L'Assemblée de l'État du Wisconsin accélère l'adoption de la loi sur la protection des données du Wisconsin

Le 14 novembre 2023, l'Assemblée de l'État du Wisconsin a adopté le projet de loi 466, également connu sous le nom de Wisconsin Data Privacy Act (WDPA). Le projet de loi a été adopté en troisième lecture et immédiatement transmis au Sénat de l'État du Wisconsin. S'il est adopté par le Sénat et signé par le gouverneur, le WDPA entrera en vigueur le 1er janvier 2025. Tel qu'il est rédigé, le WDPA reflète étroitement d'autres lois étatiques complètes sur la protection de la vie privée des consommateurs, notamment celles de Virginie, du Colorado et du Connecticut, qui sont toutes actuellement en vigueur.

Applicabilité

Sous réserve des exceptions décrites ci-dessous, la WDPA s'applique à toutes les personnes qui exercent une activité commerciale dans le Wisconsin ou qui produisent des produits ou des services destinés aux résidents du Wisconsin et qui répondent à l'un des critères suivants :

Contrôle ou traite les données personnelles d'au moins 100 000 résidents du Wisconsin (« consommateurs ») au cours d'une année civile ; et/ou
Contrôle ou traite les données personnelles d'au moins 25 000 consommateurs et tire plus de 50 % de son chiffre d'affaires annuel brut de la vente de données personnelles.

Ces personnes sont désignées sous le nom de « contrôleurs » dans le cadre de la WDPA. À l'instar d'autres lois étatiques exhaustives sur la protection de la vie privée des consommateurs, à l'exception de celle de Californie, la WDPA ne prévoit pas de seuil de chiffre d'affaires.

Exemptions clés

La WDPA prévoit de nombreuses exceptions concernant les entités et les informations. Les exceptions relatives aux entités concernent les agences étatiques et locales, les institutions financières soumises à la loi Gramm-Leach-Bliley Act (GLBA), les entités ou partenaires commerciaux couverts par la loi HIPAA, les organisations à but non lucratif et les établissements d'enseignement supérieur.

Contrairement à la Californie, la WDPA exclut également les informations relatives à l'emploi et aux relations entre entreprises. Parmi les autres exemptions importantes figurent les informations accessibles au public, les informations régies par la Fair Credit Reporting Act (loi sur la communication équitable des informations de crédit), la Driver's Privacy Protection Act (loi sur la protection de la vie privée des conducteurs), la Family Educational Rights and Privacy Act (loi sur les droits à l'éducation et la vie privée des familles), la Farm Credit Act (loi sur le crédit agricole) et la Children's Online Privacy Protection Act (loi sur la protection de la vie privée des enfants en ligne). La WDPA prévoit également un large éventail d'exceptions liées à la santé, notamment les informations protégées (PHI) réglementées par la loi HIPAA, la loi Cures Act de 2021 ou toute autre loi fédérale ou de l'État du Wisconsin régissant les informations ou les dossiers médicaux, ainsi que certaines informations identifiables sur les patients liées à la recherche et aux essais cliniques, entre autres.

Droits des consommateurs

La WDPA accordera aux résidents du Wisconsin les droits suivants concernant leurs données personnelles :

Droit de savoir/d'accès. Les consommateurs ont le droit de confirmer si un responsable du traitement traite leurs données personnelles et d'accéder à ces données personnelles, sauf si cette confirmation oblige le responsable du traitement à révéler un secret commercial.
Droit à la portabilité des données. Les consommateurs ont le droit de recevoir une copie de leurs données personnelles dans un format portable et facilement utilisable afin que les données puissent être transmises à un tiers lorsque le traitement est effectué par des moyens automatisés ; toutefois, le responsable du traitement ne sera pas tenu de révéler un secret commercial.
Droit de rectification. Les consommateurs ont le droit de faire rectifier les données personnelles inexactes.
Droit à la suppression. Les consommateurs ont le droit de demander la suppression de leurs données personnelles.
Droit de refusLes consommateurs ont le droit de refuser les utilisations suivantes de leurs informations personnelles :
- Traitement de leurs données personnelles à des fins de publicité ciblée.
- Vendre leurs données personnelles contre une contrepartie financière.
- Prise de décision automatisée produisant des effets juridiques ou similaires significatifs pour le consommateur.

Les contrôleurs disposeront de 45 jours pour répondre aux demandes des consommateurs, avec la possibilité d'une prolongation supplémentaire de 45 jours lorsque cela est raisonnablement nécessaire.

Obligations commerciales

La WDPA impose aux responsables du traitement de se conformer à certaines obligations lors du traitement des données à caractère personnel, comme suit :

Consentement au traitement des données sensibles. Il est interdit à un responsable du traitement de traiter des « données sensibles » concernant un consommateur sans le consentement de ce dernier. En vertu de la WDPA, les « données sensibles » comprennent les données à caractère personnel qui révèlent l'origine ethnique, les convictions religieuses, le diagnostic de santé mentale ou physique, l'orientation sexuelle ou la citoyenneté ou le statut d'immigration. Les données sensibles comprennent également les données génétiques ou biométriques, les données personnelles collectées auprès d'un enfant dont l'âge est connu pour être inférieur à 13 ans, et les données de géolocalisation précises dans un rayon de 1 750 pieds.
Accords sur le traitement des données. La WDPA exigera des responsables du traitement qu'ils concluent un accord sur le traitement des données (DPA) avec chaque sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement. Le DPA doit inclure des instructions claires concernant le traitement des données, la nature et la finalité du traitement, le type de données faisant l'objet du traitement, la durée du traitement et les droits et obligations de chaque partie en vertu de l'accord.
Évaluations de la protection des données. Un responsable du traitement doit réaliser et documenter une évaluation de la protection des données pour les activités de traitement suivantes : le traitement de données à caractère personnel à des fins de publicité ciblée, la vente de données à caractère personnel et le traitement d'informations à caractère personnel à des fins de profilage (lorsque le profilage présente un risque raisonnablement prévisible de préjudice pour le consommateur). Un responsable du traitement est également tenu d'évaluer les avantages de chaque activité de traitement par rapport aux risques potentiels pour les droits des consommateurs.
Avis de confidentialité. Un responsable du traitement doit fournir un avis de confidentialité raisonnablement accessible, clair et significatif qui inclut les catégories de données à caractère personnel traitées par le responsable du traitement, la finalité du traitement des données à caractère personnel, la manière dont les consommateurs peuvent exercer leurs droits et la manière dont un consommateur peut faire appel de la décision d'un responsable du traitement de ne pas se conformer à une demande relative aux droits des consommateurs, les catégories de données à caractère personnel que le responsable du traitement partage avec des tiers et les catégories de tiers avec lesquels le responsable du traitement partage des données à caractère personnel. L'avis de confidentialité doit également indiquer s'il vend des données à caractère personnel à un tiers ou s'il traite des données à caractère personnel à des fins de publicité ciblée, et divulguer de manière claire et visible ce traitement et la manière dont un consommateur peut exercer son droit de refuser ce traitement. Enfin, l'avis de confidentialité doit décrire un ou plusieurs moyens sûrs et fiables permettant aux consommateurs de soumettre des demandes pour exercer leurs droits.
Autres exigences/interdictions. Un responsable du traitement doit (i) limiter la collecte de données à caractère personnel à ce qui est adéquat, pertinent et raisonnablement nécessaire aux fins divulguées pour lesquelles les données sont traitées ; et (ii) établir, mettre en œuvre et maintenir des pratiques administratives, techniques et physiques raisonnables en matière de sécurité des données afin de protéger la confidentialité, l'intégrité et l'accessibilité des données à caractère personnel. Un responsable du traitement ne peut (i) traiter des données à caractère personnel à des fins qui ne sont pas raisonnablement nécessaires aux fins divulguées, sauf s'il a obtenu le consentement du consommateur ; ou (ii) refuser des biens ou des services, facturer des prix ou des tarifs différents pour des biens ou des services, ou fournir un niveau de qualité différent au consommateur parce que celui-ci a exercé ses droits.

Application de la loi

Telle qu'elle est rédigée, la WDPA ne prévoit pas de droit d'action privé et sera appliquée par le procureur général du Wisconsin. La WDPA prévoit que chaque violation commise par un responsable du traitement peut entraîner une amende pouvant aller jusqu'à 7 500 dollars américains, à laquelle s'ajoute le remboursement des frais raisonnables engagés par le procureur général.

Impact sur les entreprises

Le Wisconsin fait partie des quelques États qui cherchent à compléter le patchwork existant de lois sur la protection de la vie privée des consommateurs au niveau étatique. Bien que la WDPA reflète étroitement d'autres lois étatiques complètes sur la protection de la vie privée des consommateurs, c'est une bonne occasion pour les organisations exerçant leurs activités dans le Wisconsin de revoir leurs programmes de données afin de confirmer que ces exigences sont respectées. Les organisations qui ne sont pas soumises à d'autres lois étatiques sur la protection de la vie privée des consommateurs à l'heure actuelle devront vérifier si elles respectent les seuils fixés par la WDPA (telle qu'elle est actuellement proposée) et, le cas échéant, s'assurer qu'elles seront prêtes à mettre en œuvre ces exigences rapidement si la WDPA est adoptée.

Pour plus d'informations sur la conformité à la WDPA ou à toute autre loi relative à la protection de la vie privée des consommateurs, veuillez contacter l'un des associés ou conseillers principaux de l'équipe Cybersécurité et confidentialité des données de Foley & Lardner.

L'auteur remercie chaleureusement Lauren Hudon, étudiante à la faculté de droit de l'université Marquette et assistante juridique chez Foley & Lardner LLP, pour sa contribution.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

Madison 608.250.7420

Perspectives connexes

Voir tous les articles

18 décembre 2025 Aperçu des technologies innovantes

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur Points clés à retenir L'IA génère une demande sans précédent en matière de données...

17 décembre 2025 Perspectives sur les technologies innovantes

Dix questions fréquentes sur la « cryptomonnaie » pour les dirigeants d'entreprise

Qu'est-ce que la « crypto » ? Le terme « crypto » est l'abréviation de « cryptographic asset » (actif cryptographique), qui désigne généralement un actif numérique dont...

11 décembre 2025 Aperçu des technologies innovantes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

Le 9 décembre 2025, le Bureau du contrôleur de la monnaie (OCC) a publié la lettre d'interprétation 1188 (IL 1188), confirmant qu'une banque nationale est autorisée, dans le cadre de ses activités bancaires, à effectuer des transactions sans risque sur des crypto-actifs principaux.