Conformité CCPA/CPRA : Guide de confidentialité californien pour les entreprises

Les lois californiennes sur la protection de la vie privée sont les plus complètes des États-Unis et s'appliquent aux entreprises du monde entier qui satisfont à des seuils spécifiques. La California Consumer Privacy Act (CCPA, en vigueur le 1er janvier 2020) a été considérablement élargie par la California Privacy Rights Act (CPRA, en vigueur le 1er janvier 2023), qui a créé une agence d'application dédiée, introduit de nouveaux droits des consommateurs et renforcé les obligations de conformité pour les entreprises traitant des « informations personnelles sensibles ». La California Privacy Protection Agency (CPPA) étant désormais opérationnelle et enquêtant activement sur les violations, le risque d’application des lois est réel et croissant.

Ce guide couvre tout ce que les entreprises doivent savoir pour atteindre et maintenir la conformité CCPA/CPRA : seuils de portée, droits des consommateurs, divulgations requises, mécanismes de désinscription, obligations de minimisation des données et approche d'application de la CPPA.

Points clés à retenir

• CCPA/CPRA s'applique aux entreprises à but lucratif qui satisfont à l'un des trois seuils : revenus, volume de données ou revenus provenant du partage de données.
• Les consommateurs disposent de 11 droits distincts en vertu de la CPRA, y compris le droit de corriger et le droit de limiter l'utilisation des informations personnelles sensibles.
• La désinscription « Ne pas vendre ni partager » doit être un lien unique et clairement visible sur votre page d'accueil
• Les informations personnelles sensibles (SPI) déclenchent des obligations supplémentaires dont un droit à la limitation du traitement
• L'application de la CPPA est devenue active en 2023 avec des amendes allant jusqu'à 7 500 $ par infraction intentionnelle.
• Les entreprises doivent procéder à des évaluations annuelles de la protection des données pour les activités de traitement à haut risque
• Les contrats des prestataires de services doivent restreindre l'utilisation des informations personnelles en aval
• Les périodes de conservation doivent être divulguées et les données doivent être supprimées lorsqu'elles ne sont plus nécessaires aux fins déclarées

---

Seuils d’applicabilité CCPA/CPRA

Le CCPA/CPRA s'applique aux entreprises à but lucratif qui collectent les informations personnelles des consommateurs californiens et qui répondent à TOUT des seuils suivants :

1. Revenus bruts annuels supérieurs à 25 millions de dollars (au cours de l'année civile précédente)
2. Achète, vend, reçoit ou partage les informations personnelles de plus de 100 000 consommateurs ou ménages chaque année (l'CPRA a abaissé le seuil initial du CCPA de 50 000)
3. Tire 50 % ou plus de ses revenus annuels de la vente ou du partage des informations personnelles des consommateurs

Portée géographique : la loi s'applique en fonction du lieu de résidence des consommateurs, et non du lieu où votre entreprise est constituée. Une société de logiciels pakistanaise générant 30 millions de dollars de revenus annuels avec des clients californiens doit se conformer.

Exemptions : les données sur l'emploi (données sur les employés B2B) ont bénéficié d'exemptions temporaires au CCPA qui ont expiré le 1er janvier 2023 en vertu de la CPRA. Les exemptions relatives aux coordonnées B2B ont également expiré. De nombreuses institutions financières sont partiellement exonérées en vertu de la loi Gramm-Leach-Bliley ; Les données de santé couvertes par la HIPAA font l’objet d’un traitement distinct.

Remarque sur les lois d'autres États américains : Bien que ce guide se concentre sur le CCPA/CPRA, depuis 2025, dix-neuf États américains ont promulgué des lois complètes sur la confidentialité avec des seuils et des exigences variables. Les entreprises qui assurent la conformité dans plusieurs États devraient évaluer la Virginie (VCDPA), le Colorado (CPA), le Connecticut (CTDPA), le Texas (TDPSA) et d'autres aux côtés de la Californie.

---

Informations personnelles et informations personnelles sensibles

Les informations personnelles (IP) en vertu du CCPA/CPRA désignent les informations qui identifient, se rapportent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées à un consommateur ou à un foyer particulier. Ceci est nettement plus large que les « informations personnellement identifiables » (PII) en vertu des anciennes lois américaines.

Les catégories explicitement couvertes comprennent :

• Identifiants (noms, email, téléphone, adresse IP, noms de compte, SSN, numéro de permis de conduire)
• Informations commerciales (enregistrements des produits/services achetés, historique de navigation/achats)
• Informations biométriques
• Activité sur Internet ou autre réseau électronique (historique de navigation, historique de recherche, interaction avec des sites Web)
• Données de géolocalisation
• Informations professionnelles ou liées à l'emploi
• Informations sur l'éducation
• Inférences tirées de l'un des éléments ci-dessus pour créer des profils de consommateurs

Informations personnelles sensibles (SPI) — un ajout de l'ACPL — comprend un sous-ensemble d'IP nécessitant des protections renforcées :

• Numéros de sécurité sociale, permis de conduire, carte d'identité ou passeport
• Identifiants de connexion au compte (nom d'utilisateur/e-mail + mot de passe ou question de sécurité)
• Informations sur le compte financier + codes d'accès
• Géolocalisation précise (dans un rayon de 1/8 de mile)
• Origine raciale ou ethnique
• Croyances religieuses ou philosophiques
• Adhésion syndicale
• Contenu du courrier, de l'e-mail ou du message texte (sauf si l'entreprise est le destinataire prévu)
• Données génétiques
• Données sur la santé ou l'état de santé
• Orientation sexuelle ou vie sexuelle
• Informations biométriques pour une identification unique

Pour SPI, les consommateurs ont le droit supplémentaire de limiter leur utilisation : les entreprises ne peuvent pas utiliser SPI au-delà de ce qui est nécessaire pour fournir le produit ou le service demandé (plus des fins supplémentaires limitées), à moins que le consommateur n'ait opté pour une utilisation plus large.

---

Droits des consommateurs en vertu de l'ACPL

L'ACPL a étendu à onze les cinq droits des consommateurs du CCPA. Les entreprises doivent disposer de processus documentés pour remplir chacun :

Exigences de vérification : Avant de répondre aux demandes des consommateurs, vous devez vérifier l'identité du demandeur à l'aide d'une méthode « raisonnablement sécurisée ». Pour les demandes en ligne, la correspondance adresse e-mail + un autre identifiant est généralement suffisante. Vous ne pouvez pas exiger des consommateurs qu'ils créent des comptes uniquement pour soumettre des demandes. Les demandes invérifiables concernant des éléments spécifiques d’IP doivent être traitées uniquement comme des demandes de catégories.

Agents autorisés : les consommateurs peuvent désigner des agents autorisés pour soumettre des demandes en leur nom. Vous pouvez exiger de l'agent qu'il fournisse une preuve de l'autorisation signée du consommateur.

---

Exigences en matière d'avis de confidentialité

Au moment de la collecte : les entreprises doivent informer les consommateurs des renseignements personnels qui sont collectés et à quelles fins avant ou au moment de la collecte. Cela s’applique à tous les points de collecte : formulaires de sites Web, applications mobiles, points de vente, chatbots et achats de courtiers de données.

Exigences en matière de politique de confidentialité (mise à jour au moins tous les 12 mois) :

• Catégories d'IP collectés au cours des 12 derniers mois
• Fins pour lesquelles PI est utilisé
• Catégories de PI vendues ou partagées au cours des 12 derniers mois
• Catégories de tiers auxquels les informations personnelles sont divulguées
• Catégories de sources à partir desquelles les PI sont collectées
• Droits des consommateurs et comment les exercer
• Coordonnées pour soumettre des demandes
• Si PI est vendu ou partagé, et comment se désinscrire
• Si SPI est traité à des fins autres que la fourniture du produit/service
• Périodes de conservation pour chaque catégorie de PI (ou critères utilisés pour déterminer la rétention)

Lien « Ne pas vendre ou partager mes informations personnelles » : doit être un lien clair et visible sur votre page d'accueil et dans votre politique de confidentialité. Si le lien se trouve dans un pied de page ou une zone de navigation partagée sur votre site, il est éligible. Le lien doit mener à une page sur laquelle les consommateurs peuvent se désinscrire en une seule étape (et non enfouis dans des formulaires en plusieurs étapes).

Lien « Limiter l'utilisation de mes informations personnelles sensibles » : obligatoire si vous traitez les SPI au-delà de ce qui est nécessaire pour fournir le produit ou le service demandé. Peut être un lien séparé ou combiné avec le lien Ne pas vendre/partager.

Signaux de préférence de désinscription (GPC) : les entreprises doivent respecter le signal Global Privacy Control (GPC) – un paramètre au niveau du navigateur que les consommateurs peuvent activer pour signaler leur désinscription à la vente et au partage. De nombreux navigateurs axés sur la confidentialité prennent en charge GPC de manière native. Votre site Web doit détecter et honorer les signaux GPC. L'ACPP a cité des entreprises spécifiquement pour ne pas avoir respecté GPC.

---

Vente et partage d'informations personnelles

« Vente » en vertu du CCPA/CPRA signifie la divulgation ou la mise à disposition d'informations personnelles à une autre entreprise ou à un tiers moyennant une contrepartie monétaire ou autre. Cela va au-delà de la compréhension commune de la « vente de données ».

Le « partage » dans le cadre de la CPRA ajoute une publicité comportementale intercontextuelle, même sans contrepartie monétaire, en ciblant spécifiquement la publicité basée sur la navigation d'un consommateur sur différents sites Web ou services.

En pratique, les pratiques courantes suivantes constituent probablement une vente ou un partage :

• Partage de PI avec les courtiers de données
• Utilisation de pixels publicitaires tiers (Meta Pixel, Google Analytics 4 en mode publicité) qui envoient les données des utilisateurs vers des plateformes de ciblage
• Partage de listes de clients avec des réseaux publicitaires pour des audiences similaires
• Participer aux écosystèmes d'enchères en temps réel

Exigences de consentement pour les mineurs :

• 13-15 ans : inscription requise avant de vendre/partager leur IP
• Moins de 13 ans : inscription du parent/tuteur requis (la COPPA s'applique également)

Prestataires de services vs tiers : les informations personnelles divulguées à un prestataire de services dans le cadre d'un contrat de fournisseur de services conforme (restreignant leur utilisation à la fourniture de services) ne constituent pas une « vente ». Les PI divulguées à un tiers qui peut les utiliser à ses propres fins (plateformes publicitaires, courtiers en données) constituent une « vente » ou un « partage ». Cette distinction est essentielle pour votre architecture de partage de données.

Exigences du contrat du fournisseur de services : doit exiger que le fournisseur de services :

• Ne pas vendre ou partager les PI reçus
• Ne pas conserver, utiliser ou divulguer des informations personnelles en dehors du contexte du service
• Se conformer aux exigences applicables de l'ACPL
• Accorder à l'entreprise le droit d'auditer

---

Minimisation des données et limitation des finalités (CPRA)

L'ACPL a introduit des exigences explicites en matière de minimisation des données : les entreprises ne peuvent collecter, utiliser, conserver et partager des informations personnelles que dans la mesure raisonnablement nécessaire et proportionnée pour atteindre les objectifs déclarés. Cela représente un changement important par rapport à l'approche axée sur la divulgation du CCPA.

Implications sur la mise en œuvre :

• Auditer chaque point de collecte de données et éliminer la collecte d'informations personnelles non utilisées à des fins divulguées
• Documenter l'objectif commercial de chaque catégorie PI collectée
• Configurer les calendriers de conservation : les PI doivent être supprimés ou anonymisés lorsqu'ils ne sont plus nécessaires aux fins indiquées.
• Éviter l'utilisation secondaire des informations personnelles à des fins incompatibles avec la finalité initiale de la collecte sans le consentement du consommateur

Divulgation de conservation : les politiques de confidentialité doivent divulguer les périodes de conservation ou les critères permettant de déterminer la conservation pour chaque catégorie de PI. L’ACPP devrait publier des règlements contenant des orientations plus spécifiques. Pour l’instant, documentez une période de conservation raisonnable et justifiée par l’entreprise pour chaque catégorie PI.

---

Évaluations de la protection des données et gestion des risques

La CPRA exige que les entreprises effectuent des évaluations des risques (appelées évaluations de la protection des données) avant de mettre en œuvre des activités de traitement qui présentent un risque important pour les consommateurs. La CPPA élabore actuellement des règlements précisant quelles activités déclenchent des exigences d'évaluation, mais la loi identifie déjà des catégories, notamment :

• Vendre ou partager des PI
• Traitement SPI
• Profilage présentant un risque important
• Traitement des PI des mineurs
• Utiliser l'IP d'une manière qui présente un risque important de préjudice

Documentez vos évaluations et conservez des dossiers. Les évaluations doivent identifier : la finalité du traitement, les IP impliqués, les risques potentiels pour les consommateurs et les garanties mises en œuvre pour atténuer ces risques.

---

Application de la CPPA et sanctions

La California Privacy Protection Agency (CPPA) est devenue pleinement opérationnelle en 2023 en tant que premier organisme dédié à l’application de la vie privée aux États-Unis. La CPPA a le pouvoir d'enquêter, de tenir des audiences administratives et d'imposer des sanctions civiles :

La CPPA applique des sanctions par violation, ce qui signifie que chaque consommateur dont les droits ont été violés représente une violation distincte. Une violation de données affectant 100 000 consommateurs pourrait théoriquement entraîner des pénalités de 750 millions de dollars (100 000 × 7 500 dollars). Les premières mesures d’application de la LPPC se sont concentrées sur les grandes entreprises qui ne s’y conformaient pas systématiquement.

Droit d'action privé : en vertu de l'article 1798.150 du CCPA, les consommateurs disposent d'un droit d'action privé limité en cas de violations de données impliquant des informations personnelles non cryptées ou non expurgées résultant de l'incapacité de l'entreprise à mettre en œuvre des mesures de sécurité raisonnables. Dommages légaux : 100 $ à 750 $ par consommateur et par incident, ou dommages réels s'ils sont plus élevés.

---

Liste de contrôle de conformité CCPA/CPRA

• Analyse du seuil d'applicabilité terminée
• Inventaire PI et SPI réalisé dans tous les systèmes et points de collecte
• Politique de confidentialité mise à jour avec toutes les divulgations requises (révision de 12 mois)
• Lien « Ne pas vendre ou partager mes informations personnelles » sur la page d'accueil
• Lien « Limiter l'utilisation de mes informations personnelles sensibles » le cas échéant
• Détection et respect du Global Privacy Control (GPC) mis en œuvre
• Processus de réception des demandes des consommateurs établi (formulaire Web + numéro gratuit)
• Procédure de vérification d'identité documentée
• Workflows de réponse pour les 11 droits des consommateurs documentés et testés
• Délai de réponse de 45 jours suivi et documenté pour toutes les demandes
• Contrats des prestataires de services révisés et mis à jour avec les dispositions requises par la CPRA
• Partage de données tiers audité (détermination de vente/partage pour chaque destinataire)
• Audit de minimisation des données terminé — collecte inutile d'IP éliminée
• Périodes de conservation documentées et suppression automatique configurée
• Formation des employés sur les procédures de réponse aux droits des consommateurs terminée
• Évaluations de la protection des données réalisées pour les activités de traitement à haut risque
• Mécanismes de consentement mineurs mis en œuvre si les informations personnelles des mineurs sont collectées

---

Questions fréquemment posées

Le CCPA/CPRA s'applique-t-il aux données des employés ?

Oui, à compter du 1er janvier 2023, date d’entrée en vigueur de la LPRP. Les exemptions temporaires du CCPA pour les données B2B et des employés ont expiré. Les employés californiens (ainsi que les candidats à un emploi, les sous-traitants et les administrateurs) ont désormais les mêmes droits en vertu de la CCPA/CPRA que les consommateurs concernant leurs informations personnelles. Cela signifie que les employeurs californiens doivent mettre à jour les avis de confidentialité pour les employés, établir des processus de respect des droits pour les PI en matière d'emploi et revoir les pratiques en matière de données du système RH.

Quelle est la différence entre « vente » et « partage » en vertu de la CPRA ?

La « vente » implique la divulgation de renseignements personnels contre une contrepartie monétaire ou autre ; le paiement peut être n'importe quoi de valeur, y compris des accords d'échange de données. Le « partage » a été ajouté par l'ACPL et couvre spécifiquement la publicité comportementale inter-contextuelle dans laquelle les informations personnelles sont partagées avec des tiers à des fins publicitaires, même sans contrepartie monétaire. L'impact pratique : le partage des données des utilisateurs avec des plateformes publicitaires à des fins de ciblage (même si vous les payez, et non l'inverse) est un « partage » au sens de la CPRA et déclenche des droits de non-participation.

Les cookies et les technologies de suivi sont-ils soumis au CCPA/CPRA ?

Oui, là où ils collectent des informations personnelles (y compris des identifiants en ligne comme les adresses IP) et où les données qui en résultent sont partagées avec des tiers à des fins publicitaires. De nombreuses pratiques courantes – Google Analytics avec fonctionnalités publicitaires, Meta Pixel, balises publicitaires programmatiques – constituent un « partage » de PI avec des plateformes publicitaires, déclenchant des exigences de désinscription. Mettre en œuvre une plateforme de gestion du consentement aux cookies (OneTrust, Osano, Cookiebot) pour gérer le consentement et le respect des signaux de désinscription.

En quoi les « informations personnelles sensibles » de l'ACPL diffèrent-elles des « catégories spéciales » du RGPD ?

Les deux identifient des catégories d’informations justifiant une protection renforcée, mais elles diffèrent par leur contenu et leur traitement. Les catégories spéciales du RGPD (article 9) interdisent le traitement sans consentement explicite ou sans exception spécifique à l'article 9 – il s'agit d'une quasi-interdiction. Le SPI de l'ACPL crée un droit de limitation : les consommateurs peuvent limiter leur utilisation à la fourniture du produit/service demandé, mais les entreprises peuvent toujours traiter le SPI avec le consentement du consommateur à des fins plus larges. La liste SPI du CPRA comprend notamment des identifiants de connexion et une géolocalisation précise, qui ne font pas partie des catégories particulières du RGPD.

Que sont les « prestataires de services », les « entrepreneurs » et les « tiers » en vertu de la CPRA ?

L'ACPL a ajouté « entrepreneurs » comme catégorie. Les fournisseurs de services reçoivent des PI pour fournir un service en votre nom dans le cadre d'un contrat leur interdisant d'utiliser PI à leurs propres fins. Les entrepreneurs sont des entreprises qui reçoivent des IP à des fins commerciales dans le cadre d'un contrat – semblables aux prestataires de services, mais les exigences contractuelles diffèrent légèrement. Les tiers reçoivent des informations personnelles et peuvent les utiliser à leurs propres fins : toute divulgation à un tiers est potentiellement une « vente » ou un « partage » déclenchant des obligations de non-participation. Structurer vos relations de partage de données en tant que relations avec un fournisseur de services ou un entrepreneur (avec des contrats appropriés) évite d'être classé comme une « vente ».

---

Prochaines étapes

La conformité CCPA/CPRA est un programme continu et non un projet ponctuel. À mesure que la CPPA publiera de nouveaux règlements (des règles de prise de décision automatisées sont attendues en 2025-2026), les exigences de conformité évolueront. Construire un programme d’opérations de confidentialité évolutif – avec le respect automatisé des droits des consommateurs, le mappage des données et la gestion du consentement – ​​est la voie durable.

ECOSIRE aide les entreprises à évaluer leurs obligations CCPA/CPRA, à mettre en œuvre des mesures de conformité technique sur leurs plateformes numériques et à établir des flux de travail pour les opérations de confidentialité.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences du CCPA/CPRA sont complexes et fréquemment mises à jour par le biais de réglementations et de directives d’application. Consultez un conseiller juridique qualifié pour obtenir des conseils spécifiques à votre organisation.