Le 27 mars 2024, la législature du Kentucky a adopté un projet de loi complet sur la confidentialité des données (« HB 15 »), qui a été remis au gouverneur pour signature. Si HB 15 est adopté, le Kentucky rejoindra la liste croissante des États dotés de lois complètes sur la confidentialité des données.
Applicabilité
HB 15 s’applique aux personnes qui « font des affaires » au Kentucky ou fabriquent des produits ou des services destinés aux résidents du Kentucky et, au cours d’une année civile, contrôlent ou traitent les données personnelles d’au moins : (1) cent mille (100 000) consommateurs. ; ou (2) vingt-cinq mille (25 000) consommateurs et tirent plus de 50 pour cent des revenus bruts de la vente de données personnelles.
À l’instar d’autres lois nationales complètes sur la confidentialité, les protections du HB 15 ne s’appliquent pas aux personnes agissant dans un contexte commercial ou professionnel. HB 15 comprend également plusieurs exemptions courantes dans d’autres régimes de confidentialité des données de l’État, comme pour les entités couvertes, les associés commerciaux et les PHI en vertu de la HIPAA ; associations à but non lucratif; établissements d’enseignement supérieur; et les institutions financières, leurs sociétés affiliées et les données soumises à la loi Gramm-Leach-Bliley.
Obligations du contrôleur
S’il est adopté, le HB 15 exigerait que les responsables du traitement : (1) limitent la collecte de données personnelles à ce qui est adéquat, pertinent et raisonnablement nécessaire au regard des finalités pour lesquelles les données sont traitées telles que divulguées au consommateur ; (2) établir, mettre en œuvre et maintenir des pratiques raisonnables de sécurité des données administratives, techniques et physiques pour protéger la confidentialité, l’intégrité et l’accessibilité des données personnelles ; (3) ne pas traiter les données personnelles à des fins qui ne sont ni raisonnablement nécessaires ni compatibles avec les finalités divulguées pour lesquelles les données personnelles sont traitées, à moins que le responsable du traitement n’obtienne le consentement du consommateur ; et (4) ne pas traiter de données sensibles concernant un consommateur sans obtenir le consentement du consommateur, ou dans le cas de données sensibles collectées auprès d’un enfant connu, traiter les données conformément à la loi sur la protection de la vie privée en ligne des enfants.
Les responsables du traitement doivent également réaliser et documenter une évaluation d’impact sur la protection des données en ce qui concerne le traitement des données personnelles à des fins de : (1) publicité ciblée ; (2) vendre des données personnelles ; et (3) le profilage, lorsque le profilage présente certains risques raisonnablement prévisibles, notamment de préjudice financier, physique ou de réputation, pour les consommateurs.
HB 15 exigerait également que les responsables du traitement fournissent aux consommateurs un avis de confidentialité raisonnablement accessible, clair et significatif qui comprend, entre autres éléments : (1) les catégories de données personnelles traitées par le responsable du traitement ; (2) la finalité du traitement des données personnelles ; (3) la manière dont les consommateurs peuvent exercer leurs droits de consommateur, y compris la manière dont un consommateur peut faire appel de la décision d’un responsable du traitement concernant la demande du consommateur ; (4) les catégories de données personnelles que le responsable du traitement partage avec des tiers, le cas échéant ; et (5) les catégories de tiers, le cas échéant, avec lesquels le responsable du traitement partage des données personnelles.
Droits du consommateur
HB 15 offre aux consommateurs les droits suivants : (1) confirmer si un responsable du traitement traite les données personnelles du consommateur et accéder à ces données personnelles, à moins que la confirmation et l’accès n’exigent que le responsable du traitement révèle un secret commercial ; (2) pour corriger les inexactitudes dans les données personnelles du consommateur ; (3) supprimer les données personnelles fournies par ou obtenues à propos du consommateur ; (4) pour obtenir une copie des données personnelles du consommateur traitées par le responsable du traitement, dans un format portable et, dans la mesure où cela est techniquement possible, facilement utilisable qui permet au consommateur de transmettre les données à un autre responsable du traitement sans entrave, là où le traitement est effectué effectué par des moyens automatisés ; (5) de refuser le traitement des données personnelles à des fins (a) de publicité ciblée, (b) de vente de données personnelles ou (c) de profilage dans le cadre de décisions uniquement automatisées produisant des effets juridiques ou d’importance similaire concernant le consommateur.
Comme d’autres lois nationales sur la protection de la vie privée, les contrôleurs disposent de 45 jours pour répondre aux demandes relatives aux droits des consommateurs, avec une prolongation potentielle de 45 jours si cela est raisonnablement nécessaire.
Mise en vigueur
HB 15 ne contient pas de droit d’action privé et serait appliqué exclusivement par le procureur général du Kentucky. Il prévoit une période de correction de 30 jours au cours de laquelle, s’ils sont utilisés, les contrôleurs et les sous-traitants doivent fournir une déclaration écrite attestant que les violations présumées ont été corrigées et qu’aucune autre violation ne se produira à l’avenir. La disposition de guérison n’expire pas.
Date effective
S’il est adopté, le HB 15 entrera en vigueur le 1er janvier 2026.
Mise à jour: Le 4 avril 2024, le gouverneur Andy Beshear a promulgué la loi HB 15, faisant du Kentucky le 16e État à promulguer une loi complète sur la confidentialité des données.