Le procureur général du Colorado publie un projet de règlement sur la protection de la vie privée et commence à organiser des réunions avec les parties prenantes

Le 7 juillet 2021, le Colorado a promulgué la loi sur la protection de la vie privée du Colorado (CPA), devenant ainsi le troisième État américain à adopter une loi complète sur la protection de la vie privée. Comme décrit précédemment, la CPA ne s'applique pas à tout le monde. Elle s'applique uniquement aux « responsables du traitement » qui exercent leurs activités dans le Colorado et qui traitent ou contrôlent les données personnelles d'au moins 100 000 résidents du Colorado par an, ou qui traitent et contrôlent les données personnelles d'au moins 25 000 résidents et tirent des revenus ou bénéficient de remises sur la vente de données personnelles. La CPA accorde aux consommateurs des droits similaires à ceux prévus par la California Privacy Rights Act (CPRA), tels que le droit d'accéder, de corriger et de supprimer des informations personnelles, ainsi que le droit de refuser l'utilisation de données personnelles à des fins de publicité ciblée, mais elle inclut également un nouveau droit de faire appel en cas de refus d'une demande.

La CPA confère des pouvoirs d'exécution au procureur général du Colorado, mais l'oblige également à élaborer des règles régissant la confidentialité des informations personnelles des résidents du Colorado et à mettre en œuvre la CPA. Cette autorité comprend l'adoption de nouvelles réglementations concernant la mise en œuvre et l'interprétation de la CPA, et plus particulièrement l'adoption de règles concernant les spécifications techniques d'un ou plusieurs mécanismes de désinscription permettant de communiquer le choix affirmatif, libre et sans ambiguïté d'un consommateur de se désinscrire du traitement à des fins de publicité ciblée ou de vente d'informations personnelles.

Après avoir engagé un processus préalable à l'élaboration de la réglementation, au cours duquel le procureur général a sollicité l'avis des personnes intéressées sur la future réglementation, le procureur général a publié le 30 septembre 2022 le projet de règlement relatif à la loi sur la protection de la vie privée du Colorado (projet de règlement), marquant ainsi le début de la phase de notification et de consultation publique. Le projet de règlement, qui compte près de 40 pages, est désormais ouvert à la consultation publique.

Points saillants du projet de règlement

Le projet de règlement traite des exigences en matière d'information des consommateurs (avis de confidentialité), de la manière dont les consommateurs peuvent soumettre des demandes pour exercer leurs droits en matière de confidentialité en vertu de la CPA et des exigences relatives à la réponse à ces demandes, des exigences relatives aux mécanismes de désinscription universels, des exigences relatives aux programmes de fidélité, de la minimisation des données et des utilisations autorisées des données à caractère personnel, des exigences de consentement pour l'utilisation de données sensibles, des obligations de conservation des données, de la prévention des « dark patterns » et d'autres exigences relatives à l'interface, des évaluations de la protection des données et du profilage. Parmi les dispositions les plus importantes, on peut citer :

Mécanismes universels de désinscription. Le projet de règlement exige que les responsables du traitement soient en mesure de reconnaître le mécanisme universel de désinscription qui fonctionnerait soit en écoutant un signal de désinscription, soit en interrogeant une liste « ne pas vendre » qui serait publiée.
Avis de confidentialité. Le projet de règlement décrit le contenu des avis de confidentialité requis en vertu de la CPA. Conformément aux directives de la FTC, le responsable du traitement doit informer les consommateurs et obtenir leur consentement en cas de modifications substantielles ou importantes des pratiques de l'entreprise en matière de confidentialité, mais la CPA exige que l'avis soit mis à jour au moins 15 jours avant l'entrée en vigueur de la modification. Bien que le projet de règlement stipule explicitement qu'un avis de confidentialité distinct, réservé au Colorado, n'est pas nécessaire, les exigences en matière d'avis de confidentialité du projet de règlement sont suffisamment différentes de celles d'autres juridictions pour qu'un avis de confidentialité distinct, réservé au Colorado, puisse finalement s'avérer plus pratique pour la plupart des entreprises.
Consentement. Le projet de règlement précise les circonstances dans lesquelles les responsables du traitement doivent obtenir le consentement, par exemple avant de traiter des données à caractère personnel concernant un enfant connu, des données sensibles, des données à caractère personnel dans des cas spécifiques après qu'un consommateur a refusé le traitement, et des données à caractère personnel qui ont été collectées pour une autre raison. De nombreux aspects des exigences en matière de consentement sont conformes au règlement général sur la protection des données de l'UE. Le projet de règlement comprend également une disposition inédite exigeant que le consentement soit renouvelé à intervalles réguliers et chaque année pour les données sensibles.

Prochaines étapes du processus d'élaboration des règles

Afin de recueillir les commentaires des parties prenantes, le bureau du procureur général organisera trois réunions virtuelles avec les parties prenantes pour discuter du projet de règlement proposé. Ces réunions auront lieu les 10, 15 et 17 novembre 2022 et porteront sur des sujets spécifiques abordés dans la CPA et le projet de règlement, notamment les droits des consommateurs et les mécanismes universels de désinscription, les obligations des entreprises et les évaluations de la protection des données, ainsi que le profilage, le consentement et les définitions.

Parallèlement à la publication du projet de règlement, le bureau du procureur général du Colorado tiendra une audience publique le 1er février 2023, qui se déroulera en personne et par vidéoconférence. Tout le monde peut demander à témoigner lors de l'audience sur l'élaboration des règles et soumettre des commentaires publics. Le procureur général dispose ensuite de 180 jours pour déposer les règles adoptées auprès du secrétaire d'État en vue de leur publication dans le Colorado Register. La CPA entrera en vigueur le 1er juillet 2023, mais le procureur général a clairement indiqué qu'il ne commencerait pas à appliquer la CPA tant que les règlements contraignants ne seraient pas en vigueur.

Le procureur général a souligné que son bureau était « ouvert au dialogue » et que sa « priorité numéro un [en matière d'application de la loi] concernait ceux qui enfreignent délibérément la loi... ». Le procureur général a indiqué que ses priorités en matière d'application de la loi faisaient la distinction entre les entreprises qui s'engagent dans « une conformité de bonne foi et bien intentionnée, où vous faites un pas en avant » et celles qui enfreignent la loi, et celles qui s'engagent dans une « non-conformité délibérée ». Il n'en reste pas moins important de commencer à entreprendre certaines activités qui démontrent une « conformité de bonne foi et bien intentionnée ». Dans un article précédent, nous avons discuté des moyens par lesquels les entreprises pourraient donner la priorité à certaines activités qui pourraient être réutilisées dans d'autres régimes de protection de la vie privée. Si ce n'est déjà fait, les organisations qui sont considérées comme des responsables du traitement au sens de la CPA devraient commencer à s'engager dans ces activités dès maintenant. Après l'audience sur la réglementation du Colorado, le procureur général cessera d'accepter les commentaires du public, car son bureau finalise les règles, à moins qu'il ne décide d'organiser une nouvelle série d'amendements. Étant donné que la CPA entrera en vigueur le 1er juillet 2023 et que le procureur général a sollicité des commentaires dans le cadre d'une stratégie préalable à la réglementation, il semble peu probable qu'il y ait une nouvelle série d'amendements. Par conséquent, les entreprises qui souhaitent faire part de leurs commentaires doivent le faire pendant la période initiale de consultation.

Prochaines étapes pour les entreprises

Bien que la CPA n'entre en vigueur que dans huit mois, les entreprises devraient commencer dès maintenant à déterminer comment les obligations prévues par la CPA et le projet de règlement s'intègrent dans leurs efforts globaux de conformité en matière de protection de la vie privée avec les quatre autres États qui ont promulgué des lois sur la protection de la vie privée. La Californie est le seul autre État à avoir publié jusqu'à présent des règlements accompagnant sa législation sur la protection de la vie privée, et le projet de règlement du Colorado diffère de celui de la Californie sur plusieurs points importants.

Pour plus d'informations sur la conformité à la CPA, veuillez contacter les auteurs ou tout associé ou conseiller principal del'équipe Cybersécurité et confidentialité des données de Foley.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.