Accueil  ›  Articles  ›  Loi sur la protection des données des consommateurs du Kentucky : premier aperçu et résumé

Loi du Kentucky sur la protection des données des consommateurs : Premier aperçu et résumé

Couvert par Termly

Écrit par : Natasha Piirainen Natasha Piirainen | Mis à jour le : 26 février 2026

Révisé par : Anokhy Desai CIPP/US, CIPT, CIPMAnokhy Desai CIPP/US, CIPT, CIPM

Générer une politique de confidentialité gratuitement
Loi du Kentucky sur la protection des données des consommateurs-01

Le Kentucky rejoint la liste croissante des États américains qui ont adopté une loi complète sur la protection des données des consommateurs avec le Kentucky Consumer Data Protection Act(KCDPA).

La loi KCDPA est similaire à d'autres lois sur la protection de la vie privée adoptées par les États américains, mais elle s'en distingue par le fait qu'elle ne prévoit pas de seuils monétaires pour son champ d'application légal, mais qu'elle définit des limites à la collecte de données.

Dans ce guide, je vous présenterai tout ce que vous devez savoir sur la loi KCDPA, notamment ce qu'elle exige, qui elle protège et quel est son impact sur les consommateurs et les entreprises.

Table des matières
  1. Qu'est-ce que la loi du Kentucky sur la protection des données des consommateurs (KCDPA) ?
  2. KCDPA Termes clés et définitions
  3. Que couvre la loi du Kentucky sur la protection des données des consommateurs ?
  4. Exigences de la loi du Kentucky sur la protection des données des consommateurs
  5. Loi sur la protection des données des consommateurs du Kentucky par rapport à d'autres États : Similitudes et différences
  6. Quel sera l'impact de la loi KCDPA sur les consommateurs ?
  7. À qui s'applique la loi KCDPA ?
  8. Quel est l'impact de la KCDPA sur les entreprises ?
  9. Qui doit se conformer à la nouvelle loi du Kentucky sur la protection des données personnelles ?
  10. Comment les entreprises peuvent-elles se préparer à la KCDPA ?
  11. Comment la loi KCDPA sera-t-elle appliquée ?
  12. Amendes et pénalités en vertu de la loi du Kentucky sur la protection des données des consommateurs
  13. Comment Termly -t-il à respecter la KCDPA ?
  14. Existe-t-il d'autres lois relatives à la protection de la vie privée dans le Kentucky ?
  15. Résumé

Qu'est-ce que la loi du Kentucky sur la protection des données des consommateurs (KCDPA) ?

La loi du Kentucky sur la protection des données des consommateurs est la première loi complète sur la protection des données des consommateurs dans l'État et la quinzième aux États-Unis.

Son objectif est de permettre aux résidents du Kentucky de mieux contrôler la manière dont leurs informations personnelles sont collectées, traitées et utilisées en ligne.

Elle décrit également les lignes directrices et les exigences imposées aux entreprises qui utilisent ces informations, ainsi que les sanctions encourues en cas de violation de la loi.

KCDPA Date d'entrée en vigueur

La KCDPA est entrée en vigueur le 1er janvier 2026.

KCDPA Termes clés et définitions

Vous trouverez ci-dessous plusieurs termes clés de la loi KCDPA, définis tels qu'ils apparaissent dans le texte de la loi :

Ces termes sont utilisés dans le présent guide conformément aux définitions du KCDPA.

Que couvre la loi du Kentucky sur la protection des données des consommateurs ?

La nouvelle loi du Kentucky sur la protection des données personnelles couvre les données personnelles des résidents du Kentucky, mais elle exclut:

  • Informations sur la santé protégées en vertu de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA)
  • Dossiers de santé
  • Dossiers d'identification des patients
  • Informations privées identifiables aux fins de la politique fédérale de protection des sujets humains en vertu de 45 C.F.R. pt. 46
  • Informations et documents créés aux fins de la loi fédérale de 1986 sur l'amélioration de la qualité des soins de santé (Health Care Quality Improvement Act)
  • Produit du travail sur la sécurité des patients aux fins de la loi fédérale sur la sécurité des patients et l'amélioration de la qualité

Exigences de la loi du Kentucky sur la protection des données des consommateurs

Je vais maintenant passer en revue les principales exigences auxquelles les entreprises doivent se conformer en vertu de la loi KCDPA.

Traitement licite des données à caractère personnel

En vertu de la loi KCDPA, les responsables du traitement doivent limiter la collecte des données à ce qui est adéquat, pertinent et raisonnablement nécessaire pour atteindre les objectifs pour lesquels les données sont traitées, tels qu'ils ont été communiqués au consommateur.

Pour traiter des données au-delà de cette portée, vous devez obtenir le consentement des utilisateurs.

Le consentement est également requis pour la collecte d'informations personnelles sensibles auprès des consommateurs du Kentucky ou de données concernant des enfants connus.

Consentement

Le consentement prévu par la nouvelle loi du Kentucky sur la confidentialité des données est défini comme un acte affirmatif et clair signifiant l'accord librement donné, spécifique, informé et non ambigu d'un consommateur et peut inclure :

  • Une déclaration écrite
  • Une déclaration électronique
  • Toute autre action non équivoque

Demandes des consommateurs authentifiés

En vertu de la loi KCDPA, les entreprises concernées sont tenues de proposer aux consommateurs un ou plusieurs moyens de soumettre des demandes authentifiées de respect de leurs droits en matière de protection de la vie privée.

Les responsables du traitement doivent répondre aux demandes dans un délai de 45 jours, qui peut être prolongé de 45 jours supplémentaires, en fonction de la complexité et du nombre de demandes.

Les informations répondant à la demande d'un consommateur doivent être gratuites jusqu'à deux fois par an.

Toutefois, une redevance raisonnable couvrant les frais administratifs peut être facturée au consommateur si les demandes sont excessives, répétitives, techniquement irréalisables ou manifestement infondées.

Obligations contractuelles entre les responsables du traitement et les sous-traitants

La loi KCDPA exige que les responsables du traitement et les sous-traitants signent un contrat décrivant les obligations suivantes pour collecter et traiter légalement les données à caractère personnel :

  • Il doit énoncer des instructions claires pour le traitement des données à caractère personnel, leur nature et leur finalité, le type de données faisant l'objet du traitement, la durée du traitement et les droits des deux parties.
  • Veiller à ce que chaque partie soit soumise à un devoir de confidentialité concernant les données à caractère personnel.
  • Exiger du sous-traitant qu'il supprime ou renvoie toutes les données à caractère personnel au responsable du traitement sur demande, à moins que la conservation ne soit requise par la loi.
  • exiger du sous-traitant qu'il coopère avec les évaluations raisonnables effectuées par le responsable du traitement ou un évaluateur désigné pour évaluer les politiques du sous-traitant.
  • Exiger du sous-traitant qu'il mette toutes les informations en sa possession à la disposition du responsable du traitement afin de démontrer le respect de la loi sur la protection des données à caractère personnel.
  • Exiger de tout sous-traitant qu'il signe un contrat énonçant les mêmes exigences.

Évaluations de l'impact de la protection des données

La loi KCDPA exige des responsables du traitement qu'ils réalisent et documentent des analyses d'impact sur la protection des données pour entreprendre les activités de traitement suivantes :

  • Traitement des données pour la publicité ciblée
  • Vente de données à caractère personnel
  • Traitement des données à des fins de profilage
  • Traitement des données personnelles sensibles
  • Traitement de données présentant un risque accru de préjudice pour le consommateur

L'évaluation doit identifier et mettre en balance les avantages du traitement des données et les risques éventuels de porter préjudice au responsable du traitement.

Une évaluation unique peut être utilisée si elle porte sur d'autres lois dont le champ d'application et les effets sont raisonnablement comparables à ceux de la loi KCDPA.

Exigences en matière de sécurité des données

Les responsables du traitement en vertu de la nouvelle loi du Kentucky sur la protection de la vie privée doivent établir, mettre en œuvre et maintenir des mesures administratives, techniques et physiques raisonnables de sécurité des données afin de protéger la confidentialité, l'intégrité et l'accessibilité des informations.

Les mesures de sécurité doivent être adaptées au volume et à la nature des données personnelles collectées par une entreprise.

Loi sur la protection des données des consommateurs du Kentucky par rapport à d'autres États : Similitudes et différences

Plusieurs autres lois sur la protection de la vie privée existent au niveau de l'État aux États-Unis, notamment les suivantes :

Comparez la loi sur la protection de la vie privée du Kentucky à ces autres textes législatifs sur la protection de la vie privée dans le tableau ci-dessous.

Droit national Consentement explicite pour certains types de traitement de données Consentement négatif pour certains types de traitement de données Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) Nécessité d'une évaluation de la protection des données L'obligation contractuelle avec les sous-traitants tiers est précisée Permet des poursuites civiles ou un droit d'action privé Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur
KCDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
CDPA de l'Indiana
CDPA de l'Iowa
MN CDPA
MT CDPA
MODPA
NHDPL
NJDPA
OCPA
TIPA
TDPSA
UCPA
VCDPA

Quel sera l'impact de la loi KCDPA sur les consommateurs ?

La nouvelle loi du Kentucky sur la confidentialité des données a un impact sur les consommateurs en leur accordant les droits suivants :

  • Confirmer si un responsable du traitement traite leurs données à caractère personnel
  • Accéder aux données personnelles collectées à leur sujet
  • Corriger les inexactitudes dans leurs données personnelles
  • Supprimer leurs données personnelles
  • Obtenir une copie portable de leurs données lorsque cela est techniquement possible
  • Refus de la publicité ciblée
  • Refus de la vente de données personnelles
  • Refus du profilage dans le cadre de décisions produisant des effets juridiques ou des effets significatifs similaires

À qui s'applique la loi KCDPA ?

Le KCDPA s'applique aux résidents du Kentucky agissant dans un contexte individuel.

Elle ne s'applique pas à toute personne de l'État agissant dans un contexte commercial ou d'emploi.

Quel est l'impact de la KCDPA sur les entreprises ?

Outre les exigences mentionnées précédemment dans ce guide, la loi KCDPA a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.

Comment la KCDPA affecte-t-elle ma politique de confidentialité ?

La loi KCDPA impose aux responsables du traitement de présenter aux consommateurs une note d'information sur la protection de la vie privée qui soit raisonnablement accessible, claire et compréhensible et qui contienne les informations suivantes :

  • Les catégories de données à caractère personnel traitées par les responsables du traitement
  • La finalité du traitement
  • Comment les consommateurs peuvent-ils exercer leurs droits et comment peuvent-ils faire appel de la décision d'un responsable du traitement concernant une demande ?
  • Les catégories de données à caractère personnel que le responsable du traitement partage avec des tiers
  • Les catégories des tiers eux-mêmes
  • Si le responsable du traitement vend des données à caractère personnel à des tiers ou traite des données à des fins de publicité ciblée
  • Détails sur la manière dont le consommateur peut exercer son droit de refuser un tel traitement

Dans votre politique de protection de la vie privée, vous devez également mettre en place et décrire un ou plusieurs moyens sûrs et fiables permettant aux consommateurs d'introduire des demandes pour faire valoir leurs droits.

Comment la KCDPA affecte-t-elle ma politique de cookies?

La loi KCDPA a une incidence sur les politiques en matière de cookies, car les consommateurs ont le droit, en vertu de cette loi, de refuser la publicité ciblée et la vente de leurs données, ce qui peut se faire en installant des cookies sur les navigateurs des utilisateurs.

Vous devez vous assurer que votre politique de cookies est exact et à jour et le présenter aux utilisateurs en suivant les directives de notification définies par la loi.

Pensez à inclure une clause dans votre politique de confidentialité expliquant comment vous utilisez les cookies ou autres traceurs et à ajouter un lien direct vers votre site politique de cookies.

Qui doit se conformer à la nouvelle loi du Kentucky sur la protection des données personnelles ?

Votre entreprise doit se conformer à la loi KCDPA si vous exercez une activité commerciale ou si vous destinez vos produits et services à des résidents de l'État et si vous remplissez l'une des conditions suivantes au cours d'une année civile :

  • traite et contrôle les données à caractère personnel d'au moins 100 000 consommateurs ou
  • Traite et contrôle les données à caractère personnel d'au moins 25 000 consommateurs et tire 50 % de son revenu annuel brut de la vente de données à caractère personnel.

Contrairement à de nombreux autres États américains, le Kentucky ne fixe pas de seuil monétaire pour la protection de la vie privée.

Qui est exempté de l'application de la loi KCDPA ?

Les entités suivantes sont exemptées des exigences de la KCDPA :

  • Entités politiques de la ville et de l'État
  • Institutions financières soumises au titre V de la loi Gramm-Leach-Bliley(GLBA)
  • Entités couvertes régies par le ministère de la santé et des services sociaux des États-Unis et par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA).
  • Organismes à but non lucratif
  • Établissements d'enseignement supérieur
  • les organismes chargés de l'application de la loi en cas de suspicion d'actes criminels ou frauduleux liés à l'assurance
  • Premiers intervenants en cas d'événements catastrophiques
  • Petites compagnies de téléphone

Comment les entreprises peuvent-elles se préparer à la KCDPA ?

Pour se préparer à l'entrée en vigueur de la loi KCDPA, les entreprises doivent prévoir de mettre à jour leur politique de protection de la vie privée afin de satisfaire à toutes les exigences de notification prévues par la nouvelle loi.

Assurez-vous que votre site politique de cookies est également à jour, en particulier si vous vendez des données collectées par le biais de cookies, si vous utilisez des cookies pour faire de la publicité ciblée ou si vous collectez des informations sensibles.

Offrez à vos utilisateurs un ou plusieurs moyens de faire valoir leurs droits, en leur fournissant par exemple une bannière de consentement et un formulaire de demande d'accès à la base de données(DSAR).

Effectuer des évaluations de l'impact de la protection des données si nécessaire.

Enfin, utilisez des contrats conformes avec tous les responsables du traitement des données avec lesquels vous travaillez.

Comment la loi KCDPA sera-t-elle appliquée ?

Le procureur général a le pouvoir exclusif de faire respecter les violations de la loi KCDPA.

Une notification écrite des violations présumées sera adressée au responsable du traitement ou au sous-traitant, qui disposera de 30 jours pour remédier à la violation et renvoyer une notification écrite.

Si vous ne le faites pas de manière adéquate, vous vous exposez à des amendes.

Amendes et pénalités en vertu de la loi du Kentucky sur la protection des données des consommateurs

Les amendes pour violation de la loi KCDPA peuvent s'élever à 7 500 dollars par incident.

Les consommateurs ne disposent pas d'un droit d'action privé en vertu de cette loi.

Comment Termly -t-il à respecter la KCDPA ?

Termly simplifier la conformité à des lois telles que la KCDPA en garantissant que notre Générateur de politique de confidentialité inclut toutes les clauses nécessaires prévues par cette loi et d'autres lois.

Notre générateur pose des questions simples sur votre entreprise et ses activités de traitement des données, puis élabore une politique unique et complète sur la base de vos réponses.

Nous proposons également un site plateforme de gestion du consentement (CMP) qui peut être configuré pour répondre à toutes les exigences en matière d'opt-out décrites dans la loi KCDPA.

Bien que la KCDPA soit la première loi globale de protection de la vie privée des consommateurs dans l'État, plusieurs autres lois relatives à la protection de la vie privée existent dans le Kentucky, notamment les suivantes :

Résumé

Les entreprises qui tombent sous le coup de la loi du Kentucky sur la protection des données des consommateurs ont jusqu'au 1er janvier 2025 pour se préparer aux exigences de cette loi :

  • Présenter aux utilisateurs une politique de confidentialité conforme.
  • Fournir aux utilisateurs un ou plusieurs moyens de faire valoir leurs droits, comme un formulaire DSAR et une bannière de consentement.
  • Utiliser des contrats conformes avec les responsables du traitement des données ou les sous-traitants.
  • Effectuer des évaluations de l'impact sur la protection des données pour différents types de traitement de données à haut risque.
  • Mettre en œuvre des mesures de sécurité appropriées pour protéger les données contre les accès non autorisés ou les violations.

Facilitez la mise en conformité en utilisant notre Générateur de politique de confidentialité et le CMP pour vous aider à répondre à certaines des exigences de la loi KCDPA.

Natasha Piirainen

Écrit par Natasha Piirainen

Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

Lire tous les articles de Natasha Piirainen
Anokhy Desai CIPP/US, CIPT, CIPM

Révisé par Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy est avocate spécialisée dans la protection de la vie privée. Elle est titulaire d'une maîtrise de l'université Carnegie Mellon et d'un doctorat en droit de l'université de Pittsburgh. En tant qu'ancienne Fellow Westin Fellow l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et animé des webinaires et des tables rondes sur la protection de la vie privée et les technologies de protection de la vie privée aux États-Unis.

Lire tous les articles révisés par Anokhy Desai CIPP/US, CIPT, CIPM
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Générer un fichier GRATUIT politique de confidentialité

Créez un site politique de confidentialité gratuit et complet en quelques minutes !
Générer gratuitement politique de confidentialité

Articles connexes

  1. Consentement aux cookies pour les start-ups et les entreprises spécialisées dans l'IA-01
    consentement aux cookies les startups et entreprises spécialisées dans l'IA
    Articles

    20 février 2026
    Natasha Piirainen
  2. Les 8 services tiers les plus courants sur les sites Web et leurs risques pour la confidentialité 01
    Les 8 services tiers les plus courants sur les sites Web et leurs risques en matière de confidentialité
    Articles

    20 février 2026
    Hanna De La Garza
  3. Politique de confidentialité pour les concessionnaires automobiles-01
    Politique de confidentialité pour les concessionnaires automobiles : comment en créer une
    Articles

    20 février 2026
    Natasha Piirainen
  4. Termly de deux fonctionnalités de gestion de sites Web en masse - 01
    Termly deux nouvelles fonctionnalités pour la gestion groupée de sites Web
    Articles

    11 février 2026
    Natasha Piirainen
  5. Meilleurs plugins WordPress pour le consentement - Comparaison 2026-01
    Comparatif des 5 meilleurs plugins WordPress pour le consentement 2026
    Comparaisons

    6 février 2026
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. Politique-de-confidentialité-pour-les-startups-et-les-entreprises-spécialisées-dans-l'IA-01
    Politique de confidentialité pour les start-ups et les entreprises spécialisées dans l'IA
    Articles

    6 février 2026
    Natasha Piirainen
  7. Cookie-Consent-for-WordPress-01
    consentement aux cookies WordPress
    Ressources

    27 janvier 2026
    Hanna De La Garza
  8. Guide des lois et réglementations relatives à la protection des données pour 2026-01
    Guide des lois et réglementations relatives à la confidentialité des données pour 2026
    Articles

    27 janvier 2026
    Natasha Piirainen
  9. Politique-de-confidentialité-pour-les-publicités-Facebook-01
    Politique de confidentialité pour les publicités Facebook : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen

Explorer d'autres ressources

Entrez l'URL de votre site web

Afin de vous aider à créer une solution conforme au RGPD et à la loi sur les cookies, nous devons d'abord rechercher des cookies sur votre site web.