Votre entreprise doit-elle se conformer à la loi de l'Oregon sur la protection de la vie privée des consommateurs (OCPA) ? La nouvelle loi de l'Oregon sur la protection de la vie privée des consommateurs entrera en vigueur le 1er juillet 2024.
Utilisez ma liste de contrôle en six étapes pour simplifier la mise en conformité avec l'OCPA.
Liste de contrôle de la conformité à l'OCPA : Pas à pas
Pour répondre aux exigences de l'OCPA, il suffit de suivre les six étapes suivantes.
Partie 1 : Réaliser un audit sur la protection de la vie privée
Pour vous conformer à la législation sur la protection de la vie privée, vous devez savoir quelles informations personnelles votre entreprise recueille auprès des utilisateurs, pourquoi et comment elles sont utilisées.
Pour ce faire, vous devez réaliser un audit de confidentialité, également appelé inventaire des données, en utilisant l'une des méthodes suivantes :
Partie 2 : Exigences en matière de notification de la protection de la vie privée
L'OCPA impose aux entreprises de présenter aux consommateurs de l'Oregon une politique de protection de la vie privée comprenant les informations suivantes :
- Quelles sont les catégories de données à caractère personnel que vous collectez.
- La raison pour laquelle vous traitez les données.
- Comment les consommateurs peuvent exercer leurs droits en matière de protection de la vie privée et faire appel de votre décision.
- les catégories de données que vous partagez avec des tiers, le cas échéant, y compris les catégories de données sensibles.
- les catégories de tiers avec lesquels vous partagez des données à caractère personnel, le cas échéant, et, dans la mesure du possible, la manière dont chaque tiers traite les données à caractère personnel.
- Une adresse électronique active ou une autre méthode en ligne permettant aux consommateurs de vous contacter.
- Tout nom commercial sous lequel vous êtes enregistré auprès du secrétaire d'État et tout nom commercial présumé utilisé.
- Une description de tout traitement de données à des fins de publicité ciblée ou de profilage des utilisateurs et la manière dont les utilisateurs peuvent s'y opposer.
Partie 3 : Gestion du consentement pour un traitement spécifique des données
L'OCPA a un impact sur la gestion du consentement des entreprises car elle donne aux consommateurs le droit de refuser certains types de traitement de données, notamment :
- Publicité ciblée
- La vente de données
- Profil du consommateur
Si vous traitez des données pour l'une des raisons susmentionnées, vous devez fournir à vos utilisateurs une bannière de consentement ou un autre système leur permettant d'exercer facilement ces droits.
Partie 4 : Obligations contractuelles pour le partage ou la vente de données à caractère personnel
En vertu de l'OCPA, les responsables du traitement des données et les sous-traitants doivent conclure des accords contractuels qui mettent en évidence toutes les lignes directrices suivantes :
- Inclure des instructions sur le traitement des données, sa nature et sa finalité.
- Indiquez le type de données traitées et leur durée.
- Décrivez les droits de chaque partie et leurs obligations.
- Exiger un devoir de confidentialité concernant les données à caractère personnel.
- Exiger du sous-traitant qu'il démontre qu'il respecte la LOPC.
- Exiger du sous-traitant qu'il supprime ou restitue toutes les données à la fin du contrat.
- exiger du sous-traitant qu'il coopère aux évaluations raisonnables du responsable du traitement.
- Exiger de tout sous-traitant qu'il signe un contrat énonçant les mêmes obligations.
- Permettre au responsable du traitement ou à une personne indépendante désignée d'évaluer les politiques et les contrôles techniques et organisationnels du sous-traitant afin de s'assurer qu'il respecte ses obligations.
Partie 5 : Droits des consommateurs et demandes vérifiables des consommateurs
L'OCPA exige des entreprises qu'elles proposent aux consommateurs de l'Oregon au moins deux moyens de faire valoir leurs droits :
- Confirmez si vous traitez leurs données.
- obtenir une liste des tiers auxquels leurs données sont communiquées (à la discrétion du responsable du traitement)
- Demander l'accès à leurs données
- Corriger les inexactitudes dans leurs données.
- Obtenez une copie portable si possible.
- Demander la suppression de leurs données.
- refuser que leurs données soient vendues ou traitées à des fins de publicité ciblée.
- Refuser le profilage.
D'ici au 1er janvier 2026, votre site web devra également respecter les mécanismes universels d'exclusion (UOOM) en tant que demande vérifiée de la part des consommateurs de donner suite à leurs droits d'exclusion.
Envisagez d'utiliser une combinaison des méthodes suivantes pour répondre à cette exigence légale :
- Utilisez un formulaire de demande d'accès à la base de données(DSAR).
- Fournir une adresse électronique à laquelle les utilisateurs peuvent soumettre des demandes.
- Publier un politique de cookies si vous déployez des cookies qui collectent des données sensibles, des données que vous vendez ou des données utilisées pour la publicité ciblée.
- Utiliser une bannière de consentement pour que les consommateurs puissent exercer leur droit de retrait.
Partie 6 : Procédures et pratiques de sécurité
L'OCPA exige des entreprises concernées qu'elles établissent, mettent en œuvre et maintiennent des pratiques de sécurité qui protègent les données à caractère personnel de la manière décrite ci-après :
- Protège sa confidentialité
- Protège son intégrité
- Protège son accessibilité
Parmi les techniques standard de sécurité des données, on peut citer
- Anonymisation et dépersonnalisation des données
- Cryptage des informations
- Contrôles d'accès
- Création d'un plan de sauvegarde ou de récupération des données
FAQ sur les exigences de l'OCPA
Vous trouverez ci-dessous quelques-unes des questions les plus fréquemment posées au sujet de l'OCPA.
L'OCPA s'applique-t-il à mon entreprise ?
L'OCPA s'applique à votre entreprise si vous travaillez dans l'Oregon ou si vous destinez des biens et des services à des résidents de l'État et si vous remplissez l'un des critères suivants :
- Contrôle ou traite les données à caractère personnel de 100 000 consommateurs ou plus, à l'exclusion des données traitées uniquement pour effectuer une transaction de paiement.
- contrôle ou traite les données à caractère personnel de 25 000 consommateurs ou plus et tire 25 % ou plus de son revenu annuel brut de la vente de données à caractère personnel.
Quand l'OCPA entre-t-il en vigueur ?
L'OCPA entre officiellement en vigueur le 1er juillet 2024, mais les dispositions relatives aux organisations à but non lucratif sont applicables à partir du 1er juillet 2025.
Qui fait respecter l'OCPA ?
L'OCPA est appliquée par le procureur général de l'Oregon.
Quelles sont les sanctions en cas de violation de l'OCPA ?
Les amendes pour violation de l'OCPA peuvent atteindre 7 500 dollars par incident.
Termly peut-il aider à la mise en conformité avec l'OCPA ?
Termly peut aider les entreprises à se conformer à l'OCPA en mettant à leur disposition son site web. Générateur de politique de confidentialitéLe site web de l'OCPA, qui comprend toutes les exigences en matière de notification prévues par l'OCPA, peut aider les entreprises à se conformer à la loi.
Nous proposons également un site plateforme de gestion du consentement (CMP) configurable pour vous aider à fournir aux utilisateurs un moyen de donner suite à leurs droits d'exclusion.
Il s'accompagne d'un formulaire DSAR gratuit que vous pouvez publier sur votre site web et qui permet aux utilisateurs de l'Oregon de soumettre en toute sécurité des demandes de respect de leurs nouveaux droits en matière de protection de la vie privée.
Résumé
Les entreprises qui doivent respecter la nouvelle loi de l'Oregon sur la protection de la vie privée, l'OCPA, peuvent utiliser cette liste de contrôle en six étapes pour simplifier la mise en conformité :
- Réalisez un inventaire des données pour déterminer toutes les données personnelles collectées par votre entreprise, pourquoi et comment elles sont utilisées.
- Présenter aux consommateurs de l'Oregon une politique de confidentialité conforme.
- Utilisez un site plateforme de gestion du consentement pour présenter à vos utilisateurs une bannière de consentement afin qu'ils puissent exercer leur droit de retrait.
- Si vous travaillez avec des responsables du traitement des données, établissez et signez des contrats compatibles qui respectent toutes les obligations prévues par la loi.
- Fournir aux consommateurs de l'Oregon deux moyens ou plus de soumettre de manière fiable des demandes de suivi de leurs nouveaux droits en matière de protection de la vie privée.
- Mettre en œuvre des protocoles de sécurité appropriés pour protéger les données à caractère personnel que vous recueillez contre tout accès non autorisé et tout autre préjudice.
Facilitez la tâche de votre entreprise en utilisant des solutions telles que Termly's Générateur de politique de confidentialité et CMP pour répondre aux exigences de lois telles que l'OCPA et d'autres.
En savoir plus sur l'auteur
Écrit par Josh Langeland, CIPM
Bonjour, je m'appelle Josh ! Je suis un ingénieur spécialisé dans la protection de la vie privée, passionné par l'utilisation de la technologie pour respecter la vie privée des utilisateurs. Je m'épanouis à l'intersection d'une technologie complexe et d'une législation sur la protection de la vie privée en constante évolution. Si je ne suis pas en train de rédiger un examen de la conception ou de réarchitecturer un système, vous me trouverez peut-être en train de lire une biographie ou de faire de la randonnée dans le parc national le plus proche. En savoir plus sur l'auteur
