La loi de l’Indiana sur la protection des données des consommateurs (dénommée “Indiana CDPA” ou “la Loi”) est une loi étatique sur la protection des données visant à offrir aux consommateurs résidant dans l’État de l’Indiana plus de contrôle sur leurs informations personnelles. La Loi est destinée à devenir la septième à instaurer une loi complète sur la protection de la vie privée aux États-Unis. L’Indiana CDPA s’inspire et est influencée par plusieurs autres lois sur la protection de la vie privée, y compris la California Consumer Privacy Act (CCPA), la Virginia Consumer Data Protection Act (VCDPA), et la Colorado Privacy Act (CPA). La Loi entrera en vigueur le 1er janvier 2026.

Guide complet de la loi de l'Indiana sur la protection des données des consommateurs

La Loi établit de nouveaux droits pour les consommateurs d’accéder, de supprimer ou de refuser la vente ou le partage de leurs informations personnelles. Elle impose également de nouvelles obligations aux entreprises pour protéger les données des consommateurs, fournir de la transparence sur les pratiques de collecte et d’utilisation des données, et maintenir la sécurité des données. Cet article explore en détail l’Indiana CDPA, offrant un guide complet sur ce que les entreprises doivent savoir pour se conformer à la nouvelle loi.

Qui est couvert par la loi de l’Indiana sur la protection des données des consommateurs ?

L’Indiana CDPA s’applique aux entreprises qui répondent à certains seuils, à savoir celles qui :

  • Contrôlent ou traitent les données personnelles d’au moins 25 000 résidents de l’Indiana ; ou
  • Dérivent plus de 50 % de leur chiffre d’affaires brut de la vente des données personnelles des résidents de l’Indiana et contrôlent ou traitent les données personnelles d’au moins 5 000 résidents de l’Indiana.

L’Indiana CDPA ne s’applique pas à certaines organisations, y compris les entités gouvernementales étatiques ou locales, certaines institutions financières soumises à la Gramm-Leach-Bliley Act (GLBA), ou les entités couvertes par la Health Insurance Portability and Accountability Act (HIPAA). De plus, les données des employés et les données business-to-business sont généralement exemptées des exigences de la Loi.

Qu’est-ce que les données personnelles selon la loi de l’Indiana sur la protection des données des consommateurs ?

Selon l’Indiana CDPA, les données personnelles sont définies comme toute information pouvant être associée, liée ou susceptible d’être liée à un individu. Cela peut inclure des informations telles que les noms, adresses, adresses e-mail, numéros de sécurité sociale, et plus encore. La Loi inclut également des dispositions spéciales pour les données sensibles, qui comprennent des données relatives à la race, à l’ethnie, à la religion, à l’orientation sexuelle, aux données biométriques ou génétiques, et aux données de géolocalisation.

Droits des consommateurs selon la loi de l’Indiana sur la protection des données des consommateurs

Avec la signature de l’Indiana CDPA, les habitants de l’Indiana jouissent désormais de plusieurs droits inaliénables conçus pour protéger leur vie privée. Les droits des consommateurs sous l’Indiana CDPA comprennent :

Droit de savoir et d’accès

Les consommateurs de l’Indiana ont le droit de demander et d’obtenir des informations sur les données personnelles que les entreprises collectent, utilisent, partagent ou vendent. Les entreprises doivent répondre à de telles demandes dans les 45 jours, en fournissant aux consommateurs un rapport qui inclut des détails sur les catégories de données personnelles collectées, les finalités de la collecte, et avec qui les données sont partagées ou vendues.

Droit de suppression

Les consommateurs ont le droit de demander la suppression de leurs données personnelles, sous réserve de certaines exceptions. Les entreprises doivent supprimer rapidement les données suite à une demande valide et notifier les tiers auxquels les données ont été divulguées, le cas échéant.

Droit de refus

Les consommateurs ont le droit de refuser la vente ou le partage de leurs données personnelles pour la publicité ciblée. Les entreprises doivent fournir une méthode claire et visible pour que les consommateurs puissent refuser et doivent respecter le choix du consommateur.

Droit à la non-discrimination

Il est interdit aux entreprises de discriminer les consommateurs qui exercent leurs droits en vertu de l’Indiana CDPA. La discrimination peut inclure le refus de biens ou services, l’application de prix ou tarifs différents, la fourniture d’un niveau de qualité différent, ou la suggestion que l’une des actions ci-dessus se produira.

Obligations des entreprises selon la loi de l’Indiana sur la protection des données des consommateurs

L’Indiana CDPA impose plusieurs obligations juridiquement contraignantes aux entreprises qui collectent, traitent ou partagent des informations personnelles des résidents de l’Indiana, y compris :

Exigences de transparence et de notification

Les entreprises doivent fournir des avis clairs et visibles aux consommateurs sur leurs pratiques de collecte et d’utilisation des données. Ces avis doivent inclure une description des droits du consommateur, les catégories de données personnelles collectées, les finalités de la collecte, tout tiers avec qui les données sont partagées ou vendues, et les instructions pour soumettre des demandes liées aux données personnelles.

Minimisation des données et limitation des finalités

L’Indiana CDPA exige que les entreprises collectent uniquement la quantité minimale de données personnelles nécessaire pour remplir les finalités pour lesquelles les données ont été collectées. Les entreprises doivent également s’assurer que l’utilisation des données personnelles est limitée aux finalités spécifiques divulguées au consommateur.

Sécurité des données

Les entreprises sont tenues de mettre en œuvre des mesures de sécurité raisonnables pour protéger les données personnelles contre l’accès non autorisé, la divulgation ou la destruction. La Loi ne fournit pas de conseils spécifiques sur ce qui constitue des mesures de sécurité raisonnables, mais les entreprises devraient considérer les meilleures pratiques de l’industrie et leurs facteurs de risque spécifiques lors du développement et du maintien de programmes de sécurité des données.

Évaluations de la protection des données

Les entreprises doivent réaliser des évaluations de la protection des données pour certaines activités de traitement de données à haut risque, telles que la vente de données personnelles, la publicité ciblée, ou le traitement de données sensibles. Ces évaluations devraient évaluer les risques et les bénéfices des activités de traitement des données et considérer l’impact potentiel sur la vie privée des consommateurs.

Exigences contractuelles avec les prestataires de services

Les entreprises qui partagent des données personnelles avec des prestataires de services doivent conclure des contrats qui incluent certaines dispositions, telles que l’accord du prestataire de service de se conformer à l’Indiana CDPA, des restrictions sur l’utilisation des données personnelles à des fins autres que celles spécifiées dans le contrat, et des exigences pour que le prestataire de service mette en œuvre et maintienne des mesures de sécurité des données appropriées.

Similitudes et différences entre la loi de l’Indiana sur la protection des données des consommateurs et d’autres lois étatiques et fédérales

L’Indiana fait partie des plusieurs États qui ont des lois sur la protection des données de leurs résidents. Sans surprise, plusieurs autres lois étatiques et fédérales sur la protection de la vie privée partagent des similitudes avec la loi de l’Indiana sur la protection des données des consommateurs, y compris :

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

La Loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une loi sur la confidentialité qui offre aux résidents de Californie des droits similaires à ceux prévus par le CDPA de l’Indiana, tels que le droit d’accès, de suppression et de refus de la vente de leurs informations personnelles. Cependant, il existe des différences clés, comme la définition plus large de la “vente” par la CCPA et ses seuils d’applicabilité plus élevés pour les entreprises.

Loi de Virginie sur la protection des données des consommateurs

La Loi de Virginie sur la protection des données des consommateurs (VCDPA) offre également des droits et protections similaires aux consommateurs, mais elle n’inclut pas de droit d’action privé, s’appuyant uniquement sur l’autorité d’application du procureur général de Virginie.

Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne est plus étendu et strict que le CDPA de l’Indiana, avec des droits des consommateurs plus robustes, des obligations pour les entreprises traitant des informations personnelles et des pénalités plus sévères pour non-conformité.

Autres lois étatiques sur la confidentialité

Plusieurs autres États, tels que Colorado, Connecticut et Nevada, ont promulgué des lois sur la confidentialité qui partagent des similitudes avec le CDPA de l’Indiana mais peuvent différer en termes de portée, de définitions et d’exigences. Pour une carte et une liste complète des États qui ont proposé, adopté ou signé une loi sur la confidentialité des données, et plus d’informations sur chacune, cliquez ici.

Stratégies de conformité à la loi de l’Indiana sur la protection des données des consommateurs pour les entreprises

Pour se conformer au CDPA de l’Indiana, les entreprises doivent prendre plusieurs mesures, notamment :

Étape 1 Revoir et mettre à jour les politiques et avis de confidentialité pour s’assurer qu’ils décrivent clairement et précisément les activités de traitement des données et qu’ils sont conformes aux exigences de la loi.
Étape 2 Mettre en place des processus pour répondre aux demandes des consommateurs d’accéder, de supprimer ou de refuser la vente ou le partage de leurs informations personnelles.
Étape 3 Assurer que les mesures de sécurité des données appropriées sont en place pour protéger les informations personnelles contre l’accès, l’utilisation ou la divulgation non autorisés.
Étape 4 Effectuer des évaluations régulières des risques et mettre à jour toutes les activités de traitement des données selon les besoins pour atténuer les risques identifiés.
Étape 5 Nommer un délégué à la protection des données, si nécessaire, pour superviser la conformité à la loi et établir un programme de confidentialité complet qui inclut la formation des employés et des audits et évaluations réguliers des activités de traitement des données.

Tableau de conformité et de certification

Kiteworks affiche une longue liste de réalisations en matière de conformité et de certification.

Questions fréquentes sur le CDPA de l’Indiana

1. Qu’est-ce que la loi de l’Indiana sur la protection des données des consommateurs et quels sont ses objectifs ?

La loi de l’Indiana sur la protection des données des consommateurs est une loi complète sur la confidentialité qui vise à protéger les informations personnelles des résidents de l’Indiana. La loi s’applique à toute entreprise qui collecte, traite ou conserve des informations personnelles sur les résidents de l’Indiana, indépendamment de l’emplacement de l’entreprise. Le CDPA de l’Indiana vise à donner aux résidents de l’Indiana un plus grand contrôle sur leurs informations personnelles et exige des entreprises qu’elles mettent en œuvre des mesures pour se protéger contre les violations de données et maintenir la sécurité et la confidentialité des informations personnelles.

2. Quels types d’informations personnelles sont couverts par la loi de l’Indiana sur la protection des données des consommateurs ?

Le CDPA de l’Indiana couvre une large gamme d’informations personnelles, y compris, mais sans s’y limiter, les noms, adresses, numéros de téléphone, adresses e-mail, numéros de sécurité sociale, numéros de permis de conduire, numéros de passeport, données biométriques, informations de santé, informations financières et historique de navigation et de recherche en ligne. La loi couvre également les informations concernant les interactions d’un consommateur avec une entreprise, telles que l’historique des achats, les demandes de service client et les préférences marketing.

3. Quelles sont les principales exigences pour les entreprises en vertu de la loi de l’Indiana sur la protection des données des consommateurs ?

Selon le CDPA de l’Indiana, les entreprises sont tenues d’obtenir le consentement affirmatif des consommateurs avant de collecter, de traiter ou de divulguer leurs informations personnelles. Les entreprises doivent également fournir aux consommateurs certains droits liés à leurs informations personnelles, tels que le droit d’accéder, de supprimer et de corriger leurs informations personnelles. Les entreprises doivent mettre en œuvre des mesures de sécurité raisonnables pour se protéger contre les violations de données et doivent notifier les consommateurs et le bureau du procureur général de l’Indiana en cas de violation de données affectant plus de 500 résidents de l’Indiana. Les entreprises sont également tenues de réaliser des évaluations de la protection des données et de mettre en place des politiques de rétention des données et de minimisation des données.

4. Quelles sont les pénalités pour non-conformité à la loi de l’Indiana sur la protection des données des consommateurs ?

Le CDPA de l’Indiana prévoit des pénalités civiles pouvant aller jusqu’à 5 000 $ par violation, avec une pénalité maximale de 500 000 $ par incident. En outre, le bureau du procureur général de l’Indiana peut intenter une action pour enjoindre une violation de la loi ou obtenir des dommages-intérêts au nom des consommateurs affectés. Les entreprises peuvent également subir un préjudice réputationnel et une perte de confiance des consommateurs en cas de violation de données ou de violation du CDPA de l’Indiana.

5. Comment la loi sur la protection des données des consommateurs de l’Indiana se compare-t-elle aux autres lois étatiques sur la vie privée ?

La CDPA de l’Indiana est l’une des nombreuses lois sur la vie privée des États qui ont été promulguées ces dernières années, y compris le California Consumer Privacy Act (CCPA), le Virginia Consumer Data Protection Act (VCDPA) et le Colorado Privacy Act (CPA). Bien qu’il existe des similitudes entre ces lois, la CDPA de l’Indiana présente certaines dispositions distinctes qui la différencient. Par exemple, la CDPA de l’Indiana exige que les entreprises réalisent des évaluations de protection des données, ce qui n’est pas requis sous le CCPA ou le VCDPA. La CDPA de l’Indiana exige également que les entreprises mettent en œuvre des politiques de rétention et de minimisation des données, ce qui n’est pas explicitement requis sous les autres lois étatiques. De plus, les pénalités pour non-conformité avec la CDPA de l’Indiana sont inférieures à celles prévues par le CCPA ou le VCDPA, mais supérieures à celles du California Privacy Rights Act (CPRA). Dans l’ensemble, la CDPA de l’Indiana reflète une tendance croissante vers des lois étatiques complètes sur la vie privée, et les entreprises devront examiner attentivement leurs obligations en vertu de chaque loi applicable.

Kiteworks aide les entreprises à se conformer à la loi sur la protection des données des consommateurs de l’Indiana

Les communications de contenu sensible sont une partie vitale de la conformité à des réglementations telles que la loi sur la protection des données des consommateurs de l’Indiana. Pour protéger efficacement les informations personnelles identifiables (PII) des résidents de l’Indiana, les entreprises du secteur privé doivent disposer d’un système pour suivre, contrôler et sécuriser les communications numériques des PII. Par le passé, les entreprises se sont appuyées sur plusieurs outils et approches pour gérer les différents canaux de communication, tels que l’email, le partage de fichiers et les interfaces de programmation d’applications (API), conduisant à une fragmentation des métadonnées qui rend difficile le maintien, la protection et le contrôle d’un système centralisé et automatisé.

Le Réseau de contenu privé de Kiteworks permet aux organisations de consolider leurs communications sensibles impliquant des PII, y compris l’email, le transfert sécurisé de fichiers, le partage sécurisé de fichiers, les formulaires Web sécurisés, et plus encore. Avec Kiteworks, les organisations suivent, contrôlent et sécurisent les données sensibles partagées et envoyées à l’intérieur et à l’extérieur de leurs organisations, contribuant ainsi à garantir la conformité à la CDPA de l’Indiana.

Kiteworks offre aux entreprises plusieurs fonctionnalités pour protéger les PII de leurs clients. Par exemple, toutes les données en transit et au repos sont chiffrées pour garantir une sécurité maximale. Des contrôles d’accès robustes limitent qui peut accéder aux PII sensibles et des permissions basées sur les rôles contrôlent qui peut télécharger, modifier ou simplement visualiser ce contenu et d’autres. Conformément aux principes du “droit à l’oubli”, Kiteworks permet l’effacement des PII lorsque nécessaire. Avec la fonctionnalité de suppression à distance, les organisations peuvent effacer des données sur des appareils perdus ou volés, protégeant davantage les PII. Enfin, Kiteworks utilise des capacités de gestion des droits numériques (DRM) pour empêcher la diffusion non autorisée des données, améliorant la conformité à la CDPA de l’Indiana.

Planifiez une démonstration personnalisée dès aujourd’hui pour découvrir le Réseau de contenu privé de Kiteworks et comment il peut aider votre organisation à se conformer à la CDPA de l’Indiana et à d’autres lois étatiques sur la vie privée.

 

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks