Accueil ' Ressources ' Articles 'Loi sur la confidentialité des données du New Jersey : Première...

Loi sur la protection des données du New Jersey : Premier aperçu et résumé

Couvert par Termly

Par : Josh Langeland, CIPM Josh Langeland, CIPM | Mise à jour le : 12 novembre 2025

Générer une politique de confidentialité gratuitement
New-Jersey-Data-Privacy-Act-NJDPA-01 (en anglais)

Le 16 janvier 2024, le gouverneur du New Jersey a signé le projet de loi 332 du Sénat, le New Jersey Data Privacy Act (NJDPA), qui est désormais en vigueur.

La loi sur la protection de la vie privée (NJDPA) définit les protections et les droits en matière de protection de la vie privée pour les résidents de l'État.

Dans ce guide, j'explique ce qu'exige la NJDPA, son impact sur les entreprises et les consommateurs, et les mesures que vous devez prendre pour vous mettre en conformité.

Table des matières
  1. Qu'est-ce que la loi du New Jersey sur la protection des données personnelles (NJDPA) ?
  2. Termes clés et définitions de la NJDPA
  3. Que couvre la loi sur la confidentialité des données du New Jersey ?
  4. Exigences de la loi sur la confidentialité des données du New Jersey
  5. La loi du New Jersey sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences
  6. Quel est l'impact de la NJDPA sur les consommateurs ?
  7. À qui s'applique la NJDPA ?
  8. Quel est l'impact de la NJDPA sur les entreprises ?
  9. Qui doit se conformer à la nouvelle loi du New Jersey sur la protection des données personnelles ?
  10. Comment les entreprises peuvent-elles se préparer à la NJDPA ?
  11. Comment la NJDPA sera-t-elle appliquée ?
  12. Amendes et pénalités en vertu de la loi du New Jersey sur la protection des données personnelles
  13. Comment Termly aide à la mise en conformité avec la NJDPA
  14. Existe-t-il d'autres lois relatives à la protection de la vie privée dans le New Jersey ?
  15. Résumé

Qu'est-ce que la loi du New Jersey sur la protection des données personnelles (NJDPA) ?

La loi sur la protection des données du New Jersey est une loi globale sur la protection des données des consommateurs au niveau de l'État.

Elle protège les données personnelles des habitants de l'État et décrit les obligations, les exigences et les lignes directrices que les entités commerciales doivent respecter pour collecter et utiliser ces données.

Il décrit également les sanctions et les répercussions en cas de violation de la loi.

Date d'entrée en vigueur de la NJDPA

La NJPDA est entrée en vigueur le 15 janvier 2025.

Termes clés et définitions de la NJDPA

Pour aider votre entreprise à se conformer à la NJDPA, lisez la liste suivante de termes clés et de définitions tels qu'ils apparaissent dans la loi :

Ces termes seront utilisés dans le reste du guide en tenant compte de ces définitions.

Que couvre la loi sur la confidentialité des données du New Jersey ?

La loi sur la confidentialité des données du New Jersey couvre les informations personnelles des résidents du New Jersey et ne s'applique pas à toute personne de l'État agissant dans le cadre d'un emploi.

Exigences de la loi sur la confidentialité des données du New Jersey

Passons en revue les principales exigences professionnelles définies par la nouvelle loi du New Jersey sur la confidentialité des données.

Fins légitimes du traitement des données à caractère personnel

En vertu de la NJDPA, les responsables du traitement doivent limiter la collecte de données à caractère personnel à ce qui est adéquat, pertinent et raisonnablement nécessaire pour les finalités de traitement communiquées au consommateur.

Le responsable du traitement doit obtenir le consentement du consommateur pour collecter des informations qui ne relèvent pas de ce champ d'application et pour collecter et traiter des informations personnelles sensibles.

Consentement

Selon la NJDPA, le consentement doit être :

  • Clair
  • Affirmatif
  • Librement consentie
  • Spécifique
  • Informé

En d'autres termes, la loi exige un consentement explicite, qui peut prendre la forme d'une déclaration écrite par voie électronique.

Toutefois, le consentement ne peut pas inclure l'acceptation de conditions d'utilisation générales ou larges ou d'autres documents similaires, ni s'appuyer sur des schémas sombres, qui visent à manipuler l'autonomie et le choix de l'utilisateur par des techniques telles que le survol d'un bouton, la mise en sourdine, la mise en pause ou la fermeture d'un élément de contenu.

Demandes vérifiables des consommateurs

En vertu de la NJDPA, les organisations doivent fournir au moins deux moyens aux individus de soumettre des demandes vérifiables de la part des consommateurs afin de faire valoir leurs droits en matière de protection des données personnelles.

Vous pouvez utiliser la méthode de votre choix, mais vous ne pouvez pas obliger le consommateur à créer un compte.

Une fois que vous avez reçu une demande de protection des données personnelles, vous disposez de 45 jours pour répondre au consommateur. En fonction de la complexité de la demande, ce délai peut être prolongé de 45 jours supplémentaires si cela s'avère raisonnablement nécessaire.

La réponse doit être fournie gratuitement au consommateur. Toutefois, vous n'êtes pas obligé de répondre à des demandes identiques répétées dans un délai de 12 mois.

Les entreprises doivent également mettre en place une procédure permettant aux consommateurs de faire appel de la décision prise par le responsable du traitement à la suite de leur demande.

Respecter les mécanismes universels d'exclusion

La NJDPA contient des dispositions qui permettent aux consommateurs de soumettre des demandes vérifiées de suivi de leurs droits en matière de protection de la vie privée en utilisant une technologie, un lien vers un site internet, un paramètre ou une extension de navigateur, ou un paramètre global sur un appareil électronique.

En d'autres termes, les organisations soumises à cette loi doivent s'assurer que leurs sites web peuvent recevoir et respecter les préférences de consentement des utilisateurs définies à l'aide de mécanismes universels de retrait (UOOM) tels que le contrôle mondial de la protection de la vie privée(GPC).

Les exigences de l'UOOM entrent en vigueur au plus tard six mois après la date d'entrée en vigueur de la nouvelle loi.

Obligations contractuelles entre les responsables du traitement et les sous-traitants

Les responsables du traitement et les sous-traitants au sens de la NJDPA doivent tous deux signer des contrats décrivant les points suivants :

  • Elle énonce les instructions de traitement auxquelles le sous-traitant est tenu, y compris la nature et la finalité du traitement.
  • Liste des types de données à caractère personnel faisant l'objet d'un traitement et durée du traitement.
  • Énonce les exigences imposées par la NJDPA.
  • Oblige le sous-traitant à supprimer ou à renvoyer toutes les données à la fin des services, à la discrétion du responsable du traitement.
  • Oblige le sous-traitant à mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de la loi.
  • Le sous-traitant est tenu d'autoriser les évaluations et inspections raisonnables du responsable du traitement ou d'un évaluateur désigné et d'y contribuer.

Évaluation de la protection des données

Certaines parties de la NJDPA exigent que les entreprises concernées procèdent à des évaluations de la protection des données ou à des évaluations de la protection des données lorsqu'elles traitent des informations susceptibles de présenter un risque accru de préjudice pour les consommateurs.

En particulier, l'évaluation identifie et pondère les risques et les avantages de la collecte et du traitement de ces informations et tient compte des éléments suivants

  • L'utilisation de données dépersonnalisées
  • Attentes raisonnables des consommateurs
  • Le contexte du traitement
  • La relation entre le contrôleur et le consommateur

Tous les DPA doivent être mis à la disposition de la division des affaires de consommation du département de la législation et de la sécurité publique sur demande.

Exigences en matière de sûreté et de sécurité

La NJDPA impose aux responsables du traitement de prendre des mesures raisonnables pour établir, mettre en œuvre et maintenir des pratiques techniques, administratives et physiques en matière de sécurité des données.

Les mesures de sécurité doivent tenir compte du volume de données collectées et de la sensibilité des informations elles-mêmes.

La loi du New Jersey sur la protection des données personnelles par rapport à d'autres États : Similitudes et différences

Le New Jersey rejoint plusieurs autres États américains dotés de lois complètes sur la confidentialité des données des consommateurs :

Le tableau ci-dessous permet de comparer la NJDPA à ces autres lois nationales américaines.

Droit national Consentement explicite pour certains types de traitement de données Consentement négatif pour certains types de traitement de données Doit présenter aux utilisateurs un politique de confidentialité (ou un avis) Nécessité d'une évaluation de la protection des données L'obligation contractuelle avec les sous-traitants tiers est précisée Permet des poursuites civiles ou un droit d'action privé Doit respecter les contrôles globaux de confidentialité/les paramètres de confidentialité du navigateur
NJDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
CDPA de l'Indiana
CDPA de l'Iowa
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
OCPA
TIPA
TDPSA
UCPA
VCDPA

Quel est l'impact de la NJDPA sur les consommateurs ?

La loi sur la confidentialité des données du New Jersey donne aux consommateurs le droit de.. :

  • Confirmer qu'un responsable du traitement collecte leurs données
  • Accéder aux données personnelles collectées à leur sujet.
  • Corriger les inexactitudes dans leurs données personnelles.
  • Supprimer leurs données personnelles.
  • Obtenir une copie portable de leurs données personnelles.
  • Refuser le traitement de leurs données à des fins de publicité ciblée
  • refuser la vente de leurs informations.
  • Refus du profilage.
  • Non-discrimination pour avoir agi dans le cadre de leur droit à la vie privée.

Les consommateurs peuvent soumettre des demandes vérifiables pour faire valoir leurs droits par l'intermédiaire d'un agent autorisé, ce qui inclut des mécanismes universels d'exclusion tels que le contrôle mondial de la protection de la vie privée(GPC).

À qui s'applique la NJDPA ?

La loi sur la confidentialité des données du New Jersey s'applique aux informations personnelles identifiables des résidents du New Jersey.

Toutefois, elle ne s'applique pas

  • Données publiques et dépersonnalisées.
  • Informations sur la santé protégées par le ministère américain de la santé et des services sociaux.
  • Les informations personnelles identifiables utilisées par des agences de renseignements sur les consommateurs spécifiques.
  •  Données collectées et utilisées dans le cadre d'une recherche conforme à la politique fédérale de protection des sujets humains.

Quel est l'impact de la NJDPA sur les entreprises ?

Outre les exigences en matière de sécurité, les obligations contractuelles et les lignes directrices relatives à l'évaluation de la protection des données, la loi du New Jersey sur la confidentialité des données a également une incidence sur les politiques en matière de confidentialité et de cookies.

Comment la NJPDA affecte-t-elle ma politique de protection de la vie privée ?

La nouvelle loi du New Jersey sur la confidentialité des données affecte votre politique de confidentialité.

En vertu de la NJPDA, les opérateurs qui collectent des informations personnellement identifiables par le biais d'un service en ligne doivent fournir aux consommateurs une notification de service en ligne (alias politique de confidentialité) qui comprend, sans s'y limiter, les éléments suivants :

  • Les catégories d'informations personnelles identifiables collectées par le biais du service en ligne.
  • Les catégories de tous les tiers auxquels l'opérateur peut divulguer les informations.
  • Si le tiers recueille des informations personnellement identifiables au fil du temps dans le cadre de différents services en ligne.
  • Une description de la manière dont les personnes peuvent consulter ou modifier les informations collectées.
  • La manière dont l'opérateur informera les utilisateurs des modifications apportées à la politique et de la date d'entrée en vigueur.

En outre, la loi oblige les entreprises à inclure dans leur politique de protection de la vie privée une section distincte expliquant une ou plusieurs méthodes que les consommateurs peuvent utiliser pour soumettre des demandes vérifiables de respect de leurs droits en matière de protection de la vie privée.

Comment la NJDPA affecte-t-elle ma politique de cookies?

La NJDPA affecte les politiques en matière de cookies car les utilisateurs ont le droit, en vertu de la loi, de refuser les publicités ciblées et la vente de leurs données, ce qui inclut les données collectées à l'aide de cookies Internet.

Vous devez divulguer tous les cookies utilisés par votre site web sur une page politique de cookies transparente et dans une clause de votre politique de protection de la vie privée.

Veillez à expliquer comment les utilisateurs peuvent refuser que des cookies vendus ou utilisés à des fins de publicité ciblée soient déployés sur leur navigateur.

Qui doit se conformer à la nouvelle loi du New Jersey sur la protection des données personnelles ?

Les entreprises qui exercent des activités dans le New Jersey ou qui produisent des produits et des services destinés aux résidents de l'État et qui atteignent l'un des seuils suivants au cours d'une année civile sont tenues de respecter la NJDPA :

  • contrôle ou traite les données à caractère personnel de 100 000 personnes, à l'exclusion des données traitées dans le seul but d'effectuer une transaction de paiement.
  • contrôle ou traite les données à caractère personnel d'au moins 25 000 personnes et tire des revenus de la vente de ces informations ou bénéficie d'une remise à cet effet.

Qui est exempté de la NJDPA ?

Les entités et organisations suivantes sont exemptées de la NJDPA :

  • Entités couvertes ou associés commerciaux traitant des informations de santé protégées (PHI) qui sont soumises à la "loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA)".
  • Institutions financières soumises au Gramm-Leach Bliley Act(GLBA)
  • Les institutions du marché secondaire, telles qu'identifiées dans le code des États-Unis comme des institutions agréées par le Congrès qui effectuent des transactions mais ne transfèrent pas ou ne vendent pas d'informations personnelles à des tiers.
  • Les institutions d'assurance soumises à la loi sur les pratiques d'information en matière d'assurance.
  • La vente d'informations personnelles par la Commission des véhicules à moteur du New Jersey, conformément à la loi fédérale sur la protection de la vie privée des conducteurs (Drivers' Privacy Protection Act).
  • Toute agence de l'État, subdivision politique, division, conseil, bureau, office, commission ou autre instrument créé par une subdivision politique.

Comment les entreprises peuvent-elles se préparer à la NJDPA ?

Pour se conformer à la NJPDA, les entreprises doivent mettre à jour leurs politiques en matière de confidentialité et de cookies afin de répondre à toutes les exigences de notification définies par la loi.

Obtenir le consentement adéquat des consommateurs pour traiter les données personnelles sensibles et procéder à des évaluations de la protection des données si nécessaire.

De plus, offrez à vos utilisateurs au moins deux moyens de refuser la vente de leurs données, la publicité ciblée et le profilage, et faites respecter leurs autres droits en matière de protection de la vie privée.

Par exemple, vous pouvez ajouter un formulaire de demande d'accès à la base de données(DSAR) à votre site.

Enfin, préparez votre site web à répondre aux demandes d'information non sollicitées, comme les CPG, avant la date limite de 2025.

Comment la NJDPA sera-t-elle appliquée ?

Le bureau du procureur général du New Jersey a l'autorité unique et exclusive de faire respecter les violations de la nouvelle loi du New Jersey sur la protection de la vie privée.

Au cours des 18 premiers mois d'application de la loi, les contrôleurs en infraction recevront un avis et disposeront d'une période de 30 jours pour remédier à la situation.

Aucune sanction ne sera imposée si l'infraction est corrigée dans ce délai.

Amendes et pénalités en vertu de la loi du New Jersey sur la protection des données personnelles

À l'heure actuelle, aucune information n'est disponible sur les amendes et les sanctions encourues en cas de violation de la NJDPA.

Toutefois, le texte précise que les consommateurs n'ont pas de droit d'action privé.

Comment Termly aide à la mise en conformité avec la NJDPA

Pour aider les entreprises à se conformer à la NJDPA, nous avons mis à jour notre site Générateur de politique de confidentialité afin d'y inclure toutes les clauses et informations nécessaires prévues par la loi.

Soutenu par notre équipe juridique et nos experts en matière de confidentialité des données, le générateur pose des questions simples sur votre entreprise et vos activités de traitement des données.

Il élabore ensuite pour vous une politique conforme en fonction de votre réponse.

Nous proposons également une plateforme de gestion du consentement (CMP) que vous pouvez configurer pour répondre aux exigences en matière d'opt-out définies par la loi sur la confidentialité des données du New Jersey.

La NJDPA est la première loi complète sur la confidentialité des données dans le New Jersey, mais il existe quelques autres lois relatives à la protection de la vie privée dans l'État, par exemple :

La NJDPA s'ajoute à ces autres lois, introduisant davantage de protections de la vie privée dans l'État.

Résumé

Si votre entreprise atteint les seuils légaux de la loi sur la confidentialité des données du New Jersey, assurez-vous que votre site Web ou votre application est entièrement conforme.

Mettez à jour vos politiques en matière de cookies et de protection de la vie privée afin de répondre à toutes les exigences de notification définies par la loi, et configurez votre site web de manière à ce qu'il reconnaisse les OUC avant la date limite de juillet 2025.

Ajoutez un formulaire DSAR à votre site web et n'oubliez pas d'utiliser les contrats appropriés avec les responsables du traitement des données ou les tiers avec lesquels vous travaillez.

Prenez une longueur d'avance en utilisant notre Générateur de politique de confidentialité et CMP, qui peuvent vous aider à vous conformer à la NJDPA et à d'autres dispositions.

Josh Langeland, CIPM
En savoir plus sur l'auteur

Écrit par Josh Langeland, CIPM

Bonjour, je m'appelle Josh ! Je suis un ingénieur spécialisé dans la protection de la vie privée, passionné par l'utilisation de la technologie pour respecter la vie privée des utilisateurs. Je m'épanouis à l'intersection d'une technologie complexe et d'une législation sur la protection de la vie privée en constante évolution. Si je ne suis pas en train de rédiger un examen de la conception ou de réarchitecturer un système, vous me trouverez peut-être en train de lire une biographie ou de faire de la randonnée dans le parc national le plus proche. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Générer un fichier GRATUIT politique de confidentialité

Créez un site politique de confidentialité gratuit et complet en quelques minutes !
Générer gratuitement politique de confidentialité

Articles connexes

  1. Politique-de-confidentialité-pour-une-entreprise-SaaS-01
    Politique de confidentialité pour une entreprise SaaS : comment en créer une
    Articles

    4 décembre 2025
    Hanna De La Garza
  2. Termly
    Termly vs PolicyMaker : Comparaison des caractéristiques et des avantages
    Comparaisons

    26 novembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs Ketch : Comparaison des caractéristiques et des services
    Comparaisons

    14 novembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. Politique de protection de la vie privée de l'UE-01
    Politique de confidentialité conforme à l'UE
    Articles

    7 novembre 2025
    Hanna De La Garza
  5. Exigences légales pour les magasins de commerce électronique-01
    5 types d'obligations légales pour les boutiques de commerce électronique
    Articles

    5 novembre 2025
    Natasha Piirainen
  6. Comment utiliser les outils de l'IA sans enfreindre les lois sur la protection de la vie privée-01
    Comment utiliser les outils d'IA sans enfreindre les lois et les bonnes pratiques en matière de protection de la vie privée ?
    Articles

    31 octobre 2025
    Natasha Piirainen
  7. Statistiques sur l'IA et la protection de la vie privée
    54 Statistiques révélatrices sur la confidentialité des données d'IA
    Articles

    15 octobre 2025
    Hanna De La Garza
  8. 14-Politiques de site web nécessaires et comment les mettre en place
    14 Politiques de site web nécessaires et comment les mettre en place
    Articles

    15 octobre 2025
    Hanna De La Garza
  9. Quelle est la différence entre une clause de non-responsabilité de la politique de protection de la vie privée et des conditions générales ?
    Quelle est la différence entre une politique de confidentialité, une clause de non-responsabilité et des conditions générales ?
    Articles

    15 octobre 2025
    Natasha Piirainen

Explorer d'autres ressources