New call-to-action

Comprendre la NJDPA – la loi du New Jersey sur la protection de la vie privée en détail

11-12-2024 | 8 lecture minimale | Conformité au RGPD, Conformité entre les entreprises et les gouvernements

L’auteur : Priyasha Purkayastha, Responsable du contenu mondial, TJC Group

Par rapport à d’autres pays, les États-Unis adoptent une position unique en matière de confidentialité des données. L’immensité du continent américain fait que certains États ont créé leurs propres lois locales pour protéger les consommateurs. Dans ce blog, nous explorons la loi sur la protection des données de l’un des États les plus prisés des États-Unis : le New Jersey. Lisez la suite pour en savoir plus !

Table des matières

Introduction

À ce jour, 14 États américains disposent de leur propre réglementation en matière de confidentialité des données. Parmi eux, le New Jersey a dévoilé sa propre législation, le New Jersey Data Protection Act (New Jersey Data Privacy Act ou NJDPA), le 16 janvier 2024. Cette initiative fait suite à une série d’annonces faites par huit autres États américains en 2023, qui ont adopté leurs propres lois sur la protection de la vie privée.

La législation du New Jersey entrera pleinement en vigueur le 15 janvier 2025, et il est important que les entreprises soient conscientes de leurs obligations, qu’elles soient directement ou indirectement concernées par cette législation. Cet article explique les principales dispositions de la NJDPA et souligne en quoi elle diffère des autres lois sur la confidentialité des données. Lisez la suite pour en savoir plus !

Quel est le champ d’application de la loi du New Jersey sur la protection des données (NJDPA) ?

Les organisations qui remplissent l’une des deux conditions suivantes doivent se conformer aux règles de la NJDPA :

  • Toute organisation exerçant des activités dans l’État du New Jersey
  • Organisations qui produisent des produits ou des services destinés aux résidents du New Jersey et qui atteignent l’un des deux seuils au cours d’une année civile :
  • contrôle ou traite les données à caractère personnel d’au moins 100 000 consommateurs et résidents du New Jersey, à l’exclusion des données à caractère personnel traitées dans le seul but d’effectuer une transaction de paiement
  • contrôle ou traite les données à caractère personnel d’au moins 25 000 consommateurs et tire des revenus ou bénéficie d’une remise sur le prix de tout bien ou service de la vente de données à caractère personnel
Lisez notre dernier blog sur la loi californienne sur la protection de la vie privée des consommateurs à l’horizon 2020

Quatre aspects intéressants de la NJDPA

Cette loi sur la protection de la vie privée comporte quelques points intéressants,

  • Les petites entreprises qui fonctionnent comme des magasins en dur et qui ne collectent pas d’autres informations à caractère personnel sont exemptées de l’obligation de se conformer au règlement.
  • Le seuil de rentabilité de cette loi est très large et s’applique à toute entreprise qui génère des revenus en vendant des données à caractère personnel ou qui reçoit une remise sur le prix de biens ou de services.Dans d’autres États américains, les lois sur la protection des données prévoient un seuil minimum de revenus pour l’application des règles de conformité.
  • La NJPDA exempte les agences et informations gouvernementales, ou les données couvertes par d’autres lois telles que la loi fédérale sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) et la loi Gramm-Leach-Bliley (GLBA).Elle exclut également les informations personnelles collectées auprès des résidents dans le cadre d’un emploi ou de transactions entre entreprises.
  • Un autre aspect important de la NJPDA est qu’elle s’applique aux organisations à but non lucratif qui remplissent les seuils conditionnels, alors que de nombreux autres États ne traitent pas les organisations « à but non lucratif » de la même manière que les entités commerciales.
Découvrez ici la loi 25 du Québec !

Obligations des responsables du traitement et des sous-traitants

La NJDPA est similaire à d’autres réglementations sur la confidentialité des données, y compris la RGPD, car elle définit les différents « acteurs » impliqués dans les diverses activités de traitement des données comme des contrôleurs et des sous-traitants. Pour les non-initiés, un « responsable du traitement », seul ou conjointement avec d’autres, détermine la finalité et les moyens du traitement des données à caractère personnel ; d’autre part, un « sous-traitant » traite les données à caractère personnel pour le compte d’un responsable du traitement. Une entreprise qui collecte des données à des fins de marketing serait un responsable du traitement, et une agence qui crée des campagnes de marketing pour le compte du responsable du traitement serait un sous-traitant.

Obligations du contrôleur de données en vertu de la NJDPA

La plupart des principales responsabilités en matière de protection de la vie privée prévues par la NJDPA incombent aux responsables du traitement.Selon cette loi, les responsables du traitement doivent fournir aux consommateurs un avis de confidentialité raisonnablement accessible, clair et significatif qui divulgue :

  • Catégories et finalités des informations personnelles collectées
  • Catégories de tiers susceptibles d’être exposés aux données à caractère personnel du consommateur
  • Catégories d’informations personnelles partagées avec des tiers
  • Toute collecte de données personnelles par un tiers à partir de différents services en ligne
  • Détails sur la manière dont les consommateurs peuvent demander l’accès à leurs données personnelles ou les corriger
  • La procédure que les consommateurs peuvent suivre pour demander l’accès à leurs informations
  • La procédure doit être suivie par un responsable du traitement qui doit informer les consommateurs de toute modification de la législation.

La NJDPA fixe également des limites et des obligations aux activités de traitement des données à caractère personnel menées par les responsables du traitement. Il s’agit notamment des mandats suivants :

  • La collecte et le traitement des données personnelles sont minimes et se limitent à ce qui est nécessaire ou à ce à quoi le consommateur a consenti.
  • Une série de mesures administratives, techniques et physiques sont mises en œuvre pour protéger les données.
  • Les consommateurs ont le droit de révoquer le consentement qu’ils ont donné précédemment aux responsables du traitement.
  • Les consommateurs ont également le droit d’obtenir une copie portable des données à caractère personnel.
  • Le consentement doit être obtenu avant tout traitement de données sensibles ou de données relatives à un enfant, ce qui inclut la publicité ciblée, les ventes ou le profilage marketing.
  • Les réponses à toute demande d’accès aux données doivent être apportées dans un délai de quarante-cinq (45) jours à compter de la réception, avec la possibilité d’inclure une prolongation de quarante-cinq (45) jours pour les demandes complexes ou multiples.

Classification des données sensibles en vertu de la NJDPA

La définition des données sensibles selon la NJDPA est assez large et inclut :

  • La race, l’origine ethnique, les croyances religieuses, l’orientation sexuelle, l’identification comme transgenre/non-binaire
  • État de santé et informations sur le traitement ou le diagnostic
  • Informations financières, y compris les numéros de compte, les identifiants, les numéros de carte de crédit ou de débit, les codes clients ou les données de mot de passe.
  • Citoyenneté ou statut d’immigrant
  • Données génétiques ou biométriques
  • Localisation géographique précise.

Bien que la majorité des États américains classent toutes ces catégories d’informations comme sensibles et exigent des consommateurs qu’ils donnent leur accord pour toute activité de traitement des données, l’inclusion des informations financières est une exclusivité de la NJDPA.

En fait, cette loi va plus loin puisqu’elle exige des responsables du traitement qu’ils effectuent une évaluation supplémentaire de la protection des données si leurs activités de traitement des données sont susceptibles d’entraîner un risque ou un préjudice pour le consommateur.

Comprendre les obligations des responsables du traitement des données

Selon la NJDPA, les sous-traitants doivent également respecter des obligations strictes lorsqu’ils traitent des données à caractère personnel pour le compte de responsables du traitement. Ces obligations sont les suivantes

  • Disposer d’un contrat précisant les obligations de chacun
  • les contrôles mis en place pour protéger le responsable du traitement, notamment en veillant à ce que tout employé ou sous-traitant travaillant pour un sous-traitant préserve la confidentialité du client.

Quelques aspects importants de la loi du New Jersey sur la protection de la vie privée

Considérations particulières concernant les données relatives aux enfants

Les données relatives aux enfants bénéficient d’une protection supplémentaire et doivent toujours être traitées conformément à la loi sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act – COPPA). Cette loi comporte une condition supplémentaire : le consentement des parents ou des tuteurs doit être obtenu pour toute collecte ou tout traitement de données.

Considérations relatives aux données « dépersonnalisées » et « pseudonymes

À l’instar d’autres règles relatives à la confidentialité des données, la NJDPA accorde une attention particulière aux « données dépersonnalisées ». Selon cette loi, les données ne peuvent être traitées comme « dépersonnalisées » que si elles ne peuvent être reliées à une personne identifiable ou à un dispositif lié à une personne.Il s’agit là d’une autre différence dans les règles de l’État, car d’autres régions n’étendent pas leurs exigences légales aux dispositifs. Les responsables du traitement doivent mettre en place des mesures de protection pour garantir que les données dépersonnalisées restent dépersonnalisées, y compris des obligations contractuelles et des engagements publics à ne pas réidentifier ces données.

Il est intéressant de noter que la NJDPA ne mentionne pas de définition des données « pseudonymes » qui ont été rendues artificiellement anonymes. Cela signifie qu’à moins que les données ne soient également qualifiées de « dépersonnalisées », les exemptions habituelles ne s’appliqueront pas.

Lien vers : https://www.tjc-group.com/resource/durr-group-sap-ilm-and-data-deletion-case-study/

Comment la NJDPA sera-t-elle appliquée ?

Le bureau du procureur général du New Jersey est chargé de l’application de la NJDPA. En outre, la Division of Consumer Affairs du Department of Law and Public Safety est chargée de veiller à ce que les entreprises comprennent et respectent ses règles et réglementations.

Notamment, la NJDPA contient une « disposition de réparation » de trente (30) jours, qui donne aux contrôleurs le temps de rectifier ou de corriger toute violation avant qu’une action d’exécution ne soit engagée.Toutefois, cette disposition sera effective jusqu’au 1er juillet 2026, date à partir de laquelle aucun délai de grâce ne sera disponible. Contrairement à d’autres lois sur la protection de la vie privée, aucun montant de sanction n’a été défini à l’avance et les responsables de l’application de la loi jugeront au cas par cas.

Le mot de la fin

  • La protection des données, que ce soit dans l ‘UE, en Inde ou aux États-Unis, a le même objectif : protéger la confidentialité des données personnelles des consommateurs.
  • En vertu de la NJDPA, la définition des données sensibles est exhaustive et inclut les informations sur la santé, les informations financières, les données relatives aux origines raciales et ethniques, aux croyances religieuses, à l’orientation sexuelle, à la citoyenneté ou au statut d’immigrant, et bien plus encore.
  • Il est impératif que les sous-traitants respectent les règles des lois sur la protection des données du New Jersey lorsqu’ils traitent les données pour le compte des responsables du traitement.
  • Les responsables du traitement des données doivent se conformer à toutes les instructions données par le responsable du traitement, ce qui les aide à respecter leurs obligations légales en vertu des règlements relatifs à la protection des données.
  • Des contrôles doivent être mis en place pour protéger les responsables du traitement ; il s’agit notamment de veiller à ce que les employés, voire les sous-traitants, qui travaillent pour le responsable du traitement des données préservent et protègent la confidentialité des clients.
  • La loi sur la protection des données du New Jersey comporte également une disposition spéciale pour les données relatives aux enfants. Celles-ci sont régies par la Children’s Online Privacy Protection Act (COPPA) et doivent toujours être traitées conformément à cette loi.

Le TJC Group prend très au sérieux la confidentialité et la protection des données et veille à ce que les données des utilisateurs ne soient collectées qu’avec le consentement de ces derniers. En outre, nous avons mis en place des politiques strictes, conformes au RGPD, afin de protéger la confidentialité de nos clients et de nos consommateurs.

Série sur la protection des données

Nous informons également nos lecteurs par le biais de nos blogs sur la confidentialité des données. Si vous souhaitez en savoir plus sur les réglementations internationales en matière de confidentialité des données, voici la série qu’il vous faut.

  • Tout sur la loi sud-coréenne relative à la protection des données (PIPA) : Tout ce que vous devez savoir (à venir)
  • Lois sur la protection des données au Moyen-Orient (à venir)
Retour à tous les blogs
Archivage des données SAP Carrières Conformité au RGPD Conformité entre les entreprises et les gouvernements Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité Enterprise Legacy System Application (ELSA) Événement Facturation et déclaration électroniques au niveau mondial Fichier des Écritures Comptables (FEC) Gestion des données pour la migration S/4HANA Gestion des données SAP Points forts de SAP Préparation fiscale et d'audit SAP BTP SAP Information Lifecycle Management Tendances informatiques TJC Group Corporate
January 2025December 2024November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

SAP data archiving: definitions, benefits, impact on system performance
Archivage des données SAP : Définition, avantages, impact sur la performance du système

07/01/2025 |  

7 lecture minimale
Virginia's data privacy law
Loi sur la protection de la vie privée : Tout ce que vous devez savoir sur la CDPA de Virginie

12/12/2024 |  

7 lecture minimale

Plus comme ça

Virginia's data privacy law

Loi sur la protection de la vie privée : Tout ce que vous devez savoir sur la CDPA de Virginie

12/12/2024 |  

7 lecture minimale
SAP DRC KEY BENEFITS

Comprendre les principaux avantages de SAP DRC pour les organisations

09/12/2024 |  

6 lecture minimale
California Data Privacy

Loi sur la confidentialité des données : La loi californienne sur la protection de la vie privée des consommateurs, CCPA de 2020, de A à Z

04/12/2024 |  

10 lecture minimale