Aperçu des législations américaines en matière de protection de la vie privée
Avertissement : ce tableau ne fournit pas d’indications exhaustives à propos de chacune des législations et de leur application. Pour plus d’informations, nous vous recommandons de consulter les textes officiels de ces législations, dont vous trouverez les liens en dessous du tableau.
Ce tableau présente un aperçu des législations en matière de protection de la vie privée qui ont récemment été adoptées ou qui devraient l’être prochainement au niveau étatique aux États-Unis.
La date d’entrée en vigueur et la teneur des propositions de loi qui n’ont pas encore été promulguées sont susceptibles d’évoluer.
Dans ce tableau, les droits accordés aux utilisateurs portent des dénominations standard. Bien que certaines dénominations se recoupent, ces droits peuvent présenter des différences d’une législation à l’autre, et ce, au niveau du nom qui leur est attribué en anglais, de leur nature et de leurs modalités d’exercice.
Aux États-Unis, la plupart des législations en matière de protection de la vie privée au niveau étatique sont largement inspirées du California Consumer Privacy Act (CCPA), loi de la Californie sur la protection de la vie privée des consommateurs. C’est pourquoi ce tableau comporte, pour chaque législation, une colonne dans laquelle nous avons identifié les éléments précis qui ressemblent à la loi CCPA.
Législations déjà en vigueur (fond vert)
Législations adoptées, mais pas encore en vigueur (fond jaune)
Aucune législation exhaustive en matière de protection de la vie privée pour le moment (fond rouge)
Aide-mémoire sur la protection de la vie privée aux États-Unis : tableau comparatif
Questions
Nevada
Californie
Colorado
Virginie
Connecticut
Utah
Maryland
Iowa
Illinois
Minnesota
Alabama
Oklahoma
Washington
New York
Massachusetts
Arizona
Kentucky
Maine
Date d’entrée en vigueur
2017 Modifications ultérieures en 2019 et 2021 ; dernière version entrée en vigueur le 1er octobre 2021
California Privacy Rights Act (CPRA)
1er janvier 2023loi CPRA est venue compléter quelques éléments clés de la loi CCPA. On peut la considérer comme une version plus exhaustive de cette loi.
An Act Concerning Personal Data Privacy and Online Monitoring
1er juillet 2023
Utah Consumer Privacy Act
31 décembre 2023
Proposition de loi sur la protection des informations personnelles des consommateurs en ligne (rejetée)
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Proposition de loi sur la protection des données des consommateurs (statut inconnu)
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Consumer Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Consumer Data Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Consumer Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
The Oklahoma Computer Data Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
People’s Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Privacy Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Massachusetts Information Privacy and Security Act
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Aucune législation exhaustive en matière de protection de la vie privée pour le moment
Suis-je concerné ?
Vous êtes concerné si vous entrez dans la catégorie des Collecteurs de données. Ce terme désigne tout type de personne morale ou d’association (et notamment tout établissement d’enseignement supérieur, agence gouvernementale, société, institution financière ou opérateur de détail) qui, à quelque fins que ce soit, traite (et notamment manipule, recueille ou diffuse) des informations personnelles non publiques, y compris par collecte automatisée.
Les opérateurs et les courtiers de données sont aussi concernés.
Cette loi vous concerne si vous êtes une personne morale qui exerce des activités à but lucratif en Californie, qui recueille des informations personnelles de consommateurs ou pour le compte de laquelle de telles informations sont recueillies, qui détermine (seule ou avec d’autres personnes) les finalités et les moyens du traitement des informations personnelles de consommateurs, et qui répond au moins à l’un des critères suivants :
dont le chiffre d’affaires brut annuel est supérieur à 25 millions de dollars américains ;
qui achète, vend ou communique chaque année les informations personnelles d’au moins 100 000 consommateurs ou foyers ; ou
dont au moins 50 % du chiffre d’affaires annuel provient de la vente ou
de la communication d’informations personnelles de consommateurs.
Cette loi vous concerne si vous êtes une personne morale qui exerce des activités dans le Coloradoouqui propose des produits ou services commerciaux ciblant délibérément les résidents du Colorado et :
qui contrôle ou traite les données personnelles d’au moins 100 000 consommateurs par an, ou
qui contrôle ou traite les données personnelles d’au moins 25 000 consommateurs et dont le chiffre d’affaires provient en partie de la vente de données personnelles (ou qui bénéficie d’une remise sur le prix de biens ou de services du fait d’une telle vente).
Cette loi vous concerne si vous êtes une personne qui exerce des activités en Virginieouqui cible les résidents de Virginie et :
qui contrôle ou traite les données personnelles d’au moins 100 000 consommateurs par an, ou
qui contrôle ou traite les données personnelles d’au moins 25 000 consommateurs et dont plus de 50 % du chiffre d’affaires brut provient de la vente de données personnelles.
Cette loi vous concerne si vous êtes une entreprise (établie ou non dans le Connecticut) qui cible les résidents du Connecticut et :
qui contrôle ou traite les données personnelles d’au moins 100 000 consommateurs par année civile ; ou
qui contrôle ou traite les données personnelles d’au moins 25 000 consommateurs et dont plus de 50 % du chiffre d’affaires brut provient de la vente de données personnelles.
Cette loi s’applique à tout responsable du traitement ou sous-traitant qui exerce des activités dans l’Utah ou propose un produit ou service ciblant les résidents de l’Utah, qui réalise un chiffre d’affaires annuel d’au moins 25 millions de dollars américains et qui répond au moins à l’un des critères suivants :
qui contrôle ou traite les données personnelles d’au moins 100 000 consommateurs par année civile ; ou
dont plus de 50 % du chiffre d’affaires brut provient de la vente de données personnelles et qui contrôle ou traite les données personnelles d’au moins 25 000 consommateurs.
Qui est protégé ?
Les résidents du Nevada
Les consommateurs. Les personnes physiques qui résident dans l’État de Californie.
Les consommateurs. Toute personne physique qui réside dans le Colorado et qui agit uniquement en capacité de personne physique ou de foyer.
Les consommateurs. Les personnes physiques qui résident dans l’État de Virginie.
Les consommateurs. Toute personne physique qui réside dans le Connecticut.
Les consommateurs. Toute personne physique qui réside dans l’Utah et qui agit uniquement en capacité de personne physique ou de foyer.
Quels droits la loi accorde-t-elle aux utilisateurs ?
Droit de refuser la vente d’informations personnelles
Droit à l’information et à l’accès
Droit à l’effacement des informations personnelles
Droit à la rectification des informations personnelles inexactes
Droit de refus de la vente ou la communication d’informations personnelles
Droit de limitation de l’utilisation ou de la divulgation des informations personnelles sensibles
Droit de ne faire l’objet d’aucune discrimination aux fins de l’exercice des droits des consommateurs en matière de vie privée
Droits à l’accès et à la portabilité des données
Droit à la rectification
Droit à l’effacement
Droit de refus de tout traitement réalisé à des fins de publicité ciblée, de profilage ou de vente de données personnelles
Droit de recours
Droits à l’accès et à la portabilité des données
Droit à l’effacement
Droit à la rectification
Droit de refus de tout traitement réalisé à des fins de publicité ciblée, de profilage ou de vente de données personnelles
Droits à l’accès et à la portabilité des données
Droit à la rectification
Droit à l’effacement
Droit de refus de tout traitement réalisé à des fins de publicité ciblée, de profilage ou de vente de données personnelles
Droit de recours
Droit d’accès
Droit à la rectification
Droit à l’effacement
Droit à la portabilité des données
Droit de refus de tout traitement de données personnelles du consommateur réalisé à des fins de :
publicité ciblée
vente de données personnelles
Dois-je disposer d’un avis de confidentialité ?
OUI
OUI
OUI
OUI
OUI
OUI
Les traqueurs (comme les cookies) sont-ils réglementés ?
Dois-je permettre aux consommateurs de s’opposer au traitement de données personnelles à l’égard de certaines finalités ?
OUI
OUI
OUI
OUI
OUI
OUI
Dois-je obtenir le consentement préalable des consommateurs avant de traiter leurs données sensibles ?
NON
NON
OUI
OUI
OUI
NON
Quelles sont les conséquences en cas de violation ?
Des sanctions administratives pour violation ou une injonction. Des sanctions administratives pouvant aller jusqu’à 5 000 dollars américains par violation.
Des sanctions administratives de 2 500 dollars américains par violation ou de 7 500 dollars américains par violation lorsque celle-ci est intentionnelle ou implique les informations personnelles d’un enfant.
Des sanctions administratives ne pouvant excéder 20 000 dollars américains par violation.
Des sanctions administratives pouvant aller jusqu’à 7 500 dollars américains par violation.
Des sanctions administratives ne pouvant excéder 5 000 dollars américains par violation intentionnelle, auxquels s’ajoutent les dépenses engagées par l’avocat général pour l’enquête et la préparation de l’affaire, y compris les honoraires d’avocat.
Lorsqu’il introduit une action en justice, l’avocat général peut recouvrer i) des dommages et intérêts visant à réparer le préjudice réel subi par le consommateur et ii) une somme ne pouvant excéder 7 500 dollars américains par violation.