UniConsent

The American Privacy Rights Act (APRA)

L'American Privacy Rights Act (APRA) vise à établir un cadre fédéral complet pour la vie privée des consommateurs, à imposer des obligations de protection des données aux entités, à accorder aux individus des droits spécifiques sur leurs données et à renforcer les capacités d'application de la Federal Trade Commission.

FonctionCommencer
Fait confiance à plus de 5000 éditeurs et marketeurs du monde entier
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

APRA

Qu'est-ce que l'APRA ? L'American Privacy Rights Act ?

L'American Privacy Rights Act (APRA) est un projet de loi bipartite et bicaméral majeur présenté au Congrès le 7 avril. Il a été porté par la présidente de la commission de l'énergie et du commerce de la Chambre, Cathy McMorris Rodgers (R-WA), et la présidente de la commission du commerce, des sciences et des transports du Sénat, Maria Cantwell (D-WA). L'APRA est conçue pour :

  • Servir de loi fédérale complète sur la protection des données, supplantant la plupart des réglementations de confidentialité spécifiques aux États.
  • Fournir des protections et des droits en matière de vie privée à tous les citoyens américains, indépendamment de leur État, de leur secteur d'activité ou de leur groupe démographique.
  • Mettre en œuvre des mesures d'application rigoureuses pour garantir la conformité, y compris la surveillance par la Federal Trade Commission (FTC), les procureurs généraux des États et, notamment, accorder aux individus la possibilité d'engager des actions en justice directement contre les contrevenants.

Éléments clés de l'American Privacy Rights Act (APRA)

  1. Droits à la vie privée pour les individus

L'APRA accorde aux individus le droit d'accéder, de corriger, de supprimer et d'exporter leurs données personnelles. Elle leur donne également la possibilité de refuser certaines activités de traitement des données, telles que la publicité ciblée et l'utilisation d'algorithmes.

  1. Obligations pour les entités

Les entreprises et organisations qui collectent, traitent ou transfèrent des données personnelles doivent respecter des principes stricts de minimisation des données, des exigences de transparence et des normes de sécurité des données. L'APRA impose également des obligations supplémentaires aux grands détenteurs de données et aux courtiers en données, notamment la nécessité de réaliser des évaluations d'impact sur la vie privée et d'offrir aux individus des options de refus de la collecte de données.

  1. Exigences en matière de consentement

Pour les données sensibles, telles que les informations biométriques ou génétiques, l'APRA exige que les entités obtiennent le consentement affirmatif et explicite des individus avant de collecter, traiter ou transférer ces données. Cela garantit que les individus ont un meilleur contrôle sur leurs informations personnelles les plus sensibles.

  1. Mécanismes d'application

L'APRA habilite la Federal Trade Commission (FTC) à faire respecter la loi, les violations étant passibles de sanctions civiles. Les procureurs généraux des États sont également autorisés à engager des actions civiles au nom de leurs résidents. Notamment, l'APRA inclut un droit d'action privé, permettant aux individus de poursuivre en justice pour certaines violations, comme l'utilisation non autorisée de leurs données sensibles.

  1. Préemption des lois des États

L'APRA supplanterait la plupart des lois des États sur la protection de la vie privée, établissant un ensemble uniforme de protections à l'échelle nationale. Cependant, certaines lois des États relatives à la protection des consommateurs, à la vie privée des employés et aux informations de santé pourraient être exemptées de cette préemption.

Le consentement dans le cadre de l'APRA

Dans le cadre de l'APRA, le consentement joue un rôle essentiel dans la protection de la vie privée des individus. Les entités doivent obtenir un consentement clair et affirmatif des individus avant de traiter des données personnelles sensibles. Cette exigence vise à garantir que les individus sont pleinement informés de la manière dont leurs données seront utilisées et peuvent prendre des décisions éclairées quant à l'autorisation de ce traitement.

De plus, l'APRA exige que les individus aient la possibilité de refuser certaines activités de traitement des données, telles que l'utilisation de leurs données à des fins de publicité ciblée ou de prise de décision algorithmique. Cela permet aux individus d'exercer un meilleur contrôle sur leurs informations personnelles et leur utilisation par les entreprises et organisations.

Calendrier de l'American Privacy Rights Act (APRA)

  1. 7 avril 2024 : Présentation de l'APRA

L'American Privacy Rights Act (APRA) a été présentée par la présidente de la commission de l'énergie et du commerce de la Chambre, Cathy McMorris Rodgers (R-WA), et la présidente de la commission du commerce, des sciences et des transports du Sénat, Maria Cantwell (D-WA). Le projet de loi a été dévoilé comme un effort bipartite et bicaméral visant à établir un cadre fédéral complet pour la protection des données aux États-Unis.

  1. 23 mai 2024 : Examen en commission de l'énergie et du commerce de la Chambre

La commission de l'énergie et du commerce de la Chambre, en particulier la sous-commission sur l'innovation, les données et le commerce, a examiné une version mise à jour de l'APRA. Cette version comprenait de nouvelles dispositions telles que le Titre II, qui modifie le Children's Online Privacy Protection Act (COPPA) et introduit de nouvelles protections pour les mineurs.

  1. 31 mai 2024 : Discussion publique et mises à jour

Le Congressional Research Service (CRS) a publié une note juridique mise à jour résumant l'APRA et mettant en avant les modifications clés par rapport au projet initial. Cette mise à jour incluait des comparaisons avec d'autres projets de loi sur la vie privée, les réactions des parties prenantes et les défis juridiques potentiels.

  1. Développements futurs :
  • Processus législatif : L'APRA poursuivra le processus législatif, y compris le débat, d'éventuels amendements et les votes à la Chambre des représentants et au Sénat. Si le projet de loi est adopté par les deux chambres, il sera transmis au Président pour signature.
  • Date de mise en œuvre : La date de mise en œuvre spécifique sera déterminée par la version finale du projet de loi et pourrait être fixée un certain temps après l'adoption du texte afin de permettre aux entités de se conformer aux nouvelles réglementations.

L'APRA s'applique aux entreprises suivantes

Entités couvertes :

L'APRA s'applique à la plupart des entreprises, organisations et associations à but non lucratif, définies comme des « entités couvertes ». Ce sont des entités qui, seules ou en collaboration avec d'autres, déterminent les finalités et les moyens de la collecte, du traitement, de la conservation ou du transfert de données personnelles.

Grands détenteurs de données :

Les entités ayant des opérations de données importantes, en particulier celles dont le chiffre d'affaires annuel brut dépasse 250 millions de dollars et qui atteignent certains seuils en matière de données, sont soumises à des obligations supplémentaires en vertu de l'APRA. Ces grands détenteurs de données doivent réaliser des évaluations d'impact algorithmique, des évaluations d'impact sur la vie privée et effectuer des certifications de conformité annuelles auprès de la FTC.

Courtiers en données :

L'APRA s'applique également aux entités dont les revenus principaux proviennent du traitement ou du transfert de données personnelles qu'elles n'ont pas directement collectées auprès des individus. Ces courtiers en données sont tenus de s'enregistrer auprès de la FTC et de se conformer à des exigences spécifiques en matière de gestion des données et de transparence.

Exemptions :

Certaines petites entreprises sont exemptées de la définition d'« entités couvertes » en vertu de l'APRA, ce qui signifie qu'elles ne sont pas soumises aux mêmes réglementations que les organisations plus importantes. Toutefois, les critères spécifiques de ces exemptions seraient précisés dans la législation finale.

Individus et consommateurs :

Bien que l'APRA impose des obligations aux entités, elle accorde des droits aux individus et aux consommateurs. Ces droits comprennent l'accès, la correction, la suppression et l'exportation de leurs données personnelles, ainsi que la possibilité de refuser certains types de traitement de données, comme la publicité ciblée.

Exigences clés de l'APRA

Exemptions de l'APRA

Contrairement à de nombreuses lois sur la protection de la vie privée au niveau des États, l'APRA ne s'étend pas aux petites entreprises, définies comme des entités qui :

  • Ont un chiffre d'affaires annuel de 40 millions de dollars ou moins,
  • Collectent, traitent, conservent ou transfèrent les données de 200 000 individus ou moins, et
  • Ne génèrent pas de revenus provenant de la vente de données personnelles à des tiers, tels que les courtiers en données.

De plus, l'APRA exclut certaines organisations et entités, telles que les organismes gouvernementaux, les prestataires travaillant pour le compte des gouvernements, le National Center for Missing and Exploited Children (NCMEC) et les organisations à but non lucratif dédiées à la lutte contre la fraude.

Les entités déjà conformes à des réglementations fédérales spécifiques, telles que le Gramm-Leach-Bliley Act ou la HIPAA, sont considérées comme conformes à l'APRA. De plus, la loi est conçue pour s'appliquer uniquement aux données pouvant être raisonnablement liées à un individu, excluant ainsi les données dé-identifiées, les données des employés, les informations accessibles au public et les catégories similaires.

Exigences principales de l'APRA

Les organisations soumises à l'APRA constateront que ses exigences fondamentales sont alignées sur celles de la plupart des lois sur la protection des données, bien que certains éléments uniques méritent d'être soulignés.

Droits des personnes concernées

L'APRA accorde un ensemble de droits aux individus, similaires à ceux d'autres lois américaines sur la protection de la vie privée, notamment :

  • Le droit de savoir quelles données personnelles ont été collectées,
  • Le droit d'accéder à leurs données,
  • Le droit de corriger les inexactitudes,
  • Le droit de supprimer leurs données,
  • Le droit de recevoir leurs données dans un format portable, et
  • Le droit de refuser la publicité ciblée et le profilage.

Grands détenteurs de données

L'une des caractéristiques distinctives de l'APRA est la classification des « grands détenteurs de données », définis comme des entités qui :

  • Ont un chiffre d'affaires annuel de 250 millions de dollars ou plus,
  • Gèrent les données de plus de 5 millions d'individus (ou des seuils comparables pour les appareils), ou
  • Gèrent les données sensibles de plus de 200 000 individus.

Les grands détenteurs de données sont soumis à des réglementations plus strictes, notamment :

  • La publication d'une décennie de politiques de confidentialité et l'offre d'une version concise,
  • Le signalement à la FTC des demandes relatives aux droits des personnes concernées,
  • Le maintien d'un responsable de la protection des données et d'un responsable de la sécurité des données,
  • La réalisation régulière d'évaluations d'impact sur la vie privée, en particulier pour les algorithmes.

Données sensibles

Comme c'est courant dans les réglementations sur la protection de la vie privée, l'APRA désigne une catégorie spéciale pour les données sensibles, définie de manière large pour inclure :

  • Les identifiants gouvernementaux,
  • Les informations de santé et biométriques,
  • Les données génétiques,
  • Les informations financières,
  • La géolocalisation précise,
  • Les identifiants de connexion,
  • Les communications privées,
  • Les données révélant le comportement sexuel, entre autres.

L'APRA exige que les consommateurs consentent de manière affirmative à la collecte et à l'utilisation de données sensibles. Les données non sensibles peuvent être traitées à condition que les consommateurs soient informés et puissent retirer leur consentement.

Responsable de la protection des données/sécurité requis

Reprenant des aspects du RGPD, l'APRA exige que les entreprises désignent un responsable de la protection des données ou de la sécurité. Bien que les responsabilités du poste ne soient pas entièrement détaillées dans le projet actuel, il s'agit d'une exigence pour toutes les entités couvertes, les grands détenteurs de données devant nommer à la fois un responsable de la protection de la vie privée et un responsable de la sécurité.

Courtiers en données

L'APRA introduit des réglementations spécifiques pour les courtiers en données, les obligeant à s'enregistrer auprès de la FTC s'ils traitent les données de plus de 5 000 individus. Cet enregistrement doit être renouvelé annuellement, et les courtiers sont tenus de maintenir un site web facilitant les droits des personnes concernées et les demandes de refus, avec un lien vers le registre des courtiers en données de la FTC.

Application à plusieurs niveaux avec droit d'action privé

L'application de l'APRA peut se faire par plusieurs canaux :

  • La FTC, qui traitera les violations comme des pratiques déloyales ou trompeuses,
  • Les procureurs généraux des États, qui peuvent demander diverses formes de réparation, y compris des sanctions civiles et des restitutions, et
  • Les citoyens privés, qui peuvent poursuivre les entités qui violent leurs droits en vertu de la loi.

L'inclusion d'un droit d'action privé est particulièrement notable, car elle permet aux individus de faire valoir directement leurs droits, une disposition qui pourrait devenir un point central des discussions législatives.

Comment se conformer à l'American Privacy Rights Act (APRA) ?

Utilisez une plateforme de gestion du consentement comme UniConsent pour offrir aux consommateurs un contrôle total sur la collecte de données, avec des capacités de refus qui automatisent, rationalisent et gèrent les communications de préférences sans effort ni temps supplémentaires.

Comply With Global Privacy Regulations

General Data Protection Regulation (GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the European Union. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

California Consumer Privacy Act (CCPA)

Navigate the intricate landscape of the California Consumer Privacy Act (CCPA) effortlessly. Our CCPA compliance tools ensure that you adhere to the rigorous data protection standards required for California residents.

U.S. State Privacy Laws

Stay ahead of evolving privacy regulations in the United States. Our platform supports a range of state-specific laws, including CCPA, CPRA, CPA, VCDPA, UCPA, and COPPA, ensuring you remain compliant across all jurisdictions.

California Privacy Rights Act (CPRA)

Embrace the future of data privacy with the California Privacy Rights Act (CPRA). As a pioneering state-level legislation, CPRA empowers businesses to enhance their data protection practices and prioritize consumer privacy.

Colorado Privacy Act (CPA)

Prepare for the Colorado Privacy Act (CPA) with UniConsent CMP. Our solutions help you meet the stringent requirements of this forward-thinking state-level privacy law, ensuring the highest level of data security and compliance.

Virginia Consumer Data Protection Act (VCDPA)

Comply confidently with the Virginia Consumer Data Protection Act (VCDPA). UniConsent CMP provides the tools and expertise to ensure your organization aligns with VCDPA's robust data privacy framework, bolstering trust among Virginia residents.

Utah Consumer Privacy Act (UCPA)

Protect user data effectively with the Utah Consumer Privacy Act (UCPA). UniConsent CMP offers solutions that facilitate compliance with this emerging privacy law, ensuring your business is well-prepared for data privacy challenges in Utah.

Connecticut Data Protection Act (CTDPA)

Guard user information and uphold their privacy rights under the Connecticut Data Protection Act (CTDPA). UniConsent CMP's suite of compliance tools empowers you to navigate this state-level law seamlessly and responsibly.

Children’s Online Privacy Protection Act (COPPA)

Prioritize children's privacy with UniConsent CMP's COPPA compliance solutions. Complying with the Children’s Online Privacy Protection Act (COPPA) is simplified, allowing you to provide a safe online environment for young users.

General Data Protection in Thailand (PDPA)

Adhere to the Personal Data Protection Act 2019 (PDPA) in Thailand with UniConsent CMP. Our expertise in PDPA compliance ensures that your organization can operate confidently and securely in the Thai market while respecting user data privacy.

The General Data Protection Law in Brazil (LGPD)

UniConsent CMP facilitates compliance with Brazil's General Data Protection Law (LGPD). Our solutions empower businesses to meet LGPD's stringent requirements, safeguarding the personal data of individuals in Brazil.

China Personal Information Protection Law (PIPL)

Prepare for the China Personal Information Protection Law (PIPL) with UniConsent CMP. As data protection regulations evolve in China, our platform ensures your organization is well-equipped to handle personal information responsibly and securely.

Protection of Personal Information Act in South Africa (POPIA)

The Summary of Protection of Personal Information Act, POPI Act, POPIA, South African Privacy Law.

India’s Personal Data Protection (PDP)

The Personal Data Protection bill for India could require changes to your data management and is not directly solved with GDPR compliance.

Turkey Personal Data Protection Law (KVKK)

The Summary of Turkey’s Personal Data Protection Law: KVKK.

UK General Data Protection Regulation (UK GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the UK. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

Texas Data Privacy and Security Act (TDPSA)

Comply with the Texas Data Privacy and Security Act (TDPSA), effective July 1, 2024. UniConsent CMP supports opt-out rights, universal opt-out signals, and data protection assessments for Texas residents.

Delaware Personal Data Privacy Act (DPDPA)

Meet the requirements of the Delaware Personal Data Privacy Act (DPDPA). UniConsent CMP provides opt-out and opt-in consent tools, consumer rights management, and sensitive data workflows for Delaware compliance.

New Hampshire Privacy Act (NHPA)

Comply with the New Hampshire Privacy Act (NHPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights request management for New Hampshire residents.

Montana Consumer Data Privacy Act (MTCDPA)

Meet the requirements of the Montana Consumer Data Privacy Act (MTCDPA). UniConsent CMP helps businesses manage opt-out rights, sensitive data consent, and consumer requests for Montana residents.

Florida Digital Bill of Rights (FDBR)

Meet the requirements of the Florida Digital Bill of Rights (FDBR). UniConsent CMP provides opt-out consent tools, children's data protections, and consumer rights management for Florida compliance.

New Jersey Data Protection Act (NJDPA)

Comply with the New Jersey Data Protection Act (NJDPA). UniConsent CMP provides opt-out consent banners, Global Privacy Control signal recognition, and consumer rights request management for New Jersey residents.

Indiana Consumer Data Protection Act (INCDPA)

Meet the requirements of the Indiana Consumer Data Protection Act (INCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Indiana residents.

Iowa Consumer Data Protection Act (ICDPA)

Comply with the Iowa Consumer Data Protection Act (ICDPA). UniConsent CMP provides opt-out consent banners and consumer rights request management for Iowa residents.

Maryland Online Data Privacy Act (MODPA)

Meet the strict requirements of the Maryland Online Data Privacy Act (MODPA). UniConsent CMP supports data minimization, opt-in consent for sensitive data, and consumer rights management for Maryland residents.

Minnesota Consumer Data Privacy Act (MNCDPA)

Comply with the Minnesota Consumer Data Privacy Act (MNCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Minnesota residents.

Nebraska Data Privacy Act (NDPA)

Meet the requirements of the Nebraska Data Privacy Act (NDPA). UniConsent CMP provides opt-out and opt-in consent tools, Global Privacy Control support, and consumer rights management for Nebraska residents.

Oregon Consumer Privacy Act (OCPA)

Comply with the Oregon Consumer Privacy Act (OCPA). UniConsent CMP provides opt-out consent banners, sensitive data opt-in workflows, and consumer rights management for Oregon residents.

Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

Meet the requirements of the Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights management for Rhode Island residents.

Tennessee Information Protection Act (TIPA)

Comply with the Tennessee Information Protection Act (TIPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and NIST Privacy Framework-aligned privacy management for Tennessee residents.

Oklahoma Computer Data Privacy Act (OKCDPA)

Meet the requirements of the Oklahoma Computer Data Privacy Act (OKCDPA). UniConsent CMP provides opt-out consent banners, sensitive data consent workflows, and consumer rights management for Oklahoma residents.

Nevada Privacy Law (NRS 603A)

Comply with Nevada privacy law (NRS 603A). UniConsent CMP supports opt-out of data sale rights and consent management for Nevada residents.

California Invasion of Privacy Act (CIPA)

Manage CIPA compliance for your website. UniConsent CMP provides opt-in consent tools that block third-party tracking scripts until consent is granted, supporting compliance with California wiretapping law.

California Delete Act (SB 362)

Comply with the California Delete Act (SB 362). UniConsent CMP helps businesses manage consumer deletion requests, data broker obligations, and opt-out preference signals.

Kentucky Consumer Data Protection Act (KCDPA)

Meet the requirements of the Kentucky Consumer Data Protection Act (KCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Kentucky residents.

IAB registered consent manager for GDPRIAB TCF V2 registered consent manager for GDPRIAB TCF Canada registered consent managerGoogle-certified CMPGoogle-certified CMP
Fait confiance à plus de 5000 éditeurs et marketeurs du monde entier
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

Commencez à rendre votre site web et votre application conformes au RGPD de l'UE, au CPRA des États-Unis, au PIPEDA de la CA, etc.

S'inscrire