Virginia Consumer Data Protection Act (VCDPA) Forum Aux Questions

1. Le Virginia Consumer Data Protection Act (VCDPA) est une loi de confidentialité complète dans le États-Unis, et elle sera appliquée par le procureur général de Virginie (AG) à compter du 1er janvier 2023. Le procureur général peut demander des « dommages-intérêts pouvant aller jusqu’à 7 500 $ pour chaque violation ».
2. Le VCDPA offre divers droits à la vie privée aux consommateurs de Virginie. Les entreprises réglementées par le VCDPA auront de nombreuses obligations à l’égard de ces consommateurs, notamment en fournissant des divulgations, en répondant de la même manière aux demandes des personnes concernées par le Règlement général sur la protection des données (RGPD) et en se conformant à certaines obligations de traitement des données (par exemple, la réduction des données, des pratiques raisonnables en matière de sécurité des données).
3. Bien que les entreprises dotées de programmes solides de conformité au RGPD puissent bénéficier d’un bon départ en matière de conformité vcDPA, il existe des différences importantes entre le RGPD et le VCDPA qui sont importantes à prendre en compte. La conformité ne peut pas se produire du jour au lendemain ; il faut du temps pour comprendre les complexités réglementaires de la VCDPA et implémenter des outils et des mécanismes internes pour s’assurer que les patrimoines de données sont prêts pour la conformité VCDPA.
4. Comme décrit plus en détail dans la section Faq complètes, Microsoft fournit des produits et des services pour aider les clients à se conformer à vcDPA et à fournir certains outils élémentaires pour aider les clients à établir, à implémenter et à maintenir des pratiques raisonnables en matière de sécurité des données administratives, techniques et physiques afin de protéger la confidentialité, l’intégrité et l’accessibilité des données personnelles, comme l’exige le VCDPA.

Le VCDPA s’appliquera aux entreprises à but lucratif qui contrôlent ou traitent les données personnelles des résidents de Virginie à plus grande échelle.

Plus précisément, la VCDPA s’applique aux organisations « qui font des affaires dans le commonwealth de Virginie ou produisent des produits ou services destinés aux résidents du Commonwealth » et, au cours de l’année civile: (1) contrôler ou traiter les données personnelles d’au moins 100 000 résidents de Virginie, ou (2) dériver plus de 50 % des revenus bruts de la vente de données personnelles (la VCDPA ne précise pas si le seuil de revenu s’applique uniquement aux résidents de Virginie) et contrôler ou traiter les données personnelles d’au moins 25 000 résidents de Virginie.

À titre de remarque, bien que la LCPDV ne définit pas « la conduite d’activités commerciales en Virginie », une entreprise réglementée peut supposer que la LDPVE s’appliquera à celle-ci s’il existe une activité économique qui déclenche la responsabilité fiscale ou la compétence personnelle en Virginie.

Non. Comme décrit dans la rubrique « Existe-t-il d’autres termes de traitement des données qui doivent être en place ? » , les conditions de l’addendum protection des données des produits et services Microsoft répondent aux exigences de la VCDPA.

La plupart des droits de la VCDPA accordés aux consommateurs de Virginie sont similaires aux droits que le RGPD fournit, y compris les droits des consommateurs, tels que les droits d’accès, de suppression et de portabilité des données personnelles. Par conséquent, une entreprise réglementée peut se tourner vers nos solutions RGPD existantes pour les aider dans leurs efforts de conformité VCDPA.

Selon les circonstances uniques de votre entreprise et l’endroit où vous développez votre programme de confidentialité VCDPA, vous pouvez envisager de vous concentrer sur les cinq étapes clés ci-dessous pour commencer votre parcours VCDPA :

• Découvrir : identifier les données personnelles de votre entreprise et leur emplacement.
• Carte : déterminez comment votre entreprise partage des données personnelles avec des tiers.
• Gérer : régir la façon dont les données personnelles sont utilisées et accessibles.
• Protéger : Mettez en œuvre des contrôles de sécurité pour prévenir, détecter et réagir en cas de vulnérabilités ou de violations de données.
• Document : Documenter un programme de réponse aux violations de données.

En outre, le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organisation et à prendre des mesures pour réduire les risques. Recherchez le modèle de création de l’évaluation sur la page des modèles d’évaluation dans le Gestionnaire de Conformité. Pour plus d’informations, consultez les évaluations de build dans l’article du Gestionnaire de conformité .

Vous devez comprendre quelles sont les obligations spécifiques de votre organisation en vertu de VCDPA et comment vous les rencontrez, bien que Microsoft soit là pour vous aider dans votre parcours.

Le VCDPA a été adopté le 2 mars 2021. Toutefois, l’application par le procureur général de Virginie (AG) ne commencera pas avant le 1er janvier 2023.

Certaines organisations sont exemptées de la VCDPA, notamment :

• Agences de l’État de Virginie
• Institutions financières soumises à la Loi Gramm-Leach-Bliley
• Entités couvertes ou associés professionnels régis par les règles de confidentialité, de sécurité et de notification de violation établies conformément à la Loi sur la portabilité et la responsabilité de l’assurance maladie
• Organisations à but non lucratif; et les établissements d’enseignement supérieur.

La VCDPA offre également des protections contre la discrimination si/quand les consommateurs choisissent d’exercer leurs droits et donne aux consommateurs la possibilité de refuser la vente de leurs données personnelles, la publicité ciblée et certains profilages. Pour en savoir plus sur l’utilisation des produits, services et outils d’administration Microsoft pour aider à rechercher et à « agir » sur les données personnelles, consultez demandes de personnes concernées, RGPD et CCPA.

La LPAV exige que les entreprises réglementées répondent aux demandes d’exercice des droits des consommateurs dans un délai de 45 jours, et cette période peut être prolongée de 45 jours supplémentaires si un avis est communiqué au consommateur demandeur pour expliquer la raison de ce délai. Le VCDPA donne également aux consommateurs le droit d’interjeter appel du refus d’une entreprise d’une telle demande par le biais d’un processus d’appel fourni par l’entreprise qui doit être « visiblement disponible ». Une entreprise doit répondre à un appel par écrit dans un délai de 60 jours; si l’appel est rejeté, l’entreprise doit fournir au consommateur un « mécanisme en ligne (le cas échéant) ou une autre méthode » par le biais duquel un consommateur peut déposer une plainte auprès du groupe de disponibilité.

Les obligations commerciales en vertu de la VCDPA sont les suivantes :

• Minimisation des données : limitez la collecte des données personnelles à ce qui est adéquat, pertinent et raisonnablement nécessaire (par exemple, les objectifs spécifiés et exprimés pour le traitement).
• Limitation de l’objectif : traiter les données personnelles uniquement à des fins raisonnablement nécessaires ou compatibles avec les fins divulguées au consommateur (par exemple, dans un avis de confidentialité).
• Contrôles de sécurité : Établissez, implémentez et conservez des « pratiques administratives, techniques et physiques raisonnables de sécurité des données » pour protéger les données personnelles des consommateurs.
• Non-discrimination : ne traite pas les données personnelles d’une manière qui viole les lois fédérales ou fédérales en matière de discrimination. En outre, il est interdit aux entreprises de discriminer un consommateur pour avoir exercé ses droits en vertu de la LDPA (à quelques exceptions près, y compris pour les programmes de fidélité).
• Consentement : obtenez le consentement rapide des consommateurs lorsque l’entreprise (1) traite des données sensibles ou (2) s’écarte des objectifs du traitement des données divulgués au consommateur (par exemple, dans l’avis de confidentialité de l’entreprise).

Les « données personnelles » sont définies comme des informations liées ou raisonnablement liées à une personne physique identifiée ou identifiable, mais qui n’incluent pas de données dé-identifiées ou d’informations accessibles publiquement. La définition de « données personnelles » de la VCDPA s’aligne à peu près sur « données personnelles » dans le cadre du RGPD.

« Données sensibles » est une catégorie de « données personnelles » qui inclut les éléments suivants :

• Données personnelles révélant l’origine raciale ou ethnique, les croyances religieuses, le diagnostic de santé mentale ou physique, l’orientation sexuelle, la citoyenneté ou le statut d’immigration;
• Le traitement des données génétiques ou biométriques dans le but d’identifier de façon unique une personne physique;
• Données personnelles collectées à partir d’un enfant connu ; Ou
• Données de géolocalisation précises.

Comme mentionné ci-dessus, la VCDPA requiert le « consentement » du consommateur avant de traiter les données dans certaines circonstances, notamment avant de traiter les données sensibles d’un consommateur. Le terme « consentement » est défini comme un « acte affirmative clair qui signifie l’accord libre, spécifique, éclairé et sans ambiguïté d’un consommateur pour traiter les données personnelles relatives au client » et peut inclure « une déclaration écrite, y compris une déclaration écrite par voie électronique ou toute autre action positive non ambiguë ».

Les informations suivantes doivent être incluses dans un avis de confidentialité raisonnablement accessible et clair :

• Catégories de données personnelles traitées ;
• Objectif du traitement des données personnelles ;
• Comment les consommateurs peuvent exercer leurs droits en ce qui concerne leurs données personnelles (par exemple, le droit de corriger les informations personnelles);
• Catégories de données personnelles partagées avec des tiers (le cas échéant);
• Catégories de tiers avec lesquelles une entreprise réglementée partage des données personnelles (le cas échéant).
• Le fait que les données personnelles soient vendues à des tiers ou traitées pour la publicité ciblée, et comment refuser (cette déclaration n’est requise que si un contrôleur vend ou traite des données pour la publicité ciblée); Et
• Comment les consommateurs peuvent interjeter appel d’une décision de demande de droits prise par l’entreprise.

La « vente de données personnelles » est définie comme « l’échange de données personnelles à des fins monétaires » par une entreprise à un tiers. La VCDPA donne aux consommateurs le droit de « refuser » la vente de leurs données personnelles.

À titre de remarque, la VCDPA déclare qu’une entreprise réglementée n’a pas besoin d’accepter les demandes de vente « opt-out » dans les divulgations suivantes :

• (i) à un processeur (par exemple , une entité qui traite des données personnelles pour le compte de l’entreprise),
• (ii) à un tiers à des fins de fourniture d’un produit ou d’un service demandé par un consommateur,
• (iii) à un affilié,
• (iv) d’informations qu’un consommateur a intentionnellement mises à la disposition du grand public via un canal de médias de masse et n’a pas limité ces informations à un public spécifique, et
• v) dans le cadre d’une fusion, d’une acquisition, etc., dans laquelle un tiers prend le contrôle de l’ensemble ou d’une partie des actifs de l’entreprise.

Une DPA est une évaluation qui identifie et évalue les avantages par rapport aux risques potentiels pour les consommateurs résultant d’un certain traitement des données personnelles. Dans le cadre du VCDPA, une DPA doit être effectuée pour les activités suivantes : la vente de données personnelles, le traitement de données personnelles sensibles, le traitement des données personnelles à des fins publicitaires ciblées, le traitement des données personnelles à certaines fins de profilage et les cas où le traitement présente un risque accru de préjudice pour les consommateurs. Pour savoir comment utiliser les produits, services et outils d’administration Microsoft pour effectuer une DPA, consultez l’évaluation de l’impact sur la protection des données pour le RGPD.

La VCDPA exige qu’un contrôleur (par exemple, l’entité qui détermine l’objectif et les moyens de traitement des données personnelles) et un processeur de données (par exemple, une entité qui traite des données personnelles pour le compte du contrôleur) concluent un accord qui inclut certaines conditions de traitement des données. Les conditions de cet accord doivent inclure certaines dispositions, telles que : des instructions pour le traitement des données, des types de données soumises au traitement, la nature et l’objectif du traitement, la durée du traitement, ainsi que les droits et obligations des deux parties. En outre, le contrat doit inclure des obligations associées à la sous-traitance, aux évaluations, à l’obligation de confidentialité, à la suppression ou au retour de données personnelles, et démontrer la conformité d’un processeur avec la VCDPA.

Microsoft peut être considéré comme un processeur de données dans certains cas lors de la fourniture de services à nos clients. Si c’est le cas, les conditions de l’addendum de protection des données des produits et services Microsoft (DPA) répondent déjà aux exigences de la VCDPA, car ces exigences sont similaires aux exigences contractuelles du RGPD; il n’est pas nécessaire de mettre à jour le contrat de votre organisation avec Microsoft. Comme indiqué dans la DPA, Microsoft est conforme à toutes les lois et réglementations applicables à sa fourniture des services en ligne, qui incluraient la VCDPA.

La VCDPA accorde au groupe de disponibilité l’autorisation exclusive d’appliquer sa disposition, sous réserve d’une période de traitement de 30 jours pour toute violation alléguée de la VCDPA. Le groupe de disponibilité peut demander une réparation injonctive et des dommages-intérêts pouvant aller jusqu’à 7 500 $ pour chaque violation et toute « dépense raisonnable engagée dans l’enquête et la préparation de l’affaire, y compris les honoraires des avocats. »

Notez que la VCDPA n’accorde pas aux consommateurs un droit d’action privé.

Entre autres choses, Microsoft a implémenté des DSR liés au RGPD à l’échelle mondiale. Nous sommes donc déjà en excellente position pour vous aider à répondre aux exigences similaires de VCDPA. Nous avons également examiné nos accords de partage de données tiers et pris des mesures pour établir que les conditions contractuelles et les garde-fous nécessaires sont en place pour nous assurer que nous ne « vendons » pas de renseignements personnels.

Microsoft vous aide également à respecter vos obligations en vertu de la VCDPA en implémentant des mesures techniques et organisationnelles appropriées visant à faciliter vos réponses aux DSR des consommateurs, à fournir des outils/mécanismes de conformité technique et à respecter les instructions de traitement des données.

En raison de la nature du cloud computing, Microsoft fonctionne sous un modèle de responsabilité partagée pour services en ligne. La responsabilité partagée est un sujet important, car les fournisseurs de services cloud et les entreprises réglementées sont responsables de certaines parties de la sécurité cloud. Pour en savoir plus sur nos pratiques de sécurité et de confidentialité, visitez le Centre de gestion de la confidentialité Microsoft.

• Commencez à utiliser l’évaluation du RGPD dans le Gestionnaire de conformité dans le cadre du programme de confidentialité VCDPA de votre organisation.
• Établissez un processus pour répondre efficacement aux demandes de droits des consommateurs.
• Configurez des stratégies pour découvrir, classifier, étiqueter et protéger des données sensibles avec Protection des données Microsoft Purview.
• Utilisez les fonctionnalités de chiffrement du courrier électronique pour contrôler davantage les informations sensibles.

Le VCDPA définit un enfant comme toute personne de moins de 13 ans. Les entreprises qui se conforment aux exigences de consentement vérifiable en vertu de la Règle de protection de la vie privée en ligne pour les enfants (COPPA) seront considérées comme conformes à toute obligation d’obtenir le consentement parental en vertu de la LOIC.

Le VCDPA prévoit que les données sensibles d’un enfant doivent être traitées conformément aux exigences de la COPPA .

Les obligations vcDPA ne s’appliquent pas aux données personnelles collectées et utilisées dans un contexte d’emploi.

Il existe de nombreuses différences. Il est plus facile de se concentrer sur les similitudes, notamment :

• Les obligations de transparence et d’information.
• Droits des consommateurs à accéder à leurs données personnelles, à les supprimer et à les corriger.

Fait important, VCDPA exige que les entreprises permettent aux consommateurs de refuser les ventes de données à des tiers, la publicité ciblée et certains profilages. Il s’agit d’obligations plus restrictives et plus spécifiques que le droit général du RGPD de s’opposer au traitement, qui englobe ces types de divulgations, mais qui ne se limite pas spécifiquement à la couverture de ces divulgations.

De plus, la VCDPA donne également aux consommateurs le droit d’interjeter appel du refus d’une entreprise d’effectuer une demande de sujet de données par le biais d’un processus d’appel fourni par l’entreprise qui doit être « visiblement disponible ». Un tel processus d’appel n’est pas requis par le RGPD.