Confidentialité aux États-Unis
IAB GPP : mettre en œuvre les lois américaines sur la protection des données de manière conforme à la loi
Rendez votre site Web ou votre application conforme aux exigences légales des nouvelles lois américaines sur la protection des données.
- Facile à intégrer
- Prend en charge CCPA/CPRA (Californie), VCDPA (Virginie), CPA (Colorado), UCPA (Utah), CAPDP (Connecticut), US National Privacy, entre autres
- Prise en charge officielle de la nouvelle Standard IAB GPP
- Y compris « Ne pas vendre », GPC et d’autres fonctions
- S’inscrire ou se désinscrire
- Conception personnalisable
- Cookie crawler déjà intégré
- Rapports détaillés
Nous avons déjà aidé plus de 25 000 sites Web à se conformer au RGPD, TDDDG et ePrivacy
Nos clients incluent certains des plus grands sites Web et des marques les plus connues au monde.
… et beaucoup plus.
Comment puis-je rendre mon site Web ou mon application conforme aux nouvelles lois américaines sur la confidentialité ?
Si votre entreprise relève de l’une des nombreuses lois sur la protection de la vie privée (voir la section Lois), vous devez vous conformer à ces lois. Dans la plupart des États, cela signifie :
- Les visiteurs du site Web/utilisateurs de l’application doivent être informés du type, de la finalité et du contenu du traitement des données
- Les visiteurs du site Web/utilisateurs de l’application doivent avoir le droit de s’opposer au traitement des données (opt-out)
- Dans certains cas, le consentement doit être obtenu préalablement au traitement des données (opt-in)
- Différentes règles de base s’appliquent à la manière dont les données peuvent être traitées, telles que le principe de minimisation des données, la sécurité, la transparence ou le traitement des données sensibles
Concrètement, cela signifie dans la plupart des cas : Une solution d’opt-out doit être installée sur le site Web ou l’application afin de fournir aux utilisateurs les informations nécessaires et permettre l’opt-out.
BESOIN DE CONFORMITÉ EN MATIÈRE DE CONFIDENTIALITÉ
… mais je ne traite aucune donnée ! ?
Une réponse que nous entendons souvent de la part des clients américains est qu’ils ne traitent en fait aucune donnée et que, par conséquent, les lois sur la protection des données ne s’appliquent pas à eux.
Il est important de noter ici que les opérateurs de sites Web et d’applications sont responsables des données qui sont traitées sur leur site Web ou dans leur application . Ainsi, les lois sur la protection des données s’appliquent notamment aux entreprises si elles remplissent l’une des conditions suivantes :
1. Si les données sont traitées à nos propres fins , par exemple via des outils de suivi tels que Google Analytics, Matomo, Hotjar ou similaire
2. Le partage de données avec des tiers est également une étape de traitement. Les données sont partagées, par exemple, en intégrant un plugin tiers dans le site Web ou l’application. Cela s’applique aux vidéos YouTube, aux plugins Facebook, à Google Maps, aux programmes de chat ou aux fournisseurs de paiement tels que PayPal
3. Chaque fois qu’une publicité est intégrée au site Web ou à l’application, les données sont automatiquement transmises à l’annonceur . La transmission s’entend comme une étape du traitement des données.
Bien que les États diffèrent un peu sur le moment où le consentement au traitement des données doit être donné, pratiquement toutes les lois sur la protection des données exigent l’opt-out. Dans le cas du CCPA/CPRA, cela doit être mis en œuvre explicitement au moyen d’un lien indiquant « Ne vendez pas et ne partagez pas mes informations personnelles ».
Devenez conforme en 5 étapes
Avec consentmanager vous pouvez facilement vous conformer aux diverses lois américaines sur la protection des données :
- 1. Inscrivez-vous maintenant gratuitement et activez votre compte consentmanager
- 2. Intégrez le code consentmanager dans votre site Web par copier-coller
- 3. Adaptez la conception de l’opt-out à vos souhaits
- 4. Créez et intégrez le lien « Ne vendez pas et ne partagez pas mes informations personnelles »
- 5. Restez conforme grâce aux mises à jour automatiques
Recommandé par les avocats et les délégués à la protection des données
La nouvelle Standard IAB GPP
Sécuriser le site internet avec de nouvelles normes : IAB GPP
Afin de signaler de manière transparente l’opt-in ou l’opt-out au sein du site Web ou de l’application à tous les outils, plugins et fournisseurs de publicité intégrés, la Standard dite IAB GPP a été développée par l’IAB.
- GPP signifie Global Privacy Platform et définit diverses méthodes et interfaces telles qu’un CMP (Consent Management Provider, également connu sous le nom de « Cookie Banner » ou « Privacy Notice ») qui enregistre et communique le consentement/opt-in ou le rejet/opt-out peut . La Standard s’appuie en grande partie sur la Standard IAB TCF, utilisée avec succès en Europe depuis des années et devenue incontournable pour les éditeurs et les annonceurs.
- L’équipe consentmanager a joué un rôle clé dans le développement de la norme GPP. Il n’est donc pas surprenant que consentmanager soit le premier fournisseur à proposer une utilisation productive de l’IAB GPP.
Vous pouvez également en savoir plus sur GPP sur notre blog . - Important : la plupart des lois sur la protection des données exigent également que les exploitants de sites Web et d’applications soient en mesure de répondre aux « signaux du navigateur ». L’un de ces signaux est le GPC ou « Global Privacy Control » requis en Californie. Avec consentmanager les sites Web et les applications n’ont pas à se soucier de la chance : la solution consentmanager répond automatiquement aux signaux du navigateur et met automatiquement en œuvre la désinscription.
- Utilisez GPP et GPC maintenant
Pourquoi se conformer aux lois américaines sur la confidentialité maintenant ?
Protection pour votre entreprise
CCPA, VCDPA, CAPAP, etc. entreront en vigueur à partir de 2023 et doivent être mis en œuvre. Les procureurs généraux fédéraux peuvent désormais imposer des amendes sur la base des lois – dans de nombreux cas, cela s’est déjà produit. N’hésitez plus et rendez votre site web ou votre application conforme dès maintenant !
Protection de vos gains
Les entreprises de publicité s’appuieront sur la nouvelle norme IAB GPP en 2023. En Europe, pratiquement aucune publicité n’est vendue sans la norme européenne – aux États-Unis, la tendance va dans le même sens. Si vous ne prenez pas en charge la norme IAB GPP, vous ratez des revenus publicitaires !
Protection pour vos clients
Les clients deviennent de plus en plus critiques et s’interrogent de plus en plus sur la manière dont les entreprises gèrent les données. Les entreprises qui ne respectent pas leur vie privée perdent de la crédibilité, des clients et des ventes. Montrez à vos clients que vous vous souciez vraiment d’eux !
Ne payez que ce que vous utilisez
Notre modèle de tarification flexible
La CMP consentmanager est abordable et disponible avec un modèle flexible : vous ne payez que ce que vous utilisez !
Basic
un site Web
- 5 000 vues / mois incl.
- Conforme au RGPD
- Conceptions préfabriquées
- 1 crawl/semaine
- Prise en charge : billets
Additionnel Vues réservablesCMP compatible IAB TCFNorme IAB BPPTests A/B et optimisationAdditionnel comptes utilisateur
Beginner
un site Web
- 100 000 vues / mois incl.
- Additionnel Vues :0,1 € / 1000
- Conforme au RGPD
- Conceptions personnalisables
- 3 crawls/jour
- Prise en charge : billets
Tests A/B et optimisationCMP compatible IAB TCFNorme IAB BPPAdditionnel comptes utilisateur
Standard
3 sites Web ou applications
- 1 million de vues / mois incl.
- Additionnel Vues :0,05 € / 1000
- Conforme au RGPD
- CMP compatible IAB TCF
- Norme IAB BPP
- Conceptions personnalisables
- Tests A/B et optimisation
- 10 crawls/jour
- Assistance : ticket et e-mail
Additionnel comptes utilisateur
Agency
20 sites Web ou applications
- 10 millions de vues / mois incl.
- Additionnel Vues :0,02 € / 1000
- Conforme au RGPD
- CMP compatible IAB TCF
- Norme IAB BPP
- Conceptions personnalisables
- Tests A/B et optimisation
- 100 crawls/jour
- 10 supplémentaires comptes utilisateur
- Assistance : ticket, e-mail et téléphone
Gestionnaire de compte personnel
Enterprise
- Toutes les vues / mois
- Additionnel Vues :0,02 € / 1000
- Conforme au RGPD
- CMP compatible IAB TCF
- Norme IAB BPP
- Conceptions personnalisables
- Tests A/B et optimisation
- Tous les crawls/jour
- n’importe quel ajout. comptes utilisateur
- Assistance : ticket, e-mail et téléphone
- Gestionnaire de compte personnel
Aperçu:
Quand les lois sur la protection des données sont-elles entrées en vigueur aux États-Unis ?
Ce sont les importantes normes de confidentialité américaines
Quelles sont les lois sur la protection des données aux États-Unis ?
Les entreprises qui sont situées, font des affaires, fournissent des services ou traitent avec des résidents américains sont très probablement couvertes par l’une des nombreuses lois sur la protection des données.
- Contrairement à de nombreux autres pays, les lois sur la protection des données aux États-Unis sont réglementées au niveau de l’État – jusqu’à ce qu’il y ait une loi nationale sur la protection des données. Les entreprises doivent donc vérifier si ou quelles lois fédérales s’appliquent à elles. En détail, il pourrait s’agir de :
CCPA / CPRA – Californie
CCPA signifie California Consumer Privacy Act et a été promulguée en 2019. Elle s’applique notamment en Californie ou en relation avec les résidents californiens. La « mise à jour » du CCPA est CPRA ou California Privacy Rights Act. En vertu de la CPRA, certaines réglementations sont précisées et renforcées.
Nevada-NPICICA
La loi du Nevada sur la protection de la vie privée, la Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA), est entrée en vigueur le 1er octobre 2019, soulignant le droit des consommateurs à contrôler leurs informations personnelles collectées en ligne. Des amendements tels que le projet de loi du Sénat 220 (SB-220) et le projet de loi du Sénat 260 (SB-260) ont élargi ces droits en exigeant que les opérateurs de sites Web fournissent des mécanismes permettant aux consommateurs de refuser la vente de leurs données. Bien que les lois du Nevada sur la protection de la vie privée ne soient pas aussi complètes que celles d’autres États comme la Californie, elles prévoient néanmoins des sanctions en cas de violation, avec des amendes pouvant aller jusqu’à 5 000 $ par violation émises par le procureur général du Nevada. Les entreprises doivent divulguer certaines informations dans leurs politiques de confidentialité et fournir des mécanismes permettant aux consommateurs de se retirer de la vente de données.
VCDPA—Virginie
VCDPA signifie Virginia Consumer Data Protection Act et fait référence aux entreprises qui font des affaires dans l’État de Virginie ou ciblent les citoyens de cet État. Le VCDPA est entré en vigueur le 1er janvier 2023.
CPA—Colorado
CPA ou Colorado Privacy Act est la loi sur la confidentialité de l’État du Colorado. Cette loi est entrée en vigueur le 1er juillet 2023 et doit être mise en œuvre par les entreprises situées au Colorado ou traitant les données des résidents de l’État. La loi impose aux sites Web une exigence, le mécanisme de désinscription universel, qui oblige les sites Web à fournir à leurs utilisateurs un bouton de désinscription unique pour les services de marketing et d’analyse utilisés par le site Web.
UCPA-Utah
La loi américaine sur la protection des données pour l’État de l’Utah, à l’ouest des États-Unis, s’appelle UCPA ou Utah Consumer Privacy Act. Contrairement aux deux lois précitées, l’UCPA n’entre en vigueur que le 31 décembre 2023. Cette loi concerne également toutes les entreprises qui traitent un certain nombre de données (ici 100 000 par an) des résidents de l’État.
PACDP—Connecticut
CTDPA signifie Connecticut Data Privacy Act (également connu sous le nom de Connecticut Act Concernant la confidentialité des données personnelles et la surveillance en ligne) et est la loi fédérale sur la protection des données dans l’État du Connecticut. La loi est entrée en vigueur le 1er juillet 2023 et affecte les entreprises qui sont basées, exercent des activités ou traitent les données des résidents de l’État.
TDPSA – Texas
La Texas Data Privacy and Security Act (TDPSA), entrée en vigueur le 1er juillet 2024, s’applique aux entreprises qui opèrent au Texas ou fournissent des services aux résidents du Texas.
OCDPA-Oregon
L’Oregon Consumer Data Privacy Act (OCDPA), entrée en vigueur le 1er juillet 2024, s’applique aux entreprises qui opèrent dans l’État ou fournissent des services à ses résidents. Il inclut des rôles de type RGPD pour les responsables du traitement et les sous-traitants, nécessite des avis détaillés sur la protection des données et nécessite des évaluations de la protection des données pour les activités à haut risque.
MTCDPA-Montana
La Montana Consumer Data Privacy Act (MTCDPA), entrée en vigueur le 1er octobre 2024, s’applique aux entreprises exerçant leurs activités dans le Montana ou ciblant les résidents du Montana et établit des seuils d’applicabilité basés sur la quantité de données personnelles traitées et les revenus générés par la vente de données personnelles. à l’exclusion de certaines sociétés et types de données.
CDPA-Iowa
La loi de l’Iowa sur la protection des données des consommateurs, entrée en vigueur le 1er janvier 2025, cible les contrôleurs de données et les sous-traitants qui traitent des quantités importantes d’informations personnelles sur les résidents de l’Iowa ou tirent des revenus importants de la vente de ces informations.
DPDPA-Delaware
La loi du Delaware sur la protection des données personnelles, entrée en vigueur le 1er janvier 2025, établit la position du Delaware sur la protection des données des consommateurs, conformément aux tendances générales aux États-Unis, mais se distingue par le fait qu’elle n’exempte pas la plupart des organisations à but non lucratif et des établissements d’enseignement supérieur.
TIPA-Tennessee
La Tennessee Information Protection Act (TIPA), entrée en vigueur le 1er juillet 2025, fixe des critères stricts sur la manière dont les entreprises doivent traiter les informations personnelles des résidents du Tennessee. La TIPA fixe des seuils d’applicabilité restrictifs en fonction du chiffre d’affaires et du volume de traitement des données et définit les droits détaillés des consommateurs, notamment l’accès, la rectification, la suppression, la portabilité des données et l’opposition à certaines utilisations des données.
CDPA-Indiana
La loi de l’Indiana sur la protection des données, entrée en vigueur le 1er janvier 2026, s’adresse à la fois aux « contrôleurs de données » et aux « sous-traitants » opérant dans l’Indiana ou ciblant les résidents de l’Indiana. La loi fixe certains seuils d’applicabilité et exempte diverses entités telles que les agences gouvernementales et les entités couvertes par la HIPAA.
MMHD-Washington
Le My Health My Data Act (MHMD) de l’État de Washington, entré en vigueur le 31 mars 2024, impose des exigences strictes aux entreprises qui collectent, partagent ou traitent des données de santé. Le MMHD exige un consentement préalable pour la collecte d’informations sur la santé et un consentement supplémentaire pour leur divulgation afin de protéger la vie privée des consommateurs de soins de santé. La loi fixe des exigences détaillées en matière de sécurité des données et limite le géorepérage à proximité des prestataires de soins de santé.
MODPA-Maryland
Les législateurs du Maryland ont adopté le Maryland Online Data Privacy Act (MODPA), une loi sur la confidentialité qui entrera en vigueur le 1er octobre 2025 après son adoption. Les principales dispositions de la MODPA comprennent une interdiction de la vente de données sensibles, des exigences plus strictes en matière de minimisation des données, des évaluations obligatoires de la confidentialité, des exigences uniques en matière de publicité ciblée et des droits de désinscription avec des avis de confidentialité mis à jour. Le non-respect peut entraîner des amendes pouvant aller jusqu’à 10 000 $ par infraction.
FDBR-Floride
La Déclaration des droits numériques de Floride (FDBR) a été promulguée le 6 juin 2023 et entrera en vigueur le 1er juillet 2024. Cette loi introduit un certain nombre de mesures visant à protéger la vie privée des consommateurs. Il s’applique principalement aux grandes entreprises dont les revenus bruts annuels dépassent 1 milliard de dollars, avec certains seuils applicables aux entreprises fortement impliquées dans la publicité numérique ou exploitant de grandes plateformes numériques. Le FDBR prévoit de larges droits de non-participation pour la collecte de données via les technologies de reconnaissance vocale et faciale, fixe des limites strictes à la collecte de données de surveillance sans le consentement actif de l’utilisateur et exige des avis clairs pour la vente de données sensibles et biométriques. En outre, la loi prévoit une protection particulière des données des enfants et interdit aux agences gouvernementales de modérer le contenu des réseaux sociaux, bien que certaines exceptions soient faites.
NDPA-Nebraska
Le gouverneur du Nebraska a signé le Nebraska Data Privacy Act le 17 avril 2024, qui entrera en vigueur le 1er janvier 2025. La loi impose des obligations aux entreprises qui traitent des données personnelles au Nebraska et accorde aux consommateurs des droits tels que la confirmation du traitement des données, la correction des inexactitudes, la suppression des données personnelles et la désinscription de certaines activités de traitement des données. La loi oblige les responsables du traitement des données à fournir des avis clairs sur la protection des données, à limiter la collecte de données, à introduire des procédures de sécurité des données et à effectuer des évaluations de la protection des données. Le procureur général du Nebraska peut sanctionner les violations par des amendes allant jusqu’à 7 500 $ par violation.
SB 255 – New Hampshire
Le gouverneur du New Hampshire a signé le projet de loi 255 du Sénat le 6 mars 2024, qui entrera en vigueur le 1er janvier 2025. La loi s’applique aux entreprises opérant dans le New Hampshire qui traitent des données personnelles et établit des obligations de minimisation des données, de limitation de la finalité et de confidentialité, ainsi que des droits des consommateurs tels que l’accès, la rectification, la suppression, la portabilité et la désinscription. L’application de la loi relève de la responsabilité exclusive du procureur général du New Hampshire, qui dispose de 60 jours pour corriger les lacunes.
NJPA-New Jersey
Au Le 16 janvier 2024, le gouverneur du New Jersey a signé le New Jersey Privacy Act (NJPA), qui entrera en vigueur le 15 janvier 2025. La NJPA exige que les entreprises prennent des mesures similaires à celles d’autres États sur la protection de la vie privée, telles que : B. sur la minimisation des données, la sécurité des données et les droits des personnes concernées, avec une attention particulière aux données sensibles et à la protection des enfants. Les responsables du traitement et les sous-traitants doivent se conformer aux dispositions relatives aux demandes des consommateurs, à la sécurité des données et à la notification des violations de données. La loi est appliquée exclusivement par le procureur général du New Jersey et contient des dispositions de réglementation et de réparation pour les consommateurs.
KCDPA-Kentucky
Le Kentucky a adopté le Kentucky Consumer Data Privacy Act (KCDPA) le 4 avril 2024, qui entrera en vigueur le 1er janvier 2026. La loi réglemente le traitement des données personnelles, établit les droits des consommateurs et autorise le procureur général du Kentucky à appliquer la loi. La loi s’applique aux contrôleurs qui traitent les données des résidents du Kentucky, avec des exceptions pour diverses entités et types de données, notamment les données financières et de santé. Les responsables du traitement doivent fournir des avis de confidentialité clairs, limiter la collecte de données, assurer la sécurité et respecter les droits des consommateurs, en mettant l’accent sur le fait de ne pas traiter de données sensibles sans consentement explicite. L’application relève de la responsabilité du procureur général du Kentucky, qui fournit un préavis de 30 jours pour corriger les violations et d’éventuelles sanctions civiles.
Questions fréquemment posées
Vous ne savez pas si vous avez besoin d’un CMP ?
Pour vous aider avec des choses comme le RGPD, le CMP et le consentement, nous avons rassemblé ici les questions les plus courantes.
La loi est entrée en vigueur le 1er juillet 2023.
CAPDP (parfois aussi CTPDP) signifie Connecticut Act Concerning Personal Data Privacy.
L’UCPA est entrée en vigueur le 31 décembre 2023.
Loi sur la confidentialité des consommateurs de l’Utah.
Le CPA est entré en vigueur le 1er janvier 2023.
Loi sur la confidentialité du Colorado.
La VCDPA est entrée en vigueur le 1er janvier 2023.
VCDPA signifie Virginia Consumer Data Protection Act.
Oui. Le procureur fédéral distribue déjà avec diligence des amendes. L’affaire la plus marquante à ce jour est celle de Sephora avec une amende de 1,2 million de dollars.
Les lois sont déjà entrées en vigueur.
Loi californienne sur les droits à la vie privée
Loi californienne sur la protection de la vie privée des consommateurs
Veuillez noter que nous ne pouvons pas fournir de conseils juridiques. Certains points de cette FAQ peuvent également évoluer dans le temps ou être interprétés différemment par les tribunaux. C’est pourquoi vous devriez toujours consulter votre avocat!