Le 1er octobre 2022, le bureau du procureur général du Colorado a soumis une première ébauche des règles de la loi sur la protection de la vie privée du Colorado («règles CPA»), qui mettront en œuvre et appliqueront la loi sur la protection de la vie privée du Colorado («CPA»). Les règles de l’ACP, qui comptent actuellement environ 38 pages, traitent de nombreux problèmes récents liés à la réglementation nationale sur la confidentialité des données, notamment le profilage des données, la protection des données, le traitement automatisé des données, les données biométriques, les mécanismes de désactivation universels et les droits individuels en matière de données.
En outre, le bureau du procureur général du Colorado a inclus dans les règles un avis de proposition de réglementation, qui fournit une liste non exhaustive de sujets sur lesquels le bureau du procureur général du Colorado sollicite l’avis du public, ainsi qu’un énoncé de fondement, une autorité statutaire spécifique et un objectif. , qui fournit un aperçu réglementaire sur la rédaction des règles.
Le bureau du procureur général a publié les règles de la CPA dans le registre du Colorado le 10 octobre 2022, où l’avis de proposition de réglementation, la déclaration de base, l’autorité statutaire spécifique et l’objectif et le projet de règles de la CPA sont accessibles au public.
Résumé du projet de règlement
Le règlement proposé, s’il est adopté, ajouterait certaines nouvelles obligations de conformité importantes pour les entreprises. Vous trouverez ci-dessous des exemples clés de sujets abordés par les règlements proposés.
Droit de demander l’exercice des droits relatifs aux données personnelles (Règle 4.02 – Règle 4.07 ; 6.11)
Le règlement proposé fournit aux habitants du Colorado un mécanisme pour protéger leurs droits en matière de données personnelles en adressant des demandes directement aux contrôleurs de données ou aux entreprises qui contrôlent leurs données personnelles. Ces droits sur les données incluent :
- Le droit de retrait – les entreprises doivent fournir une méthode de retrait, directement ou via un lien, clairement et visiblement dans leur avis de confidentialité et un emplacement facilement accessible en dehors de l’avis de confidentialité (par exemple, un lien disponible indiquant « Colorado Opt- Droits de retrait », « Refus d’utilisation des données personnelles » ou « Vos droits de retrait »);
- Le droit d’accès – sur demande, les entreprises doivent fournir aux consommateurs des informations sur toutes les données personnelles qu’elles ont collectées et conservées sur le consommateur, y compris les informations obtenues dans le cadre de la fourniture de services à l’entreprise ;
- Le droit de rectification – les entreprises doivent se conformer à la demande d’un consommateur de corriger les informations concernant ses données personnelles et les rendre accessibles via les paramètres de son compte ;
- Le droit à la suppression – les entreprises doivent se conformer à la demande de suppression d’un consommateur, supprimer définitivement les données personnelles de leurs systèmes existants et informer les consommateurs de la suppression de leurs informations personnelles ; autre
- Le droit à la portabilité des données – les entreprises doivent être en mesure de transférer des données personnelles aux consommateurs via une méthode sécurisée (dans un format électronique couramment utilisé).
Les entreprises sont tenues de documenter et de conserver des enregistrements de toutes les demandes de droits sur les données des consommateurs, dans un format lisible, pendant au moins vingt-quatre (24) mois. Les informations provenant de ces demandes ne peuvent être utilisées à d’autres fins que la conformité avec le CPA et doivent être conservées avec des procédures et des pratiques de sécurité raisonnables.
Authentification (Règle 4.08)
La règle 4.08 du règlement proposé exige que les « contrôleurs » établissent des « méthodes raisonnables » pour authentifier les consommateurs qui soumettent des demandes de droits sur les données. Lors de la détermination du caractère raisonnable, les règles de l’ACP fournissent plusieurs facteurs, notamment les droits exercés en matière de données, le type, la sensibilité, la valeur et le volume des données personnelles concernées, ainsi que le niveau de préjudice éventuel qu’un accès ou une utilisation inappropriés pourraient causer au consommateur soumettant le droit aux données. demande. Le CPA prévoit en outre que les entreprises ne doivent pas imposer aux consommateurs une charge déraisonnable pour soumettre des demandes de droits sur les données.
Mécanisme universel de retrait (Partie 5)
Le règlement proposé fournit des orientations sur la manière de mettre en œuvre des mécanismes de retrait universels et fournit des ressources au public sur la meilleure façon d’utiliser ces outils. Par exemple, le Colorado Department of Law maintiendra une liste publique des mécanismes de retrait qui ont été reconnus par le bureau de l’AG. Ces mécanismes d’opt-out n’utiliseront, ne divulgueront ni ne conserveront aucune donnée personnelle collectée auprès des consommateurs et fourniront aux consommateurs une méthodologie simple pour exercer leurs droits d’opt-out auprès de toutes les entreprises sans faire de demande individuelle à chacune d’entre elles. Cependant, les règles de l’ACP permettent également aux entreprises de demander le consentement affirmatif des consommateurs qui se sont désinscrits via le mécanisme universel de désinscription pour collecter leurs données.
Lignes directrices sur les avis de confidentialité en vertu de la CPA (règles 6.01 à 6.04)
Le règlement proposé précise en outre comment les entreprises doivent rédiger des avis de confidentialité et des conseils sur la façon de se conformer à la règle de l’ACP. Le règlement proposé prévoit que les avis de confidentialité doivent être clairs, facilement accessibles et spécifiques. L’avis de confidentialité doit également décrire en détail la manière dont les entreprises traitent les données des consommateurs. Par exemple, les règles de l’ACP exigent que les entreprises divulguent si elles collectent des données personnelles et si elles partagent ces données avec des tiers. En outre, les entreprises doivent informer les consommateurs des modifications substantielles ou importantes apportées à leurs avis de confidentialité et fournir cet avis 15 jours calendaires avant l’entrée en vigueur de la modification.
Avantages de fidélité de bonne foi (règle 6.05)
Le règlement proposé, en vertu de la règle 6.05, donne un aperçu de la manière dont les droits sur les données peuvent affecter les programmes de fidélisation et fournit des informations spécifiques pour ces programmes. Le règlement proposé exige des divulgations spécifiques dans leurs avis de confidentialité, y compris les données personnelles collectées, des informations sur les tiers qui reçoivent ces informations et des informations sur la valeur des programmes de fidélité lorsqu’un client choisit de se désabonner.
Minimisation des données (Règle 6.07)
Les règles de l’ACP prévoient que les entreprises ne doivent collecter que les informations raisonnablement nécessaires à une fin précise et déterminer, au moyen d’une évaluation documentée, la quantité minimale de données personnelles nécessaires à cette fin expresse. Les règlements proposés fixent des délais précis pour la suppression des données et l’examen périodique des pratiques en matière de données. Plus spécifiquement pour les données biométriques, les entreprises devraient examiner, au moins une fois par an, si le stockage de certaines données biométriques est nécessaire et recevoir le consentement chaque année suivante après la collecte.
consentement (Règle 7.01 à 7.08)
Les règles de l’ACP fournissent des indications importantes sur les exigences de consentement pour la collecte de données personnelles auprès des consommateurs. Certaines des exigences en matière de consentement comprennent :
- Les entreprises sont tenues d’obtenir leur consentement lorsqu’elles traitent les données sensibles des consommateurs, traitent les données personnelles d’un enfant connu, vendent des données ou utilisent des données à des fins de publicité ciblée ou de profilage, ou collectent des données en dehors de leur objectif initial spécifié ;
- Un consentement valide exige (1) que les consommateurs fournissent une action positive claire pour montrer leur consentement ; (2) les consommateurs à donner librement leur consentement ; (3) que les consommateurs puissent consentir séparément à une fin spécifique ; (4) les consommateurs doivent être informés via des informations spécifiques de la société collectant les données du consommateur ; et (5) le consentement doit refléter un accord sans ambiguïté ;
- Les entreprises doivent fournir des mécanismes simples pour recevoir le consentement des consommateurs. Si un consommateur s’est désinscrit, au moyen d’un signal universel de désinscription ou directement auprès de l’entreprise, l’entreprise doit fournir un mécanisme simple pour recevoir le consentement des consommateurs. De même, les entreprises doivent fournir aux consommateurs un mécanisme simple pour refuser ou révoquer leur consentement ;
- Les entreprises sont tenues de prendre des mesures raisonnables pour vérifier l’âge d’un consommateur avant de traiter ses données si elles savent qu’elles peuvent collecter ou conserver les données personnelles d’un enfant. Les entreprises doivent obtenir le consentement des parents pour traiter les informations recueillies sur les enfants et déployer des efforts raisonnables pour vérifier le consentement ; autre
- Les entreprises doivent obtenir un « consentement renouvelé » pour le traitement de données sensibles ; où les entreprises seront tenues d’obtenir un nouveau consentement lorsque l’objectif de collecte de données d’une entreprise évolue sensiblement ou chaque année.
Motifs sombres (règle 7.09)
En vertu du règlement proposé, des modèles sombres existent lorsque les entreprises utilisent une conception d’interface ou une architecture de choix qui a pour effet substantiel de subvertir ou d’altérer l’autonomie, la prise de décision ou le choix de l’utilisateur, ou de manipuler ou de contraindre injustement, frauduleusement ou trompeusement un consommateur à donner son consentement. Les motifs sombres ne sont pas autorisés et ne sont pas considérés comme un consentement valide.
Évaluations de la protection des données (règle 8.04)
Le règlement proposé oblige les entreprises à effectuer des évaluations de la protection des données. Actuellement, la règle 8.04 met en évidence une liste de 18 éléments qui doivent être abordés dans chaque évaluation, y compris l’activité de traitement ; objectif spécifique de l’activité de traitement ; types spécifiques de données personnelles à traiter ; la manière dont les données personnelles doivent être traitées est adéquate, pertinente et limitée à ce qui est raisonnablement nécessaire à la finalité spécifiée ; détails opérationnels pour le traitement ; noms et catégories de destinataires de données personnelles (tels que des tiers, des sociétés affiliées et des sous-traitants de données) ; la relation entre le responsable du traitement et le consommateur dont les données personnelles seront traitées ; les attentes du consommateur ; les garanties procédurales fournies aux consommateurs lors de l’obtention de données personnelles ; activités de transformation alternatives; les sources et la nature des risques pour les consommateurs (individuellement et globalement) ; les mesures et garanties que les contrôleurs doivent mettre en place ; Conformité à la règle 9.06 (Évaluation de la protection des données pour le profilage) si le responsable du traitement traite des données personnelles à des fins de profilage ; les détails du processus mis en œuvre pour garantir que les données personnelles et les inférences de données sensibles ne sont pas transférées et supprimées dans les 12 heures suivant l’activité de traitement et la procédure d’audit de ce processus ; les avantages pour le traitement qui peuvent profiter au responsable du traitement, au consommateur et aux autres parties prenantes attendues, et comment ces avantages l’emportent sur les risques, les acteurs internes concernés et les parties externes contribuant au DPA ; le processus d’examen DPA, et ; les dates auxquelles l’APD a été examinée et approuvée, ainsi que les noms, fonctions et signatures des personnes responsables de l’examen et de l’approbation. Ces évaluations doivent être révisées et mises à jour annuellement.
Profilage (Règle 9.03)
Les entreprises qui se livrent au profilage doivent fournir des informations claires, compréhensibles et transparentes dans leurs avis de confidentialité pour aider les consommateurs à comprendre comment elles profilent le consommateur. Le règlement proposé prévoit un minimum de huit exigences de divulgation pour les avis de confidentialité, qui comprennent des informations telles que : quelles décisions sont sujettes au profilage; les catégories de données personnelles qui ont été ou seront traitées ; quel est le processus de profilage (en langage clair) ; en quoi le profilage est pertinent pour l’entreprise ; le profilage sert-il à des fins publicitaires ; si le système de profilage a été évalué pour son exactitude, son équité ou sa partialité ; les avantages et les conséquences de telles inférences, et ; comment les consommateurs peuvent refuser le traitement des données personnelles à des fins de profilage.
prochaines étapes
La période de commentaires sur la règle proposée a commencé le 10 octobre 2022 et se terminera le 1er février 2023. La date limite pour la demande publique d’analyse des coûts-avantages est le 15 octobre 2022. Une fois la période de commentaires terminée, une audience de réglementation proposée aura lieu le 1er février 2023 à 10h00.
Les commentaires écrits peuvent être soumis par les moyens suivants :
Électronique : Les commentaires peuvent être soumis par voie électronique en soumettant ce formulaire.
Les commentaires écrits et oraux, les pièces jointes et les coordonnées associées (par exemple, téléphone, e-mail, etc.) font partie du dossier public et sont publiés ici.