Accueil  ›  Articles  ›  Loi sur la protection des données personnelles du Michigan : premier aperçu et résumé

Loi du Michigan sur la protection des données personnelles : Premier aperçu et résumé

Écrit par : Natasha Piirainen Natasha Piirainen | Mis à jour le : 2 mars 2026

Révisé par : Ali Talip Pınarbaşı, CIPP/E, & LLMAli Talip Pınarbaşı, CIPP/E, & LLM

Michigan-Personal-Data-Privacy-Act-01 (en anglais)

Le Michigan Personal Data Privacy Act est un projet de loi qui a été adopté par le Sénat du Michigan en 2023 et qui vise à créer des droits à la vie privée pour les consommateurs et des obligations pour les entreprises en ce qui concerne la vente et le traitement des données à caractère personnel.

Même si cette loi n'a pas été adoptée, j'ai résumé ce à quoi elle ressemblait et comment elle aurait affecté les entreprises si elle était devenue une loi.

MISE À JOUR : la MPDPA n'a pas été promulguée et le Michigan ne dispose toujours pas d'une loi sur la protection des données personnelles des consommateurs. 

Table des matières
  1. Qu'est-ce que la loi du Michigan sur la protection des données personnelles ?
  2. Que couvre la loi du Michigan sur la protection des données personnelles ?
  3. Exigences de la loi du Michigan sur la protection des données personnelles
  4. Quel est l'impact de la LPDP sur les entreprises ?
  5. Quel serait l'impact de la LPDP sur les consommateurs ?
  6. Qui doit se conformer à la loi du Michigan sur la protection des données personnelles ?
  7. Comment la LPDP serait-elle appliquée ?
  8. Amendes et pénalités en vertu de la loi du Michigan sur la protection des données personnelles
  9. Résumé

Qu'est-ce que la loi du Michigan sur la protection des données personnelles ?

Le Michigan Personal Data Privacy Act est un projet de loi qui vise à établir des droits en matière de protection de la vie privée pour les consommateurs du Michigan et à présenter les exigences que les entités devront respecter en ce qui concerne le traitement et la vente de données à caractère personnel. 

La sénatrice démocrate Rosemary Bayer a initialement présenté le projet de loi sénatoriale 1182 en septembre 2022, intitulé par la suite " Michigan Personal Data Privacy Act" (loi du Michigan sur la confidentialité des données personnelles)

Il a ensuite été renvoyé à la commission sénatoriale de l'énergie et de la technologie, qui l'a finalement rejeté. 

Que couvre la loi du Michigan sur la protection des données personnelles ?

Selon le texte du projet de loi, si le Michigan Personal Data Privacy Act était devenu une loi, il aurait couvert les consommateurs, comme défini pour vous dans la capture d'écran ci-dessous :

Michigan-Personal-Data-Privacy-Act-consumers-defined (en anglais)

 

Les exigences en matière de protection de la vie privée qu'il définit s'appliquent à toute personne - c'est-à-dire un particulier, un partenariat, une société, une société à responsabilité limitée, une association, une entité gouvernementale ou toute autre entité juridique - qui exerce des activités dans le Michigan ou qui produit des produits ou des services destinés aux résidents du Michigan et qui remplit l'une des conditions suivantes :

  • contrôle ou traite les données à caractère personnel d'au moins 100 000 consommateurs
  • contrôle ou traite les données à caractère personnel d'au moins 25 000 consommateurs et tire plus de 50 % de son revenu annuel brut de la vente de données à caractère personnel

    Exigences de la loi du Michigan sur la protection des données personnelles

    La loi du Michigan sur la protection des données personnelles (Michigan Personal Data Privacy Act) énonce les exigences suivantes pour les entreprises :

    • Affichage d'un site politique de confidentialité clair et accessible aux consommateurs
    • Fournir des options de consentement pour le traitement de toutes les données à caractère personnel
    • Réalisation d'analyses d'impact sur la protection des données pour le traitement des données personnelles sensibles
    • Obligations contractuelles concernant les sous-traitants tiers  
    • Exigences d'enregistrement pour les courtiers en données

    Avis de confidentialité pour les consommateurs

    En vertu de la PDPA du Michigan, les entreprises auraient été tenues d'afficher une politique de confidentialité complète expliquant toutes les informations suivantes aux consommateurs, comme indiqué à l 'article 7, paragraphe 3, du projet de loi :

    • La finalité du traitement des données à caractère personnel
    • Comment un consommateur peut exercer ses droits et comment faire appel de la décision d'un responsable du traitement concernant les demandes des consommateurs.
    • Catégories de données à caractère personnel que le responsable du traitement partage avec des tiers
    • Catégories de tiers avec lesquels le responsable du traitement partage des données à caractère personnel
    • Un responsable du traitement ou un sous-traitant peut utiliser des données à caractère personnel pour mener des recherches internes afin de développer, d'améliorer ou de réparer des produits, des services ou des technologies si le responsable du traitement ou le sous-traitant consultant ces recherches obtient le consentement du consommateur et maintient les mêmes mesures de sécurité que celles requises par ailleurs.

    Elle oblige également les entreprises à mettre en place et à décrire un ou plusieurs moyens sûrs et fiables permettant aux consommateurs d'introduire une demande d'exercice de leurs droits.

    Consentement explicite au traitement de toutes les données à caractère personnel

    S'il avait été adopté, le Michigan Data Privacy Act aurait accordé aux consommateurs le droit de donner leur consentement pour le traitement de toute donnée personnelle.

    Plus précisément, la section 7(1)(a) de la PDPA du Michigan stipule que :

    "Un responsable du traitement ne traite pas de données à caractère personnel ou de données à caractère personnel sensibles concernant un consommateur sans avoir obtenu le consentement de ce dernier..." 

    La capture d'écran ci-dessous montre comment la PDPA du Michigan définit le consentement:

    Michigan-Personal-Data-Privacy-Act-consent-definition

    Le projet de loi stipulait alors que les entreprises auraient dû limiter la collecte de données à caractère personnel à ce qui est adéquat, pertinent et raisonnablement nécessaire pour traiter les informations communiquées au consommateur. 

    Évaluations de l'impact de la protection des données

    Si la LPDP était devenue une loi, les entités qui collectent et traitent des types particuliers de données auraient été tenues d'effectuer une évaluation de l'impact sur la protection des données, comme le prévoit l'article 11, paragraphe 2, du projet de loi.

    Les entités qui collectent et traitent des données à caractère personnel selon les cinq définitions suivantes, telles qu'elles figurent dans le texte du projet de loi, auraient été tenues de réaliser des analyses d'impact sur la protection des données :

    Michigan-Personal-Data-Privacy-Act-collect-and-processers-personal-data


    L'analyse d'impact sur la protection des données aurait dû identifier et évaluer les avantages par rapport aux risques associés aux droits du consommateur liés au traitement de données sensibles, tels qu'ils sont atténués par les garanties employées par le responsable du traitement pour réduire ces risques.

    Elle aurait élargi la loi du Michigan sur la notification des violations de données, déjà en vigueur, qui stipule que les entités doivent informer les consommateurs sans délai déraisonnable de toute violation ou fuite de données concernant les noms et prénoms en combinaison avec les noms de famille :

    • Numéros de sécurité sociale
    • Permis de conduire ou numéros d'identification de l'État
    • les numéros de compte financier ou de carte de paiement en combinaison avec tout code ou mot de passe permettant l'accès au compte

    Obligations contractuelles 

    Si cette loi avait été adoptée, les entreprises auraient été tenues d'établir des contrats avec les tiers qui traitent les données et qui garantissent tous les éléments suivants : 

    • Veiller à ce que chaque personne traitant des données soit soumise à un devoir de confidentialité à l'égard des données.
    • supprimer ou renvoyer toutes les données au responsable du traitement comme demandé, à la discrétion du responsable du traitement, sauf si la conservation est requise par la loi
    • Mettre à la disposition du responsable du traitement toutes les informations en sa possession nécessaires pour démontrer le respect par le sous-traitant des obligations prévues par l'acte.
    • Exiger du sous-traitant qu'il supprime ou vous renvoie toutes les données à caractère personnel en tant que responsable du traitement, comme demandé à la fin de la prestation de services, conformément à vos instructions.
    • Le sous-traitant doit être tenu d'"engager tout sous-traitant ultérieur en vertu d'un contrat écrit conformément au paragraphe (3) qui exige que le sous-traitant ultérieur remplisse les obligations du sous-traitant en ce qui concerne les données à caractère personnel", conformément à l 'article 11, paragraphe 2, point e).

    Registre des courtiers en données 

    Une autre exigence potentielle intéressante de la PDPA du Michigan aurait eu un impact sur les courtiers en données, puisque ce projet de loi aurait exigé que tous les courtiers s'enregistrent auprès du bureau du procureur général, sous peine d'amendes pouvant aller jusqu'à 100 dollars par jour.

    La capture d'écran ci-dessous montre comment le projet de loi définit le courtier en données:

     

    Michigan-Personal-Data-Privacy-Act-data-broker-definition

    La loi du Michigan sur la protection des données personnelles comparée à d'autres projets de loi

    Deux autres États, l'Ohio et la Pennsylvanie, ont également des projets de loi sur la confidentialité des données similaires à la PDPA du Michigan, qui sont actuellement examinés par des commissions parlementaires.

    Examinons chacun d'entre eux plus en détail.

    Loi de l'Ohio sur la protection de la vie privée 

    Dans l'Ohio, l'Ohio Personal Privacy Act, ou House Bill 376, a été parrainé par 10 législateurs républicains et se trouve actuellement au sein de la commission des règles et des références.

    Cette loi s'appliquerait à toute entité à but lucratif exerçant des activités dans l'Ohio ou ciblant des consommateurs dans l'Ohio et répondant à l'une des conditions suivantes :

    • Avoir un revenu annuel de plus de 25 millions de dollars généré dans l'Ohio
    • contrôler ou traiter les données à caractère personnel de 100 000 consommateurs ou plus au cours d'une année civile
    • tire 50 % de ses revenus de la vente de données à caractère personnel et traite ou contrôle les données à caractère personnel de 25 000 consommateurs ou plus

    S'il est adopté, il accordera aux consommateurs le droit de.. :

    • Accéder aux données personnelles
    • Demande de suppression des données personnelles
    • Refus du traitement ou de la diffusion des données personnelles
    • Demander une copie portable de ses données personnelles
    • Refus de la vente de données personnelles  

    Projets de loi de la Chambre des représentants de Pennsylvanie

    En Pennsylvanie, il existe actuellement trois projets de loi sur la confidentialité des données similaires à celui du Michigan, deux intitulés "Consumer Data Privacy Act" (projets de loi 2202 et 1126) et un intitulé "Consumer Data Protection Act" (projet de loi 2257).

    Le tableau ci-dessous compare les trois projets de loi actuels de la Pennsylvanie.

    Quel est l'impact de la LPDP sur les entreprises ?

    La loi du Michigan sur la protection des données personnelles, si elle avait été promulguée, aurait eu un impact sur les entreprises en les obligeant à faire tout ce qui suit :

    • Publier un avis de confidentialité conforme à l'intention des consommateurs
    • Établir, suivre et honorer les choix des consommateurs en matière d'opt-out et d'opt-in
    • Effectuer des évaluations de l'impact de la protection des données 
    • Respecter les obligations contractuelles concernant les sous-traitants tiers

    Quel serait l'impact de la LPDP sur les consommateurs ?

    Les consommateurs auraient obtenu différents droits en matière de confidentialité des données en vertu de la PDPA du Michigan, notamment les suivants :

    • Droits en matière de protection de la vie privée
    • Droits de retrait
    • Droits d'opt-in

    Qui doit se conformer à la loi du Michigan sur la protection des données personnelles ?

    La loi du Michigan sur la protection des données personnelles se serait appliquée à toute personne exerçant une activité commerciale dans le Michigan ou produisant des produits ou des services destinés aux résidents du Michigan. 

    La capture d'écran ci-dessous montre comment le projet de loi définit légalement la personne :

     

    Michigan-Personal-Data-Privacy-Act-définition de la personne


    Vous auriez également dû atteindre l'un des seuils suivants :

    • contrôle ou traite les données à caractère personnel d'au moins 100 000 consommateurs
    • contrôle ou traite les données à caractère personnel d'au moins 25 000 consommateurs et tire plus de 50 % de son revenu annuel brut de la vente de données à caractère personnel

    Cela signifie que, comme beaucoup d'autres textes législatifs sur la confidentialité des données dans le monde, cette loi aurait eu une portée extraterritoriale et se serait appliquée aux entreprises situées en dehors du territoire du Michigan.  

    Qui est exempté de la loi du Michigan sur la protection des données personnelles ?

    Toutes les institutions suivantes ont été exemptées de la loi du Michigan sur la protection des données personnelles : 

    • Institutions financières soumises à la loi Gramm-Leach-Bliley
    • Entités couvertes et régies par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA)
    • Données autorisées et réglementées relevant du Fair Credit Reporting Act (loi sur les rapports de solvabilité)

    En ce qui concerne les consommateurs, toute personne se trouvant dans le Michigan dans un contexte professionnel ou commercial n'aurait pas été couverte par la PDPA du Michigan. 

    Comment la LPDP serait-elle appliquée ?

    Le bureau du procureur général du Michigan aurait fait appliquer la PDPA et aurait donné aux entités un préavis écrit de 30 jours pour remédier ou corriger toute infraction.

    Toutefois, contrairement à la CCPA/CPRA, la PDPA du Michigan ne donne pas aux utilisateurs le droit d'intenter une action privée.  

    Amendes et pénalités en vertu de la loi du Michigan sur la protection des données personnelles

    Les sanctions prévues par la LPDP comprennent des amendes d'un montant maximal de 7 500 dollars pour toute infraction non corrigée dans les 30 jours suivant la mise en demeure.  

    Si l'infraction concernait le fait qu'un courtier en données ne s'était pas enregistré correctement auprès du procureur général, l'amende aurait pu s'élever à 100 dollars par jour. 

    Résumé

    La PDPA du Michigan est aujourd'hui un projet de loi sur la protection de la vie privée qui a échoué, mais son champ d'application était similaire à celui d'autres lois sur la protection de la vie privée adoptées et entrées en vigueur dans les États américains, comme la CDPA de Virginie et les amendements de l'ACPR à la CCPA.

    La bonne nouvelle, c'est que chez Termly, nous sommes toujours à jour, et nous suivons donc pour vous les lois et les projets de loi sur la protection des données personnelles du Michigan, au fur et à mesure qu'ils sont examinés par les gouvernements des États. 

    Natasha Piirainen

    Écrit par Natasha Piirainen

    Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

    Lire tous les articles de Natasha Piirainen
    Ali Talip Pınarbaşı, CIPP/E, & LLM

    Révisé par Ali Talip Pınarbaşı, CIPP/E, & LLM

    Ali est un avocat londonien spécialisé dans le droit de la protection des données personnelles. Il est titulaire d'un Master of Laws en droit européen de la protection des données personnelles obtenu au King's College de Londres. Il a six ans d'expérience dans le conseil aux entreprises sur la manière de se conformer aux lois sur la protection des données.

    Lire tous les articles révisés par Ali Talip Pınarbaşı, CIPP/E, & LLM
    termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

    Construisez votre GRATUIT politique de confidentialité

    Créez un site politique de confidentialité gratuit et complet en quelques minutes !
    Construire mon libre politique de confidentialité

    Articles connexes

    1. Renforcement de la conformité de WordPress en matière de confidentialité - 01
      Renforcer la conformité en matière de confidentialité et la sécurité de WordPress grâce à la journalisation des activités
      Ressources

      10 avril 2026
      Natasha Piirainen
    2. Termly contre Transcend-01
      Termly Transcend : comparaison des fonctionnalités et des avantages
      Comparaisons

      27 mars 2026
      Ali Talip Pınarbaşı, CIPP/E et titulaire d'un LLM
    3. Termly contre Didomi - 01
      Termly Didomi : comparaison des fonctionnalités et des avantages
      Comparaisons

      27 mars 2026
      Ali Talip Pınarbaşı, CIPP/E et titulaire d'un LLM
    4. Termly vs. Politique de confidentialité - 01
      Termly PrivacyPolicies.com : comparaison des fonctionnalités et des avantages
      Comparaisons

      27 mars 2026
      Ali Talip Pınarbaşı, CIPP/E et titulaire d'un LLM
    5. Consentement aux cookies pour les start-ups et les entreprises spécialisées dans l'IA-01
      consentement aux cookies les startups et entreprises spécialisées dans l'IA
      Articles

      20 février 2026
      Natasha Piirainen
    6. Les 8 services tiers les plus courants sur les sites Web et leurs risques pour la confidentialité 01
      Les 8 services tiers les plus courants sur les sites Web et leurs risques en matière de confidentialité
      Articles

      20 février 2026
      Hanna De La Garza
    7. Politique de confidentialité pour les concessionnaires automobiles-01
      Politique de confidentialité pour les concessionnaires automobiles : comment en créer une
      Articles

      20 février 2026
      Natasha Piirainen
    8. Termly de deux fonctionnalités de gestion de sites Web en masse - 01
      Termly deux nouvelles fonctionnalités pour la gestion groupée de sites Web
      Articles

      11 février 2026
      Natasha Piirainen
    9. Meilleurs plugins WordPress pour le consentement - Comparaison 2026-01
      Comparatif des 5 meilleurs plugins de gestion du consentement pour WordPress en 2026
      Comparaisons

      6 février 2026
      Ali Talip Pınarbaşı, CIPP/E, & LLM

    Explorer d'autres ressources