Le Texas a rejoint la liste croissante des États américains qui ont promulgué des lois complètes sur la protection des données. Le 29 mai, la législature du Texas a adopté le Texas Data Privacy and Security Act (TDPSA), également connu sous le nom de H.B. 4, qui a été promulgué le 18 juin par le gouverneur Greg Abbott.
La loi entrera en vigueur le 1er juillet 2024, donnant aux entreprises un peu plus d’un an pour préparer leur mise en conformité.
Cet article donne un aperçu des dispositions clés du Texas Data Privacy and Security Act et de ses implications pour les entreprises et consommateurs.
Le Texas Data Privacy and Security Act diffère des lois sur la protection de la vie privée en vigueur dans les États par sa vaste portée, car il ne prévoit aucun seuil de revenus ou de volume de traitement des données. Il s’applique aux entreprises et aux particuliers qui:
Note: Comme prévu, la loi ne prévoit pas de volume de traitement des données ni de seuil de recettes, ce qui la rend applicable à la plupart des entreprises du Texas. Toutefois, les petites entreprises*, telles que définies par la Small Business Administration (SBA), sont exemptées de certaines dispositions.
Une petite entreprise, telle que définie dans le Tableau des normes de taille de la Small Business Administration (SBA), désigne une entreprise qui répond à des critères précis fondés sur les codes du Système de classification des industries de l’Amérique du Nord (NAICS). Ces critères varient considérablement d’une industrie à l’autre, puisqu’ils englobent une gamme de revenus allant de 1 million de dollars à plus de 40 millions de dollars et emploient entre 100 et plus de 1 500 employés.
Le Texas Data Privacy and Security Act accorde plusieurs droits aux consommateurs concernant leurs données personnelles.
Ces droits permettent aux consommateurs de mieux contrôler leurs données personnelles et leur utilisation par les entreprises.
La loi impose des restrictions à la collecte et au traitement des données personnelles par les responsables du traitement.
Les Données sensibles, y compris des informations telles que race, origine ethnique, religion, données génétiques ou biométriques et géolocalisation précise, ne peuvent être traitées qu’avec le consentement du consommateur.
Le Texas Data Privacy and Security Act oblige les responsables à fournir un avis de confidentialité raisonnablement accessible et clair aux consommateurs, soulignant, entre autres:
Si les responsables effectuent la vente de données sensibles, ils sont tenus de fournir une divulgation appropriée aux consommateurs.
Pour certains types de traitement de données, les responsables du traitement doivent effectuer des évaluations de la protection des données.
Le procureur général du Texas est la seule autorité d’application et d’enquête pour le Texas Data Privacy and Security Act.
Avant d’intenter une action contre un contrevenant présumé, le procureur général doit lui laisser un délai de 30 jours pour remédier à la violation. Après ce délai de grâce, le procureur général peut imposer des pénalités pouvant atteindre 7 500 $ par violation, ainsi que demander une injonction et le règlement des honoraires d’avocat.
