Le gouverneur du Maryland a signé le 9 mai 2024 une loi complète sur la confidentialité des données, appelée Maryland Online Data Protection Act(MODPA).
Elle se caractérise par un seuil juridique large, des exigences strictes en matière de traitement des données et des dispositions uniques concernant la minimisation des données et la collecte et le traitement d'informations personnelles sensibles.
Dans ce guide, je vous présenterai chaque partie de cette loi, ses exigences, son impact sur les entreprises et les consommateurs, et bien plus encore.
- Qu'est-ce que la loi du Maryland sur la protection des données en ligne (MODPA) ?
- Termes clés et définitions du MODPA
- Que couvre la loi du Maryland sur la protection des données en ligne ?
- Exigences de la loi du Maryland sur la protection des données en ligne
- La loi du Maryland sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences
- Quel sera l'impact de la MODPA sur les consommateurs ?
- À qui s'applique la MODPA ?
- Quel sera l'impact de la MODPA sur les entreprises ?
- Qui doit se conformer à la nouvelle loi du Maryland sur la protection des données personnelles ?
- Comment les entreprises peuvent-elles se préparer à la MODPA ?
- Comment la MODPA sera-t-elle appliquée ?
- Amendes et sanctions en vertu de la loi du Maryland sur la protection des données en ligne
- Comment le site Termly contribuera-t-il à la mise en conformité avec la MODPA ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée dans le Maryland ?
- Résumé
Qu'est-ce que la loi du Maryland sur la protection des données en ligne (MODPA) ?
La loi du Maryland sur la protection des données en ligne, ou MODPA, est la première loi de l'État sur la protection des données des consommateurs à réglementer la manière dont les responsables du traitement et les sous-traitants traitent les données personnelles et à donner aux résidents du Maryland divers droits et contrôles sur ces informations.
Le Maryland est le 16e État américain à adopter une loi complète sur la confidentialité des données.
Elle définit également les peines encourues en cas de violation de la loi et confère au procureur général du Maryland le pouvoir de la faire appliquer.
Date d'entrée en vigueur de la MODPA
La loi du Maryland sur la protection des données en ligne devrait entrer en vigueur le 1er octobre 2025.
Termes clés et définitions du MODPA
Pour vous aider à comprendre les détails de la nouvelle loi du Maryland sur la protection de la vie privée, j'ai rassemblé certains des termes clés et fourni les définitions telles qu'elles apparaissent dans le texte de la loi ci-dessous :
Que couvre la loi du Maryland sur la protection des données en ligne ?
La MODPA couvre les informations personnelles des résidents du Maryland.
Cependant, elle exempte également plusieurs catégories de données, dont certaines comprennent :
- Informations sur la santé protégées en vertu de la loi sur la portabilité de l'assurance maladie (Health Insurance Portability Accountability Act - HIPAA)
- Informations d'identification du patient
- Données personnelles régies par le Family Educational Rights and Privacy Act (FERPA) (loi sur les droits et la confidentialité en matière d'éducation familiale)
- Coordonnées de la personne à contacter en cas d'urgence
Exigences de la loi du Maryland sur la protection des données en ligne
Dans la section suivante, je résume certaines des principales exigences de la nouvelle loi du Maryland sur la protection de la vie privée.
Base légale du traitement des données
En vertu de la MODPA, les responsables du traitement doivent limiter la collecte des données à ce qui est raisonnablement nécessaire et proportionné pour fournir ou maintenir les produits ou services demandés par le consommateur.
La formulation utilisée dans cette partie de la loi diffère de celle des autres lois nationales sur la protection de la vie privée, car elle dépend du bien ou du service et pas seulement de la finalité du traitement des données.
Limitation du traitement des données par le contrôleur
La loi sur la protection des données à caractère personnel limite le traitement de certains types de données à caractère personnel par les responsables du traitement.
Par exemple, à moins que la collecte ou le traitement des données ne soit strictement nécessaire pour fournir ou maintenir un produit ou un service spécifique demandé par un consommateur, les responsables du traitement ne peuvent pas :
- Vendre des données sensibles
- Traiter les données d'un consommateur de moins de 18 ans à des fins de publicité ciblée
- Vendre les données personnelles d'un consommateur âgé de moins de 18 ans
- Discriminer un consommateur pour avoir exercé ses droits
- traiter les données à des fins qui ne sont pas raisonnablement nécessaires ou qui sont incompatibles avec les finalités divulguées pour lesquelles les données à caractère personnel sont traitées(sauf si le consentement est obtenu)
Obligations contractuelles entre les responsables du traitement et les sous-traitants
Les responsables du traitement qui font appel à un sous-traitant doivent conclure un contrat décrivant les instructions relatives au traitement des données, la nature et la finalité du traitement, les types de données traitées et leur durée, ainsi que les droits et obligations des deux parties.
Le contrat doit également préciser ces exigences pour le transformateur :
- Soumettre toutes les parties concernées à un devoir de confidentialité concernant les données.
- Établir, mettre en œuvre et maintenir des pratiques de sécurité pour protéger la confidentialité, l'intégrité et l'accessibilité des données à caractère personnel.
- Exiger du sous-traitant qu'il cesse de traiter les données à la demande du responsable du traitement à la suite d'une demande du consommateur.
- Sur instruction du responsable du traitement, le sous-traitant doit effacer ou restituer toutes les données, sauf si une loi exige leur conservation.
- À la demande du responsable du traitement, exiger du sous-traitant qu'il mette à disposition toutes les données en sa possession afin de démontrer le respect de la MODPA.
- Après avoir permis au responsable du traitement de s'y opposer, engager un sous-traitant pour l'aider à traiter les données à caractère personnel dans le cadre d'un contrat conforme aux présentes lignes directrices.
- Exiger du sous-traitant qu'il coopère aux évaluations effectuées par le responsable du traitement ou par un évaluateur indépendant afin d'évaluer les politiques et les mesures techniques du sous-traitant.
- Sur demande, le sous-traitant doit fournir au responsable du traitement un rapport d'évaluation, comme l'exige le MODPA.
Évaluation de la protection des données
Selon la MODPA, les responsables du traitement doivent effectuer et documenter des évaluations de la protection des données pour chaque activité de traitement qui présente un risque accru de préjudice pour les consommateurs, y compris :
- Traitement des données pour la publicité ciblée
- Vente de données à caractère personnel
- Traitement des données sensibles
- Traitement des données pour le profilage
L'évaluation doit mettre en balance les avantages qui peuvent découler du traitement et les risques potentiels pour les droits des consommateurs, ainsi que la nécessité et la proportionnalité du traitement.
Elle doit également prendre en compte les éléments suivants :
- L'utilisation de données dépersonnalisées
- Les attentes raisonnables des consommateurs
- Le contexte du traitement
- La relation entre le responsable du traitement et le consommateur dont les données sont traitées
La loi du Maryland permet à un contrôleur d'utiliser une évaluation unique de la protection des données pour se conformer à une autre loi si celle-ci a une portée raisonnablement similaire à celle de la MODPA.
Exigences en matière de sécurité des données
La MODPA exige que les responsables du traitement des données établissent, mettent en œuvre et maintiennent des mesures de sécurité administratives, techniques et physiques raisonnables pour protéger les données à caractère personnel collectées.
Les mesures doivent tenir compte du volume et de la nature des données collectées et stockées et protéger leur confidentialité, leur intégrité et leur accessibilité.
Demandes vérifiables des consommateurs
En vertu de la loi MODPA, les entreprises doivent prévoir dans leur politique de protection de la vie privée un ou plusieurs moyens permettant aux consommateurs d'introduire des demandes vérifiables pour faire valoir leurs droits en matière de protection de la vie privée, en tenant compte des éléments suivants
- Les modes d'interaction habituels des consommateurs avec le contrôleur
- La nécessité d'une communication sûre et fiable
- La capacité du responsable du traitement à vérifier l'identité du consommateur
La loi énumère les méthodes suivantes pour satisfaire à cette exigence légale :
- Fournir un lien visible et clairement identifié sur le site web
- Au plus tard le 1er octobre 2025, permettre aux consommateurs d'utiliser un mécanisme universel de renonciation pour faire valoir leurs droits.
Mécanismes universels de retrait du consentement
La MODPA exige des entreprises qu'elles honorent les demandes d'exclusion des utilisateurs du traitement des données par le biais de mécanismes d'exclusion universels (UOOM), tels que le contrôle mondial de la protection de la vie privée (GPC), d'ici le 1er octobre 2025.
Plus précisément, la loi autorise les consommateurs à utiliser un lien internet, un paramètre de navigateur, une extension de navigateur ou tout autre paramètre ou technologie similaire pour indiquer leur intention de refuser.
La loi du Maryland sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences
Outre le Maryland, plusieurs autres États américains ont mis en place des lois sur la confidentialité des données :
- California Consumer Protection Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) - actuellement en vigueur
- Colorado Privacy Act (CPA) - actuellement en vigueur
- Loi du Connecticut sur la protection des données (CTDPA ) - actuellement en vigueur
- Loi du Delaware sur la protection des données personnelles (DPDPA) - actuellement en vigueur
- Charte des droits numériques de Floride (FDBR ) - actuellement en vigueur
- Iowa Consumer Data Protection Act (Iowa CDPA) - actuellement en vigueur
- Indiana Consumer Data Protection Act (Indiana CDPA ) - entrée en vigueur le 1er janvier 2026
- Kentucky Consumer Data Protection Act (KCDPA) - entrée en vigueur le 1er janvier 2026
- Minnesota Consumer Data Privacy Act (MCDPA) - entrée en vigueur le 31 juillet 2025
- Montana Consumer Data Privacy Act (MCDPA) - actuellement en vigueur
- Nebraska Data Privacy Act (NDPA) - actuellement en vigueur
- Loi sur la protection des données du New Hampshire (NHDPL ) - actuellement en vigueur
- New Jersey Data Privacy Act (NJDPA ) - actuellement en vigueur
- Oregon Consumer Privacy Act (OCPA) - actuellement en vigueur
- Tennessee Information Protection Act (TIPA) - entrée en vigueur le 1er juillet 2025
- Texas Data Privacy and Security Act (TDPSA ) - actuellement en vigueur
- Utah Consumer Privacy Act (UCPA) - actuellement en vigueur
- Virginia Consumer Data Protection Act (VCDPA) - actuellement en vigueur
Vous pouvez comparer la MODPA à ces autres lois sur la protection de la vie privée dans le tableau ci-dessous.
| Droit national | Consentement explicite pour certains types de traitement de données | Consentement négatif pour certains types de traitement de données | Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) | Nécessité d'une évaluation de la protection des données | L'obligation contractuelle avec les sous-traitants tiers est précisée | Permet des poursuites civiles ou un droit d'action privé | Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur |
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quel sera l'impact de la MODPA sur les consommateurs ?
La MODPA a un impact sur les consommateurs en leur donnant les droits suivants sur leurs données personnelles :
- Confirmer si un responsable du traitement traite leurs données
- Accéder aux données
- Corriger les inexactitudes dans les données
- Exiger d'un responsable du traitement qu'il supprime les données
- Obtenir une copie portable de ses données personnelles
- Obtenir une liste des tiers auxquels leurs données sont communiquées
- Refus du traitement des données à des fins de publicité ciblée
- S'opposer à la vente de leurs données
- Refuser le profilage
À qui s'applique la MODPA ?
La MODPA s'applique aux résidents de l'État du Maryland ; toutefois, elle ne s'applique pas aux personnes du Maryland agissant dans le cadre d'un emploi ou dans un contexte commercial.
Quel sera l'impact de la MODPA sur les entreprises ?
Au-delà des exigences de la loi sur la protection des droits de l'homme et des libertés fondamentales couvertes précédemment dans ce guide, la loi a également un impact sur les politiques des entreprises en matière de protection de la vie privée et de cookies.
Quelle sera l'incidence de la MODPA sur ma politique en matière de protection de la vie privée ?
La MODPA exige des entreprises qu'elles présentent aux consommateurs une politique de protection de la vie privée comprenant les éléments suivants
- Les catégories de données à caractère personnel traitées, y compris les données sensibles.
- La finalité du traitement.
- Comment un consommateur peut faire valoir ses droits en matière de protection de la vie privée et faire appel de la décision d'un responsable du traitement fondée sur sa demande ou révoquer son consentement.
- Les catégories de tiers avec lesquels les données sont partagées, avec un niveau de détail que le consommateur peut comprendre, y compris le type, le modèle d'entreprise ou le traitement effectué par chaque tiers.
- Les catégories de données à caractère personnel, y compris les données sensibles, partagées avec des tiers.
- Une adresse électronique active ou d'autres mécanismes en ligne permettant de contacter le responsable du traitement.
Les entreprises qui vendent des données à caractère personnel à des tiers, qui traitent des données à des fins de publicité ciblée ou qui participent au profilage doivent le mentionner dans leur politique de protection de la vie privée et expliquer comment les consommateurs peuvent exercer leur droit de refuser un tel traitement.
Il doit également mettre en place une ou plusieurs méthodes sûres et raisonnables permettant aux personnes de soumettre des demandes vérifiables de la part des consommateurs afin de donner suite à leurs droits en matière de protection de la vie privée.
Quelles seront les conséquences de la loi MODPA sur mon site politique de cookies?
La MODPA a une incidence sur les politiques en matière de cookies en raison des exigences de notification définies par la loi et des droits de retrait accordés aux consommateurs.
Les entreprises concernées par cette loi doivent s'assurer que leur site politique de cookies est à jour, précis et lié à la politique de confidentialité afin que les consommateurs soient correctement informés de tous les cookies susceptibles d'être placés sur leurs navigateurs.
Vous devez également permettre aux consommateurs du Maryland de refuser les cookies s'ils collectent des données que vous vendez, des données sensibles ou s'ils sont utilisés pour de la publicité ciblée.
Qui doit se conformer à la nouvelle loi du Maryland sur la protection des données personnelles ?
Les entreprises doivent se conformer à la MODPA si elles exercent des activités dans l'État ou fournissent des produits et des services destinés aux résidents de l'État et atteignent l'un des seuils suivants au cours d'une année civile :
- contrôle ou traite les données à caractère personnel d'au moins 35 000 consommateurs (à l'exclusion des opérations de paiement) ou
- contrôle ou traite les données à caractère personnel d'au moins 100 000 consommateurs et tire plus de 20 % de son revenu annuel brut de la vente de ces données.
Contrairement à plusieurs autres lois des États américains, la MODPA ne prévoit pas de seuil monétaire.
Qui est exempté de la MODPA ?
Les entités suivantes sont exemptées des exigences de la nouvelle loi du Maryland sur la confidentialité des données :
- Subdivisions politiques de l'État
- Associations nationales de valeurs mobilières enregistrées en vertu de la loi fédérale sur l'échange de valeurs mobilières de 1934 (SEA)
- Institutions financières soumises à la loi Gramm-Leach-Bliley (GLBA)
- Les responsables de traitement à but non lucratif qui traitent des données uniquement pour aider les services répressifs à enquêter sur des actes criminels ou frauduleux liés à l'assurance ou les premiers intervenants en cas d'événements catastrophiques.
Comment les entreprises peuvent-elles se préparer à la MODPA ?
Pour se préparer à la loi MODPA, les entreprises doivent prévoir de mettre à jour leurs politiques en matière de confidentialité et de cookies afin de s'assurer qu'elles répondent à toutes les exigences de notification décrites par la loi.
Les sites web doivent également proposer au moins une ou plusieurs méthodes sûres et fiables permettant aux consommateurs de soumettre des demandes de respect de leurs droits en matière de protection de la vie privée, comme l'affichage d'un formulaire de demande d'accès à des données personnelles (DSAR).
Les entreprises qui traitent des données présentant un risque accru pour les consommateurs doivent procéder à des évaluations de la protection des données.
Les responsables du traitement des données qui travaillent avec des sous-traitants doivent également mettre en œuvre et signer des contrats qui décrivent toutes les exigences décrites dans la loi.
Comment la MODPA sera-t-elle appliquée ?
Le procureur général du Maryland est habilité à faire appliquer la loi sur la protection des droits de l'homme et conserve le pouvoir discrétionnaire d'accorder aux entités un délai de 60 jours pour remédier à la situation.
La période de cure prend fin après le 1er avril 2027.
La violation de la MODPA sera considérée comme une pratique commerciale déloyale, abusive ou trompeuse.
Amendes et sanctions en vertu de la loi du Maryland sur la protection des données en ligne
Les amendes pour violation de la MODPA peuvent atteindre jusqu'à 10 000 dollars par incident.
Toutefois, les consommateurs ne disposent pas d'un droit d'action privé.
Comment le site Termly contribuera-t-il à la mise en conformité avec la MODPA ?
Afin de simplifier le respect de la MODPA, le site Termly's Générateur de politique de confidentialité comprendra toutes les clauses requises par la loi avant qu'elle n'entre en vigueur en 2025.
Notre générateur vous pose des questions simples sur votre entreprise et élabore une politique complète et unique en fonction de vos réponses.
Termly propose également un siteplateforme de gestion du consentement (CMP ) qui peut être configuré pour répondre aux exigences de non-participation décrites dans la MODPA.
Il s'accompagne d'un formulaire DSAR gratuit, qui permet à vos utilisateurs de soumettre en toute sécurité des demandes vérifiées d'exercice de leurs droits.
Existe-t-il d'autres lois relatives à la protection de la vie privée dans le Maryland ?
Bien que la MODPA soit la première loi de ce type dans l'État, le Maryland dispose de quelques autres lois relatives à la protection de la vie privée :
- Section 14-350 du code du Maryland (loi sur la protection des informations personnelles) : Décrit les lois sur la notification des violations de données dans l'État, imposant des obligations aux entreprises qui collectent des informations personnelles et subissent une violation.
- Loi sur les dossiers médicaux du code du Maryland: Exige que toutes les informations médicales restent confidentielles et donne aux individus le droit d'intenter une action privée.
Résumé
Si votre entreprise est soumise à la loi sur la protection des données en ligne du Maryland, vous pouvez vous préparer à la mise en conformité :
- Mettre à jour vos politiques en matière de confidentialité et de cookies pour répondre à toutes les exigences en matière de notification.
- Présentez à vos utilisateurs un ou plusieurs moyens sécurisés de soumettre des demandes de suivi de leurs droits.
- Procéder à des évaluations de la protection des données si les activités de traitement présentent un risque accru pour les consommateurs.
- Utilisez des contrats conformes avec tous les responsables du traitement des données avec lesquels vous travaillez.
Utilisez les sites TermlyGénérateur de politique de confidentialité et CMP pour simplifier votre processus de conformité.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
