RGPD vs CCPA : principales différences expliquées (2026)
Le règlement (UE) 2016/679 (RGPD) exige un fondement juridique documenté avant tout traitement de données personnelles, ce qui en fait un cadre fondé sur le consentement préalable (opt-in). Le CCPA californien, codifié à la section 1798.100 du Cal. Civ. Code, autorise par défaut la collecte de données et accorde aux consommateurs le droit de s'y opposer. Cette différence structurelle définit le clivage entre les deux lois.
Le règlement général sur la protection des données de l'UE (RGPD) et le régime californien de protection des consommateurs, le California Consumer Privacy Act (CCPA) tel que profondément remanié par le California Privacy Rights Act (CPRA), constituent les deux cadres de protection des données les plus influents du monde anglophone. Les deux accordent aux personnes un contrôle réel sur leurs informations personnelles. Au-delà de cette convergence générale, les deux lois divergent nettement sur leur champ d'application, leur philosophie, leur modèle de consentement, leurs mécanismes d'application et les obligations précises qu'elles imposent aux organisations.
Ce guide compare toutes les dimensions majeures du RGPD et du CCPA/CPRA, intègre la réglementation de septembre 2025 de la CPPA sur la prise de décision automatisée, et se termine par des conseils pratiques pour les entreprises qui doivent satisfaire aux deux cadres.
Réponse rapide
Le RGPD est un cadre fondé sur l'autorisation préalable (opt-in), qui couvre pratiquement toute organisation traitant des données de résidents de l'UE/EEE. Le CCPA/CPRA est un cadre fondé sur l'opposition (opt-out), qui couvre les entreprises californiennes à but lucratif atteignant des seuils de taille définis. Les sanctions du RGPD dépassent de loin celles du CCPA en montant maximal, mais l'agence californienne dédiée à l'application, la CPPA, a considérablement accéléré son rythme d'application depuis 2024.
Les deux régimes en un coup d'œil
| Caractéristique | RGPD | CCPA/CPRA |
|---|---|---|
| Adopté / effectif | 25 mai 2018 | 1er janv. 2020 (CCPA) ; 1er janv. 2023 (modifications CPRA) |
| Champ géographique | UE/EEE + extraterritorial | Résidents de Californie + extraterritorial |
| Qui doit s'y conformer | Presque tous les responsables/sous-traitants | Entreprises à but lucratif atteignant certains seuils |
| Seuil de chiffre d'affaires | Aucun | Chiffre d'affaires brut annuel supérieur à 25 millions de dollars |
| Seuil de volume de données | Aucun | 100 000 consommateurs ou foyers ou plus par an |
| Seuil de revenus tirés de la vente | Aucun | 50 % ou plus du chiffre d'affaires annuel issu de la vente/du partage d'informations personnelles |
| Modèle de consentement | Opt-in (fondement juridique requis) | Opt-out |
| DPD requis | Oui (certaines organisations) | Non |
| Notification de violation | 72 heures à l'autorité de contrôle | « Dans les meilleurs délais possibles » (loi californienne distincte) |
| Sanction réglementaire maximale | 20 M€ ou 4 % du chiffre d'affaires mondial | 7 500 $ par violation intentionnelle |
| Droit d'action privé | Limité, variable selon l'État membre | Oui, pour les violations de données qualifiantes |
| Autorité d'application dédiée | Autorités de contrôle dans 27+ États membres UE/EEE | California Privacy Protection Agency (CPPA) |
| Droit d'opposition à l'ADMT | Droit à l'intervention humaine (art. 22) | Droit de s'opposer à l'ADMT (CPRA + réglementations 2025) |
Champ d'application et entités concernées
La portée territoriale du RGPD
Le RGPD s'applique à toute organisation, quel que soit son lieu de constitution ou d'implantation physique, dès lors qu'elle traite des données personnelles de personnes situées dans l'Espace économique européen. Une société SaaS basée à Chicago ayant des clients dans l'UE relève du RGPD. Un fabricant japonais d'appareils électroniques dont le site Internet cible des consommateurs de l'UE relève également du RGPD. L'article 3 rend cette portée extraterritoriale explicite : le règlement s'applique aux organisations qui proposent des biens ou services à des personnes de l'EEE ou qui suivent leur comportement au sein de l'EEE.
Les organisations situées hors de l'UE/EEE mais relevant du champ d'application du RGPD doivent désigner un représentant dans l'UE conformément à l'article 27, sauf exception restreinte.
Le modèle à seuils du CCPA/CPRA
Le CCPA, effectif au 1er janvier 2020 et considérablement modifié par le CPRA (Proposition 24, approuvée par les électeurs californiens en novembre 2020, la plupart des modifications étant effectives au 1er janvier 2023), s'applique aux entreprises à but lucratif qui collectent des informations personnelles de résidents de Californie et remplissent au moins l'un des trois seuils suivants :
- Chiffre d'affaires brut annuel supérieur à 25 millions de dollars
- Achat, vente, réception ou partage à des fins commerciales des informations personnelles de 100 000 consommateurs ou foyers ou plus par an
- Tirer 50 % ou plus de son chiffre d'affaires annuel de la vente ou du partage d'informations personnelles de consommateurs
Les organisations à but non lucratif et les administrations publiques échappent entièrement au champ d'application du CCPA/CPRA. Le RGPD, à l'inverse, couvre pratiquement toutes les organisations qui traitent des données personnelles (y compris les organismes à but non lucratif, les organismes publics et les petites entreprises), avec des exceptions restreintes limitées aux activités purement personnelles ou domestiques.
Définitions : données personnelles et informations personnelles
RGPD : une définition large centrée sur la personne
Le RGPD définit les « données personnelles » comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition volontairement large couvre les noms, les numéros d'identification, les données de localisation, les identifiants en ligne (adresses IP, identifiants de cookies) et les facteurs propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d'une personne. Les données agrégées et anonymisées qui ne peuvent être ré-identifiées échappent à la définition ; les données pseudonymisées, en règle générale, n'y échappent pas.
L'article 9 crée une catégorie renforcée de « catégories particulières » pour les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques traitées à des fins d'identification, les données de santé et les données concernant la vie sexuelle ou l'orientation sexuelle. Le traitement de ces données sensibles requiert un consentement explicite ou un autre fondement juridique spécifique.
CCPA/CPRA : champ du consommateur et du foyer
Le CCPA définit les « informations personnelles » comme toute information qui identifie, se rapporte à, décrit, peut raisonnablement être associée à, ou pourrait raisonnablement être reliée à un consommateur ou un foyer donné. Différences notables par rapport à la définition du RGPD : le CCPA couvre explicitement les données au niveau du foyer, et il exclut les informations rendues publiques qu'une entreprise a des motifs raisonnables de croire volontairement divulguées au public par le consommateur.
Les modifications du CPRA ont ajouté une catégorie d'« informations personnelles sensibles » qui recoupe partiellement les catégories particulières du RGPD. Les informations sensibles au sens du CPRA couvrent les numéros de sécurité sociale, les détails de comptes financiers, la géolocalisation précise, l'origine raciale ou ethnique, les convictions religieuses, le contenu des communications, les données génétiques, les données biométriques traitées à des fins d'identification, les informations de santé et les données relatives à la vie sexuelle ou à l'orientation sexuelle. Les réglementations 2025 de la CPPA ont encore élargi les informations sensibles pour y inclure les données neuronales et les informations personnelles de consommateurs dont l'entreprise sait qu'ils ont moins de 16 ans.
| Notion de donnée | RGPD | CCPA/CPRA |
|---|---|---|
| Donnée protégée principale | Données personnelles (toute personne physique identifiée/identifiable) | Informations personnelles (consommateur ou foyer) |
| Données de foyer | Non explicitement incluses | Incluses |
| Données publiquement disponibles | Restent des données personnelles si elles identifient une personne | Exclues de la définition |
| Données des employés et B2B | Entièrement couvertes | Couvertes (le CPRA a supprimé les exemptions temporaires à compter de janv. 2023) |
| Catégorie sensible renforcée | Catégories particulières (art. 9) | Informations personnelles sensibles (CPRA) |
| Données neuronales | Couvertes en tant que données de santé/biométriques | Explicitement ajoutées par les réglementations CPPA de 2025 |
Le modèle de consentement : opt-in contre opt-out
C'est le clivage philosophique le plus net entre les deux cadres.
RGPD : autorisation préalable fondée sur le consentement
Le RGPD fonctionne selon un modèle fondé sur l'autorisation préalable. Les organisations ne peuvent traiter des données personnelles sans avoir d'abord établi l'un des six fondements juridiques prévus par l'article 6 : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public, ou les intérêts légitimes. Le fondement juridique doit être identifié et documenté avant le début du traitement.
Lorsque le consentement est le fondement retenu, l'article 7 exige qu'il soit libre, spécifique, éclairé et univoque. Les cases pré-cochées, le silence et les consentements groupés sont invalides. Pour les données de catégories particulières et les données des enfants, le RGPD exige un consentement explicite : une déclaration affirmative plutôt qu'un comportement qui se contente d'impliquer un accord.
CCPA/CPRA : opposition fondée sur l'activité
Le CCPA suit un modèle d'opposition (opt-out) pour la plupart des traitements. Les entreprises peuvent collecter et utiliser des informations personnelles sans consentement préalable, mais doivent : (1) divulguer leurs pratiques de traitement dans un avis de confidentialité ; (2) fournir un lien « Ne pas vendre ou partager mes informations personnelles » ; et (3) respecter les demandes d'opposition des consommateurs. Le CPRA a ajouté le droit de limiter l'utilisation des informations personnelles sensibles, qui fonctionne comme une opposition ciblée.
Deux exceptions notables fonctionnant en opt-in existent : les entreprises doivent obtenir un consentement préalable avant de vendre ou de partager les informations personnelles de consommateurs dont elles savent qu'ils ont moins de 16 ans (avec le consentement d'un parent ou tuteur requis pour les moins de 13 ans), et un consentement préalable est requis pour réengager un consommateur qui s'est opposé pendant au moins 12 mois.
| Dimension du consentement | RGPD | CCPA/CPRA |
|---|---|---|
| Posture par défaut | Traitement interdit jusqu'à établissement d'un fondement juridique | Traitement autorisé ; le consommateur peut s'y opposer |
| Où le consentement est utilisé | Doit être libre, spécifique, éclairé, univoque | Non requis pour la plupart des traitements |
| Enfants | Consentement parental sous 16 ans (les États membres peuvent abaisser à 13 ans) | Consentement préalable requis pour la vente/le partage des données de moins de 16 ans |
| Données sensibles | Consentement explicite ou exemption spécifique requis (art. 9) | Droit de limiter l'usage (modèle d'opposition) |
| Réengagement après opposition | Pas d'équivalent (le retrait doit être aussi simple que le don du consentement) | Délai d'attente de 12 mois avant nouvelle sollicitation |
Comparaison des droits des consommateurs et des personnes concernées
Les deux lois accordent aux personnes un ensemble de droits en matière de confidentialité. Les droits du RGPD sont plus étendus et les motifs d'exception plus restreints.
| Droit | RGPD | CCPA/CPRA |
|---|---|---|
| Droit de savoir / d'accès | Oui (art. 15) | Oui (étendu par le CPRA sur 12 mois) |
| Droit à l'effacement / à la suppression | Oui, « droit à l'oubli » (art. 17) | Oui, avec davantage d'exceptions pour les entreprises |
| Droit de rectification | Oui (art. 16) | Pas d'équivalent |
| Droit à la portabilité des données | Oui (art. 20) | Oui (ajouté par le CPRA) |
| Droit à la limitation du traitement | Oui (art. 18) | Limité aux informations sensibles |
| Droit d'opposition | Oui (art. 21) | Pas d'équivalent direct |
| Droit de s'opposer à la vente | Pas de notion de « vente » | Oui, droit central du CCPA |
| Droit de s'opposer au partage | Pas de notion de « partage » | Oui (ajouté par le CPRA) |
| Droit de limiter l'usage des données sensibles | Régi par les restrictions de l'art. 9 | Oui (ajouté par le CPRA) |
| Droit à la non-discrimination | Principes généraux d'égalité | Droit explicite ; programmes d'incitation autorisés avec divulgation |
| Prise de décision automatisée | Droit à l'intervention humaine ; droit de contester (art. 22) | Droit de s'opposer à l'ADMT plus droit d'accès (CPRA et réglementations 2025) |
Le droit de l'article 22 du RGPD contre les décisions entièrement automatisées est plus fort à un égard : il s'applique par défaut et exige une justification affirmative pour y déroger. Le droit du CCPA/CPRA de s'opposer à l'ADMT est un droit d'opposition ; les entreprises utilisant l'ADMT peuvent continuer à le faire jusqu'à ce qu'un consommateur exerce son droit d'opposition.
Informations personnelles sensibles
Les deux cadres créent une catégorie renforcée de données bénéficiant d'une protection accrue, bien qu'ils la définissent et la réglementent différemment.
Sous le RGPD, le traitement des données de « catégories particulières » est interdit par défaut. Pour les traiter, les organisations doivent identifier à la fois un fondement juridique au titre de l'article 6 et une condition spécifique au titre de l'article 9 : par exemple le consentement explicite, des obligations liées au droit du travail, la sauvegarde d'intérêts vitaux lorsque le consentement ne peut être obtenu, ou les activités légitimes d'organismes à but non lucratif. Les données biométriques traitées aux fins d'identifier une personne de manière unique constituent une catégorie particulière.
Sous le CCPA/CPRA, les consommateurs ont le droit d'exiger d'une entreprise qu'elle limite l'usage et la divulgation des informations sensibles à la finalité pour laquelle elles ont été collectées ou à d'autres usages spécifiquement autorisés. Les entreprises doivent fournir un lien « Limiter l'utilisation de mes informations personnelles sensibles » (qui peut être combiné avec le lien « Ne pas vendre ou partager »). Les réglementations 2025 de la CPPA ont élargi les informations sensibles pour y inclure les données neuronales et englobent expressément les informations personnelles de mineurs connus de moins de 16 ans.
Application et sanctions
L'application du RGPD
Le RGPD est appliqué par des autorités de contrôle indépendantes dans chaque État membre de l'UE/EEE. L'article 83 établit une structure de sanctions à deux niveaux :
- Niveau inférieur (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel) : violations des obligations des responsables de traitement et sous-traitants, des règles de certification et des règles des organismes de contrôle.
- Niveau supérieur (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel) : violations des principes fondamentaux du traitement des données, des conditions de consentement, des droits des personnes concernées et des règles de transfert international.
Le total cumulé des amendes RGPD avait dépassé 5,8 milliards d'euros début 2025. Parmi les actions récentes marquantes figurent l'amende de 1,2 milliard d'euros infligée par la Commission irlandaise de protection des données (DPC) à Meta en mai 2023 pour des transferts de données illicites vers les États-Unis (la plus lourde amende RGPD jamais enregistrée) et une amende de 310 millions d'euros infligée à LinkedIn en octobre 2024 pour traitement illicite à des fins de publicité comportementale.
L'application du CCPA/CPRA
Le Procureur général de Californie a assuré l'application du CCPA depuis sa date d'entrée en vigueur, le 1er juillet 2020, jusqu'à la mi-2023. La California Privacy Protection Agency (CPPA) a repris l'autorité principale d'application en juillet 2023 et constitue la première agence étatique dédiée à l'application de la protection de la vie privée aux États-Unis.
Sanctions au titre du CCPA/CPRA :
- Jusqu'à 2 500 $ par violation non intentionnelle
- Jusqu'à 7 500 $ par violation intentionnelle, ou par violation impliquant les informations personnelles d'un mineur
- La CPPA ajuste les montants des sanctions en janvier des années impaires pour refléter l'évolution de l'indice des prix à la consommation
Le rythme d'application de la CPPA s'est considérablement accéléré. Parmi les règlements notables de 2025 figurent :
- Tractor Supply Company : 1,35 million de dollars pour violations du CCPA
- American Honda Motor Co. : 632 500 dollars pour violations du CCPA, la deuxième amende la plus élevée de l'histoire de la loi à l'époque
- Todd Snyder, Inc. : 345 178 dollars pour avoir mal administré son portail de confidentialité, notamment en exigeant des consommateurs qu'ils vérifient leur identité avant d'exercer leur droit d'opposition
| Dimension d'application | RGPD | CCPA/CPRA |
|---|---|---|
| Autorité d'application | Autorités de contrôle nationales (27+ dans l'UE/EEE) | Procureur général de Californie plus la CPPA |
| Sanction réglementaire maximale | 20 M€ ou 4 % du chiffre d'affaires mondial annuel | 7 500 $ par violation intentionnelle |
| Délai de mise en conformité | Aucun délai de régularisation obligatoire | Délai de 30 jours (application par le Procureur général uniquement ; aucun droit de régularisation en cas d'application par la CPPA) |
| Mécanisme transfrontalier | Guichet unique via l'autorité de contrôle chef de file | Compétence californienne uniquement |
| Droit d'action privé | Limité (variable selon l'État membre ; art. 82) | Oui, pour les violations de données qualifiantes (Cal. Civ. Code 1798.150) |
Le droit d'action privé
Les deux lois offrent certains droits de recours individuels, mais leur portée diffère substantiellement.
L'article 82 du RGPD
L'article 82 du RGPD accorde à toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD le droit d'obtenir réparation du responsable du traitement ou du sous-traitant. En pratique, la disponibilité et la portée des actions collectives pour dommages RGPD varient considérablement selon l'État membre ; le droit de l'UE n'impose pas de mécanisme unifié d'action collective.
La section 1798.150 du CCPA
Le droit d'action privé du CCPA est plus restreint que le droit général à réparation du RGPD. En vertu de la section 1798.150 du Cal. Civ. Code, les consommateurs ne peuvent agir en justice que pour des violations de données qualifiantes impliquant des informations personnelles non chiffrées ou non caviardées (ou des adresses e-mail combinées à des mots de passe ou des questions de sécurité) résultant du manquement de l'entreprise à mettre en œuvre une sécurité raisonnable. Les dommages-intérêts prévus par la loi vont de 100 à 750 dollars par consommateur et par incident, ou les dommages réels si supérieurs.
Le droit d'action privé ne s'étend pas aux violations des droits d'accès, de suppression, d'opposition ou d'autres droits du CCPA hors du contexte des violations de données. Ces violations relèvent exclusivement de la CPPA ou du Procureur général.
En 2025, plusieurs décisions de tribunaux fédéraux de district californiens ont laissé entrevoir une possible extension du droit d'action privé aux situations dans lesquelles des technologies de suivi tierces constituent une divulgation non autorisée d'informations personnelles. Ces affaires sont suivies de près par les praticiens du droit de la protection des données.
Les réglementations 2025 de la CPPA : ADMT, analyses de risques et audits de cybersécurité
Le conseil d'administration de la CPPA a adopté des réglementations exhaustives le 24 juillet 2025. L'Office of Administrative Law de Californie les a approuvées et déposées le 22 septembre 2025. Ces réglementations représentent l'élargissement le plus significatif du cadre californien de protection de la vie privée depuis l'entrée en vigueur du CPRA.
Les technologies de prise de décision automatisée (ADMT)
Les réglementations 2025 sur l'ADMT mettent en œuvre les droits des consommateurs introduits par le CPRA. L'ADMT désigne toute technologie qui traite des informations personnelles et utilise le calcul pour exécuter une décision, remplacer une décision humaine ou faciliter substantiellement une décision humaine.
Les réglementations accordent aux consommateurs deux droits à l'égard des entreprises utilisant l'ADMT pour des décisions importantes :
- Droit de s'opposer à l'usage par l'entreprise de l'ADMT pour prendre des décisions importantes affectant le consommateur, notamment en matière d'éligibilité à l'emploi, de décisions de crédit, de logement, de traitement médical et d'accès à l'éducation.
- Droit d'accès aux informations sur la manière dont l'ADMT est utilisée, y compris la logique impliquée et l'importance du résultat.
Les entreprises utilisant l'ADMT pour des décisions importantes doivent s'y conformer à compter du 1er janvier 2027. Les entreprises utilisant l'ADMT à des fins de ciblage publicitaire disposent d'un calendrier de conformité distinct en vertu des réglementations.
Ce droit est conceptuellement proche, mais structurellement différent, du droit de l'article 22 du RGPD : l'article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques ou similaires, sauf si l'une des trois conditions spécifiques est remplie ; le droit du CCPA/CPRA est un droit d'opposition qui laisse l'ADMT opérationnelle jusqu'à ce qu'un consommateur l'invoque.
Les analyses de risques
Les entreprises doivent réaliser des analyses de risques avant de se livrer à certaines activités de traitement présentant un risque significatif pour la vie privée des consommateurs. Les analyses de risques fonctionnent comme des analyses d'impact traditionnelles et doivent être documentées, réexaminées au moins tous les trois ans, et mises à jour dans les 45 jours suivant un changement significatif de l'activité de traitement. Les entreprises doivent soumettre à la CPPA une attestation et un résumé des conclusions au plus tard le 1er avril 2028.
Les audits de cybersécurité
Les entreprises qui atteignent des seuils définis doivent réaliser des audits annuels de cybersécurité. Les dépôts de certification auprès de la CPPA sont échelonnés :
- 1er avril 2028 : entreprises dépassant 100 millions de dollars de chiffre d'affaires annuel
- 1er avril 2029 : entreprises réalisant entre 50 et 100 millions de dollars de chiffre d'affaires annuel
- 1er avril 2030 : entreprises réalisant moins de 50 millions de dollars de chiffre d'affaires annuel
L'obligation d'audit de cybersécurité n'a pas d'équivalent direct dans le RGPD, même si celui-ci exige des mesures techniques et organisationnelles appropriées au titre des articles 25 et 32.
La date d'entrée en vigueur générale des quatre volets réglementaires est le 1er janvier 2026, l'obligation de conformité ADMT pour les décisions importantes étant reportée au 1er janvier 2027.
Transferts internationaux de données
Le RGPD encadre strictement les transferts de données personnelles hors de l'EEE. Les organisations ne peuvent transférer des données que vers des pays bénéficiant d'une décision d'adéquation de l'UE, ou par le biais de mécanismes tels que les clauses contractuelles types (CCT), les règles d'entreprise contraignantes (REC) ou le Data Privacy Framework UE-États-Unis. Pour en savoir plus sur le régime de transfert de l'UE, consultez notre guide sur les lois européennes de protection des données.
Le CCPA/CPRA ne pose aucune restriction sur les transferts internationaux de données. Une entreprise californienne peut transférer des informations personnelles vers n'importe quel pays. Les transferts qui constituent une « vente » ou un « partage » restent soumis aux droits d'opposition, et les réglementations 2025 sur les analyses de risques s'appliquent à certains transferts transfrontaliers présentant un risque significatif pour la vie privée.
Délégués à la protection des données et infrastructure de conformité
Le RGPD exige que certaines organisations désignent un délégué à la protection des données (DPD) en vertu de l'article 37 : les autorités publiques, les organisations dont les activités principales impliquent un suivi systématique et à grande échelle des personnes, et les organisations traitant à grande échelle des données de catégories particulières. Le DPD doit rendre compte à la direction générale, être indépendant, et ne peut être sanctionné pour l'exercice de ses fonctions.
Le CCPA/CPRA n'exige aucun rôle équivalent. Les entreprises doivent répondre aux demandes des consommateurs dans des délais définis (45 jours, avec une prolongation possible de 45 jours), conserver les registres des demandes pendant au moins 24 mois, et maintenir des pratiques de sécurité raisonnables, mais aucune structure de gouvernance interne de la vie privée n'est imposée.
Les deux lois exigent la tenue de registres. L'article 30 du RGPD impose un registre détaillé des activités de traitement. Le CCPA/CPRA exige des registres des demandes de consommateurs et de la manière dont elles ont été traitées.
Notification de violation de données
Sous le RGPD, les organisations doivent notifier leur autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles présentant un risque pour les droits et libertés des personnes. Si la violation présente un risque élevé, l'organisation doit également notifier directement les personnes concernées. Notre présentation du RGPD détaille les exigences de notification de violation.
Le CCPA/CPRA ne contient pas de règle de notification de violation qui lui soit propre. La Californie s'appuie sur sa loi préexistante de notification de violation (Cal. Civ. Code 1798.82), qui exige la notification des résidents concernés « dans les meilleurs délais possibles et sans retard injustifié ». Le droit d'action privé du CCPA prévu à la section 1798.150 est spécifiquement lié aux violations d'informations personnelles non chiffrées ou non caviardées.
Le paysage plus large de la vie privée aux États-Unis
Le CCPA/CPRA n'est pas apparu isolément et n'est pas resté unique bien longtemps. Début 2026, environ 20 États américains ont adopté des lois complètes de protection des consommateurs. L'Indiana, le Kentucky et le Rhode Island ont des lois entrant en vigueur le 1er janvier 2026. Bien qu'aucune nouvelle loi étatique complète n'ait été adoptée en 2025, première lacune de ce type en cinq ans, l'attention aux États-Unis s'est déplacée de la législation vers l'application et la réglementation.
Aucune des autres lois étatiques n'égale le CCPA/CPRA en rigueur, en étendue des droits des consommateurs, ou par la présence d'une agence d'application dédiée. Pour les entreprises opérant à l'échelle nationale, un programme conforme au CCPA/CPRA fournit une base solide pour la conformité multi-états, généralement moyennant des ajustements pour les définitions, seuils et mécanismes d'opposition propres à chaque État.
Il n'existe aucune loi fédérale complète sur la protection de la vie privée aux États-Unis à la date de cette mise à jour.
Comment les entreprises soumises aux deux régimes doivent aborder la conformité
Les organisations desservant à la fois les marchés de l'UE/EEE et de Californie construisent souvent un programme unifié de protection de la vie privée ancré dans la conformité au RGPD. Le RGPD étant le cadre le plus strict sur la plupart des points, la conformité au RGPD satisfait généralement les exigences de base du CCPA/CPRA. L'inverse n'est pas vrai.
Principales obligations propres au CCPA/CPRA qui subsistent même pour les organisations conformes au RGPD :
- Lien « Ne pas vendre ou partager mes informations personnelles » sur la page d'accueil et la politique de confidentialité (aucun équivalent RGPD)
- Lien « Limiter l'utilisation de mes informations personnelles sensibles » (ou un lien combiné)
- Mentions relatives aux incitations financières : les entreprises offrant des récompenses ou des différences de prix liées à la collecte de données doivent expliquer le fondement de la valeur
- Avis d'opposition et d'accès à l'ADMT (effectifs au 1er janvier 2027 pour les décisions importantes)
- Analyses de risques pour certaines activités de traitement à haut risque (effectives au 1er janvier 2026)
- Audits annuels de cybersécurité si les seuils de chiffre d'affaires et de traitement de données sont atteints
- Contrats avec les prestataires de services utilisant une terminologie propre au CCPA en plus des clauses de contrat de sous-traitance RGPD
Pour le volet RGPD d'un programme de double conformité, consultez notre présentation des lois européennes de protection des données et notre guide sur ce qu'exige le RGPD.
Développements récents
Septembre 2025 : La CPPA a finalisé les réglementations sur l'ADMT, les audits de cybersécurité, les analyses de risques et les mises à jour du CCPA. Date d'entrée en vigueur générale : 1er janvier 2026. Conformité ADMT pour les décisions importantes reportée au 1er janvier 2027.
Application 2025 par la CPPA : l'agence a conclu des règlements avec American Honda (632 500 $), Tractor Supply Company (1,35 million de dollars) et Todd Snyder (345 178 $), entre autres. La CPPA a fait état de centaines d'enquêtes en cours dans son rapport annuel 2025.
Octobre 2024 : la DPC irlandaise a infligé une amende de 310 millions d'euros à LinkedIn pour traitement illicite à des fins de publicité comportementale. Le total cumulé des amendes RGPD a dépassé 5,8 milliards d'euros début 2025.
Janvier 2025 : la CPPA a ajusté les montants des amendes CCPA pour tenir compte de l'inflation. Les données neuronales ont été ajoutées à la définition des informations sensibles.
1er janvier 2026 : les lois complètes de protection de la vie privée de l'Indiana, du Kentucky et du Rhode Island entrent en vigueur, portant à environ 20 le nombre total d'États américains dotés de lois complètes sur la protection de la vie privée.
Frequently Asked Questions
Le CCPA/CPRA s'applique-t-il aux entreprises situées hors de Californie ?
Oui. Le CCPA/CPRA s'applique à toute entreprise à but lucratif qui collecte des informations personnelles de résidents de Californie et remplit au moins l'un des trois seuils (chiffre d'affaires supérieur à 25 millions de dollars, données de 100 000 consommateurs ou plus par an, ou 50 % ou plus du chiffre d'affaires issu de la vente ou du partage de données), quel que soit le lieu où l'entreprise est établie. Une entreprise sans présence physique en Californie mais avec des clients californiens et un site Internet qualifiant peut être couverte.
Une entreprise peut-elle être soumise à la fois au RGPD et au CCPA/CPRA ?
Oui. Toute entreprise qui traite des données personnelles de personnes de l'UE/EEE et collecte des informations personnelles de résidents de Californie répondant aux seuils du CCPA doit se conformer aux deux lois. De nombreuses multinationales construisent des programmes unifiés de protection de la vie privée ancrés dans les exigences du RGPD, puis y ajoutent les obligations spécifiques au CCPA/CPRA.
Quelle loi prévoit les sanctions les plus sévères ?
Le RGPD prévoit des sanctions maximales bien plus élevées : 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Les sanctions du CCPA/CPRA plafonnent à 7 500 dollars par violation intentionnelle. Toutefois, les recours collectifs fondés sur le droit d'action privé du CCPA peuvent produire des dommages-intérêts globaux substantiels, et l'application active de la CPPA a donné lieu à des règlements à sept chiffres.
Le RGPD exige-t-il un consentement préalable pour tout traitement de données ?
Non. Le consentement est l'un des six fondements juridiques prévus par l'article 6 du RGPD. Les entreprises peuvent également s'appuyer sur l'exécution d'un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d'intérêt public ou des intérêts légitimes. Toutefois, lorsque le consentement est le fondement retenu, il doit être libre, spécifique, éclairé et univoque. Pour les données de catégories particulières, un consentement explicite est requis, sauf si une autre condition de l'article 9 s'applique.
Qu'est-ce que la réglementation ADMT de la CPPA et quand entre-t-elle en vigueur ?
La CPPA a finalisé les réglementations sur les technologies de prise de décision automatisée (ADMT) le 22 septembre 2025, avec une date d'entrée en vigueur générale au 1er janvier 2026. Les entreprises utilisant l'ADMT pour prendre des décisions importantes affectant les consommateurs (telles que l'éligibilité à l'emploi, l'approbation de crédit, le logement et les décisions de soins de santé) doivent se conformer aux droits d'opposition et d'accès des consommateurs à compter du 1er janvier 2027. Les entreprises utilisant l'ADMT à des fins de ciblage publicitaire disposent d'un calendrier de conformité distinct.
Quelle est la plus grande différence pratique entre la conformité au RGPD et au CCPA/CPRA ?
Le modèle de consentement. Le RGPD exige un fondement juridique documenté avant le début du traitement des données, ce qui implique souvent d'obtenir un consentement préalable. Le CCPA/CPRA autorise la collecte de données par défaut mais impose aux entreprises de respecter les demandes d'opposition, d'afficher un lien « Ne pas vendre ou partager mes informations personnelles » et (au titre des réglementations 2025) de fournir des avis d'opposition et d'accès à l'ADMT. Cette différence fondamentale façonne la conception des sites Internet, les bannières de cookies, les avis de confidentialité et la gouvernance interne des données.
La conformité au RGPD satisfait-elle les exigences du CCPA/CPRA ?
En grande partie, mais pas entièrement. Un programme conforme au RGPD satisfait la plupart des exigences de base du CCPA/CPRA, car le RGPD constitue généralement le cadre le plus strict. Toutefois, plusieurs obligations propres au CCPA/CPRA n'ont pas d'équivalent RGPD : le lien « Ne pas vendre ou partager », les mentions relatives aux incitations financières, le droit d'opposition à l'ADMT, les exigences d'analyse de risques et d'audit de cybersécurité au titre des réglementations 2025, et la terminologie contractuelle propre au CCPA pour les prestataires de services.
Sources and References
- RGPD - Règlement (UE) 2016/679, texte intégral (EUR-Lex)(eur-lex.europa.eu).gov
- RGPD Article 3 - Champ d'application territorial(gdpr-info.eu)
- RGPD Article 6 - Licéité du traitement(gdpr-info.eu)
- RGPD Article 9 - Catégories particulières de données personnelles(gdpr-info.eu)
- RGPD Article 17 - Droit à l'effacement(gdpr-info.eu)
- RGPD Article 22 - Décision individuelle automatisée(gdpr-info.eu)
- RGPD Article 37 - Désignation du délégué à la protection des données(gdpr-info.eu)
- RGPD Article 83 - Conditions générales pour imposer des amendes(gdpr-info.eu)
- Commission européenne - La protection des données dans l'UE(commission.europa.eu).gov
- Comité européen de la protection des données - Lignes directrices(edpb.europa.eu).gov
- California Consumer Privacy Act - Texte intégral (Cal. Civ. Code 1798.100 et suiv.)(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.150 - Droit d'action privé(leginfo.legislature.ca.gov).gov
- Procureur général de Californie - Informations sur le CCPA/CPRA(oag.ca.gov).gov
- CPPA - Mises à jour du CCPA, audits de cybersécurité, analyses de risques, réglementations ADMT(cppa.ca.gov).gov
- Communiqué de la CPPA : la Californie finalise des réglementations pour renforcer la vie privée des consommateurs (22 sept. 2025)(cppa.ca.gov).gov
- CPPA : Honda accepte un règlement pour violations de la vie privée - amende de 632 500 $(cppa.ca.gov).gov
- La CPPA ordonne à Todd Snyder de payer une amende de 345 178 $ et de revoir ses pratiques en matière de confidentialité(cppa.ca.gov).gov