La loi sur la protection des données des consommateurs de Virginie (VCDPA) a été promulguée en mars 2021, et la Virginie est devenue le deuxième État des États-Unis à adopter une loi complète sur la confidentialité des données, après la Californie.
Le VCDPA est entré en vigueur le 1er janvier 2023, et concerne les organisations qui mènent des activités en Virginie ou qui fournissent des produits/services à des personnes en Virginie. En d’autres termes, il n’est pas nécessaire que votre organisation soit située en Virginie pour que le VCDPA s’applique à votre situation.
🚀 Continuez à lire pour en savoir plus sur le VCDPA, y compris si vous êtes concerné ou non et comment s’y conformer.
Le VCDPA accorde aux utilisateurs le droit d’accéder à leurs données et de demander aux organisations de supprimer leurs données personnelles. Il oblige également les entreprises à effectuer des évaluations de la sécurité des données lorsqu’il existe un traitement de données personnelles à des fins, entre autres, de publicité ciblée et de vente.
En vertu du VCDPA, les données personnelles désignent toute information liée ou pouvant raisonnablement être liée à une personne identifiée ou identifiable.
Il est donc important de remarquer que les adresses IP peuvent être considérées comme des données à caractère personnel dès lors qu’elles sont « liées ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable ».
Pour entrer dans le champ d’application de la loi, les organisations menant des activités en Virginie doivent atteindre l’un des deux niveaux décrits, et ces deux seuils comprennent un nombre minimum d’utilisateurs concernés.
seront concernées par le VCDPA. Continuez votre lecture pour découvrir comment votre entreprise peut se mettre en conformité. 👇
Votre organisation doit fournir aux utilisateurs un avis de confidentialité raisonnablement accessible, clair et valable. Voici la liste complète des informations que vous devez inclure dans votre politique de confidentialité.
Mentionnez les catégories de données personnelles traitées par votre organisation.
Mentionnez à quelles fins votre organisation traite des données personnelles.
Informez vos utilisateurs de la manière dont ils peuvent exercer leurs droits (voir ci-dessous), y compris de la manière dont ils peuvent faire appel d’une décision concernant leurs demandes. Vous devez proposer une ou plusieurs méthodes permettant aux utilisateurs d’envoyer une demande.
Indiquez les catégories de données personnelles que votre organisation partage avec des tiers, le cas échéant.
Indiquez les catégories de tiers avec lesquels votre organisation partage des données personnelles, le cas échéant.
Les résidents de Virginie ont les droits suivants en vertu de la loi VCDPA de Virginie :
N’oubliez pas qu’en vertu du VCDPA, rien n’indique que des liens d’opt-out permettant aux utilisateurs de renoncer au traitement de données personnelles à certaines fins soient nécessaires.
En effet, les dispositions du VCDPA traitent les droits d’opt-out des utilisateurs de la même manière que tous les autres droits des utilisateurs accordés par la loi. Voyez ci-dessous comment répondre aux demandes des utilisateurs 👇
Votre entreprise doit se conformer aux demandes des utilisateurs comme suit :
Comme le VCDPA ne comprend pas d’agence dédiée à la confidentialité, le procureur général a l’autorité exclusive pour faire appliquer ses dispositions.
Avant d’entamer toute action, le procureur général fournira un avis écrit de 30 jours identifiant les dispositions spécifiques qui ont été ou sont en infraction :
👉 Si, dans le délai de 30 jours, vous remédiez à l’infraction constatée et fournissez au procureur général une déclaration écrite indiquant que les infractions présumées ont été corrigées et qu’aucune autre violation ne se produira, aucune action ne sera engagée contre votre entreprise.
👉 Si votre entreprise continue à enfreindre les dispositions de la loi après la période de suspension ou après une déclaration écrite faite au procureur général, ce dernier peut intenter une action en justice et demander une injonction pour empêcher toute infraction et donner des sanctions civiles pouvant aller jusqu’à 7 500 dollars pour chaque infraction.
Les États-Unis se dotent d’une nouvelle réglementation en matière de protection des données grâce au « Virginia Data Protection Act » (VCDPA).
Si votre organisation est déjà en conformité avec le RGPD et le CCPA/CPRA de Californie, il est probable que vous n’ayez pas beaucoup à faire pour mettre votre site web en conformité avec le VCDPA de Virginie.
Si votre organisation entre dans le champ d’application de la loi VCDPA, vous devriez chercher des solutions qui soient fiables et rédigées par des avocats.
Alors, si vous n’avez pas encore de solution pour cela, commencez la mise en place avec iubenda.
Générer dès maintenant