Loi sur la protection des données du New Hampshire : Premier aperçu et résumé

La loi sur la confidentialité des données du New Hampshire est similaire à d'autres lois récemment adoptées par les États américains et donne aux résidents plusieurs droits sur la manière dont leurs données sont collectées et utilisées.

Elle décrit également les exigences légales auxquelles les entreprises doivent se conformer pour traiter les données à caractère personnel.

Je résume ci-dessous la loi sur la confidentialité des données du New Hampshire, en précisant à qui elle s'applique, ce qu'elle exige des entreprises, comment elle affecte les consommateurs et quelles sont les sanctions en cas de violation.

Quelle est la loi du New Hampshire sur la protection des données personnelles ?

Le New Hampshire Data Privacy Act, ou Senate Bill No. 255, est la première loi complète de l'État sur la protection de la vie privée des consommateurs.

Il décrit les lignes directrices relatives à la collecte, au traitement et au partage des données personnelles des résidents de l'État américain du New Hampshire.

La loi confère également aux individus différents droits et contrôles sur leurs informations et définit les sanctions en cas de violation de certaines parties de la loi.

Date d'entrée en vigueur de la loi du New Hampshire sur la protection des données personnelles

La loi sur la confidentialité des données du New Hampshire est entrée en vigueur le 1er janvier 2025.

La loi du New Hampshire sur la protection des données personnelles Termes clés et définitions

Pour vous aider à comprendre comment vous conformer à la loi sur la protection des données du New Hampshire, vous trouverez ci-dessous quelques termes clés et définitions tels qu'ils apparaissent dans le texte juridique officiel.

Que couvre la loi sur la protection des données du New Hampshire ?

La loi sur la confidentialité des données du New Hampshire couvre les informations personnelles des résidents de l'État, mais exclut les données accessibles au public.

Il donne aux résidents des droits et un contrôle sur la manière dont les entités externes qui respectent certains seuils légaux peuvent collecter, traiter et utiliser leurs informations.

La loi oblige les entreprises à protéger les données contre tout accès non autorisé de manière adéquate et à permettre aux citoyens du New Hampshire de refuser la publicité ciblée et la vente des informations.

Exigences de la loi sur la protection des données du New Hampshire

Afin d'aider les entreprises à se préparer à la loi, nous allons passer en revue les principales exigences de la loi sur la confidentialité des données du New Hampshire.

Vous avez besoin d'une base légale pour le traitement des données à caractère personnel

Selon la loi sur la protection des données du New Hampshire, les entreprises qui se qualifient en tant que responsables du traitement doivent limiter la collecte de données à ce qui est nécessaire :

"... adéquates, pertinentes et raisonnablement nécessaires au regard des finalités pour lesquelles ces données sont traitées, telles qu'elles ont été communiquées au consommateur".

Si votre entreprise tombe sous le coup de cette loi, vous ne pouvez collecter auprès des utilisateurs que les informations présentées sur votre site politique de confidentialité.

Pour traiter des données qui ne relèvent pas de ce champ d'application, l'entité doit obtenir le consentement adéquat de l'utilisateur.

Le consentement est également requis pour la collecte et le traitement de catégories d'informations personnelles sensibles.

Comment obtenir correctement le consentement

Pour que le consentement soit légalement obtenu en vertu de la loi sur la protection de la vie privée du New Hampshire, il doit l'être :

• Librement consentie
• Spécifique
• Informé
• Sans ambiguïté

En d'autres termes, l'utilisateur doit savoir ce qu'il accepte et prendre une mesure pour indiquer qu'il accepte le traitement des données.

Le consentement ne peut pas inclure le survol d'une bannière de consentement, la mise en sourdine, la mise en pause ou la fermeture d'un élément de contenu, et les modèles de conception trompeurs tels que les "modèles sombres" ne sont pas considérés comme un consentement.

Vous devez répondre aux demandes des consommateurs authentifiés

Les entreprises qualifiées de responsables du traitement en vertu de la loi sur la confidentialité des données du New Hampshire doivent répondre aux demandes authentifiées des consommateurs de donner suite à leurs droits dans un délai de 45 jours.

Lorsque cela est raisonnablement nécessaire, une seule prolongation de 45 jours peut s'appliquer, en fonction de la complexité de la demande et du nombre total de demandes reçues par l'entreprise.

Il incombe au responsable du traitement des données d'établir, de mettre en œuvre et de maintenir deux ou plusieurs moyens pour les consommateurs de soumettre ces demandes, y compris l'ajout d'un formulaire de demande d'accès à la base de données (DSAR) sur votre site web.

Cependant, la méthode ne peut pas exiger que les utilisateurs se connectent ou créent un nouveau compte pour soumettre des demandes.

Vous devez respecter les mécanismes universels de retrait (UOOM)

En vertu de la nouvelle loi sur la protection de la vie privée du New Hampshire, les entités concernées doivent permettre aux consommateurs de refuser la publicité ciblée et la vente de leurs données à l'aide d'un mécanisme universel de retrait (UOOM) d'ici le 1er janvier 2025.

Les UOOM, comme le Global Privacy Control (GPC), sont des paramètres de navigateur ou des extensions que les individus peuvent configurer pour refuser automatiquement le traitement des données sans avoir à cliquer sur une bannière de consentement contextuelle.

Selon le texte de la loi, la technologie ou le mécanisme doit :

• Ne pas désavantager injustement un autre contrôleur.
• Ne pas utiliser de paramètre par défaut, mais demander à l'utilisateur de choisir de se désengager activement.
• Être conviviale et facile à utiliser pour le citoyen moyen.
• être compatible avec d'autres plateformes ou technologies similaires requises par d'autres législations nationales ou fédérales.
• Permettre au responsable du traitement de déterminer avec précision si le consommateur est un résident de l'État et si la demande est légitime.

Vous devez procéder à des évaluations de la protection des données

Les responsables du traitement doivent procéder à des évaluations de la protection des données pour collecter et traiter des données à caractère personnel susceptibles de présenter un risque accru de préjudice pour les consommateurs :

• Traitement des données personnelles à des fins de publicité ciblée
• Vente de données à caractère personnel
• Traitement de données à des fins de profilage présentant un risque raisonnablement prévisible de traitement déloyal ou trompeur ou d'impact illégal sur les consommateurs.
• Traitement des données personnelles sensibles

Selon la loi, ces évaluations doivent s'appliquer aux activités de traitement qui ont débuté à partir du 1er juillet 2024.

L'évaluation doit identifier et mettre en balance les avantages susceptibles d'avoir un impact direct ou indirect sur le consommateur et les risques potentiels, en tenant compte de l'utilisation des données dépersonnalisées et des attentes raisonnables des consommateurs.

Une seule évaluation de la protection des données peut porter sur un ensemble comparable d'activités de traitement, pour autant qu'elles soient de nature similaire.

Vous devez signer des contrats avec les responsables du traitement des données

Pour que les responsables du traitement puissent travailler avec des sous-traitants, la loi sur la protection des données du New Hampshire exige que les deux entités signent des contrats qui définissent les obligations suivantes :

• Elle énonce les instructions relatives au traitement des données, la nature et la finalité du traitement, le type de données faisant l'objet du traitement, la durée du traitement, ainsi que les droits et obligations des deux parties.
• Exiger du sous-traitant qu'il s'assure que toute personne impliquée dans le traitement des données est soumise à un devoir de confidentialité.
• Exiger du sous-traitant qu'il supprime ou restitue toutes les données à caractère personnel sur instruction du responsable du traitement, à moins que la loi n'exige la conservation de ces données.
• Exiger du sous-traitant qu'il mette toutes les données à la disposition du responsable du traitement, à sa discrétion, afin de démontrer qu'il respecte la loi du New Hampshire sur la protection des données personnelles.
• Exiger du sous-traitant qu'il utilise un contrat contenant les mêmes clauses pour tout sous-traitant et permettre au responsable du traitement de s'opposer à leur traitement.
• Exiger des sous-traitants qu'ils coopèrent aux évaluations de la protection des données, soit en faisant appel à un évaluateur désigné par le responsable du traitement, soit en demandant à un évaluateur qualifié et indépendant de procéder à l'évaluation.

Vous devez mettre en œuvre des mesures de sécurité des données

La loi sur la protection des données du New Hampshire exige des responsables du traitement qu'ils établissent, mettent en œuvre et maintiennent des mesures de sécurité pour protéger de manière adéquate les données à caractère personnel qu'ils collectent.

Plus précisément, ils doivent protéger la confidentialité, l'intégrité et l'accessibilité des informations personnelles.

Vos techniques de sécurité doivent tenir compte du volume et de la nature des données collectées par l'entité.

La loi du New Hampshire sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences

Plusieurs autres États américains disposent de lois complètes sur la protection de la vie privée des consommateurs qui présentent des similitudes avec la loi du New Hampshire :

• California Consumer Protection Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA) - actuellement en vigueur
• Colorado Privacy Act (CPA) - actuellement en vigueur
• Loi du Connecticut sur la protection des données (CTDPA ) - actuellement en vigueur
• Charte des droits numériques de Floride (FDBR ) - actuellement en vigueur
• Loi du Delaware sur la protection des données personnelles (DPDPA) - actuellement en vigueur
• Indiana Consumer Data Protection Act (Indiana CDPA ) - entrée en vigueur le 1er janvier 2026
• Iowa Consumer Data Protection Act (Iowa CDPA) - actuellement en vigueur
• Kentucky Consumer Data Protection Act (KCDPA) - entrée en vigueur le 1er janvier 2026
• Minnesota Consumer Data Privacy Act (MCDPA) - entrée en vigueur le 31 juillet 2025
• Loi du Maryland sur la confidentialité des données en ligne (MODPA) - entrée en vigueur le 1er octobre 2025
• Montana Consumer Data Privacy Act (MCDPA) - actuellement en vigueur
• Nebraska Data Privacy Act (NDPA) - actuellement en vigueur
• New Jersey Data Privacy Act (NJDPA ) - actuellement en vigueur
• Oregon Consumer Privacy Act (OCPA) - actuellement en vigueur
• Tennessee Information Protection Act (TIPA) - entrée en vigueur le 1er juillet 2025
• Texas Data Privacy and Security Act (TDPSA ) - actuellement en vigueur
• Utah Consumer Privacy Act (UCPA) - actuellement en vigueur
• Virginia Consumer Data Protection Act (VCDPA) - actuellement en vigueur

Le tableau ci-dessous permet de comparer la loi sur la protection de la vie privée du New Hampshire avec les autres lois sur la protection de la vie privée adoptées au niveau des États.

Quel sera l'impact sur les consommateurs de la loi du New Hampshire sur la protection des données personnelles ?

La loi du New Hampshire sur la protection des données personnelles donne aux résidents de l'État les droits suivants sur leurs informations personnelles :

• Confirmer si un responsable du traitement traite leurs données à caractère personnel.
• Accéder aux informations que le responsable du traitement traite à leur sujet (à moins que cet accès n'expose à un secret commercial).
• Corriger les inexactitudes dans leurs informations.
• Effacer les données fournies par eux ou obtenues à leur sujet.
• Obtenir une copie portable de leurs données.
• Refuser le traitement des données personnelles à des fins de publicité ciblée.
• S'opposer à la vente de leurs données personnelles.
• Refuser le profilage dans le cadre de décisions uniquement automatisées qui produisent des effets juridiques ou des effets similaires significatifs pour le consommateur.

À qui s'applique la loi du New Hampshire sur la protection des données personnelles ?

La loi sur la protection des données du New Hampshire s'applique aux informations personnelles des résidents de l'État.

Il ne s'applique pas aux :

• Personnes agissant dans un contexte commercial ou professionnel
• Les personnes agissant en tant qu'employés, propriétaires, directeurs, responsables ou entrepreneurs d'une société, d'un partenariat, d'une entreprise individuelle ou d'un organisme à but non lucratif.
• les agences gouvernementales dont les communications s'inscrivent uniquement dans le cadre du rôle de l'individu au sein de la société, du partenariat, de l'entreprise individuelle, de l'organisation à but non lucratif ou de l'agence gouvernementale.

Quel sera l'impact de la loi sur la protection des données personnelles du New Hampshire sur les entreprises ?

Outre les exigences de traitement légal, les demandes vérifiées des consommateurs et les lignes directrices en matière de sécurité mentionnées ci-dessus, la loi sur la protection des données du New Hampshire a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.

Comment la loi sur la protection des données du New Hampshire affectera-t-elle mon site politique de confidentialité?

Les responsables du traitement des données doivent présenter aux consommateurs une politique claire et significative en matière de protection de la vie privée, comprenant toutes les informations suivantes :

• Les catégories de données à caractère personnel traitées
• La finalité du traitement des données
• Comment les consommateurs peuvent-ils exercer leurs droits et faire appel de la décision du responsable du traitement concernant ces demandes ?
• Les catégories de données partagées avec des tiers, le cas échéant
• les catégories de tiers avec lesquels les données sont partagées, le cas échéant
• une adresse électronique active ou un autre mécanisme en ligne que le consommateur peut utiliser pour contacter le responsable du traitement

En outre, les responsables du traitement doivent indiquer dans leur politique de confidentialité s'ils vendent des données à des tiers ou s'ils traitent des données à des fins de publicité ciblée et inclure des informations sur la manière dont le consommateur peut refuser ce type de traitement des données.

Pour répondre à ces exigences de notification, les entreprises doivent mettre à jour leurs politiques de protection de la vie privée.

Comment la loi sur la protection des données du New Hampshire affectera-t-elle mon site politique de cookies?

La loi sur la protection de la vie privée des consommateurs du New Hampshire considère les données collectées par les cookies Internet comme des données personnelles, et les résidents ont le droit de limiter la manière dont ces cookies sont traités.

Par exemple, si vous vendez des données collectées au moyen de cookies ou si vous les utilisez pour faire de la publicité ciblée, vous devez en informer vos utilisateurs et leur donner la possibilité de s'y opposer.

Qui doit se conformer à la nouvelle loi du New Hampshire sur la protection des données personnelles ?

Les organisations qui exercent une activité commerciale dans l'État ou qui produisent des produits ou des services destinés aux résidents de l'État et qui remplissent les conditions suivantes au cours d'une même année civile :

• contrôle ou traite les données à caractère personnel d'au moins 35 000 consommateurs uniques (à l'exclusion des données traitées uniquement pour effectuer une transaction de paiement).
• contrôle ou traite les données à caractère personnel d'au moins 10 000 consommateurs uniques et tire plus de 25 % de son revenu annuel brut de la vente de données à caractère personnel.

Qui est exempté de la loi sur la confidentialité des données du New Hampshire ?

Les organisations suivantes sont exemptées de l'application de la loi sur la protection des données du New Hampshire :

• Subdivisions politiques de tout organisme, autorité, conseil, bureau, commission, district ou agence de l'État
• Organismes à but non lucratif
• Établissements d'enseignement supérieur
• Associations nationales de valeurs mobilières enregistrées en vertu de la section 78o-3 du 15 U.S.C. du Securities Exchange Act de 1934, tel que modifié.
• Institutions financières soumises à la loi Gramm-Leach-Bliley (GLBA)
• Entités couvertes ou associés commerciaux tels que définis dans le règlement 45 C.F.R. 160.103. (b)

Comment les entreprises peuvent-elles se préparer à la loi du New Hampshire sur la protection des données personnelles ?

Pour se préparer à la nouvelle loi du New Hampshire sur la confidentialité des données, les entreprises doivent mettre à jour leurs politiques en matière de confidentialité et de cookies afin de respecter toutes les obligations de notification.

Vous devez également configurer les bannières consentement aux cookies pour permettre aux utilisateurs de refuser les activités de traitement telles que la publicité ciblée et la vente de leurs données.

Si vous faites appel à des sous-traitants, mettez en place des contrats qui incluent les clauses requises décrites par la loi.

Veiller à ce que les consommateurs disposent d'au moins deux méthodes conformes pour exercer leurs droits en matière de protection des données à caractère personnel, par exemple en ajoutant un formulaire DSAR sur les sites web.

Les sites web doivent également être prêts à honorer les demandes d'exclusion des consommateurs qui utilisent des UOOM sur leur navigateur ou une extension de navigateur, comme les GPC.

Comment la loi sur la confidentialité des données du New Hampshire sera-t-elle appliquée ?

Dans le New Hampshire, le procureur général (AG) est seul habilité à faire appliquer la nouvelle loi.

Du 1er janvier au 31 décembre 2025, l'AG peut adresser un avis de violation aux contrôleurs et leur accorder un délai de grâce de 60 jours.

À partir du 1er janvier 2026, l'AG déterminera au cas par cas si un contrôleur ou un processeur bénéficie d'une période de guérison sur la base des éléments suivants :

• Le nombre d'infractions
• La taille et la complexité du contrôleur ou du processeur
• La nature des activités de traitement
• La probabilité d'un préjudice pour le public
• la sécurité des personnes et des biens
• Si une erreur humaine ou technique est à l'origine des violations alléguées

Amendes et sanctions prévues par la loi du New Hampshire sur la protection des données personnelles

Le texte de la loi sur la protection des données du New Hampshire ne prévoit pas d'amendes ou de sanctions spécifiques.

Toutefois, la violation de cette disposition sera considérée comme une méthode de concurrence déloyale ou un acte ou une pratique trompeuse en vertu de la loi RSA 358-A:2 et sera appliquée par l'AG.

Le texte précise qu'aucune disposition de la loi ne confère aux consommateurs un droit d'action privée.

Comment Termly aide à la mise en conformité avec la loi sur la confidentialité des données du New Hampshire

Notre Générateur de politique de confidentialité comprend les clauses nécessaires requises par la nouvelle législation, ce qui simplifie la mise en conformité.

Soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, notre Générateur de politique de confidentialité pose des questions de base sur votre entreprise et ses activités de traitement des données.

Ensuite, il crée une politique unique que vous pouvez intégrer directement sur votre site web ou votre application.

Nous proposons également un siteplateforme de gestion du consentement (CMP) qui peut être configuré pour répondre aux exigences de non-participation définies par la loi du New Hampshire sur la protection de la vie privée des consommateurs.

Existe-t-il d'autres lois relatives à la protection de la vie privée au New Hampshire ?

Plusieurs autres lois sur la confidentialité des données existent au New Hampshire, notamment les suivantes :

• Loi sur le droit à la vie privée du New Hampshire: Présente les lignes directrices relatives à la notification des atteintes à la protection des données et de la cybersécurité.
• Protection des informations relatives aux élèves et aux enseignants et respect de la vie privée: Décrit les restrictions applicables aux sites web utilisés ou commercialisés pour les programmes scolaires de la maternelle à la 12e année.
• Réglementation des pratiques commerciales pour la protection des consommateurs: décrit les pratiques commerciales déloyales et trompeuses, y compris les politiques de protection de la vie privée fausses ou trompeuses.

Ces lois fonctionneront en tandem avec la loi du New Hampshire sur la protection des données personnelles.

Résumé

Si votre entreprise atteint les seuils légaux de la loi sur la confidentialité des données du New Hampshire, n'oubliez pas de mettre à jour et de présenter aux utilisateurs une politique de confidentialité conforme et de vous assurer que votre politique de cookies est exacte et décrit si votre site utilise des cookies pour vendre des données ou faire de la publicité ciblée.

Mettez en place au moins deux moyens permettant aux utilisateurs du New Hampshire de soumettre des demandes vérifiables de suivi de leurs droits, comme un formulaire DSAR, et veillez à ce que votre site web puisse honorer les UOOM.

Utilisez des solutions telles que notre plateforme de gestion du consentement (CMP) et notre Générateur de politique de confidentialité pour simplifier la mise en conformité avec la loi sur la protection de la vie privée du New Hampshire.

En savoir plus sur l'auteur

Rédigé par Stefani Schmidt, M.S., CIPM, CIPP-US

Stefani est une professionnelle de la confidentialité des données, du risque, de la conformité et de la gestion de programme, avec une expérience dans les secteurs de la communication, de la finance et de l'adtech. Stefani a travaillé en étroite collaboration avec les parties prenantes de différents départements pour faire avancer les initiatives en matière de protection de la vie privée dans les entreprises, y compris les examens de la protection de la vie privée et de la sécurité des nouvelles initiatives commerciales et des nouveaux fournisseurs. Stefani est titulaire d'une maîtrise en technologies de la sécurité de l'Université du Minnesota - Twin Cities et d'une licence en journalisme et sciences politiques. En savoir plus sur l'auteur