Le 22 juin 2023, la Chambre des représentants de l’Oregon a adopté l’Oregon Consumer Privacy Act (SB 619) (l’« OCPA »), qui avait déjà été adopté par le Sénat de l’Oregon le 20 juin 2023. L’OCPA a été envoyé à l’Oregon bureau du gouverneur pour signature. S’il est signé, l’OCPA ferait de l’Oregon le 12e État à avoir adopté une législation complète sur la protection de la vie privée.
Applicabilité
L’OCPA s’applique à toute personne qui fait des affaires dans l’Oregon, ou qui fournit des produits ou des services aux résidents de l’Oregon, et qui, au cours d’une année civile, contrôle ou traite : (a) les données personnelles de 100 000 consommateurs ou plus, autres que les données personnelles contrôlés ou traités uniquement dans le but d’effectuer une opération de paiement ; ou (b) les données personnelles de 25 000 consommateurs ou plus, tout en tirant 25 % ou plus du revenu brut annuel de la personne de la vente de données personnelles. « Consommateur » désigne une personne physique qui réside dans l’Oregon et agit à un titre autre que dans un contexte commercial ou d’emploi. Ainsi, comme la plupart des autres lois étatiques complètes sur la protection de la vie privée, les données des employés et les données interentreprises sont exclues du champ d’application de l’OCPA.
L’OCPA prévoit une exemption pour les données personnelles soumises à la loi Gramm-Leach-Bliley, à la loi sur la portabilité et la responsabilité en matière d’assurance maladie et à un certain nombre d’autres lois fédérales. Notamment, contrairement à de nombreuses lois complètes sur la protection de la vie privée récemment adoptées, l’OCPA ne prévoit pas d’exemption générale pour les organisations à but non lucratif. Au lieu de cela, l’OCPA prévoit des exemptions pour des types spécifiques d’organismes sans but lucratif. La LPCO ne s’applique pas aux organismes à but non lucratif créés pour détecter et prévenir les actes frauduleux en matière d’assurance et ne s’applique pas aux activités non commerciales des organismes à but non lucratif qui fournissent des programmes aux réseaux de radio ou de télévision.
Obligations du contrôleur
Les contrôleurs soumis à l’OCPA sont tenus, entre autres obligations, (1) de fournir un avis de confidentialité avec un certain contenu spécifié ; (2) limiter le traitement des données personnelles à ce qui est raisonnablement adéquat, pertinent et nécessaire aux fins du traitement ; (3) établir un moyen sûr et fiable permettant aux consommateurs d’exercer leurs droits à la vie privée en vertu de la loi ; (4) obtenir le consentement d’un consommateur pour traiter des données sensibles ; (5) conclure des contrats avec ses sous-traitants ; et (6) mener et documenter des évaluations de la protection des données avant de s’engager dans des activités de traitement qui présentent un risque accru de préjudice (par exemple, traitement de données personnelles à des fins de publicité ciblée, traitement de données sensibles, vente de données personnelles et utilisation de données personnelles pour certains types de profilage). Semblable au Colorado Privacy Act et à ses règlements d’application, l’OCPA exige que l’avis de confidentialité d’un responsable du traitement décrive « toutes les catégories de tiers avec lesquels le responsable du traitement partage à un niveau de détail qui permet au consommateur de comprendre quel type d’entité chaque tiers est et, dans la mesure du possible, comment chaque tiers peut traiter les données personnelles.
En outre, l’OCPA exige expressément que les responsables du traitement établissent et maintiennent des garanties pour protéger les données personnelles conformes à l’ORS 646A.602 de l’Oregon, ce qui rend l’OCPA plus proscriptif que d’autres lois complètes sur la protection de la vie privée des États.
Droits du consommateur
L’OCPA offre aux consommateurs le droit de (1) confirmer si un responsable du traitement traite les données personnelles du consommateur, d’accéder à leurs données personnelles et d’obtenir une copie de leurs données personnelles dans un format portable et, dans la mesure du possible techniquement, facilement utilisable qui permet le consommateur à transmettre les données à une autre personne sans entrave ; (2) corriger les inexactitudes dans les données personnelles du consommateur ; (3) supprimer les données personnelles du consommateur ; et (4) refuser le traitement des données personnelles du consommateur à des fins (a) de publicité ciblée, (b) de vente des données personnelles du consommateur et (c) de profilage en vue de décisions uniquement automatisées qui produisent des résultats légaux ou d’une importance similaire. effets concernant le consommateur.
mise en vigueur
L’OCPA ne contient pas de droit privé d’action. L’OCPA confère un pouvoir d’exécution exclusif au procureur général de l’Oregon. S’il est signé, l’OCPA entrera en vigueur le 1er juillet 2024 ; cependant, les modifications apportées à certaines dispositions de l’OCPA entreraient en vigueur le 1er janvier 2026. ) de l’Internal Revenue Code aura jusqu’au 1er juillet 2025 pour s’y conformer.