Colorado joins California and Virginia in Passing a Comprehensive Privacy Law

Le 7 juillet 2021, le gouverneur du Colorado, Jared Polis, a promulgué la loi sur la protection de la vie privée du Colorado (Colorado Privacy Act, CPA), faisant ainsi du Colorado le troisième État à adopter une législation complète en matière de protection de la vie privée, après la Californie et la Virginie. Cependant, le même jour, le gouverneur Polis a publié une déclaration adressée à l'Assemblée générale du Colorado, dans laquelle il explique que, dans la « précipitation à adopter ce projet de loi », un certain nombre de questions restent en suspens et qu'une législation de mise au point sera nécessaire au cours de la prochaine année législative dans le Colorado. Dans cette déclaration, le gouverneur Polis a insisté pour que cette législation de mise au point « trouve le juste équilibre entre la protection des consommateurs et la préservation de l'innovation et de la position du Colorado en tant qu'État de premier plan pour les affaires ». En outre, le procureur général du Colorado pourrait adopter avant le 1er janvier 2025 des règles susceptibles de modifier davantage la loi ou son application. Ainsi, la loi est susceptible de subir des modifications importantes avant et après son entrée en vigueur le 1er juillet 2023, laissant les organisations soumises à la loi face à un dilemme : commencer dès maintenant à se mettre en conformité ou attendre que les modifications soient adoptées et risquer de devoir se précipiter pour se conformer avant la date d'entrée en vigueur.

Bien que la loi telle qu'elle est actuellement promulguée présente de nombreuses similitudes avec le règlement général sur la protection des données (RGPD) de l'Union européenne et soit similaire aux lois exhaustives sur la protection de la vie privée adoptées en Californie et en Virginie, il existe toutefois quelques différences importantes. Par conséquent, la conformité au RGPD ou aux lois sur la protection de la vie privée en Californie ou en Virginie n'est pas nécessairement suffisante pour être conforme à la version actuelle de la CPA.

LE CPA : CE QUE VOUS DEVEZ SAVOIR

• La CPA s'applique aux entreprises qui ciblent intentionnellement les consommateurs du Colorado et qui collectent et stockent des données sur au moins 100 000 consommateurs ou tirent des revenus de la vente des données d'au moins 25 000 consommateurs. Il convient de noter l'absence de seuil de revenus.

• Certains types de données sont exclus, notamment les dossiers d'emploi, les candidatures à un emploi, les données personnelles régies par certaines lois fédérales ou étatiques telles que la GLBA, et les données disponibles dans les registres publics.

• Les consommateurs acquièrent cinq droits fondamentaux en vertu de la CPA : le droit d'accès, le droit de refus, le droit de rectification, le droit de suppression et le droit à la portabilité des données. Ils acquièrent également un droit de recours.

• Les entreprises ont de nouvelles obligations multiples, notamment un devoir de transparence, un devoir d'éviter l'utilisation secondaire, un devoir de minimisation des données, un devoir de diligence en matière de sécurité des données et un devoir d'obtenir le consentement avant de traiter les données sensibles d'un consommateur.

• La CPA est appliquée par le procureur général et les procureurs de district. Il n'existe aucun droit d'action privé.

• La loi entrera en vigueur le 1er juillet 2023.

• Le gouverneur du Colorado a déjà demandé à la législature de modifier la CPA, ce qui pourrait modifier considérablement les obligations et les exigences de la loi.

QUE FAIRE POUR SE PRÉPARER

Étant donné que la loi est susceptible d'être modifiée, les organisations devraient donner la priorité aux activités suivantes en fonction des ressources nécessaires et de leur réutilisabilité potentielle dans le cadre d'autres régimes de protection de la vie privée ou d'autres avantages pour l'entreprise :

• Réaliser un exercice de cartographie des données.

• Réaliser une évaluation de l'impact sur la vie privée.

• Si l'entreprise effectue des traitements à haut risque, faites appel à un cabinet d'audit spécialisé dans la cybersécurité.

• Mettre à jour les politiques et procédures afin de se conformer à la nouvelle loi.

• Examiner et réviser ou adopter des politiques afin de respecter les droits des consommateurs.

• Examiner et modifier les avis de confidentialité si nécessaire.

• Examiner et réviser ou adopter des avenants conformes relatifs au traitement des données.

Applicabilité et exemptions de la Loi sur les conseillers financiers agréés

La CPA, telle qu'elle est actuellement en vigueur, s'applique à toute entreprise (un « contrôleur ») qui « exerce ses activités dans le Colorado ou produit ou fournit des produits ou services commerciaux destinés intentionnellement aux résidents du Colorado » et qui répond à l'un des deux critères suivants , ou aux deux :

Le responsable du traitement traite ou contrôle les données personnelles d'au moins 100 000 consommateurs du Colorado par an. Bien que ce chiffre soit supérieur au seuil fixé en Californie dans le cadre de la CCPA, il correspond au seuil fixé dans la nouvelle CPRA californienne et dans la CDPA de Virginie.
Le responsable du traitement traite ou contrôle les données à caractère personnel d'au moins 25 000 consommateurs du Colorado par an et tire des revenus ou bénéficie d'une remise sur le prix des biens ou services grâce à la vente de données à caractère personnel. Contrairement à la CCPA et à la CDPA de Virginie, la CPA ne prévoit pas de seuil en pourcentage, et tout revenu ou remise tiré de la vente de données à caractère personnel peut être suffisant, même s'il est minime. Si ce seuil survit à d'éventuelles modifications, son applicabilité sera probablement un sujet brûlant dans les litiges une fois que la loi entrera en vigueur.

Contrairement à la CPRA californienne, mais à l'instar de la CDPA virginienne, la CPA actuelle ne prévoit pas non plus de seuil de chiffre d'affaires, ce qui évite aux entreprises dont les revenus sont élevés mais qui traitent relativement peu de données à caractère personnel d'être prises au piège du champ d'application de la CPA uniquement en raison de leurs revenus.

La CPA actuelle s'applique uniquement aux informations concernant les consommateurs, qui sont définis comme des résidents du Colorado agissant uniquement à titre individuel ou familial. Elle ne s'applique pas aux informations concernant des personnes agissant dans un contexte commercial ou professionnel (y compris en tant que candidat à un emploi ou bénéficiaire d'une autre personne agissant dans un contexte professionnel). En revanche, les informations relatives à l'emploi et aux relations entre entreprises seront soumises à la CPRA californienne dès que les exclusions temporaires pour ces types de données expireront le 1er janvier 2023, à moins que les exclusions temporaires ne soient prolongées ou qu'une autre loi ne soit adoptée pour couvrir ces informations.

La loi s'applique au traitement des « données à caractère personnel » par un responsable du traitement, que la loi définit comme « des informations liées ou pouvant raisonnablement être liées à une personne identifiée ou identifiable ». Toutefois, la définition exclut explicitement les informations anonymisées ou les informations accessibles au public. La notion d'« informations accessibles au public » est un peu plus large que celle que l'on trouve dans des lois telles que la CPRA, et comprend non seulement les informations légalement mises à disposition à partir des registres gouvernementaux, mais aussi les informations dont le responsable du traitement a des raisons valables de croire qu'elles ont été légalement mises à la disposition du grand public par le consommateur. Cela inclut probablement les informations publiées sur les réseaux sociaux, mais il n'est pas clair si les informations publiées sur les réseaux sociaux à un public limité seront considérées comme accessibles au public.

Certains types d'entités et certaines catégories sont exemptés des exigences de la CPA. Les entités réglementées par la loi Gramm-Leach-Bliley (GLBA) sont exemptées de la CPA. Bien que la loi n'exempte pas complètement les entités réglementées par la loi HIPAA, elle exempte divers autres types de données à caractère personnel soumises à d'autres lois et réglementations, notamment les informations relatives à la santé considérées comme des informations médicales protégées en vertu de la loi HIPAA, ainsi que certaines données de recherche clinique et certaines informations soumises à la loi sur la loyauté dans les rapports de crédit (FCRA), à la loi sur la protection de la vie privée des enfants en ligne (COPPA) la loi sur les droits à l'éducation et la confidentialité de la famille (FERPA) et la loi sur la protection de la vie privée des conducteurs (DPPA).

Droits des consommateurs

La CPA accorde aux consommateurs du Colorado les droits suivants concernant leurs données personnelles :

Droit d'accès. Les consommateurs ont le droit de vérifier si une entreprise traite leurs données personnelles et d'accéder à ces dernières.
Droit de refus. Les consommateurs ont le droit de refuser le traitement de leurs données personnelles à des fins de publicité ciblée, de vente de données personnelles ou de profilage dans le cadre de décisions ayant des effets juridiques ou similaires les concernant.
Droit de rectification. Les consommateurs ont le droit de rectifier les inexactitudes dans leurs données à caractère personnel. Toutefois, la nature et les finalités du traitement des données à caractère personnel du consommateur doivent être prises en considération.
Droit à la suppression. Les consommateurs ont le droit de supprimer les données personnelles les concernant.
Droit à la portabilité des données. Les consommateurs ont le droit d'obtenir leurs données personnelles dans un format portable deux fois par an. Ces données doivent être dans un format facilement utilisable qui permet au consommateur de les transmettre à une autre entité sans difficulté, dans la mesure où cela est techniquement possible.
Droit de recours. Les entreprises doivent répondre aux demandes des consommateurs en vertu de la CPA dans les 45 jours suivant leur réception. Ce délai peut être prolongé de 45 jours supplémentaires si le consommateur en est informé au cours de la période initiale de 45 jours et si cette prolongation est raisonnablement nécessaire. Si l'entreprise décide de ne pas donner suite à la demande du consommateur, elle doit informer ce dernier de la manière dont il peut faire appel de cette décision. La procédure d'appel doit être « clairement accessible » et facile à utiliser pour le consommateur.

Les responsables du traitement sont tenus de répondre dans les 45 jours suivant la demande, mais ce délai peut être prolongé de 45 jours supplémentaires dans certaines circonstances. Les responsables du traitement sont tenus de fournir gratuitement les informations demandées une fois par an, mais peuvent facturer les demandes supplémentaires au cours d'une période de 12 mois. Les consommateurs peuvent exercer ces droits en soumettant des demandes comme décrit dans la déclaration de confidentialité. Si les responsables du traitement ne peuvent pas exiger des consommateurs qu'ils créent un nouveau compte pour exercer ces droits, ils peuvent toutefois leur demander d'utiliser leur compte existant.

Obligations commerciales

En plus de permettre aux consommateurs d'exercer leurs droits, la CPA impose de nouvelles obligations positives aux responsables du traitement.

Transparence. Les responsables du traitement doivent fournir aux consommateurs une déclaration de confidentialité claire et significative. Cette déclaration doit être raisonnablement accessible et inclure : (a) les catégories de données à caractère personnel collectées ou traitées ; (b) les finalités pour lesquelles les données à caractère personnel sont traitées ; (c) une description des droits des consommateurs mentionnés ci-dessus et de la manière dont ils peuvent les exercer ; (d) les catégories de données à caractère personnel qui sont partagées avec des tiers ; et (e) les catégories de tiers avec lesquels les données à caractère personnel sont partagées.
Minimisation des données. Les responsables du traitement doivent limiter la collecte de données à caractère personnel à celles qui sont pertinentes et raisonnablement nécessaires au regard de la finalité spécifiée du traitement des données.
Limitation des finalités. Les responsables du traitement sont tenus de divulguer de manière claire et visible les finalités expresses pour lesquelles les données à caractère personnel sont collectées et traitées. Les responsables du traitement doivent d'abord obtenir le consentement du consommateur pour l'utilisation de données à caractère personnel qui ne sont pas raisonnablement nécessaires ou compatibles avec les finalités divulguées.
Obligation de diligence. Les responsables du traitement doivent prendre des mesures raisonnables pour protéger les données à caractère personnel contre toute acquisition non autorisée pendant leur stockage et leur utilisation. Les pratiques en matière de sécurité des données doivent être adaptées à la nature de l'activité et à la quantité et au type de données traitées.
Éviter toute discrimination illégale. Il est interdit aux contrôleurs de traiter des données personnelles en violation des lois fédérales ou étatiques qui interdisent toute discrimination illégale à l'encontre des consommateurs.
Consentement au traitement des données sensibles. Les responsables du traitement doivent obtenir le consentement avant de traiter les données sensibles d'un consommateur. Si elles traitent les données sensibles d'un enfant, les entreprises doivent d'abord obtenir le consentement des parents ou du tuteur légal de l'enfant. Les données sensibles sont définies comme des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les convictions religieuses, l'état de santé mentale ou physique ou un diagnostic, la vie sexuelle ou l'orientation sexuelle d'une personne, sa citoyenneté ou son statut de citoyenneté, ainsi que les données génétiques ou biométriques qui peuvent être traitées dans le but d'identifier de manière unique un individu. Les données sensibles comprennent également les données à caractère personnel d'un enfant connu.
Vente de données personnelles. Les responsables du traitement doivent divulguer de manière claire et visible la vente d'informations personnelles ou tout traitement de données personnelles à des fins de publicité ciblée, et doivent offrir aux consommateurs la possibilité de refuser ces activités.
Évaluations de la protection des données pour les traitements à haut risque. Les responsables du traitement doivent réaliser et documenter une évaluation de la protection des données si leurs activités de traitement présentent un risque accru de préjudice pour un consommateur. Ces activités comprennent le traitement de données sensibles, la vente de données à caractère personnel et la publicité ciblée ou le profilage si celui-ci présente certains risques raisonnablement prévisibles.
Processeurs et accords de traitement des données. Les sous-traitants sont des entités qui traitent des données à caractère personnel pour le compte ou au nom des responsables du traitement. Les sous-traitants sont tenus de se conformer aux instructions du responsable du traitement. En outre, les sous-traitants sont également tenus d'aider le responsable du traitement à remplir ses obligations en vertu de la CPA, notamment en prenant les mesures appropriées pour aider à répondre aux demandes des consommateurs, en contribuant au respect des obligations en matière de sécurité et de notification des violations, et en fournissant les informations nécessaires pour mener des évaluations de la protection des données. Les responsables du traitement et les sous-traitants doivent conclure un accord écrit dont les conditions générales sont similaires à celles du RGPD :
- Décrit la finalité du traitement, la durée du traitement et les types de données à caractère personnel qui seront traitées ;
- Exige que chaque personne impliquée dans le traitement soit soumise à une obligation de confidentialité ;
- Exige que le sous-traitant n'utilise que des sous-traitants secondaires dans le cadre d'un contrat similaire et qu'il assume la responsabilité de tout sous-traitant secondaire ;
- Décrit la répartition des responsabilités en matière de mesures de sécurité ;
- Exige que le sous-traitant supprime les données à caractère personnel ou les renvoie au responsable du traitement, sauf si la conservation est requise par la loi ;
- Exige que le sous-traitant autorise et contribue à des audits et inspections raisonnables du responsable du traitement ou d'un auditeur tiers. Toutefois, avec le consentement du responsable du traitement, le sous-traitant peut faire appel à un auditeur indépendant et auditer ses politiques et normes de sécurité par rapport à une norme ou un cadre de contrôle approprié et accepté ; et
- Exige que le sous-traitant mette à disposition toutes les informations nécessaires pour que le responsable du traitement puisse démontrer sa conformité.

Application de la loi

La CPA stipule explicitement qu'il n'existe aucun droit d'action privé pour les consommateurs. En revanche, la CPA peut être appliquée par le procureur général et les procureurs de district, qui peuvent intenter une action au nom de l'État ou pour le compte de personnes résidant dans l'État. Jusqu'au 1er janvier 2025, le procureur général est tenu d'accorder à l'organisation un délai de 60 jours pour remédier à une violation avant de pouvoir intenter une action contre celle-ci. Toutefois, ce délai de remédiation prendra fin le 1er janvier 2025 et aucun délai de remédiation ne sera accordé après cette date.

Amendes

La loi ne précise pas le montant des amendes prévues. Cependant, toute violation de la CPA est considérée comme une pratique commerciale trompeuse, passible d'une amende pouvant aller jusqu'à 2 000 dollars par infraction (jusqu'à 500 000 dollars) en vertu de la loi sur la protection des consommateurs du Colorado (Colorado Consumer Protection Act) pour les actions engagées par le procureur général, et d'une amende minimale de 500 dollars pour les actions engagées par des consommateurs individuels. Il n'est pas certain que les consommateurs du Colorado tenteront d'utiliser la loi sur la protection des consommateurs du Colorado comme une porte dérobée pour intenter des poursuites pour violation de la CPA, comme ils l'ont fait en Californie.

Conclusions

Bien que la version actuellement en vigueur de la CPA impose certaines obligations importantes aux organisations susceptibles d'être soumises à la nouvelle loi, les organisations qui ont travaillé ou travaillent actuellement à se conformer à la CCPA ou à la CPRA de Californie ou au RGPD constateront un chevauchement important entre ces efforts et les politiques et procédures adoptées en vertu de ces lois. Cependant, les organisations qui n'ont pas été soumises à d'autres lois similaires en matière de protection de la vie privée, telles que celles en vigueur en Californie, en Virginie ou en Europe, pourraient devoir consacrer des ressources importantes à la mise en conformité. L'incertitude qui entoure la loi en raison de la demande de modification du gouverneur Polis empêche pour l'instant les entreprises de se mettre en conformité. La loi étant susceptible d'être modifiée, les organisations devraient donner la priorité aux activités suivantes, qui sont susceptibles de prendre beaucoup de temps et qui peuvent être réutilisées dans d'autres régimes de protection de la vie privée ou qui ont une applicabilité générale à un programme de protection de la vie privée mature :

Effectuer un mappage des données afin de comprendre les types de données stockées par l'organisation, les fins auxquelles elles sont utilisées et si toutes les données sont nécessaires.
Réalisez une évaluation de l'impact sur la vie privée.
Commencez à collaborer avec des cabinets d'audit indépendants spécialisés dans la cybersécurité pour les traitements à haut risque.
Mettre à jour les politiques et procédures afin de se conformer aux nouvelles exigences et obligations de la CPA.
Commencez à développer des processus opérationnels pour permettre aux consommateurs d'exercer leurs nouveaux droits.
Veiller à ce que l'organisation dispose d'un avis de confidentialité raisonnablement accessible, clair et significatif, conforme aux exigences de la LPRP.
Examiner les relations commerciales avec les sous-traitants tiers chargés du traitement des données afin de comprendre le rôle de chaque partie et les exigences potentielles.
Rédiger et adopter des avenants relatifs à la confidentialité des données contenant les clauses requises par la CPA à utiliser lors de la conclusion de contrats avec des tiers.

Pour plus d'informations sur la loi sur la protection de la vie privée du Colorado et ses exigences, veuillez contacter l'un des auteurs mentionnés ci-dessous ou l'un des associés ou conseillers principaux membres du groupe de travail sur la cybersécurité de Foley.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

San Diego 858.847.6737

Un homme en costume et cravate rose sourit à la caméra devant un arrière-plan intérieur flou, reflétant le professionnalisme des avocats de Chicago.

[email protected]

Boston 617.226.3149

Perspectives connexes

Voir tous les articles

January 15, 2026 The Path & The Practice

Special Episode: Alexis Robertson and Dan Sharpe talk advice to new Big Law associates

In this special edition of The Path & The Practice, Alexis is joined by Dan Sharpe, DEI Manager at Foley & Lardner, for a conversation focused on advice to new associates. Based on their years of legal practice and their experience working in law firm talent development and DEI, they cover a variety of topics including time entry, meeting deadlines, responsiveness, and office presence.

14 janvier 2026 La loi sur les soins de santé aujourd'hui

Protéger l'avantage de l'IA : pourquoi les brevets sont un outil essentiel de croissance et de gestion des risques pour les plateformes de santé numériques

Pour les PDG, les directeurs juridiques et les directeurs techniques, la question n'est plus de savoir si les brevets ont de l'importance. La question est de savoir si l'entreprise dispose d'un...

13 janvier 2026 Points de vue de Foley

Directives récentes de l'IRS concernant les avantages fiscaux accordés aux succursales étrangères hybrides inversées en vertu des conventions fiscales

L'IRS a récemment publié un mémorandum du conseiller juridique en chef (AM 2025-002) (le CCA) qui fournit des conseils utiles concernant l'application de l'impôt sur les bénéfices des succursales (BPT) en rapport avec les entités hybrides étrangères inversées (RFH) et les conventions fiscales américaines avec des pays étrangers.

Recherches populaires

Le Colorado rejoint la Californie et la Virginie dans l'adoption d'une loi globale sur la protection de la vie privée