CCPA / CPRA
Le California Consumer Privacy Act (CCPA, 2018) et son amendement le California Privacy Rights Act (CPRA, 2020) — la loi de protection des données la plus exigeante des États américains, proche du RGPD dans l'esprit, appliquée depuis 2023 par la California Privacy Protection Agency et opposable à toute entreprise dans le monde franchissant les seuils tout en traitant des données de résidents californiens.
Le California Consumer Privacy Act (CCPA), promulgué en 2018 et entré en vigueur le 1er janvier 2020, fut la première loi américaine d’État instaurant une protection complète des données personnelles. Le California Privacy Rights Act (CPRA), adopté par référendum en novembre 2020 et pleinement en vigueur depuis le 1er janvier 2023, l’a substantiellement amendé et a créé la California Privacy Protection Agency (CPPA) — la première agence américaine dédiée à la protection des données. En 2026, quand on dit « CCPA » on désigne presque toujours la version post-CPRA appliquée par la CPPA. Le texte complet figure au Cal. Civ. Code § 1798.100 et suivants et les règles d’application sur cppa.ca.gov.
Qui est concerné (seuils)
Toute entreprise à but lucratif qui exerce une activité en Californie et remplit au moins l’un des critères :
- Chiffre d’affaires annuel brut > 25 M$ lors de l’année civile précédente, ou
- Achète, vend ou partage des données personnelles de 100 000+ consommateurs ou foyers californiens par an, ou
- Tire ≥ 50 % de ses revenus de la vente ou du partage de données personnelles de consommateurs californiens.
À noter : aucune exigence d’établissement en Californie. Une SaaS hébergée à Paris qui laisse des résidents californiens s’inscrire et qui franchit le seuil de 100 000 enregistrements est dans le périmètre. Le CCPA s’applique explicitement aux « entreprises exerçant en Californie », ce que le procureur général interprète largement.
Ce que les résidents californiens peuvent faire
- Droit à l’information sur les données personnelles collectées, leur source, et leurs destinataires ou acheteurs (proche de l’article 15 du RGPD).
- Droit à la suppression des données personnelles, avec des exceptions (obligation légale, prévention de la fraude, contextes liés à la liberté d’expression).
- Droit de rectification des données personnelles inexactes (ajouté par le CPRA).
- Droit d’opposition à la vente ou au partage pour la publicité comportementale inter-contextes — y compris via le signal Global Privacy Control que les entreprises doivent honorer.
- Droit de limiter l’usage des données personnelles sensibles (géolocalisation, données de santé, identifiants biométriques, orientation sexuelle, etc.) — nouveau sous CPRA.
- Droit à la portabilité (copie dans un format lisible par machine).
- Droit à la non-discrimination pour avoir exercé ces droits.
Les entreprises doivent répondre aux demandes vérifiables sous 45 jours (prolongeable de 45 jours supplémentaires sur notification).
Ce que les entreprises doivent faire
- Une « Notice at collection » au moment ou avant la collecte, listant les catégories de données, les finalités et les droits.
- Une politique de confidentialité publique avec le même contenu, mise à jour au moins annuellement.
- Un lien « Do Not Sell or Share My Personal Information » (ou un lien « Your Privacy Choices » avec l’icône officielle) en évidence sur la page d’accueil.
- Honorer les signaux Global Privacy Control comme un opt-out valide — ne pas le faire a fondé l’action de la CPPA contre Sephora en 2022 (1,2 M$ de règlement), et c’est le point sur lequel la plupart des entreprises pèchent encore.
- Études d’impact sur la protection des données pour les traitements présentant un risque significatif — calquées sur les AIPD du RGPD.
- Contrats avec sous-traitants et tiers reflétant les obligations CCPA (clauses sous-traitance proches de l’article 28 du RGPD).
- Audits cybersécurité annuels et évaluations de risque pour les traitements à haut risque, dès l’entrée en vigueur des règles d’application en cours d’adoption par la CPPA.
CCPA vs RGPD — la différence pratique
| Dimension | RGPD (UE) | CCPA / CPRA (Californie) |
|---|---|---|
| Défaut | Opt-in pour le traitement non essentiel | Opt-out pour la vente/le partage |
| Bases légales | Six bases légales (art. 6) | Pas de cadre de bases légales ; centré sur notification + opt-out |
| Données sensibles | Catégorie spéciale (art. 9), conditions de traitement étroites | « Sensitive PI » ; droit de limiter l’usage |
| Régulateur | DPA nationales + EDPB | California Privacy Protection Agency (CPPA), plus l’AG |
| Amendes | Jusqu’à 20 M€ ou 4 % du CA mondial | 2 500 $ par violation, 7 500 $ par violation intentionnelle ou touchant un mineur ; pas de plafond au CA mondial |
| Droit à indemnisation | Oui (art. 82) | Droit d’action privé limité — uniquement pour certaines fuites |
| Transferts hors juridiction | Fortement encadrés (cadre Schrems II) | Pas de régime de transfert spécifique |
Conséquence pratique : une entreprise conforme RGPD est en grande partie prête CCPA, mais pas entièrement. Les deux pièges principaux sont (a) le lien public « Do Not Sell or Share » et la prise en compte du Global Privacy Control, qui n’ont pas d’équivalent RGPD, et (b) les clauses contractuelles fournisseurs propres au droit US, que la CPPA durcit progressivement.
Les autres lois d’État américaines
Le CCPA a été le premier. À fin 2026, des lois complètes de protection des données existent dans : Californie, Virginie (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Floride (FDBR), Montana (MCDPA), Iowa (ICDPA), Delaware (DPDPA), Tennessee (TIPA), New Hampshire, New Jersey, Indiana, et un nombre croissant d’autres. Chacune a ses propres seuils, définitions et calendriers — mais l’architecture (information + droits du consommateur + opt-out + évaluations + contrats) converge largement. Un programme de privacy conçu autour de RGPD + CCPA couvre généralement les autres sans gros travail additionnel.
Pour une SaaS startup qui sert des clients grand compte américains depuis n’importe où dans le monde, le plancher pratique en 2026 est : politique de confidentialité alignée RGPD + lien « Your Privacy Choices » avec support du Global Privacy Control + procédure de demande consommateur vérifiable + contrats sous-traitants reflétant les clauses CCPA. Cela couvre ~95 % des exigences d’État US pour ~95 % des acheteurs. Les 5 % restants sont des variations de notification propres à chaque juridiction.
Termes liés
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- HIPAALoi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
- DPO (Délégué à la Protection des Données)Rôle obligatoire au sens du RGPD, chargé de contrôler la conformité de l'organisation au droit européen de la protection des données et d'être le contact de l'autorité de contrôle.