Lois relatives à la confidentialité des données aux États-Unis

Des ressources pour vous aider à mieux comprendre et vous conformer aux lois américaines relatives à la confidentialité des données.

Dernière mise à jour le 29 novembre 2024

Plusieurs États américains ont adopté des lois sur la confidentialité des données qui, en général :

  • Définissent des règles sur la manière dont les entreprises concernées peuvent utiliser les informations à caractère personnel des individus.
  • Permettent aux personnes de mieux connaître et de contrôler la manière dont les entreprises utilisent leurs informations à caractère personnel.

Ce guide fournit un aperçu des lois relatives à la confidentialité de ces États, de la manière dont Squarespace vous aide à les respecter et de ce que vous devez savoir en tant qu’utilisateur Squarespace ayant des visiteurs ou des consommateurs résidant dans ces États.

Remarque

ce guide est proposé pour vous aider, mais il ne doit pas être interprété ni considéré comme un document à valeur juridique. Conformément à ses Conditions d’utilisation, Squarespace ne fournit ni conseils, ni recommandations concernant les lois régissant votre site ou votre entreprise.

Les bonnes pratiques de la législation américaine sur la confidentialité des données pour les sites Squarespace

Même si nous ne pouvons donner aucun conseil d’ordre juridique, voici quelques recommandations qui vous aideront à vous assurer que vous êtes en conformité. Pour toute question non abordée ici, nous vous recommandons de consulter un expert en protection des données.

Audit des données personnelles

Passez en revue votre site web à la recherche des points où vous recueillez des informations personnelles, en gardant à l’esprit la manière dont ces lois définissent les « informations personnelles ». Posez-vous les questions suivantes :

  • Recueillez-vous des données personnelles sur votre site à l’aide de services tiers (par ex., Google Analytics ou Mailchimp) ? Si tel est le cas, il est recommandé de lire la politique de confidentialité de ces services.
  • Téléchargez-vous ou exportez-vous des données depuis votre site vers un autre système ?
  • Associez-vous des données personnelles que vous recueillez à d’autres sources de données ?
  • Utilisez-vous des technologies publicitaires/marketing sur votre site (y compris le pixel Meta) qui peuvent partager les données des visiteurs avec un tiers ?

Création (ou mise à jour) de votre politique de confidentialité

Une fois que vous avez identifié comment vous collectez et utilisez les informations personnelles, ces lois exigent que vous fournissiez des informations spécifiques sur la façon dont vous collecter et utiliser les informations personnelles des clients. En publiant une politique de confidentialité, vous clarifiez la manière dont vous utilisez les informations des visiteurs. À cet effet, il est conseillé d’ajouter à votre site une page Politique de confidentialité qui indique :

  • Les informations que vous collectez
  • les raisons de la collecte de ces informations ;
  • les tiers à qui vous communiquez ces informations ;
  • la durée pendant laquelle vous conservez ces informations ;
  • si vous allez vendre ces informations ;
  • toute autre information requise en vertu de ces lois.

Pour plus de conseils sur les politiques de confidentialité des sites web, consultez l’article Publier les conditions générales et les politiques sur son site, ainsi que nos exemples de messages pour la politique de confidentialité de votre site web Squarespace. Pour découvrir comment utiliser un formulaire de renseignements Acuity et ajouter votre politique de confidentialité à votre outil de planification, consultez l’article Formulaires de renseignements et d’enregistrement des clients dans Acuity.

Astuce

si votre entreprise est une grande société ou si vous avez besoin d’une assistance premium, une solution sur mesure pourrait répondre à vos besoins en matière de contrats, de paiement ou d’assistance. Pour en savoir plus, consultez notre page Enterprise.

Lois fédérales américaines sur la confidentialité des données

Contrairement à l’Union européenne et au Royaume-Uni qui disposent du RGPD, les États-Unis ne possèdent pas une seule loi générale sur la confidentialité des données. Outre les lois étatiques, il existe plusieurs lois fédérales relatives à la protection des données qui s’appliquent à certains secteurs d’activité. Par exemple :

  • la Gramm-Leach-Bliley Act (la loi de modernisation des activités financières), ou GLBA, relative aux informations financières ;
    • Remarque : les sites et autres produits Squarespace ne sont pas conformes au GLBA (Gramm-Leach Bliley Act). Ils ne doivent jamais être utilisés pour collecter des « informations personnelles non publiques » (telles que définies dans le GLBA).
  • la Health Insurance Portability and Accountability Act, ou HIPAA, relative à la protection des informations médicales ;
    • Remarque : Acuity Scheduling est conçu pour vous permettre de vous conformer aux exigences de la loi HIPAA. Pour en savoir plus, consultez l’article Acuity Scheduling et HIPAA.
  • la Family Educational Rights and Privacy Act, ou FERPA, relative aux informations éducatives.
    • Remarque : sauf accord écrit spécifique avec Squarespace, les sites Squarespace et les autres produits Squarespace ne peuvent pas être utilisés pour collecter des informations couvertes par la FERPA.

Applicabilité

Chacune de ces lois étatiques a des seuils d’applicabilité différents. Pour déterminer si une loi s’applique à vous et à votre entreprise, veuillez consulter la loi et demander des conseils juridiques si nécessaire.

Par exemple, la loi californienne sur la confidentialité des données s’applique à toute entité juridique gérée ou exploitée dans le but de générer du profit ou des bénéfices financiers pour ses actionnaires/propriétaires, qui exerce des activités en Californie et :

  • A des revenus bruts annuels supérieurs à 25 millions de dollars
  • Achète, vend ou partage chaque année des informations à caractère personnel de 50 000 consommateurs ou ménages (la CPRA porte ce chiffre à 100 000) ou plus
  • Tire 50 % ou plus de son chiffre d’affaires annuel de la vente (la CPRA ajoute le concept de « partage », de sorte que la CPRA remplace ce concept par « vente et partage ») d’informations à caractère personnel

Les autres lois étatiques répertoriées ci-dessous ont des seuils d’applicabilité différents.

Informations personnelles

Les lois de ces États peuvent également différer dans la manière dont elles définissent les informations à caractère personnel. Toutefois, en général, le terme est défini au sens large dans toutes ces lois et inclut non seulement les données à caractère personnel standard (par exemple, les dates de naissance, noms, adresses physiques et adresses e-mail) mais peut également inclure les données de localisation, les données biométriques, les informations financières, etc.

Par exemple :

  • La loi californienne sur la confidentialité des données définit les informations à caractère personnel comme des « informations qui identifient, concernent, décrivent, sont susceptibles d’être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un foyer en particulier ».
  • La loi sur la confidentialité des données de Virginie définit les informations à caractère personnel comme des « informations liées ou raisonnablement liées à une personne identifiée ou identifiable ».

Droits individuels en vertu de ces lois

Ces lois d’État diffèrent dans les droits qu’elles accordent aux personnes concernant les informations à caractère personnel détenues par une entreprise concernée. Les lois peuvent accorder aux individus tout ou partie des droits suivants :

  • savoir si des données les concernant sont collectées ;
  • connaître les catégories d’informations personnelles et les informations personnelles spécifiques qu’une entreprise couverte a collectées sur elles ;
  • savoir où les informations personnelles ont été collectées ;
  • savoir à quoi servent les informations personnelles ;
  • savoir avec qui l’entreprise couverte vend ou partage les informations personnelles, le cas échéant ;
  • Demander que les informations à caractère personnel ne soient ni vendues ni partagées (si l’entreprise concernée vend ou partage ses informations à caractère personnel).
  • Demander que l’entreprise concernée mette à jour/corrige ses informations à caractère personnel.
  • savoir si leurs informations personnelles ont été supprimées.

Exemples de lois nationales sur la protection des données aux États-Unis

Voici quelques exemples d’États américains qui ont adopté des lois sur la protection et la sécurité des données :

État

Détails

Californie

Le California Consumer Privacy Act, ou CCPA, est une loi relative à la confidentialité des données de l’État de Californie qui est entrée en vigueur le 1er janvier 2020. Le CCPA a été modifié par le California Privacy Rights Act, ou CPRA. La plupart des modifications apportées par le CPRA au CCPA sont entrées en vigueur le 1er janvier 2023.

La CPRA a créé une agence d’État appelée California Privacy Protection Agency, ou CPPA. Vous pouvez en savoir plus sur la CCPA/CPRA sur le site web de la CPPA.

Colorado

Le Colorado Privacy Act est une loi sur la confidentialité des données de l’État du Colorado qui est entrée en vigueur le 1er juillet 2023.

Connecticut

Le Connecticut Act Concerning Personal Data Privacy and Online Monitoring est une loi sur la confidentialité des données de l’État du Connecticut qui est entrée en vigueur le 1er juillet 2023.

Delaware

La « Delaware Personal Data Privacy Act » est une loi sur la confidentialité des données de l’État du Delaware qui entrera en vigueur le 1er janvier 2025.

Indiana

L’Indiana Consumer Data Protection Act est une loi de l’État de l’Indiana sur la protection des données personnelles qui entrera en vigueur le 1er janvier 2026. 

Iowa

L’Iowa Consumer Data Protection Act est une loi de l’État de l’Iowa sur la protection des données personnelles qui entrera en vigueur le 1er janvier 2025.

Kentucky

La « Kentucky Consumer Data Protection Act » est une loi sur la confidentialité des données de l’État du Kentucky qui entrera en vigueur le 1er janvier 2026.

Maryland

La « Maryland Online Data Privacy Act » est une loi sur la confidentialité des données de l’État du Maryland qui entrera en vigueur le 1er octobre 2025.

Minnesota

La « Minnesota Consumer Data Privacy Act » est une loi sur la confidentialité des données de l’État du Minnesota qui entrera en vigueur le 31 juillet 2025.

Montana

La Montana Consumer Data Privacy Act est une loi de l’État du Montana sur la protection des données qui est entrée en vigueur le 1er octobre 2024.

Nebraska

La « Nebraska Data Privacy Act » est une loi sur la confidentialité des données de l’État du Nebraska qui entrera en vigueur le 1er janvier 2025.

Nevada

La loi sur la protection des données personnelles en ligne du Nevada (statuts révisés du Nevada, chapitre 603A) est entrée en vigueur pour la première fois en 2017, mais a depuis été modifiée à plusieurs reprises.

New Hampshire

Le projet de loi 255 du Sénat est une loi sur la protection de la vie privée de l’État du New Hampshire qui entrera en vigueur le 1er janvier 2025.

New Jersey

La « New Jersey Privacy Act » est une loi sur la protection de la vie privée de l’État du New Jersey qui entrera en vigueur le 15 janvier 2025.

Oregon

L’Oregon Consumer Privacy Act est une loi de l’État de l’Oregon sur la protection des données personnelles qui est entrée en vigueur le 1er juillet 2024.

Rhode Island

La « Rhode Island Data Transparency and Privacy Protection Act » est une loi sur la confidentialité des données de l’État du Rhode Island qui entrera en vigueur le 1er janvier 2025.

Tennessee

La Tennessee Information Protection Act est une loi de l’État du Tennessee sur la protection des données qui entrera en vigueur le 1er juillet 2025.

Texas

La Texas Data Privacy and Security Act est une loi de l’État du Texas sur la protection des données personnelles qui est entrée en vigueur le 1er juillet 2024.

Utah

L’Utah Consumer Privacy Act est une loi de l’État de l’Utah sur la protection des données personnelles qui est entrée en vigueur le 31 décembre 2023.

Virginie

Le Virginia Consumer Data Protection Act, ou VCDPA, est une loi sur la confidentialité des données de l’État de Virginie qui est entrée en vigueur le 1er janvier 2023.

 

Que fait Squarespace pour m’aider à me conformer aux lois de ces États américains ?

Par défaut, nous utilisons des cookies pour gérer votre site et obtenir des informations sur vos visiteurs. Vous trouverez ces informations dans Squarespace Analytics. Pour vous aider à respecter ces lois, vous pouvez :

Vous pouvez également publier vos propres mentions légales ou votre propre politique de confidentialité. Vous pouvez par exemple :

Pour savoir comment ajouter ces éléments à votre site, rendez-vous sur Publier les conditions générales et les politiques sur son site.

Remarque

Vous pouvez gérer les cookies sur votre site Squarespace à l’aide des outils disponibles dans votre compte. Toutefois, nous ne pouvons pas contrôler les services tiers que vous utilisez par le biais d’intégrations de produits, de modifications basées sur le code ou de comptes connectés. Pour en savoir plus, consultez la section ci-dessous sur l’utilisation de Squarespace avec des services tiers. Veuillez lire les politiques relatives à tous les services associés à votre site Squarespace afin de comprendre la fonction des cookies utilisés par ce dernier.

Comment Acuity Scheduling m’aide-t-il à être en conformité avec ces lois des États américains ?

Acuity est conçu pour vous permettre de vous conformer aux exigences de ces lois des États américains. Cependant, la conformité dépend de vous. La façon dont vous utilisez et configurez votre compte, ainsi que les données que vous collectez auprès des clients, seront pris en compte dans votre respect des lois. Dans Acuity, vous pouvez :

Supprimer de Squarespace mes données à caractère personnel ou celles de mes clients

Sur votre compte, vous pouvez accéder à vos données à caractère personnel, les mettre à jour ou les supprimer. Ces données incluent notamment :

Vous pouvez également supprimer votre compte via l’option en libre-service après avoir pris les mesures appropriées.

Lorsque vous êtes connecté(e) à Squarespace, vous pouvez accéder à la plupart des données à caractère personnel de vos clients. Pour certains produits, vous pouvez également mettre à jour ou supprimer les données à caractère personnel de vos clients. Si vous recevez une demande de mise à jour ou de suppression d’une donnée à caractère personnel particulière concernant l’un de vos clients et que vous n’êtes pas en mesure de le faire, contactez-nous en envoyant un e-mail à l’adresse privacy@squarespace.com.

Utilisation de Squarespace avec des services tiers

Les lois américaines spécifiques à chaque État impactent la façon dont les produits Squarespace que vous utilisez traitent les données personnelles et la façon dont les autres services traitent les données en votre nom. Vous pouvez utiliser les intégrations incluses pour connecter des produits Squarespace à des services tiers, ainsi que d’autres méthodes d’intégration de services supplémentaires, notamment :

En général, les services tiers acceptent des données provenant de votre site ou d’autres produits Squarespace, ou y intègrent du contenu. Squarespace fait alors office d’intermédiaire pour transférer les données ou afficher le contenu. Ces services peuvent disposer de leurs propres conditions d’utilisation, de leur propre politique de confidentialité et d’autres pratiques différentes des nôtres. Il est important de lire attentivement les politiques de tous les services connectés à vos produits Squarespace.

Footer Image
  • Obtenir de l’aide de notre communauté

  • Obtenez de l’aide sur les personnalisations avancées auprès de notre communauté.

  • Trouver un Squarespace Expert

  • Démarquez-vous en ligne avec l’aide d’un designer ou d’un développeur expérimenté.

Lois relatives à la confidentialité des données aux États-Unis