Connecticut · CTDPAhébergement WordPress avec plugin CTDPA intégré à la plateforme.
signaux d'opt-out pour la vente et la publicité ciblée, opt-in pour les données sensibles, workflow de réponse en 45 jours, et un Universal Opt-Out Mechanism qui honore les signaux Global Privacy Control directement à l'edge Cloudflare — tout est pris en charge par le MU-plugin de conformité Yovale. vous ne l'installez pas. vous ne le mettez pas à jour. vous ne le payez pas. c'est ainsi que chaque site Yovale est livré, sur chaque offre. la même plateforme gère aussi CCPA, VCDPA, CPA, TDPSA, OCDPA et MCDPA — une seule stack, chaque loi d'État américain sur la vie privée.
En vertu du CTDPA, vous pouvez refuser la vente de données personnelles, la publicité ciblée et le profilage. Vous pouvez aussi accéder, corriger, supprimer ou exporter les données que nous détenons sur vous, et faire appel de tout refus.
six obligations que vous devez remplir.
le Connecticut Data Privacy Act est entré en vigueur le 1er juillet 2023, faisant du Connecticut le cinquième État américain à se doter d'une loi générale de protection des consommateurs aux côtés de la Californie, de la Virginie, du Colorado et de l'Utah. il s'applique aux responsables de traitement qui traitent les données personnelles de 100 000 résidents du Connecticut ou plus, ou de 25 000 résidents ou plus lorsque 25% ou plus du chiffre d'affaires provient de la vente de données personnelles. l'application revient au Connecticut Attorney General au titre du Connecticut Unfair Trade Practices Act (CUTPA), avec des sanctions civiles jusqu'à $5,000 par violation. le délai de mise en conformité de 60 jours a expiré le 31 décembre 2024.
- 01
opt-out pour la vente, la publicité ciblée, le profilage
les consommateurs peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage destiné à des décisions produisant des effets juridiques ou similairement significatifs. le mécanisme doit être clair, visible et exempt de dark patterns.
- 02
Universal Opt-Out Mechanism (UOOM)
depuis le 1er janvier 2025, les responsables de traitement doivent reconnaître et honorer un Universal Opt-Out Mechanism comme Global Privacy Control (GPC). un signal navigateur compte comme opt-out valide pour la vente et la publicité ciblée — aucun clic sur la bannière de consentement requis. ne pas honorer GPC est le motif d'application le plus fréquent du CTDPA.
- 03
OPT-IN pour les données sensibles
vous ne pouvez pas traiter de données sensibles sans consentement explicite. les données sensibles couvrent l'origine raciale ou ethnique, les convictions religieuses, les diagnostics de santé mentale ou physique, l'orientation sexuelle, la nationalité ou le statut d'immigration, les données génétiques ou biométriques, la géolocalisation précise et les données personnelles d'un enfant connu.
- 04
droits du consommateur : accès, rectification, suppression, portabilité
les résidents du Connecticut peuvent demander l'accès aux données personnelles que vous détenez, en corriger les inexactitudes, en obtenir la suppression et recevoir une copie portable dans un format facilement utilisable. vous répondez dans un délai de 45 jours, prorogeable une fois de 45 jours supplémentaires quand cela est raisonnablement nécessaire.
- 05
procédure d'appel sous 60 jours
lorsque vous refusez une demande, vous devez offrir au résident un moyen clair de faire appel et répondre à l'appel dans les 60 jours. en cas de rejet de l'appel, vous fournissez une explication écrite et un mécanisme en ligne pour soumettre une plainte auprès du Connecticut Attorney General.
- 06
contrats entre responsable de traitement et sous-traitant
les contrats entre responsable de traitement et sous-traitant doivent préciser les instructions de traitement, la confidentialité, la suppression ou le retour des données en fin de service, les droits d'audit et l'assistance aux demandes des consommateurs. Yovale agit comme votre sous-traitant en vertu d'un contrat écrit.
intégré à la plateforme. pas un plugin que vous installez.
Yovale livre la conformité CTDPA sous forme de must-use plugin signé — partie intégrante de l'hébergement, pas quelque chose que vous installez depuis le répertoire WordPress. il est figé en version, récupéré depuis R2 avec vérification SHA-256, puis déposé dans un répertoire mu-plugins monté par site lors du provisionnement. la détection GPC tourne sur le Cloudflare edge worker avant qu'aucun code WordPress ne s'exécute, donc les signaux d'opt-out s'appliquent même sur du HTML mis en cache.
bandeau de consentement GPC-aware
les visiteurs du Connecticut voient des contrôles d'opt-out CTDPA pour la vente, la publicité ciblée et le profilage. l'en-tête Sec-GPC et le signal DOM Global Privacy Control sont lus à l'edge — quand GPC est actif, la vente et la publicité ciblée sont bloquées avant même que le bandeau ne s'affiche, et le journal d'audit enregistre l'opt-out d'origine GPC.
portail privacy
/.well-known/privacy sur chaque site Yovale. les résidents du Connecticut peuvent soumettre leurs demandes d'accès, de rectification, de suppression et de portabilité sans ouvrir de ticket support. chaque demande apparaît dans l'onglet Conformité de votre dashboard avec un compteur SLA de 45 jours. la vérification d'identité est gérée par la plateforme — vous n'avez qu'à examiner et approuver.
workflow d'appel avec lien de plainte AG
lorsqu'une demande est refusée, le résident reçoit un lien d'appel en un clic. l'appel ouvre un cas distinct avec son propre SLA de 60 jours dans votre dashboard, la décision d'origine étant jointe. si vous refusez l'appel, la plateforme joint automatiquement l'URL du formulaire de plainte en ligne du Connecticut AG, comme l'exige le CTDPA.
contrat sous-traitant signé
contrat responsable-sous-traitant pré-signé conforme aux exigences du CTDPA Public Act 22-15 § 7. liste chaque sous-traitant (Cloudflare, Anexia, R2), les limites de finalité, la confidentialité, les droits d'audit, la suppression en fin de service et l'assistance aux demandes des consommateurs et aux évaluations d'impact. téléchargement PDF depuis le dashboard.
pourquoi l'infrastructure bat un plugin.
plugin CTDPA WordPress typique
- ajoute 200 à 500 ms à chaque chargement de page (JS du bandeau, géo-lookup, écritures en base)
- passe à côté des signaux GPC — la plupart des plugins ne lisent toujours pas Sec-GPC, le défaut CTDPA n° 1
- stocke les signaux d'opt-out dans wp_options — lent, non typé, casse avec l'object caching
- se met à jour via wp-admin — vous le maintenez, vous le cassez, vous déboguez les conflits
- coûte $49 à $149/an par site et couvre rarement le workflow d'appel ou le lien de plainte AG
- casse quand vous changez d'hébergeur ; historique d'opt-out et dossiers d'appel perdus
l'approche intégrée de Yovale
- 0 ms de latence — GPC et état d'opt-out calculés à l'edge worker, mis en cache dans le CDN
- signaux Sec-GPC et DOM lus à l'edge avant tout rendu de bandeau — le délai de mise en conformité ayant disparu, ça compte
- journal d'audit dans une base dédiée, interrogeable, ne bloque jamais le rendu de la page
- les mises à jour passent par la plateforme — vous ne les voyez pas, vous ne les cassez pas
- inclus dans chaque offre ($149 / $249 / $499 par an), sans frais de conformité par site
- vous suit pour toujours — l'historique d'opt-out et d'appel vous appartient et reste exportable
14 réglementations. un switch chacune. tout est automatique.
- Opt-out pour la vente, la publicité ciblée, le profilage
- Honorer GPC et UOOM (depuis le 1er janvier 2025)
- Opt-in pour les données sensibles
- Réponse aux demandes sous 45 jours
- Procédure d'appel sous 60 jours
CTDPA + Yovale, les réponses.
le CTDPA s'applique-t-il à mon site ?
il s'applique si vous contrôlez les données personnelles de 100 000 résidents du Connecticut ou plus sur une année civile, ou de 25 000 résidents ou plus dès lors que 25% ou plus de votre chiffre d'affaires brut provient de la vente de données personnelles — le ratio est plus bas que les 50% du VCDPA. les organismes publics, certaines associations, les entités couvertes par HIPAA et les données éducatives couvertes par FERPA sont hors champ. si vous êtes en dessous des seuils, vous n'êtes pas directement concerné, mais Yovale active les mêmes protections par défaut pour que votre site soit prêt si vous les franchissez.
qu'est-ce qui a changé le 1er janvier 2025 ?
deux choses. premièrement, le délai de mise en conformité de 60 jours a expiré le 31 décembre 2024 — le Connecticut AG n'a plus à vous donner une chance de corriger une violation avant d'engager une action. deuxièmement, les responsables de traitement doivent honorer un Universal Opt-Out Mechanism comme Global Privacy Control. un navigateur qui envoie l'en-tête Sec-GPC: 1 est traité comme un opt-out valide pour la vente et la publicité ciblée, et vous devez y donner suite même si le visiteur ne clique jamais sur votre bandeau de consentement. l'edge worker de Yovale lit à la fois les en-têtes Sec-GPC et le signal DOM, applique l'opt-out avant tout rendu et le journalise.
quelle différence entre le CTDPA et le CCPA ?
les deux offrent un opt-out pour la vente et la publicité ciblée, ainsi que les droits d'accès, de suppression et de portabilité. le CTDPA va plus loin sur les données sensibles — il exige un OPT-IN, alors que la Californie utilise un signal d'opt-out. le CTDPA impose aussi une procédure formelle d'appel en cas de refus et est appliqué par le Connecticut Attorney General au titre du CUTPA, sans droit d'action privé. les sanctions civiles plafonnent à $5,000 par violation contre $7,500 pour le CCPA. Yovale couvre les deux régimes depuis une seule plateforme.
qu'est-ce qu'une donnée sensible et comment est géré l'opt-in ?
les données sensibles au sens du CTDPA couvrent l'origine raciale ou ethnique, les convictions religieuses, les diagnostics ou conditions de santé mentale ou physique, l'orientation sexuelle, la nationalité ou le statut d'immigration, les données génétiques ou biométriques traitées pour identifier une personne de manière unique, la géolocalisation précise dans un rayon de 1 750 pieds et les données personnelles d'un enfant connu de moins de 13 ans. le MU-plugin de Yovale bloque tout plugin ou script touchant une catégorie sensible tant que le consommateur n'a pas activement opté in via l'UI de consentement.
que se passe-t-il si je refuse une demande ?
la plateforme envoie au consommateur une notification de refus avec un lien d'appel en un clic. l'appel ouvre un cas distinct dans votre dashboard Conformité avec son propre SLA de 60 jours. si vous refusez aussi l'appel, Yovale joint automatiquement un lien vers le formulaire de plainte en ligne du Connecticut Attorney General, comme l'exige le CTDPA. chaque étape est horodatée dans le journal d'audit.
fournissez-vous un contrat sous-traitant ?
oui. un contrat responsable-sous-traitant pré-signé conforme aux exigences du CTDPA sur les contrats de sous-traitance est disponible en PDF dans votre dashboard. nous y figurons comme votre sous-traitant, vous êtes le responsable de traitement. il liste chaque sous-traitant (Cloudflare, Anexia, R2), les limites de finalité, les obligations de confidentialité, les droits d'audit, le retour ou la suppression des données en fin de service et notre devoir d'assistance pour les demandes des consommateurs et les évaluations d'impact.
déployez un site WordPress conforme au CTDPA en 60 secondes.
chaque site Yovale est prêt pour le CTDPA dès le moment où vous déployez. GPC honoré à l'edge. opt-in pour les données sensibles imposé. workflow d'appel actif. lien de plainte AG câblé. démarrez l'essai Growth et consultez votre premier dashboard de conformité.