La loi sur la confidentialité approuvée dans le Vermont rend la conformité modulaire plus efficace que les listes de contrôle par État

Le signal révélateur n’est pas la cérémonie de signature. C’est le chef de produit qui demande si le Vermont a besoin de son propre bouton d’activation, de sa propre file de suppression, de son propre avenant fournisseur et de son propre texte d’avis. Le Vermont vient d’ajouter une nouvelle loi complète sur la confidentialité à la carte des États-Unis, et la leçon pratique n’est pas que tout le monde a besoin d’une nouvelle liste de contrôle. La leçon est que la conformité aux lois étatiques sur la confidentialité est devenue un problème de système de contrôle.

La nouvelle date dans le calendrier de conformité

Hunton Andrews Kurth rapporte que le gouverneur du Vermont, Phil Scott, a signé le projet de loi sénatorial S.71, le Vermont Data Privacy and Online Surveillance Act, le 16 juin 2026. Hunton décrit le Vermont comme le 23e État doté d’une loi complète sur la confidentialité des consommateurs, tandis que Koley Jessen le décrit comme le 24e État à en adopter une. Ce décalage rappelle utilement que le comptage des lois sur la confidentialité n’est pas l’endroit où les équipes de développement devraient consacrer leur temps limité de conformité. La date qui compte prête moins à débat : Hunton et Koley Jessen indiquent tous deux que la loi entre en vigueur le 1er janvier 2028.

Koley Jessen ajoute une note de bas de page politiquement pertinente : le gouverneur Scott avait auparavant opposé son veto à une version plus stricte en juin 2024. Troutman Pepper indique que la version adoptée s’est également écartée d’une structure d’applicabilité par paliers antérieure et l’a remplacée par un seuil unique et uniforme. Traduction : la loi finale n’est pas simplement une reprise de la proposition précédente avec une nouvelle page de signature. Si votre feuille de route confidentialité indique encore « surveiller le Vermont », cet élément peut maintenant passer à la planification de la mise en œuvre.

Qui est concerné, et

qui ne devrait pas trop se détendre Pearl Cohen résume ainsi le critère central de champ d’application : la loi s’applique à une personne qui exerce des activités commerciales dans le Vermont, ou qui produit des produits ou services destinés aux résidents du Vermont, et qui a atteint l’un des trois seuils de l’année civile précédente. Ces seuils sont le contrôle ou le traitement des données personnelles d’au moins 35 000 consommateurs, le contrôle ou le traitement de données sensibles d’au moins 3 000 consommateurs, ou la mise en vente de données personnelles d’au moins 3 000 consommateurs, les données traitées uniquement pour finaliser une transaction de paiement étant exclues dans chaque cas. C’est à cela que votre inventaire des données doit répondre, pas votre équipe de marque.

Pearl Cohen note aussi l’exception importante à cette zone de confort : les dispositions relatives aux données de santé des consommateurs s’appliquent indépendamment de ces seuils. Covington’s Global Policy Watch rapporte séparément que le Vermont a adopté deux projets de loi sur la confidentialité afin de réglementer les informations liées à la santé, notamment H.639, un projet de loi sur la confidentialité génétique réglementant les entreprises de tests génétiques en direct au consommateur. Pour les équipes qui construisent des produits, cela signifie que les surfaces produit proches de la santé méritent leur propre examen, même lorsque le nombre général de consommateurs semble faible. Une fonctionnalité de bien-être, un questionnaire de symptômes, une intégration de suivi de fertilité ou un flux de travail lié aux données génétiques ne devrait pas attendre que quelqu’un déclare l’entreprise assez grande pour s’en préoccuper.

Les obligations semblent familières, jusqu’à ce qu’elles ne le soient plus

Hunton indique que la VDPOSA suit le cadre familier des responsables du traitement, des sous-traitants et des droits des consommateurs que l’on retrouve dans de nombreuses lois étatiques complètes sur la confidentialité des données des consommateurs, avec certaines différences. En langage simple, cela signifie que les parties réutilisables de votre programme de confidentialité comptent toujours : savoir quelles données vous collectez, savoir pourquoi, savoir qui les reçoit, attribuer les rôles de responsable du traitement et de sous-traitant, et acheminer les demandes d’exercice de droits des consommateurs sans trier chaque boîte mail à la main. Si cela semble ennuyeux, félicitations : c’est la partie qui tend à résister au contact avec les auditeurs.

Les différences sont là où une conception modulaire se rentabilise. Pearl Cohen indique que les données personnelles sont définies largement afin d’inclure les données dérivées et les identifiants uniques raisonnablement rattachables à une personne identifiée ou identifiable, ou à un appareil. Pearl Cohen indique aussi que les données sensibles incluent les données de santé des consommateurs, les données génétiques et biométriques, la géolocalisation précise, les données neuronales et les données révélant la race ou l’origine ethnique, les croyances religieuses et d’autres catégories. Koley Jessen signale des caractéristiques distinctives, notamment de larges dispositions relatives aux données de santé des consommateurs, une exigence d’avertissement concernant l’entraînement de l’IA et une définition élargie des informations personnelles sensibles. Ce n’est pas l’article 52, mais le travail contractuel et produit a la même saveur : les avis, la classification des données, les instructions aux fournisseurs et la gestion des exceptions doivent être configurables.

Le piège de la liste de contrôle Le récit de Troutman Pepper sur

la structure par paliers abandonnée est la partie que les équipes de conformité devraient coller sur leur écran. Si un État peut modifier l’architecture du champ d’application entre la proposition et l’adoption, une liste de contrôle statique pour le Vermont est déjà le mauvais outil. Le meilleur outil est une couche de règles au-dessus de contrôles communs : seuils d’éligibilité, gestion des données sensibles, réception des demandes liées aux droits des consommateurs, indicateurs de vente ou de partage, indicateurs de données de santé, clauses de sous-traitance et modules de divulgation.

Cette approche gère aussi sans drame l’écart entre 23e et 24e État. Que le Vermont soit compté d’une façon par Hunton et Troutman Pepper ou d’une autre par Koley Jessen, la réalité opérationnelle est la même : le droit américain de la confidentialité est cumulatif. Chaque nouvel État ajoute des variations, mais pas un univers de confidentialité entièrement nouveau. Les entreprises qui s’en sortiront le mieux ne seront pas celles qui ont le classeur le plus épais pour le Vermont. Ce seront celles qui peuvent modifier un seuil, ajouter un avis, étiqueter une catégorie de données et mettre à jour un flux de travail fournisseur sans reconstruire tout le programme.

La prochaine étape utile n’est pas la panique, ni une publication triomphante sur toute la certitude qui serait arrivée. C’est une analyse des écarts par rapport au 1er janvier 2028, avec une attention particulière aux données de santé des consommateurs, aux définitions des données sensibles, aux divulgations sur l’entraînement de l’IA et à la capacité de votre flux de traitement des droits à absorber une juridiction de plus. Le Vermont est une autre loi étatique. Traitez-la comme un module de plus, pas comme un monument de plus.