Aperçu de la Loi sur la protection des données des consommateurs de Virginie

Le contenu de cette note d'orientation ne doit pas être interprété comme un avis juridique. Si vous avez des questions sur l'applicabilité de cette loi à votre entreprise ou vos obligations, nous vous recommandons de contacter votre propre conseiller juridique indépendant.

Dans cet article :

• Aperçu de la Loi sur la protection des données des consommateurs de Virginie (VCDPA)
  • Qu'est-ce que le VCDPA ?
  • Qu'est-ce que les données personnelles selon le VCDPA ?
  • Qu'est-ce que les données personnelles sensibles selon le VCDPA ?
  • Le VDCPA affecte-t-il mon entreprise ?
• Activités recommandées si votre entreprise doit se conformer au VDCPA
• Droits individuels selon le VCDPA
  • Aperçu des droits individuels
  • Considérations sur les droits individuels selon le VDCPA

Aperçu de la Loi sur la protection des données des consommateurs de Virginie (VDCPA)

Découvrez la Loi sur la protection des données des consommateurs de Virginie (VCDPA) et vos responsabilités potentielles dans ce domaine. Cette note d'orientation vise à fournir des informations à nos clients sur le VCDPA et leurs responsabilités potentielles dans ce domaine. Le contenu de cette note d'orientation ne doit pas être interprété comme un avis juridique. Si vous avez des questions sur l'applicabilité du VCDPA à votre entreprise ou vos obligations, nous vous recommandons de contacter votre propre conseiller juridique indépendant.

Toast s'engage à garantir que les individus qui fournissent des informations personnelles (ci-après appelées « données personnelles » dans cet article pour s'aligner sur le VCDPA) à Toast et à nos clients ont confiance que leurs informations sont adéquatement protégées et gérées conformément à leurs attentes et en conformité avec la législation applicable sur la protection des données.  Une partie de cet engagement signifie que nos clients disposent des informations et des outils appropriés pour comprendre leurs obligations et comment Toast peut soutenir certains aspects de ces obligations.

Retour vers le haut

Qu'est-ce que la VDCPA ?

La Loi sur la protection des données des consommateurs de Virginie ("VCDPA") est une loi complète régissant la vie privée des consommateurs qui entrera en vigueur le 1er janvier 2023.

La VCDPA impose un certain nombre d'obligations en matière de vie privée aux entreprises qui traitent des données personnelles dans le but d'accroître la transparence sur l'utilisation des données des consommateurs et de donner aux consommateurs un plus grand contrôle sur leurs données personnelles. Elle établit un ensemble de droits individuels pour les résidents de Virginie, y compris le droit de supprimer des données personnelles et le droit de se désinscrire de la publicité ciblée.

Retour vers le haut

Qu'est-ce que les données personnelles selon la VCDPA ?

La VCDPA définit les données personnelles comme "toute information qui est liée ou raisonnablement liée à une personne physique identifiée ou identifiable et n'inclut pas les données déidentifiées ou les informations disponibles publiquement." En général, les exigences s'appliquent aux données personnelles des résidents de Virginie agissant dans un contexte individuel ou familial (par exemple, pas dans un contexte commercial ou d'emploi).

Retour vers le haut

Qu'est-ce que les données personnelles sensibles selon la VCDPA ?

Certaines catégories de données personnelles sont définies comme "sensibles" selon la VCDPA, notamment celles-ci incluent la géolocalisation précise (y compris les informations dérivées de technologies telles que le GPS qui identifient directement l'emplacement spécifique d'une personne physique avec précision et exactitude dans un rayon de 1 750 pieds), les données d'enfants connus, ainsi que certains détails démographiques (race, religion, informations sur la santé/génétique, etc.). Selon la VCDPA, le traitement des données personnelles sensibles est interdit sans le consentement du consommateur.

Retour vers le haut

La VCDPA affecte-t-elle mon entreprise ?

Cela dépend. La VCDPA régit la collecte et l'utilisation des données personnelles des résidents de Virginie et s'applique aux entreprises qui :

Certaines catégories sont exemptées, telles que les entités gouvernementales, les organismes à but non lucratif, les établissements d'enseignement supérieur, ainsi que les institutions de santé et financières soumises à d'autres lois sur la vie privée.

Retour vers le haut

Activités recommandées si votre entreprise doit se conformer à la VCDPA

• Pensez à vos données et développez un inventaire des données :  Pensez à vos données et développez un inventaire des données : Bien que cela ne soit pas requis par la VCDPA, comprendre quelles données personnelles vous collectez, d'où vous les collectez, comment vous les utilisez, avec qui vous les partagez et combien de temps vous les conservez est important pour une conformité efficace à la VCDPA dans d'autres domaines (par exemple, les divulgations d'avis et les obligations de droits individuels).
• Aborder la conformité des droits individuels : La VCDPA prescrit un certain nombre de droits individuels en matière de confidentialité (décrits plus en détail dans cette note d'orientation ci-dessous). Parmi ces droits, la VCDPA accorde aux consommateurs le droit de se désinscrire de certaines activités de traitement, y compris la vente, la publicité ciblée et le profilage. Il est important que les entreprises concernées comprennent la nature de ces demandes et développent un processus pour se conformer si une demande est reçue.
• Mettre en œuvre des mesures de sécurité appropriées : Examinez les mesures que vous avez mises en place concernant les données personnelles. Celles-ci incluent des pratiques de sécurité des données administratives, techniques et physiques qui protégeront la confidentialité, l'intégrité et l'accessibilité des données personnelles, et la VCDPA exige qu'elles soient appropriées au volume et à la nature des données personnelles que votre entreprise traite.
• Déclaration de confidentialité : La VCDPA exige que les entreprises fournissent un avis de confidentialité raisonnablement accessible, clair et significatif qui contient des informations spécifiques, et qu'elles divulguent si des données personnelles sont vendues ou utilisées pour de la publicité ciblée, ainsi que la manière dont les consommateurs peuvent se désinscrire de l'une ou l'autre.
• Effectuer des évaluations de protection des données : Les entreprises sont tenues de réaliser une évaluation de protection des données qui pèse les risques et les avantages de chaque activité de traitement. Le résultat de votre évaluation de protection des données peut avoir des implications pour la manière dont vous travaillez avec vos fournisseurs. En vertu de la VCDPA, les évaluations de protection des données doivent être complétées dans les cas suivants : traitement de données personnelles à des fins de publicité ciblée ou à des fins de profilage qui exposent les consommateurs à certains risques ; ventes de données personnelles ; traitement de données sensibles, et toute activité de traitement impliquant des données personnelles qui présente un risque accru de préjudice pour les consommateurs.

Retour vers le haut

Droits individuels en vertu de la VCDPA

Aperçu des droits individuels

La VCDPA détaille un certain nombre de droits individuels (également appelés droits des données personnelles) que vos clients peuvent être en mesure d'exercer en fonction de l'applicabilité de la VCDPA à votre entreprise.

• Le droit d'accès : Les consommateurs ont le droit de confirmer si une entreprise traite leurs données personnelles et d'accéder à ces informations
• Le droit de correction : Les consommateurs ont le droit de corriger les inexactitudes dans leurs données personnelles, en tenant compte de la nature des données personnelles et des finalités du traitement.
• Le droit à l’effacement : Les consommateurs ont le droit de supprimer les données personnelles qu'ils ont fournies ou qui ont été collectées.
• Le droit à la portabilité : Les consommateurs ont le droit d'obtenir une copie des données personnelles qui ont été précédemment fournies dans un format portable et, dans la mesure du techniquement faisable, facilement utilisable qui peut être transmis à une autre entreprise où le traitement est effectué par des moyens automatisés.
• Le droit de se désinscrire : Les consommateurs ont le droit de se désinscrire de 
  (i) la publicité ciblée,
  (ii) la vente de données personnelles, et
  (iii) le profilage en vue de décisions qui produisent des effets juridiques ou des effets similaires significatifs.

Retour vers le haut

Considérations sur les droits individuels en vertu du VCDPA

Voici quelques considérations lorsque vous recevez une demande de droits individuels de l'un de vos clients :

• Vérification d’identité : Les entreprises concernées doivent vérifier l'identité de l'individu faisant la demande avant de leur fournir les informations qu'ils ont demandées. Cela empêche la divulgation d'informations à des individus qui n'y ont pas droit. Pensez aux données personnelles que vous détenez et aux types d'informations dont vous pourriez avoir besoin d'un individu pour vérifier son identité au sein de votre entreprise. Les exemples peuvent inclure, mais ne sont pas limités à, des noms, une adresse e-mail, un numéro de téléphone, ou des informations telles qu'un numéro de compte de fidélité. Notez qu'en vertu du VCDPA, une demande peut également être soumise par un parent agissant au nom de son enfant.   
• Détermination de l'applicabilité : Après la vérification d'identité, la prochaine détermination est de savoir si l'individu a le droit de faire exécuter la demande. Le VCDPA prévoit de nombreux cas où une entreprise n'est pas tenue de satisfaire une demande de droits individuels. Cela a du sens dans certains cas, par exemple lorsqu'une partie à un contrat actif peut ne pas avoir droit à une suppression complète en raison de la nécessité de conserver ses informations. Nous vous recommandons de vous familiariser avec les circonstances dans lesquelles chaque droit s'applique.   
• Délais et communication:La VCDPA impose un certain nombre de délais, y compris pour l'exercice du droit lui-même, pour la communication avec le demandeur, et pour qu'un demandeur fasse appel du refus d'une entreprise de satisfaire une demande. Il est important de s'assurer que vous êtes conscient de ces délais. En parallèle avec les délais, la communication avec la personne faisant la demande est également importante. Il peut être important de clarifier la demande de la personne si elle est trop large ou si vous souhaitez plus de clarté. La communication est également importante pour s'assurer que vous vérifiez correctement l'identité de la personne et déterminez si sa demande est permise ou non en vertu de la VCDPA.   
• Processus d'exercice des droits / d'appel: Pour satisfaire les demandes de droits individuels en vertu de la VCDPA, les entreprises concernées doivent comprendre quelles données personnelles elles collectent, comment elles sont utilisées et comment elles partagent ces informations. Par exemple, si vous ne savez pas quelles données personnelles vous détenez ou comment elles sont partagées, fournir des informations à une personne en vertu d'une demande d'accès ou comprendre ce que vous devez supprimer dans le cadre d'une demande de suppression sera difficile. La VCDPA décrit un certain nombre d'exigences spécifiques concernant ce qui doit être fourni à une personne, nous vous recommandons donc de lire la VCDPA pour comprendre ces exigences et de consulter un avocat indépendant si vous avez des questions. De plus, la VCDPA exige que les entreprises établissent un processus d'appel pour permettre aux demandeurs de contester la décision d'une entreprise de ne pas satisfaire leur demande.

Dans certains cas, Toast peut être en mesure de soutenir nos clients dans l'exercice des droits individuels. Toast a préparé des directives supplémentaires décrivant où Toast peut aider durant ce processus.

Consultez notre article Comment Toast peut soutenir vos efforts de conformité à la Virginia Consumer Data Protection Act pour plus d'informations.

Retour vers le haut