En 2023, les législateurs ont examiné le projet de loi n° 1201 de la Chambre des représentants ( Pennsylvania Consumer Data Privacy Act), qui décrivait les exigences des entreprises en matière de traitement des données personnelles et aurait accordé aux consommateurs des droits sur leurs informations.
Ce guide présente le projet de loi de la Pennsylvanie sur la protection des données personnelles, qui n'a pas abouti, les personnes auxquelles il se serait appliqué et ses implications pour les entreprises s'il avait été adopté.
MISE À JOUR : le projet de loi n° 1201 n'a pas été adopté et la Pennsylvanie ne dispose pas actuellement d'une loi globale sur la protection de la vie privée des consommateurs à l'échelle de l'État.
- Qu'est-ce que la loi de Pennsylvanie sur la protection des données des consommateurs (PCDPA) ?
- Que couvre la loi de Pennsylvanie sur la protection des données des consommateurs ?
- Exigences de la LOPC
- Projet de loi de la Pennsylvanie sur la protection des données personnelles par rapport à d'autres lois nationales : Similitudes et différences
- Quel serait l'impact de la LPDP sur les consommateurs ?
- Quel aurait été l'impact sur les entreprises de la loi de Pennsylvanie sur la protection des données personnelles des consommateurs ?
- Qui doit se conformer au projet de loi de la Pennsylvanie sur la protection des données personnelles ?
- Comment la LOPC serait-elle appliquée ?
- Amendes et pénalités en vertu de la loi de Pennsylvanie sur la protection des données personnelles des consommateurs
- Comment Termly aide à la mise en conformité
- Existe-t-il d'autres lois relatives à la protection de la vie privée en Pennsylvanie ?
- Résumé
Qu'est-ce que la loi de Pennsylvanie sur la protection des données des consommateurs (PCDPA) ?
La loi sur la protection des données des consommateurs de Pennsylvanie(PCDPA) était un projet de loi examiné par la Chambre des représentants de Pennsylvanie.
Elle aurait constitué la première loi complète de l'État sur la protection des données des consommateurs, mais elle n'a pas été adoptée.
Elle définit les conditions à remplir par les entités qui souhaitent collecter, traiter et utiliser des informations personnelles sur les résidents de Pennsylvanie, et accorde aux individus des droits et un certain contrôle sur leurs informations.
Termes clés et définitions de la PCDPA
Pour mieux comprendre le projet de loi de la Pennsylvanie sur la protection de la vie privée, qui a échoué, examinons certains termes et définitions clés tels qu'ils apparaissent dans le texte du projet de loi:
Que couvre la loi de Pennsylvanie sur la protection des données des consommateurs ?
La PCDPA aurait couvert les informations personnelles des résidents de l'État de Pennsylvanie.
Elle n'incluait pas les personnes de l'État agissant dans le cadre d'un emploi ou dans un contexte commercial.
En particulier, si les transactions avec un responsable du traitement ont lieu uniquement dans le cadre du rôle d'une personne au sein d'une entreprise ou d'une autre entité, elles sont également exclues :
- Salariés
- Propriétaires
- Directeurs
- Agents
- Entrepreneurs d'une société
- Partenariats
- Entreprises individuelles
- Organismes à but non lucratif
- Agences gouvernementales
Exigences de la LOPC
Les entreprises qui auraient été qualifiées de responsables du traitement des données en vertu de la LPDP auraient été soumises à plusieurs exigences, que j'aborde en détail ci-dessous.
Obligations des responsables du traitement des données
En vertu de l'article 5 du projet de loi de Pennsylvanie sur la protection de la vie privée, les responsables du traitement auraient été chargés de limiter la collecte de données à caractère personnel à ce qui est considéré comme raisonnablement nécessaire aux fins du traitement divulgué au consommateur.
Si un responsable du traitement souhaitait collecter des informations supplémentaires ne relevant pas de ce champ d'application, il aurait dû obtenir le consentement du consommateur.
Le consentement aurait également été nécessaire pour traiter des données personnelles sensibles ou des informations concernant un enfant connu.
Consentement
La LOPC définit clairement le consentement à l'article 2 du projet de loi.
Elle précise qu'il doit s'agir d'une action claire et affirmative de la part d'un consommateur, qu'il donne librement dans un but spécifique et non équivoque.
Le consentement prévu par ce projet de loi pourrait inclure une déclaration écrite, y compris par des moyens électroniques.
Toutefois, il ne peut s'agir de l'acceptation de termes très généraux ou larges ou de pratiques trompeuses telles que :
- Survoler le contenu
- Mise en sourdine de quelque chose
- Mise en pause du contenu
- Fermeture d'une fenêtre contextuelle
Obligations contractuelles entre les responsables du traitement des données et les sous-traitants
Conformément à l'article 6 de la LPDP, les responsables du traitement et les sous-traitants doivent signer des contrats spécifiques régissant les activités du sous-traitant :
- Veiller à ce que le sous-traitant soit soumis à un devoir de confidentialité concernant les données à caractère personnel
- Exiger du sous-traitant qu'il supprime ou restitue toutes les données sur instruction du responsable du traitement, à moins que leur conservation ne soit exigée par la loi.
- Mettre toutes les données à la disposition du contrôleur pour démontrer la conformité avec le projet de loi, sur demande raisonnable.
- Exiger de tout sous-traitant qu'il signe un contrat énonçant des obligations similaires
- Le sous-traitant doit permettre au responsable du traitement ou à l'évaluateur désigné de procéder à des évaluations raisonnables afin de s'assurer que le traitement est conforme aux normes de la LPDP, et il doit coopérer à ces évaluations.
Évaluation de la protection des données
La LOPC détaille également les exigences relatives à l'évaluation de la protection des données dans la section 7 du projet de loi.
Elle précise que les responsables du traitement doivent effectuer et documenter l'une de ces évaluations si leurs activités de traitement présentent un risque accru de préjudice pour les consommateurs.
Le responsable du traitement devra identifier et évaluer les avantages et les risques susceptibles d'avoir une incidence sur les droits des consommateurs, ainsi que les garanties mises en place pour atténuer ou réduire ces risques.
Les entités auraient été tenues de prendre en compte tous les éléments suivants dans leur évaluation :
- L'utilisation de données dépersonnalisées
- Les attentes raisonnables du consommateur
- Le contexte du traitement des données et la relation entre les responsables du traitement et les consommateurs
Mécanismes universels de retrait du consentement
Si la loi PCDPA avait été adoptée, les entités concernées auraient été tenues de respecter les mécanismes universels de retrait (UooM) désignés par les navigateurs des consommateurs d'ici à 2026.
Le projet de loi stipule que la technologie UooM approuvée, comme le contrôle global de la vie privée (GPC), doit répondre aux critères suivants :
- Ne pas désavantager injustement un autre contrôleur
- Ne pas utiliser de paramètre par défaut, mais exiger du consommateur qu'il choisisse librement de refuser le traitement ou la vente de ses données.
- être conviviale et facile à utiliser
- être cohérent avec d'autres plateformes, technologies ou mécanismes similaires.
- Permettre au contrôleur de déterminer si le consommateur réside ou non en Pennsylvanie.
Projet de loi de la Pennsylvanie sur la protection des données personnelles par rapport à d'autres lois nationales : Similitudes et différences
Le projet de loi sur la protection de la vie privée de la Pennsylvanie n'a pas été adopté, mais les lois des autres États sont actuellement en vigueur ou entreront en vigueur dans un avenir proche :
- California Consumer Protection Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) - actuellement en vigueur
- Colorado Privacy Act (CPA) - actuellement en vigueur
- Loi du Connecticut sur la protection des données (CTDPA ) - actuellement en vigueur
- Loi du Delaware sur la protection des données personnelles (DPDPA) - actuellement en vigueur
- Charte des droits numériques de Floride (FDBR ) - actuellement en vigueur
- Iowa Consumer Data Protection Act (Iowa CDPA) - actuellement en vigueur
- Indiana Consumer Data Protection Act (Indiana CDPA ) - entrée en vigueur le 1er janvier 2026
- Kentucky Consumer Data Protection Act (KCDPA) - entrée en vigueur le 1er janvier 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - entrée en vigueur le 31 juillet 2025
- Loi du Maryland sur la protection des données en ligne (MODPA) - entrée en vigueur le 1er octobre 2025
- Montana Consumer Data Privacy Act (MCDPA) - actuellement en vigueur
- Nebraska Data Privacy Act (NDPA) - actuellement en vigueur
- Loi sur la protection des données du New Hampshire (NHDPL ) - actuellement en vigueur
- New Jersey Data Privacy Act (NJDPA ) - actuellement en vigueur
- Oregon Consumer Privacy Act (OCPA) - actuellement en vigueur
- Tennessee Information Protection Act (TIPA) - entrée en vigueur le 1er juillet 2025
- Texas Data Privacy and Security Act (TDPSA ) - actuellement en vigueur
- Utah Consumer Privacy Act (UCPA) - actuellement en vigueur
- Virginia Consumer Data Protection Act (VCDPA) - actuellement en vigueur
Le tableau ci-dessous permet de comparer certaines de ces lois à la LPDP.
| Droit national | Consentement explicite pour certains types de traitement de données | Consentement négatif pour certains types de traitement de données | Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) | Nécessité d'une évaluation de la protection des données | L'obligation contractuelle avec les sous-traitants tiers est précisée | Permet des poursuites civiles ou un droit d'action privé | Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur |
|
PCDPA (projet de loi)
|
✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Iowa | ✓ | ✓ | ✓ | ||||
| MCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| ODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quel serait l'impact de la LPDP sur les consommateurs ?
Si la loi sur la protection des données des consommateurs de Pennsylvanie avait été adoptée, elle aurait accordé aux résidents de l'État certains droits sur la manière dont leurs informations sont traitées et utilisées.
Notamment, en vertu de l'article 3 du projet de loi, les consommateurs auraient pu.. :
- Confirmer si un responsable du traitement traite leurs données.
- Corriger les inexactitudes dans leurs données.
- Supprimer leurs données personnelles.
- Obtenir une copie de leurs données dans un format portable.
- Refuser le traitement des données à des fins de publicité ciblée.
- refuser la vente de leurs données personnelles.
- Refuser le profilage dans le cadre de décisions uniquement automatisées produisant des effets juridiques ou des effets similaires significatifs.
Ils auraient pu exercer ces droits en utilisant une méthode sécurisée établie par le responsable du traitement et décrite dans son avis sur la protection de la vie privée.
À qui s'applique la LPDP ?
La PCDPA n'aurait été applicable qu'aux résidents de l'État de Pennsylvanie agissant dans un contexte personnel ou domestique.
Elle ne s'appliquerait pas à toute personne de l'État agissant dans le cadre d'une activité commerciale ou d'un emploi.
Quel aurait été l'impact sur les entreprises de la loi de Pennsylvanie sur la protection des données personnelles des consommateurs ?
Si la LPDP était devenue une loi, elle aurait eu un impact sur les entreprises allant au-delà des obligations contractuelles et des évaluations de l'impact sur les données que nous avons couvertes précédemment.
Elle décrit également des lignes directrices qui auraient affecté les politiques en matière de vie privée et de cookies.
Quelle est l'incidence de la LPDP sur ma politique de protection de la vie privée ?
La LPDP a défini des exigences en matière de notification qui auraient eu une incidence sur le contenu de la politique de protection de la vie privée des entreprises.
Les contrôleurs visés par ce projet de loi étaient tenus de fournir aux consommateurs un avis décrivant :
- Les catégories de données à caractère personnel traitées
- La finalité du traitement des données
- Comment les consommateurs peuvent-ils faire valoir leurs droits en matière de protection de la vie privée et faire appel des décisions du responsable du traitement ?
- Catégories de données à caractère personnel partagées avec chaque tiers
- Les catégories de chaque tiers avec lequel le responsable du traitement partage des données
- une adresse électronique active ou des mécanismes en ligne permettant de contacter le responsable du traitement
En outre, les responsables du traitement devaient indiquer s'ils prévoyaient de vendre des données à caractère personnel à un tiers ou d'utiliser ces informations à des fins de publicité ciblée, et décrire comment les consommateurs pouvaient s'y opposer.
Comment la LPDP affecte-t-elle ma politique de cookies?
La LPDP aurait également affecté les politiques des entreprises en matière de cookies si elles vendaient des données personnelles collectées par le biais de cookies Internet ou si elles les utilisaient à des fins de publicité ciblée.
En vertu de ce projet de loi, les consommateurs auraient eu le droit de refuser ces activités de traitement des données, et les responsables du traitement auraient été tenus de divulguer ces informations à leurs consommateurs.
Qui doit se conformer au projet de loi de la Pennsylvanie sur la protection des données personnelles ?
Si la loi PCDPA est adoptée, elle s'appliquera aux entreprises à but lucratif qui exercent leurs activités dans l'État et qui répondent à l'une des normes suivantes :
- Avoir gagné un revenu annuel brut de 10 000 000 $ ou plus
- vendu ou partagé à des fins commerciales les données à caractère personnel d'au moins 50 000 consommateurs, ménages ou appareils
- La vente de données à caractère personnel représente au moins 50 % du chiffre d'affaires annuel.
Qui a été exempté de l'application de la LPDP ?
Les entités suivantes étaient exemptées de l'application de la loi sur la protection des données, telle qu'elle était rédigée :
- Subdivisions du gouvernement de l'État de Pennsylvanie
- Organisations à but non lucratif
- Établissements d'enseignement supérieur
- Associations nationales de valeurs mobilières
- Institutions financières
- Entité couverte ou associé commercial
Comment la LOPC serait-elle appliquée ?
Conformément à l'article 10 de la LOPC, le procureur général aurait eu le droit exclusif de faire appliquer la loi potentielle.
Amendes et pénalités en vertu de la loi de Pennsylvanie sur la protection des données personnelles des consommateurs
La version du projet de loi PCDPA n'indiquait pas de montant ou de limite pour les amendes prévues par le projet de loi.
Toutefois, elle a précisé que les résidents de Pennsylvanie ne disposaient pas d'un droit d'action privé.
Comment Termly aide à la mise en conformité
Termly propose des solutions de mise en conformité pour aider les entreprises à répondre facilement aux exigences définies par les lois des États américains qui ont été adoptées et qui sont actuellement en vigueur.
Bien que la PCDPA ne fasse plus l'objet de débats, plus de vingt autres États disposent de lois en la matière. Termly's Générateur de politique de confidentialité de Termly contient actuellement les clauses et les informations nécessaires pour vous aider à respecter les obligations de ces lois et d'autres lois sur la confidentialité des données dans le monde entier.
Voyez ce que cela donne dans la capture d'écran ci-dessous.
Nous proposons également une plateforme de gestion du consentement (CMP) configurable pour répondre aux exigences en matière d'opt-out dans plus de 70 régions du monde.
Découvrez-le dans la capture d'écran ci-dessous.
Existe-t-il d'autres lois relatives à la protection de la vie privée en Pennsylvanie ?
Alors que les législateurs de Pennsylvanie débattent encore de l'adoption d'une loi complète sur la protection des données, d'autres textes législatifs relatifs à la protection de la vie privée existent dans l'État, comme la loi sur la protection des données :
- Loi de Pennsylvanie sur la notification des violations de données personnelles: Les entités sont tenues d'informer les consommateurs en cas de violation de leurs données ou d'accès à celles-ci par une personne non autorisée.
- Loi sur le droit de savoir(Right to KnowLaw - RTKL) : Accorde aux résidents le droit d'accéder à certains documents détenus par les agences gouvernementales de l'État ou des collectivités locales, dans le but de promouvoir la transparence.
Résumé
La PCDPA n'est plus qu'un projet de loi sur la protection de la vie privée qui a échoué, mais nous continuerons à surveiller si d'autres lois pertinentes sont adoptées par le gouvernement de l'État de Pennsylvanie.
Plusieurs autres lois sur la protection de la vie privée sont actuellement en vigueur aux États-Unis, et la plupart d'entre elles ont une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies, ainsi que sur la gestion du consentement.
Des solutions comme Termly permettent de se conformer aux lois actuelles et futures de manière rapide, facile et transparente.
En savoir plus sur l'auteur
Rédigé par Stefani Schmidt, M.S., CIPM, CIPP-US
Stefani est une professionnelle de la confidentialité des données, du risque, de la conformité et de la gestion de programme, avec une expérience dans les secteurs de la communication, de la finance et de l'adtech. Stefani a travaillé en étroite collaboration avec les parties prenantes de différents départements pour faire avancer les initiatives en matière de protection de la vie privée dans les entreprises, y compris les examens de la protection de la vie privée et de la sécurité des nouvelles initiatives commerciales et des nouveaux fournisseurs. Stefani est titulaire d'une maîtrise en technologies de la sécurité de l'Université du Minnesota - Twin Cities et d'une licence en journalisme et sciences politiques. En savoir plus sur l'auteur
