Le New Jersey adopte une loi complète sur la protection de la vie privée afin de mener la vague de lois étatiques sur la protection de la vie privée de 2024

Le 16 janvier 2024, le gouverneur du New Jersey, Phil Murphy, a signé le projet de loi sénatorial (SB) 332, établissant la loi sur la protection des données des consommateurs du New Jersey, la New Jersey Data Privacy Act (NJDPA), qui entrera en vigueur le 15 janvier 2025. Cette législation fait du New Jersey le premier État à mettre en œuvre une législation complète en matière de confidentialité en 2024, rejoignant ainsi les 13 autres États ayant adopté des lois similaires. Alors que la législation fédérale est au point mort pour l'avenir prévisible, la NJDPA symbolise l'importance croissante accordée au niveau national au renforcement de la protection des données personnelles des consommateurs au niveau des États.

Bien que la NJDPA présente de nombreuses similitudes avec d'autres lois étatiques globales sur la protection de la vie privée, telles que la California Privacy Rights Act (CPRA), la Colorado Privacy Act (CPA) et la Virginia Consumer Data Protection Act (CDPA), il existe également des différences significatives. Par conséquent, la conformité aux lois existantes en matière de protection des données des consommateurs peut ne pas être suffisante pour répondre aux exigences de la NJDPA, et les entreprises doivent s'assurer qu'elles se conforment aux exigences et aux approches distinctes adoptées par chaque État.

Applicabilité et exemptions

Critères d'applicabilité

La NJDPA s'applique à toute entreprise (responsable du traitement) qui « exerce ses activités dans le New Jersey ou fabrique des produits ou fournit des services destinés aux résidents du New Jersey » et qui, au cours d'une année civile, atteint l'un des seuils suivants :

• Contrôle ou traite les données personnelles de 100 000 consommateurs ou plus du New Jersey (à l'exclusion des données contrôlées ou traitées uniquement dans le but d'effectuer une transaction de paiement), ou
• Contrôle ou traite les données personnelles d'au moins 25 000 consommateurs du New Jersey et tire des revenus ou bénéficie d'une remise sur le prix de tout bien ou service grâce à la vente de données personnelles.

Il convient de noter que, à l'instar de la CPA du Colorado, la NJDPA ne prévoit pas de seuil de revenus pour le pourcentage des revenus qu'une entreprise doit tirer de la vente de données. La plupart des autres lois étatiques actuelles en matière de protection de la vie privée ne s'appliquent généralement que si l'entreprise tire entre 25 % et 50 % de son chiffre d'affaires annuel de la vente de données à caractère personnel. En outre, l'applicabilité de la NJDPA n'implique aucune forme de seuil de chiffre d'affaires, ce qui signifie que les entreprises qui traitent un minimum de données à caractère personnel peuvent ne pas être soumises à la loi, même si elles ont un chiffre d'affaires élevé.

Données personnelles

La NJDPA s'applique au traitement des « données à caractère personnel » par une entreprise ou un « responsable du traitement », défini comme « toute information liée ou pouvant raisonnablement être liée à une personne identifiée ou identifiable ». Les données à caractère personnel excluent explicitement les données anonymisées et les données accessibles au public.

Données relatives aux consommateurs et données commerciales

Il est important de noter que la NJDPA établit une distinction claire entre les données relatives aux consommateurs et les données relatives à l'emploi ou au commerce. La NJDPA s'applique uniquement aux informations concernant les « consommateurs », qui sont définis comme les résidents du New Jersey agissant uniquement à titre individuel ou familial. Ainsi, la NJDPA, comme la plupart des lois étatiques sur la protection de la vie privée, à l'exception de la CPRA californienne, ne s'applique pas aux informations concernant les personnes agissant dans un contexte commercial ou professionnel, y compris en tant que candidat à un emploi ou bénéficiaire d'une autre personne agissant dans le contexte professionnel.

Exemptions

La NJDPA comprend de nombreuses exemptions désormais courantes, notamment les agences d'État et les données réglementées par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), la loi Gramm-Leach-Bliley (GLBA) et la loi sur la loyauté dans les rapports de crédit (FCRA). Toutefois, la NJDPA ne prévoit pas d'exemption pour les entités réglementées par la loi HIPAA ni pour les données traitées par des organisations à but non lucratif ou des établissements d'enseignement supérieur (ou les données éducatives soumises à la loi FERPA).

De plus, comme indiqué ci-dessus, la définition des données à caractère personnel donnée par la NJDPA exclut explicitement les données anonymisées et accessibles au public. L'approche de la NJDPA en matière de données anonymisées est similaire à celle de la CDPA de Virginie, qui exige que le responsable du traitement s'engage publiquement à maintenir l'anonymat des données et oblige contractuellement tout destinataire des données à se conformer à cette exigence. À ce titre, les entreprises soumises à la NJDPA pourraient devoir revoir et réviser les contrats impliquant le partage de données anonymisées. La définition des « informations accessibles au public » dans la NJDPA est également plus large que celle de lois telles que la CPRA, puisqu'elle inclut non seulement les informations légalement mises à disposition à partir de registres gouvernementaux, mais aussi les informations dont le responsable du traitement a des raisons valables de croire qu'elles ont été légalement mises à la disposition du grand public par le consommateur.

Obligations commerciales

La NJDPA impose plusieurs obligations aux responsables du traitement des données à caractère personnel. Ces obligations visent à garantir que les entreprises traitent les données à caractère personnel de manière responsable et transparente.

Transparence

À l'instar d'autres lois sur la protection des données personnelles des consommateurs, les responsables du traitement doivent fournir aux consommateurs une déclaration de confidentialité qui soit raisonnablement accessible, claire et significative. La déclaration de confidentialité doit inclure les informations suivantes :

– Catégories de données à caractère personnel traitées.

– Finalités du traitement des données à caractère personnel.

– Catégories de tiers auxquels les données sont divulguées.

– Comment les consommateurs peuvent exercer leurs droits en vertu de la loi (voir Droits des consommateurs ci-dessous).

– Méthodes utilisées pour informer les consommateurs des modifications importantes apportées à la déclaration de confidentialité.

– Une méthode de contact électronique active pour les demandes de renseignements.

Si un responsable du traitement vend des données à caractère personnel à des tiers ou traite des données à caractère personnel à des fins de publicité ciblée ou de profilage, la déclaration de confidentialité doit clairement et ostensiblement mentionner ces ventes ou traitements. Elle doit également expliquer la méthode par laquelle un consommateur peut refuser ces ventes ou traitements. Il est interdit aux responsables du traitement d'exercer une discrimination à l'encontre d'un consommateur qui refuse le traitement à des fins de vente, de publicité ciblée ou de profilage.

Mécanisme universel de désinscription

Six mois après la date d'entrée en vigueur de la NJDPA, tout responsable du traitement qui traite des données à caractère personnel à des fins de publicité ciblée, de vente de données à caractère personnel ou de profilage sera tenu de permettre aux consommateurs de refuser ce traitement grâce à un mécanisme de désactivation universel sélectionné par l'utilisateur. La Californie et le Colorado ont déjà approuvé l'utilisation du signal de navigateur GPC (General Privacy Control) à cette fin.

Obtenir le consentement pour certains traitements

Les responsables du traitement doivent obtenir le consentement explicite (via une option d'adhésion) avant de traiter des données sensibles. Cela comprend les informations financières (notamment le numéro de compte d'un consommateur, ses identifiants de connexion, son compte financier ou son numéro de carte de crédit ou de débit, associés à tout code de sécurité, code d'accès ou mot de passe requis permettant d'accéder au compte financier d'un consommateur) ; les informations qui révèlent l'origine raciale ou ethnique, les croyances religieuses, l'état de santé mentale ou physique, les traitements ou diagnostics ; la vie sexuelle ou l'orientation sexuelle ; la citoyenneté ou le statut d'immigrant ; le statut de transgenre ou de non-binaire ; les données génétiques ou biométriques qui peuvent être traitées dans le but d'identifier de manière unique un individu ; ou les données de géolocalisation précises.

Les responsables du traitement doivent également obtenir le consentement préalable avant de traiter les données à caractère personnel (i) des mineurs âgés de moins de 13 ans (et doivent traiter les données conformément à la loi fédérale américaine sur la protection de la vie privée des enfants en ligne (COPPA)) ; et (ii) des mineurs âgés de 13 à 16 ans à des fins de publicité ciblée, de vente des données à caractère personnel du consommateur ou de profilage dans le cadre de décisions ayant des effets juridiques ou similaires significatifs concernant un consommateur.

Évaluation de la protection des données

La NJDPA (similaire à la CPA du Colorado) interdit aux responsables du traitement de traiter des données qui présentent un « risque accru de préjudice » pour les consommateurs sans avoir préalablement effectué et documenté une évaluation de la protection des données. Le terme « risque accru de préjudice » est défini comme suit :

• Traitement des données à caractère personnel à des fins de profilage ou de publicité ciblée
• La « vente » des données personnelles
• Traitement des « données sensibles »
• Traitement des données à caractère personnel à des fins de profilage si ce profilage présente un risque raisonnablement prévisible :
  • Traitement injuste ou trompeur des consommateurs, ou impact discriminatoire illégal sur ceux-ci
  • Préjudice financier ou physique causé aux consommateurs
  • Une intrusion physique ou autre dans la solitude ou l'intimité, ou dans les affaires ou les préoccupations privées des consommateurs, si cette intrusion serait offensante pour une personne raisonnable.
  • Autres préjudices importants causés aux consommateurs.

Contrats avec les transformateurs

À l'instar d'autres lois sur la protection des données personnelles des consommateurs, les responsables du traitement doivent conclure avec les sous-traitants des contrats contenant certaines conditions générales qui satisfont aux obligations de la NJDPA.

Droits des consommateurs

À l'instar d'autres lois sur la protection des données personnelles des consommateurs, la NJDPA accorde aux consommateurs le droit de vérifier si une entreprise traite leurs données personnelles, d'accéder à ces données, de corriger toute inexactitude, de les faire supprimer et de les obtenir dans un format portable deux fois par an. Les consommateurs ont le droit de refuser le traitement de leurs données personnelles à des fins (a) de publicité ciblée, (b) de vente de données personnelles ou (c) de profilage dans le cadre de décisions ayant des effets juridiques ou similaires significatifs les concernant.

Les responsables du traitement sont tenus de répondre dans les 45 jours suivant la réception d'une demande relative aux droits des consommateurs, avec une prolongation supplémentaire de 45 jours autorisée dans certaines circonstances. Les responsables du traitement sont également tenus de répondre et de fournir gratuitement les informations demandées jusqu'à une fois par an, mais peuvent facturer les demandes supplémentaires au cours d'une période de 12 mois.

Application de la loi

La NJDPA n'accorde pas de droit d'action privé aux consommateurs. À l'instar de nombreuses autres lois étatiques sur la confidentialité des données des consommateurs, la NJDPA sera exclusivement appliquée par le procureur général du New Jersey. Pendant les 18 premiers mois suivant la date d'entrée en vigueur de la loi, les responsables du traitement disposeront d'un délai de 30 jours pour remédier à toute violation. Si le responsable du traitement ne remédie pas à la violation dans ce délai, le procureur général pourra engager une action coercitive.

La Division des affaires consuméristes peut adopter des règlements pour mettre en œuvre la NJDPA.

Amendes

La NJDPA ne prévoit pas d'amendes légales. Cependant, toute violation de la NJDPA constituera une violation de la loi sur la fraude à la consommation du New Jersey (New Jersey Consumer Fraud Act), qui peut entraîner des amendes pouvant aller jusqu'à 10 000 dollars américains pour la première infraction et jusqu'à 20 000 dollars américains pour les infractions suivantes.

Impact sur les entreprises

La NJDPA est la première d'une série de lois qui devraient venir s'ajouter au patchwork croissant de lois sur la protection de la vie privée spécifiques à certains secteurs et à certains États en 2024. Il est donc essentiel que les organisations susceptibles d'être soumises à ces nouvelles lois prennent des mesures proactives pour s'assurer qu'elles se conforment à ces dernières. Pour les organisations qui se conforment déjà ou s'efforcent actuellement de se conformer aux lois sur la protection des données des consommateurs déjà en vigueur, telles que la CPRA de Californie, la CPA du Colorado ou la CDPA de Virginie, il y aura probablement un chevauchement important entre ces efforts et les politiques et procédures adoptées en vertu de ces lois. Toutefois, les organisations qui n'ont pas été soumises à d'autres lois similaires sur la protection de la vie privée devront probablement consacrer des ressources importantes pour se mettre en conformité. À ce titre, les organisations devraient donner la priorité aux activités suivantes afin de garantir leur conformité et d'alléger la charge que cela représente à l'avenir :

• Entreprendre un exercice de cartographie des données afin de comprendre les types de données que l'organisation traite et conserve, les fins auxquelles elles sont utilisées et si toutes les données sont nécessaires.
• Réalisez une évaluation de l'impact sur la vie privée.
• Entamer des collaborations avec des cabinets d'audit indépendants spécialisés dans la cybersécurité pour le traitement des « risques accrus de préjudice ».
• Mettre à jour les politiques et procédures afin de se conformer aux nouvelles exigences et obligations de la NJDPA.
• Commencez à développer des processus opérationnels pour permettre aux consommateurs d'exercer leurs nouveaux droits.
• Veiller à ce que l'organisation dispose d'une déclaration de confidentialité raisonnablement accessible, claire et significative, conforme aux exigences de la NJDPA.
• Examiner les relations commerciales avec les sous-traitants tiers chargés du traitement des données afin de comprendre le rôle de chaque partie et les exigences potentielles.

Pour plus d'informations sur la loi du New Jersey relative à la protection des données et ses exigences, ou pour obtenir de l'aide en matière de conformité, veuillez contacter l'un des auteurs ou l'un des associés ou conseillers principaux du département Cybersécurité et protection des données de Foley.