En mai 2024, les législateurs du Minnesota ont adopté la première loi sur la confidentialité des données des consommateurs dans l'État, le Minnesota Consumer Data Privacy Act(MCDPA).
Vous trouverez ci-dessous une présentation de la loi MCDPA, de ses exigences, de son impact sur les entreprises et les consommateurs, et des sanctions prévues en cas de non-respect de la loi.
- Qu'est-ce que la loi du Minnesota sur la protection des données des consommateurs (MCDPA) ?
- Termes clés et définitions du MCDPA
- Que couvre la loi du Minnesota sur la protection des données des consommateurs ?
- Exigences de la loi du Minnesota sur la protection des données des consommateurs
- Loi sur la protection des données des consommateurs du Minnesota par rapport à d'autres États : Similitudes et différences
- Quel sera l'impact de la MCDPA sur les consommateurs ?
- À qui s'applique la MCDPA ?
- Quel sera l'impact de la MCDPA sur les entreprises ?
- Qui doit se conformer à la nouvelle loi du Minnesota sur la protection des données personnelles ?
- Comment les entreprises peuvent-elles se préparer à la MCDPA ?
- Comment le MCDPA sera-t-il appliqué ?
- Amendes et pénalités en vertu de la loi du Minnesota sur la protection de la vie privée des consommateurs
- Comment le site Termly contribuera-t-il à la mise en conformité avec la loi MCDPA ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée dans le Minnesota ?
- Résumé
Qu'est-ce que la loi du Minnesota sur la protection des données des consommateurs (MCDPA) ?
La loi du Minnesota sur la protection des données des consommateurs (MCDPA) est la première loi complète de l'État sur la protection de la vie privée des consommateurs.
Il décrit les protections et les droits des résidents sur la manière dont leurs informations personnelles sont collectées, traitées et utilisées par des entités externes.
La loi décrit également les sanctions en cas de non-respect.
Date d'entrée en vigueur de l'AMPCD
La MCDPA est entrée en vigueur le 31 juillet 2025.
Termes clés et définitions du MCDPA
Pour vous aider à mieux comprendre la MCDPA, j'ai inclus plusieurs termes clés et leurs définitions exactement comme ils apparaissent dans le texte de la loi :
Ces termes sont utilisés dans le présent guide en tenant compte de ces définitions.
Que couvre la loi du Minnesota sur la protection des données des consommateurs ?
La MCDPA couvre les informations personnelles des résidents de l'État du Minnesota.
Elle ne couvre pas les informations dépersonnalisées ou accessibles au public.
Exigences de la loi du Minnesota sur la protection des données des consommateurs
J'explique ci-dessous quelques-unes des exigences commerciales essentielles définies par la MCDPA.
Base légale du traitement des données à caractère personnel
Selon la loi MCDPA, les entités ne peuvent collecter que les données à caractère personnel considérées comme raisonnables et nécessaires pour atteindre les objectifs du traitement tels qu'ils ont été communiqués au consommateur.
Pour collecter des informations qui sortent de ce cadre ou pour collecter des catégories de données sensibles ou des données concernant un enfant connu, vous devez obtenir le consentement légal des utilisateurs ou de leurs tuteurs légaux.
Consentement
La MCDPA donne une définition précise du consentement du consommateur et, pour être considéré comme légal, il doit remplir les conditions suivantes :
- Le consentement doit être donné librement, en connaissance de cause et sans ambiguïté.
- L'acceptation ne peut être alambiquée par des conditions d'utilisation générales ou d'autres termes similaires.
- Le fait de survoler, de mettre en sourdine, de mettre en pause ou de fermer un contenu n'est pas considéré comme un consentement.
- Le consentement ne peut être obtenu par le biais d'un motif sombre.
- Les consommateurs peuvent révoquer leur consentement à tout moment.
Obligations contractuelles entre les responsables du traitement et les sous-traitants
La MCDPA exige que les responsables du traitement qui travaillent avec des sous-traitants tiers signent tous deux un contrat contraignant décrivant les éléments suivants :
- Il précise les instructions relatives au traitement, sa nature et sa finalité, les types de données faisant l'objet du traitement, sa durée, ainsi que les droits et obligations des deux parties.
- Veiller à ce que chaque personne traitant des données soit soumise à un devoir de confidentialité.
- N'engager un sous-traitant qu'après avoir donné au responsable du traitement la possibilité de s'y opposer et exiger du sous-traitant qu'il signe un document décrivant ces mêmes obligations.
- Sur instruction du responsable du traitement, le sous-traitant est tenu d'effacer ou de restituer toutes les données à la fin du contrat, à moins que leur conservation ne soit requise par la loi.
- Sur instruction du responsable du traitement, le sous-traitant est tenu de mettre à disposition toutes les informations nécessaires pour démontrer le respect de la LPMD.
- Exiger du sous-traitant qu'il permette au responsable du traitement ou à un évaluateur désigné d'effectuer des évaluations et des inspections raisonnables et qu'il y contribue.
Non-discrimination
La MCDPA explique que les responsables du traitement ne peuvent pas traiter les données à caractère personnel d'une manière qui entraîne une discrimination illégale à l'encontre du consommateur ou d'une catégorie de consommateurs sur la base de l'offre ou de la fourniture d'un service :
- Logement
- Emploi
- Crédit
- L'éducation
- Biens
- Services
- Installations
- Privilèges
- Avantages
- Hébergement de tout lieu d'hébergement public
Mécanismes universels de retrait du consentement
La loi MCDPA donne explicitement aux consommateurs le droit d'utiliser un mécanisme universel d'exclusion (UOOM) pour soumettre des demandes vérifiables afin de donner suite à leurs droits d'exclusion.
La technologie UOOM, comme les contrôles globaux de confidentialité(CGP), est un paramètre du navigateur ou une extension que les utilisateurs peuvent activer pour informer automatiquement les sites web qu'ils ne souhaitent pas faire l'objet de publicité ciblée ou que leurs données ne soient pas vendues ou partagées avec des tiers.
Évaluations de la confidentialité et de la protection des données
La loi MCDPA décrit des exigences strictes en matière d'évaluation de la confidentialité et de la protection des données à l' article 10 de la loi.
Les responsables du traitement sont tenus de procéder à des évaluations de la confidentialité et de la protection des données pour l'une des raisons suivantes :
- Traiter les données à des fins de publicité ciblée
- La vente de données à caractère personnel
- Traiter des données personnelles sensibles
- Toute activité de traitement de données à caractère personnel présentant un risque élevé de préjudice pour les consommateurs
- Traitement des données à caractère personnel à des fins de profilage
L'évaluation doit identifier et mettre en balance les avantages du traitement et les risques potentiels qui y sont associés, tels qu'ils sont atténués par toute mesure de sauvegarde prise par le responsable du traitement.
Une évaluation utilisée pour répondre à des exigences similaires d'une autre loi sur la protection de la vie privée dont le champ d'application est similaire peut également être prise en compte dans le cadre du MCDPA.
Exigences pour les petites entreprises
Conformément à la section 9 de la MCDPA, les entités qualifiées de petites entreprises au sens de la Small Business Administration des États-Unis et qui fabriquent des produits dans le Minnesota ou ciblent des résidents de l'État ne peuvent pas vendre de données personnelles sensibles sans avoir obtenu le consentement des intéressés.
Bien que ces petites entreprises ne soient pas tenues de respecter le reste des lignes directrices de la MCDPA, elles doivent respecter les droits du consommateur en matière de consentement, sous peine de se voir infliger une amende pouvant aller jusqu'à 7 500 dollars par infraction.
Loi sur la protection des données des consommateurs du Minnesota par rapport à d'autres États : Similitudes et différences
Plusieurs autres États américains disposent également de lois sur la protection de la vie privée, dont les suivants :
- Loi californienne sur la protection des consommateurs (CCPA), telle que modifiée par la loi californienne sur les droits à la vie privée (CPRA)
- Loi du Colorado sur la protection de la vie privée (CPA)
- Loi du Connecticut sur la protection des données (CTDPA)
- Loi du Delaware sur la protection des données personnelles (DPDPA)
- Charte des droits numériques de Floride (FDBR)
- Loi de l'Iowa sur la protection des données des consommateurs (Iowa CDPA)
- Loi de l'Indiana sur la protection des données des consommateurs (Indiana CDPA)
- Loi du Kentucky sur la protection des données des consommateurs (KCDPA)
- Loi du Maryland sur la protection des données en ligne (MODPA)
- Loi du Montana sur la protection des données des consommateurs (MCDPA)
- Loi du Nebraska sur la protection des données (NDPA)
- Loi sur la protection des données du New Hampshire (NHDPL)
- Loi sur la protection des données du New Jersey (NJDPA)
- Loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA)
- Loi sur la protection des informations du Tennessee (TIPA)
- Loi du Texas sur la confidentialité et la sécurité des données (TDPSA)
- Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- Loi sur la protection des données des consommateurs de Virginie (VCDPA)
Vous pouvez comparer ces lois à la MCDPA dans le tableau ci-dessous.
| Droit national | Consentement explicite pour certains types de traitement de données | Consentement négatif pour certains types de traitement de données | Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) | Nécessité d'une évaluation de la protection des données | L'obligation contractuelle avec les sous-traitants tiers est précisée | Permet des poursuites civiles ou un droit d'action privé | Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur |
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Indiana | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de l'Iowa | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
Quel sera l'impact de la MCDPA sur les consommateurs ?
La MCDPA a un impact sur les consommateurs en leur accordant les droits suivants sur leurs données personnelles :
- Confirmer si un responsable du traitement traite leurs données à caractère personnel et accéder aux catégories de données à caractère personnel traitées.
- Corriger les inexactitudes dans leurs données personnelles.
- Supprimer leurs données personnelles.
- Obtenir les données personnelles collectées à leur sujet dans un format portable.
- Refuser le traitement à des fins de publicité ciblée.
- S'opposer à la vente de leurs données personnelles.
- refuser le profilage dans le cadre de décisions automatisées produisant des effets juridiques.
Les consommateurs ont également le droit d'obtenir une liste des tiers spécifiques auxquels un responsable du traitement a communiqué leurs données personnelles.
Ils peuvent exercer ces droits en adressant à tout moment une demande au responsable du traitement, en précisant les droits qu'ils souhaitent exercer.
À qui s'applique la MCDPA ?
La MCDPA s'applique aux résidents du Minnesota agissant dans un contexte individuel ou domestique et ne couvre pas les personnes de l'État agissant dans un contexte professionnel ou commercial.
Quel sera l'impact de la MCDPA sur les entreprises ?
Au-delà des obligations contractuelles et des exigences de l'UOOM que j'ai décrites précédemment dans ce guide, la MCDPA a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.
Comment le MCDPA affectera-t-il mon site politique de confidentialité?
La MCDPA a un impact considérable sur les politiques de protection de la vie privée et définit des exigences plus spécifiques que la plupart des autres lois sur la protection de la vie privée en vigueur dans les États américains.
Plus précisément, l'article 8 de la MCDPA affecte les politiques de protection de la vie privée des entreprises en exigeant qu'elles contiennent toutes les informations suivantes :
En outre, la loi stipule que les avis de confidentialité doivent être mis à la disposition du public dans chaque langue dans laquelle le responsable du traitement fournit un produit ou un service qui fait l'objet de l'avis de confidentialité.
Il doit être accessible et utilisable par les personnes handicapées.
Si la politique est modifiée de manière substantielle, le responsable du traitement doit en informer les consommateurs concernés par la modification et leur donner la possibilité de refuser ou de retirer leur consentement.
Enfin, la politique de confidentialité doit être affichée au moyen d'un lien hypertexte bien visible utilisant le mot "privacy" sur la page d'accueil du site web ou sur la page de téléchargement de l'application mobile ou du magasin d'applications.
Si un responsable du traitement n'utilise pas de site web, la politique de confidentialité doit être présentée aux utilisateurs de la manière dont ils interagissent habituellement avec le responsable du traitement, y compris par courrier.
Comment le MCDPA affectera-t-il mon site politique de cookies?
La loi MCDPA a une incidence sur la politique des entreprises en matière de cookies, car elle donne aux consommateurs le droit de refuser le traitement des données, qui s'effectue souvent par le déploiement de cookies sur les navigateurs des utilisateurs. Elle définit également les exigences de transparence à respecter.
Si vous utilisez des cookies Internet pour collecter des données personnelles auprès des utilisateurs du Minnesota, vous devez en informer clairement les consommateurs et leur indiquer comment ils peuvent faire valoir leurs droits.
Par conséquent, en vertu de la MCDPA, votre site politique de cookies doit être à jour, exact et lié à votre politique de confidentialité.
Qui doit se conformer à la nouvelle loi du Minnesota sur la protection des données personnelles ?
Votre entreprise doit se conformer à la MCDPA si vous exercez des activités dans le Minnesota ou si vous produisez des produits et des services destinés aux résidents de l'État et si vous remplissez au moins l'une des conditions suivantes :
- contrôle ou traite les données à caractère personnel de 100 000 consommateurs au cours d'une année civile, à l'exclusion des données traitées uniquement pour effectuer une transaction de paiement.
- tire plus de 25 % de son revenu brut de la vente de données à caractère personnel et traite ou contrôle les données de 25 000 consommateurs ou plus.
Qui est exempté de la MCDPA ?
Plusieurs entités différentes sont exemptées de l'application de la MCDPA, notamment les suivantes :
- Entités publiques
- Organismes à but non lucratif créés pour détecter et prévenir la fraude à l'assurance
- Tribus indiennes reconnues par le gouvernement fédéral
- Certaines banques, coopératives de crédit et compagnies d'assurance
- Informations protégées sur la santé régies par la loi sur la portabilité et l'accessibilité de l'assurance maladie (Health Insurance Portability and Accessibility Act - HIPAA)
- Données financières réglementées par la loi Gramm-Leach-Bliley (GLBA)
Comment les entreprises peuvent-elles se préparer à la MCDPA ?
Pour se préparer à la nouvelle loi du Minnesota sur la confidentialité des données, les entreprises doivent mettre à jour leurs politiques en matière de confidentialité et de cookies afin de se conformer à toutes les directives de notification énoncées par la MCDPA.
Utilisez également le site plateforme de gestion du consentement (CMP) pour permettre aux utilisateurs d'exercer leur droit de retrait pour certains traitements de données, comme la publicité ciblée.
Ajoutez un formulaire de demande d'accès aux données (DSAR) à votre site afin que les résidents du Minnesota puissent soumettre des demandes vérifiables pour exercer leurs droits, et mettez en place une procédure d'appel.
Enfin, assurez-vous que votre site web est prêt à reconnaître les préférences de retrait des consommateurs définies par des UOOM comme GPC et d'autres extensions et paramètres de navigateur.
Comment le MCDPA sera-t-il appliqué ?
Le procureur général du Minnesota est seul habilité à faire appliquer la MCDPA.
Les entités qui auraient enfreint la loi disposent d'un délai de 30 jours pour remédier à la situation, délai qui prend fin le 31 janvier 2026.
Amendes et pénalités en vertu de la loi du Minnesota sur la protection de la vie privée des consommateurs
Les amendes pour violation de la MCDPA peuvent atteindre 7 500 dollars par infraction.
Toutefois, les consommateurs n'ont pas le droit d'intenter une action privée en vertu de cette loi.
Comment le site Termly contribuera-t-il à la mise en conformité avec la loi MCDPA ?
Termly les entreprises à se conformer à la loi MCDPA en leur fournissant notre Générateur de politique de confidentialité, qui comprend les informations de notification requises par cette loi et d'autres législations.
Notre équipe juridique et nos experts en confidentialité des données soutiennent nos générateurs de politiques, qui sont incroyablement faciles à utiliser. Ils vous posent des questions simples sur votre entreprise et créent une politique complète pour vous en fonction de vos réponses.
Nous proposons également une plateforme de gestion du consentement CMP) que vous pouvez configurer pour répondre aux exigences d'opt-out prévues par la loi.
Il comprend un formulaire gratuit de demande d'accès aux données (DSAR), qui vous permet de proposer plus facilement à vos utilisateurs du Minnesota un moyen de soumettre des demandes vérifiables afin de faire valoir leurs nouveaux droits en matière de confidentialité.
Existe-t-il d'autres lois relatives à la protection de la vie privée dans le Minnesota ?
Le Minnesota est protégé par quelques autres lois relatives à la protection de la vie privée qui fonctionneront en tandem avec la MCDPA lorsqu'elle entrera en vigueur, notamment les lois suivantes :
- Chapitre 325M, Vie privée sur Internet: Ce chapitre indique quand la divulgation d'informations personnelles sur Internet est interdite, quand elle est nécessaire, et décrit les lignes directrices pour les permissions et autorisations concernant les fournisseurs d'accès à Internet.
- Chapitre 325E, section 61, la loi sur la notification des violations: Ce chapitre décrit les lignes directrices relatives à la notification des personnes dont les données ont été compromises dans le cadre d'une violation, ainsi que les responsabilités de l'entité couverte.
- Chapitre 325E, section 64, loi sur la sécurité des cartes plastiques: Ce chapitre décrit les exigences en matière de notification des violations de données en ce qui concerne les institutions financières.
- Chapitre 325E, section 59, Utilisation des numéros de sécurité sociale: Ce chapitre interdit aux entités de demander aux consommateurs de partager leurs numéros de sécurité sociale sur l'internet sans mettre en place les protections appropriées.
- Chapitre 626A, section 02, Interception et divulgation des communications: Ce chapitre empêche les entités d'intercepter certaines formes de communication par fil, par voie électronique ou par d'autres moyens.
- Chapitre 609, section 527, Usurpation d'identité: Ce chapitre décrit les sanctions encourues si une personne transfère ou utilise les données ou l'identité d'une autre personne à des fins malveillantes.
- Chapitre 13, la loi du Minnesota sur les pratiques gouvernementales en matière de données (MGDPA): Ce chapitre décrit les exigences auxquelles sont soumises les entités gouvernementales en matière de collecte et d'utilisation de données à caractère personnel.
Résumé
Si votre entreprise est soumise à la loi sur la protection des données des consommateurs du Minnesota, assurez-vous de prendre les mesures nécessaires pour vous préparer à la mise en conformité :
- Veillez à ce que vos politiques en matière de confidentialité et de cookies soient mises à jour et exactes.
- Configurez votre site web de manière à ce qu'il comprenne et respecte les préférences d'exclusion des consommateurs en utilisant une technologie telle que l'UOOM.
- Ajoutez un formulaire DSAR sur votre site web et décrivez la procédure de recours que les consommateurs peuvent suivre pour faire appel de vos décisions concernant leurs demandes en matière de protection de la vie privée.
- Établissez et signez des contrats adéquats si vous travaillez avec des sous-traitants tiers.
- Effectuer des évaluations de la confidentialité et de la protection des données pour des activités de traitement spécifiques.
Éliminez certains des problèmes de conformité en matière de protection de la vie privée en utilisant des solutions telles que nos solutions de gestion de l'information et de protection de la vie privée. Générateur de politique de confidentialité et CMP pour répondre aux exigences de lois telles que la MCDPA.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
