dont les consommateurs peuvent exercer leurs droits et de la manière dont ils peuvent faire appel du refus d'un responsable du traitement de ces demandes.
  • Une liste de toutes les catégories de données à caractère personnel partagées avec des tiers, y compris les données sensibles
  • Description des catégories de tiers avec lesquels vous partagez des données à caractère personnel
  • une adresse électronique active ou une méthode en ligne que les consommateurs peuvent utiliser pour contacter le responsable du traitement
  • Tout nom commercial sous lequel le contrôleur est enregistré auprès du secrétaire d'État, ainsi que tout nom commercial présumé que le contrôleur utilise dans l'État.
  • Une description de tout traitement de données à caractère personnel à des fins de publicité ciblée ou de profilage, à laquelle le consommateur peut renoncer.
  • Une description de la ou des méthodes mises en place par le responsable du traitement pour permettre aux consommateurs d'introduire des demandes de suivi de leurs droits.

Comment l'OCPA affectera-t-il mon site politique de cookies?

La nouvelle loi de l'Oregon sur la protection de la vie privée peut avoir une incidence sur votre entreprise. politique de cookiesnotamment si vous vendez des informations sur les consommateurs recueillies par le biais de cookies ou si vous les utilisez à des fins de publicité ciblée.

En vertu de l'OCPA, les consommateurs ont le droit de refuser que leurs informations soient utilisées de l'une ou l'autre de ces manières.

Si vous utilisez des cookies pour l'une ou l'autre de ces raisons, vous devez en informer clairement vos consommateurs et leur fournir un moyen simple de se retirer de ces activités de traitement.

Qui doit se conformer à la nouvelle loi de l'Oregon sur la protection des données personnelles ?

Conformément à la section 2(1) de l'OCPA, vous devez vous conformer à cette loi si vous exercez une activité commerciale dans l'Oregon ou si vous fournissez des produits ou des services à des résidents de l'État et que vous remplissez l'une des conditions suivantes au cours d'une année civile :

  • contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus, à l'exclusion des données contrôlées ou traitées uniquement pour effectuer des opérations de paiement
  • Contrôle ou traite les données à caractère personnel de 25 000 consommateurs ou plus et tire 25 % ou plus de son revenu annuel brut de la vente de données à caractère personnel.

Qui est exempté de l'OCPA ?

Les seules organisations à but non lucratif exemptées de l'application de l'OCPA sont celles qui détectent et préviennent spécifiquement les activités frauduleuses ou qui fournissent des programmes aux réseaux de télévision ou de radio, y compris l'activité non commerciale :

  • Journalistes
  • Stations de radio ou de télévision titulaires d'une licence de la FCC
  • Entités qui fournissent un service d'information, telles qu'une association de presse ou une agence de presse.

En outre, il ne s'applique pas non plus aux :

  • Les entreprises publiques telles que définies par les statuts révisés de l'Oregon, y compris l'université de la santé et des sciences de l'Oregon et le barreau de l'État de l'Oregon.
  • Informations protégées sur la santé et entités couvertes par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA)
  • Informations utilisées uniquement dans le cadre d'activités et à des fins de santé publique
  • Les institutions financières ou leurs affiliés ou filiales en vertu de la loi Gramm Leach Bliley (GLBA)
  • Assureurs et producteurs d'assurance autres que les personnes qui, seules ou avec d'autres, établissent et maintiennent un programme d'auto-assurance et n'exercent pas d'autres activités liées à la conclusion de polices d'assurance.
  • Informations traitées ou conservées uniquement dans le cadre de l'emploi d'une personne ou d'une relation commerciale

Comment les entreprises peuvent-elles se préparer à l'OCPA ?

Pour préparer vos entreprises à l'OCPA, mettez à jour votre site politique de confidentialité afin de respecter toutes les obligations de notification énoncées dans la section 5, partie 4 de la loi.

Offrez aux consommateurs de l'Oregon plusieurs moyens simples de faire valoir leurs droits en matière de protection de la vie privée et de soumettre des demandes, en prévoyant par exemple une fonction d'exclusion sur votre bannière de consentement et en ajoutant des formulaires de demande d'accès aux données à caractère personnel à votre plateforme.

Veillez à utiliser des contrats conformes aux dispositions de l 'article 6 de la loi.

Pour les entités qui souhaitent traiter des informations présentant un risque raisonnable de préjudice pour les consommateurs, il convient de procéder à des évaluations adéquates de la protection des données, comme indiqué à la section 8.

Enfin, avant 2026, votre site web doit respecter les paramètres de confidentialité des navigateurs, car ceux-ci sont considérés comme des demandes vérifiables reconnues pour les droits de retrait des consommateurs.

Comment l'OCPA sera-t-il appliqué ?

Le procureur général de l'Oregon (AG) est chargé de l'application de l'OCPA, comme l'explique la section 9 de la loi.

Le procureur général peut adresser une demande à toute personne qui possède, contrôle ou stocke des informations pertinentes pour une enquête.

Il existe un délai de 30 jours pour remédier à l'infraction après réception d'un avis, et le fait de ne pas respecter ce délai peut entraîner une action sans autre avis.

Toutefois, la période de remède de l'OCPA prend fin le 1er janvier 2026.

Amendes et sanctions en vertu de la loi sur la protection des consommateurs de l'Oregon

Les entités qui enfreignent l'OCPA peuvent se voir infliger des amendes allant jusqu'à 7 500 dollars par infraction.

Toutefois, comme indiqué à la section 11, les sanctions sont prescrites au bout de cinq ans et les consommateurs ne disposent pas d'un droit d'action privé.

Comment le site Termly contribuera-t-il à la mise en conformité avec l'OCPA ?

Termly propose des politiques juridiques et des solutions de gestion des consentements approuvées par notre équipe juridique et nos experts en matière de confidentialité des données afin d'aider les entreprises à simplifier le processus de conformité.

Notre Générateur de politique de confidentialitépar exemple, est facile à utiliser et permet aux entreprises de rédiger en quelques minutes des avis de confidentialité personnalisés et complets pour leurs plateformes.

Il pose des questions simples sur vos activités de traitement des données et crée un site politique de confidentialité en fonction de vos réponses.

Voir à quoi cela ressemble ci-dessous.

Termly-Générateur de politique de protection de la vie privée

Générer une politique de confidentialité gratuitement

Nous proposons également un site plateforme de gestion du consentement (CMP) qui offre une bannière de consentement que vous pouvez configurer pour répondre aux exigences d'exclusion telles que définies par des lois comme l'OCPA.

Vous trouverez ci-dessous une capture d'écran de notre CMP.

Termly-Plate-forme de gestion des consentements

Entrez l'URL de votre site web

Afin de vous aider à créer un site politique de cookies conforme à la législation mondiale, nous devons d'abord rechercher des cookies sur votre site web.

Si l'Oregon Consumer Privacy Act est la première loi de l'État qui protège les informations personnelles des consommateurs en ligne, d'autres textes législatifs relatifs à la protection de la vie privée sont déjà en place, comme l'Oregon Consumer Privacy Act (loi sur la protection de la vie privée des consommateurs de l'Oregon) :

Pour en savoir plus sur ces lois et sur d'autres lois relatives à la protection de la vie privée en Oregon, consultez le site web du ministère de la justice de l'État.

Résumé

Si votre entreprise relève du champ d'application de l'OCPA, veillez à mettre à jour vos politiques juridiques afin de respecter toutes les lignes directrices en matière de notification définies par la loi.

Ajouter des options de retrait pour que les consommateurs puissent exercer leurs droits, et procéder à des évaluations adéquates de la protection des données si nécessaire.

N'oubliez pas d'inclure un formulaire DSAR ou un autre mécanisme dans votre plateforme afin que les utilisateurs puissent demander à ce que leurs droits soient respectés, et veillez à ce que votre site web honore les CPG avant 2026.

Ne vous laissez pas entraîner dans la confusion de la conformité ; ajoutez Termly à votre boîte à outils. Nous sommes là pour vous aider !

Josh Langeland, CIPM
En savoir plus sur l'auteur

Écrit par Josh Langeland, CIPM

Bonjour, je m'appelle Josh ! Je suis un ingénieur spécialisé dans la protection de la vie privée, passionné par l'utilisation de la technologie pour respecter la vie privée des utilisateurs. Je m'épanouis à l'intersection d'une technologie complexe et d'une législation sur la protection de la vie privée en constante évolution. Si je ne suis pas en train de rédiger un examen de la conception ou de réarchitecturer un système, vous me trouverez peut-être en train de lire une biographie ou de faire de la randonnée dans le parc national le plus proche. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Générer un fichier GRATUIT politique de confidentialité

Créez un site politique de confidentialité gratuit et complet en quelques minutes !
Générer une politique de confidentialité gratuitement

Articles connexes

  1. Politique-de-confidentialité-pour-les-publicités-Facebook-01
    Politique de confidentialité pour les publicités Facebook : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  2. Politique-de-confidentialité-pour-React-01
    Politique de confidentialité pour React : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  3. Politique-de-confidentialité-pour-Next-js-01
    Politique de confidentialité pour Next.js : comment en créer une
    Articles

    18 décembre 2025
    Natasha Piirainen
  4. 9-Types-de-données-les-plus-fréquemment-collectées-01
    Les 9 types de données les plus couramment collectées et ce que vous devez savoir à leur sujet
    Articles

    16 décembre 2025
    Natasha Piirainen
  5. Les-7-violations-les-plus-courantes-de-la-confidentialité-des-données-01
    Les 7 violations les plus courantes en matière de confidentialité des données et comment les éviter
    Articles

    15 décembre 2025
    Natasha Piirainen
  6. Politique-de-confidentialité-pour-TikTok-Shop-01
    Politique de confidentialité pour TikTok Shop : comment en créer une
    Articles

    15 décembre 2025
    Hanna De La Garza
  7. RGPD
    RGPD 10 RGPD les plus courantes RGPD et la vérité qui se cache derrière elles
    Articles

    10 décembre 2025
    Natasha Piirainen
  8. Réponses positives et négatives au DSAR-01
    Bonnes et mauvaises réponses aux demandes d'accès aux données : à quoi ressemblent-elles ?
    Ressources

    9 décembre 2025
    Hanna De La Garza
  9. Politique-de-confidentialité-pour-une-entreprise-SaaS-01
    Politique de confidentialité pour une entreprise SaaS : comment en créer une
    Articles

    4 décembre 2025
    Hanna De La Garza

Explorer d'autres ressources