Accueil ' Ressources ' Articles 'Loi du Colorado sur la protection de la vie privée (CPA)

Loi du Colorado sur la protection de la vie privée (CPA)

Couvert par Termly

Par : Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Mise à jour le : 5 novembre 2025

Essayez Termly gratuitement !
Loi sur la protection de la vie privée au Colorado-CPA-01

Le Colorado a été le troisième État américain à adopter une loi complète sur la protection de la vie privée en adoptant le loi sur la protection de la vie privée du Colorado (CPA) a été promulguée par le gouverneur Jared Polis le 7 juillet 2021.

En vigueur depuis 2023, cette loi du Colorado vise à protéger la vie privée des résidents de l'État, en leur accordant le droit de refuser la vente et l'utilisation de données personnelles et le droit d'accéder à leurs données, de les corriger et de les supprimer.

Elle décrit les différentes exigences que les entreprises concernées doivent respecter, comme l'élaboration d'une politique de confidentialité et l'utilisation d'évaluations de la protection des données pour certaines activités de traitement.

Ci-dessous, je résume la LPC pour vous et explique comment elle affecte les entreprises, vos consommateurs et les mesures que vous pouvez prendre pour répondre aux exigences de cette loi de l'État américain sur la protection de la vie privée.

Table des matières
  1. Qu'est-ce que le Colorado Privacy Act (CPA) ?
  2. Termes clés et définitions de la loi du Colorado sur la protection de la vie privée
  3. Qui doit se conformer à la loi sur la protection de la vie privée du Colorado ?
  4. Droits des consommateurs en vertu de la loi sur la protection de la vie privée du Colorado
  5. Comment la loi sur la protection de la vie privée du Colorado est-elle appliquée ?
  6. Pénalités et amendes prévues par la loi sur la protection de la vie privée du Colorado
  7. Exigences de la loi sur la protection de la vie privée du Colorado
  8. Comment se conformer à la loi sur la protection de la vie privée du Colorado (Colorado Privacy Act)

Qu'est-ce que le Colorado Privacy Act (CPA) ?

Le Colorado Privacy Act est une loi sur la protection de la vie privée des consommateurs qui s'inspire de lois telles que la loi sur la protection de la vie privée :

Toutefois, la CPA comporte quelques différences cruciales.

En général, la LPC s'applique à toutes les entités (à but lucratif ou non) qui atteignent certains seuils concernant la quantité de données des consommateurs qu'elles traitent ou contrôlent. Mais contrairement à la loi sur la protection des données de Virginie, la loi du Colorado n'exige pas de seuil de revenus.

En Virginie et en Californie, les organisations à but non lucratif sont exemptées des lois sur la protection des données, ce qui n'est pas le cas au Colorado.

La violation de la LPC est considérée comme une pratique commerciale trompeuse en vertu de la loi sur la protection des consommateurs du Colorado.

Termes clés et définitions de la loi du Colorado sur la protection de la vie privée

Voyons comment la LPC définit les termes spécifiques que nous connaissons dans les lois existantes sur la protection de la vie privée.

Contrôleurs

La plupart des nouvelles exigences concernent les "responsables du traitement " - une personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

La CPA ne s'applique qu'aux contrôleurs qui exercent des activités au Colorado ou qui ciblent les résidents du Colorado avec leurs offres de biens ou de services. Ces entreprises doivent également atteindre certains seuils pour être tenues de se conformer à la LPC.

Consommateurs

Selon la CPA, les "consommateurs" sont définis comme des résidents du Colorado agissant à titre individuel ou familial.

Toutefois, en vertu de la LPC, les personnes agissant dans un contexte commercial ou professionnel, les candidats à l'emploi et les bénéficiaires d'une personne agissant dans un contexte commercial ou professionnel ne sont pas considérés comme des "consommateurs".

Données personnelles

La LPC définit les "données à caractère personnel" comme toute information liée à une personne identifiable de manière raisonnable et ne comprend pas les données dépersonnalisées (données dans lesquelles les informations d'identification personnelle sont supprimées) ou les informations accessibles au public.

Qui doit se conformer à la loi sur la protection de la vie privée du Colorado ?

Les exigences de l'ACP s'appliquent aux contrôleurs qui exercent des activités dans le Colorado ou qui vendent des produits/services à des résidents de l'État et qui répondent à l'une ou plusieurs des conditions suivantes :

  • traite ou contrôle les données à caractère personnel de plus de 100 000 consommateurs par an
  • tire des revenus ou reçoit des remises de la vente de données à caractère personnel et contrôle ou traite les données d'au moins 25 000 consommateurs

La LPC définissant la "vente" comme l'échange de données à caractère personnel par un responsable du traitement contre de l'argent ou "toute autre contrepartie de valeur" à un tiers, elle s'applique à de nombreuses entreprises.

L'expression "autre contrepartie de valeur" est ambiguë et sujette à interprétation.

Elle suggère qu'une réduction du prix des produits ou des services peut être considérée comme une contrepartie valable, ce qui pourrait permettre de qualifier la divulgation de données à caractère personnel de vente.

Par exemple, le fait de fournir vos données à caractère personnel à une entreprise utilisant un logiciel gratuit basé sur l'informatique dématérialisée pourrait être considéré comme une remise. À moins que l'échange de données ne relève de l'une des exceptions prévues par la définition légale de la "vente", cet échange pourrait être considéré comme une vente de données à caractère personnel.

Qui est exempté de la loi sur la protection de la vie privée du Colorado ?

Bien que les organisations à but non lucratif ne soient pas exemptées de la CPA, la loi du Colorado prévoit d'autres exemptions.

Par exemple, la LPC ne s'applique pas aux données à caractère personnel conservées par l'entreprise à des fins commerciales (b2b) ou à des fins de dossiers d'emploi, ni aux données relatives aux candidats à l'emploi et aux données concernant un bénéficiaire d'une personne agissant dans le cadre d'un emploi.

Comme la CCPA, la CPA ne s'applique pas non plus aux informations protégées relatives à la santé et aux soins de santé.

En outre, le respect de la loi du Colorado n'est pas obligatoire pour toutes les entreprises. Par exemple, les entreprises qui n'atteignent pas les seuils susmentionnés - essentiellement celles qui ne traitent pas les données d'un nombre suffisant de résidents du Colorado chaque année - sont exemptées.

Les organisations suivantes sont également exemptées de la loi sur la protection de la vie privée du Colorado:

Droits des consommateurs en vertu de la loi sur la protection de la vie privée du Colorado

Les droits prévus par la loi du Colorado sont essentiellement identiques à ceux prévus par la VCDPA ou la CCPA et comprennent les éléments suivants.

Refus du traitement des données

Un consommateur a le droit de refuser le traitement des données à caractère personnel le concernant à des fins de.. :

  • Publicité ciblée
  • Vente de données à caractère personnel
  • Profilage en vue de décisions produisant des effets juridiques ou des effets significatifs similaires concernant un consommateur

Une décision produisant un effet juridique ou un effet significatif similaire peut affecter le statut juridique ou les droits légaux d'une personne ou avoir un impact équivalent sur les circonstances, le comportement ou les choix d'une personne. Dans des cas extrêmes, elle peut exclure ou discriminer la personne concernée.

Voici quelques exemples de ce type de profilage :

  • L'analyse des données personnelles pour prédire le comportement des individus en ce qui concerne leur situation financière, leur santé, leurs préférences personnelles, leur éducation, leur emploi, leur logement, leur assurance ou leur accès aux biens de première nécessité.

La loi du Colorado impose aux responsables du traitement de mettre en place une méthode simple permettant aux consommateurs de faire valoir leurs droits. Cette méthode doit figurer dans l'avis de confidentialité de l'entreprise et dans un endroit facilement accessible en dehors de cet avis.

Le procureur général du Colorado a également défini les exigences techniques d'un mécanisme universel de refus qui s'applique à la fois à la vente de données et à la publicité ciblée.

Accéder aux données personnelles

Les consommateurs ont le droit de savoir si une entreprise contrôle et traite leurs données. Si une entreprise traite des données à caractère personnel, le consommateur a le droit d'accéder à ces données.

Corriger toute donnée incorrecte

Les consommateurs du Colorado ont le droit de corriger les inexactitudes dans les données collectées à leur sujet.

Supprimer des données personnelles

Les consommateurs du Colorado ont le droit de supprimer les données personnelles les concernant.

Recevoir des données à caractère personnel par des moyens portables

Les consommateurs ont le droit de recevoir leurs données dans un format portable et facile à utiliser, ce qui leur permet de partager ces données avec un tiers si nécessaire.

Les responsables du traitement sont également tenus de permettre aux consommateurs d'utiliser un "mécanisme universel d'exclusion choisi par l'utilisateur". L'ACP reconnaît que les contrôles globaux de la protection de la vie privée sont un moyen valable de refuser la vente de données personnelles pour les entreprises qui accumulent des données privées de consommateurs sur l'internet.

Respecter les demandes des personnes concernées

Vous devez faire en sorte que les clients puissent vous contacter facilement et répondre rapidement à leurs demandes.

Cette tâche peut prendre beaucoup de temps pour les petites organisations, surtout si ces pratiques ne sont pas automatisées et si les données de l'entreprise sont stockées à différents endroits.

Toutefois, en vertu de la loi du Colorado, vous devez mettre en place des mécanismes pour accepter, suivre, vérifier et honorer les demandes des consommateurs afin qu'ils puissent exercer leurs droits d'accès, de correction et de suppression.

Comment la loi sur la protection de la vie privée du Colorado est-elle appliquée ?

La loi du Colorado sur la confidentialité des données est appliquée par le procureur général du Colorado et les procureurs de district.

Comme la loi de Virginie sur la protection de la vie privée, la LPC n'offre pas de droit d'action distinct aux consommateurs. Avant toute mesure d'exécution, le procureur général ou le procureur de district doit adresser un avis de violation au contrôleur s'il estime qu'il est possible de remédier à la situation.

Le contrôleur dispose de 60 jours pour examiner une violation présumée et y remédier. Cette période est connue sous le nom de "période de remède".

Toutefois, cette période de 60 jours cessera d'exister après le 18 janvier 2025.

Pénalités et amendes prévues par la loi sur la protection de la vie privée du Colorado

Une violation de la LPC est considérée comme une pratique commerciale trompeuse.

Les sanctions relèvent de la loi sur la protection des consommateurs du Colorado et vont de 2 000 à 20 000 dollars par infraction.

Les violations de la loi sur la protection des consommateurs du Colorado peuvent également entraîner une responsabilité pénale.

Exigences de la loi sur la protection de la vie privée du Colorado

Pour rester en conformité avec la LPC, assurez-vous de suivre ces étapes importantes :

Cartographier vos données

Si vous avez déterminé que votre entreprise n'est pas exemptée de la loi sur la protection de la vie privée du Colorado, cartographiez vos données pour vous assurer que vous comprenez comment les données circulent dans votre organisation.

Vous devez comprendre quelles données vous traitez et dans quel but afin de répondre aux demandes des personnes concernées et de déterminer la durée de conservation de ces données dans vos systèmes.

La cartographie des données est un processus continu. Vous devez donc procéder à des examens réguliers des données à caractère personnel que vous traitez et mettre à jour la documentation en conséquence.

Il est fortement conseillé de toujours documenter vos activités de traitement par écrit, de manière granulaire et en établissant des liens entre les différents éléments d'information. Pour rester en conformité, vous devez comprendre d'où viennent vos informations et comment elles sont utilisées.

Mise à jour de votre politique de confidentialité

Pour vous conformer à la LPC, vous devez réviser et mettre à jour vos politiques de protection de la vie privée afin d'y inclure les activités de traitement des données à caractère personnel, les droits dont disposent les consommateurs et les mécanismes permettant à ces derniers d'exercer ces droits.

Utiliser Termly's Générateur de politique de confidentialité si vous avez besoin d'aide pour créer une politique qui s'aligne sur les obligations de notification de l'ACP.

Effectuer des évaluations de la protection des données

Il est recommandé aux entreprises de procéder régulièrement à des évaluations de la protection des données.

Ces évaluations doivent porter sur la manière dont votre entreprise utilise et traite toute information privée et, plus important encore, sur les risques liés au traitement de ces données.

Certaines entreprises sont tenues d'effectuer ces évaluations en vertu de la LPC, en particulier si elles traitent un grand nombre de données ou d'informations personnelles sensibles.

Mettre en place un mécanisme universel d'exclusion.

Les utilisateurs doivent pouvoir refuser la vente de leurs informations personnelles en utilisant un mécanisme universel de refus, comme les contrôles globaux de confidentialité.

À partir du 1er juillet 2024, les entreprises devront mettre en œuvre un mécanisme universel d'exclusion choisi par l'utilisateur pour satisfaire aux exigences techniques de la loi du Colorado.

La mise en œuvre d'un mécanisme de consentement pour la collecte de données sensibles auprès des consommateurs est également cruciale.

Les contrôleurs qui collectent des données sensibles auprès des utilisateurs doivent obtenir une approbation certifiée et explicite.

En outre, les lois du Colorado sur la protection de la vie privée stipulent que le consentement n'implique pas l' approbation des conditions générales d'utilisation, l'utilisation de motifs obscurs ou de superpositions, le silence, l'arrêt ou la désactivation du contenu.

Par conséquent, il peut également être nécessaire d'élaborer une action explicite et affirmative par laquelle le consommateur signifie son accord pour le traitement des données à caractère personnel.

La page web, l'application ou tout autre moyen par lequel un responsable du traitement obtient le consentement d'un consommateur pour traiter des données à caractère personnel à des fins de publicité ciblée ou de vente de données à caractère personnel doit également permettre au consommateur de révoquer son consentement aussi facilement qu'il l'a donné de manière explicite.

Désigner un délégué à la protection des données

Nommer un responsable de la protection des données qui dirigera des programmes de formation réguliers afin de s'assurer que les employés peuvent traiter les demandes des consommateurs de manière opportune et cohérente, tout en respectant les exigences de la LPC.

Le délégué à la protection des données veillera également à ce que la politique de confidentialité des données de votre entreprise soit pleinement conforme à la loi.

Comment se conformer à la loi sur la protection de la vie privée du Colorado (Colorado Privacy Act)

La loi du Colorado sur la protection de la vie privée affecte profondément les entreprises, et il peut être compliqué de s'y retrouver dans ce réseau complexe de règles.

Chez Termly, nous nous concentrons sur la réglementation en matière de confidentialité des données et sur les meilleures pratiques commerciales pour le professionnel numérique moderne, et nous rendons la conformité à ces réglementations plus simple et plus économique.

Nous offrons à nos utilisateurs une sélection de générateurs de politiques juridiques - qui comprennent des politiques de confidentialité, des conditions générales, des clauses de non-responsabilité, des politiques en matière de cookies, des politiques de retour et des politiques d'expédition - et un gestionnaire deconsentement aux cookies pour aider les entreprises à s'aligner sur la LPC et bien d'autres choses encore.

Contactez notre équipe dès aujourd'hui pour vous aider à mettre votre entreprise sur la bonne voie.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Essayez Termly GRATUITEMENT!

Utilisez Termly pour créer une politique de confidentialité et une solution de consentement conformes aux normes de l'ACP en quelques MINUTES !
Essayez Termly gratuitement !

Articles connexes

  1. Politique-de-confidentialité-pour-les-publicités-Facebook-01
    Politique de confidentialité pour les publicités Facebook : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  2. Politique-de-confidentialité-pour-React-01
    Politique de confidentialité pour React : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  3. Politique-de-confidentialité-pour-Next-js-01
    Politique de confidentialité pour Next.js : comment en créer une
    Articles

    18 décembre 2025
    Natasha Piirainen
  4. 9-Types-de-données-les-plus-fréquemment-collectées-01
    Les 9 types de données les plus couramment collectées et ce que vous devez savoir à leur sujet
    Articles

    16 décembre 2025
    Natasha Piirainen
  5. Les-7-violations-les-plus-courantes-de-la-confidentialité-des-données-01
    Les 7 violations les plus courantes en matière de confidentialité des données et comment les éviter
    Articles

    15 décembre 2025
    Natasha Piirainen
  6. Politique-de-confidentialité-pour-TikTok-Shop-01
    Politique de confidentialité pour TikTok Shop : comment en créer une
    Articles

    15 décembre 2025
    Hanna De La Garza
  7. RGPD
    RGPD 10 RGPD les plus courantes RGPD et la vérité qui se cache derrière elles
    Articles

    10 décembre 2025
    Natasha Piirainen
  8. Réponses positives et négatives au DSAR-01
    Bonnes et mauvaises réponses aux demandes d'accès aux données : à quoi ressemblent-elles ?
    Ressources

    9 décembre 2025
    Hanna De La Garza
  9. Politique-de-confidentialité-pour-une-entreprise-SaaS-01
    Politique de confidentialité pour une entreprise SaaS : comment en créer une
    Articles

    4 décembre 2025
    Hanna De La Garza

Explorer d'autres ressources