En mars 2021, l’Utah est devenu le quatrième État des États-Unis à adopter une loi complète sur la vie privée, connue sous le nom de Utah Consumer Privacy Act (UCPA). L’UCPA vise à fournir aux résidents de l’Utah un plus grand contrôle sur leurs informations personnelles et à les protéger contre les violations de leur vie privée par les entreprises. Cette loi entrera en vigueur le 31 décembre 2023.
À qui s’appliquera la loi?
L’UCPA s’appliquera aux entreprises qui font affaire en Utah ou qui ciblent les résidents de l’Utah, de quelqu’endroit que ce soit. Cela signifie que, par le biais de l’application extraterritoriale de l’UCPA, les entreprises situées en dehors de l’Utah devront aussi se conformer à l’UCPA dès lors qu’elles traitent des données personnelles de résidents de l’État.
Plus précisément, l’UCPA s’appliquera à tout responsable de traitement ou sous-traitant qui (1) mène des activités commerciales ou offre un produit ou service ciblant les résidents de l’Utah, (2) réalise un chiffre d’affaires annuel de 25 millions USD (environ 25,5 millions €) ou plus, et (3) satisfait un ou plusieurs des critères suivants : (a) il contrôle ou traite des données personnelles de 100 000 consommateurs ou plus au cours d’une année civile ou tire plus de 50% de son chiffre d’affaires brut de la vente de données personnelles ; et (b) contrôle ou traite les données personnelles de 25 000 consommateurs ou plus.
Qu’est-ce que ça signifie concrètement pour les entreprises ?
En vertu de cette nouvelle loi, les entreprises visées par la loi devront obtenir un consentement explicite des consommateurs de l’Utah avant de traiter leurs données personnelles. Elles devront fournir une explication claire et concise de leurs pratiques de collecte de données et obtenir un consentement express de la part du consommateur avant de collecter toute donnée personnelle.
En outre, l’UCPA accordera aux résidents de l’Utah le droit de refuser la vente de leurs données ou de demander la suppression de leurs données. Si un résident choisit de refuser la vente de ses données, l’entreprise devra respecter ce choix et s’abstenir de vendre ses informations personnelles à des tiers.
L’UCPA exige également des entreprises qu’elles mettent en place des mesures raisonnables garantissant la sécurité des données personnelles afin de les protéger contre l’accès, l’utilisation ou la divulgation non autorisés. Concrètement, cela signifie que les entreprises devront instaurer des mesures pour protéger la confidentialité et l’intégrité des données personnelles qu’elles collectent et traitent, et qu’elles devront élaborer des politiques et des procédures pour répondre à tout incident de sécurité affectant lesdites informations.
Dans l’ensemble, l’UCPA représente une avancée significative pour les droits à la vie privée des résidents de l’État en ce qu’elle leur accorde plus de contrôle sur leurs informations personnelles et leur permet de tenir les entreprises responsables des violations de leur vie privée.
Plus spécifiquement, l’UCPA garantie les droits suivants aux résidents de l’Utah : un droit d’accès, un droit à la suppression des données personnelles détenues par une entité, un droit de s’opposer à certains traitements (tel la publicité ciblée), et un droit à la portabilité des données personnelles (c.-à-d., le droit d’obtenir une copie des données personnelles que la personne a précédemment fournies à l’entité). Soulignons qu’une entreprise devra répondre à une demande qui lui est adressée par un résident de l’Utah dans les 45 jours. Ainsi, les entreprises devront être plus transparentes sur leurs activités de collecte de données et fournir des explications claires et concises aux personnes concernées sur la raison pour laquelle elles ont besoin de leurs données et comment elles prévoient de les utiliser.
Conclusion
Le UCPA représente une avancée significative pour la protection de la vie privée des personnes en Utah. Il prévoit d’importantes obligations pour les entreprises qui traitent des données personnelles de résidents de cet État et leur accorde le droit d’accéder à, de corriger et de supprimer leurs données personnelles détenues par une entreprise. L’adoption du UCPA est une étape importante s’inscrivant dans l’effort continu visant à protéger la vie privée des personnes à l’ère numérique. Les entreprises qui ne se conforment pas aux exigences du UCPA peuvent faire face à des conséquences juridiques, financières et réputationnelles importantes.
Cabinet franco-américain expert dans les réglementations nord-américaines en matière de protection des données à caractère personnel, L’Avocat transatlantique vous accompagne dans la mise en conformité transatlantique de vos traitements de données. Si vos activités vous amènent à collecter et traiter les données personnelles de personnes résidant en Utah, n’hésitez pas à nous contacter. Notre équipe transatlantique de juristes spécialisés en droit des données à caractère personnel sera ravie de vous accompagner !
