TermsBox
TarifsBlog
ConnexionCommencer
TarifsBlogConnexion
Commencer
  1. Home
  2. Blog
  3. Qu'est-ce que le CCPA ? La loi californienne sur la confidentialité expliquée
CCPA

Qu'est-ce que le CCPA ? La loi californienne sur la confidentialité expliquée

Découvrez ce que le CCPA signifie pour votre entreprise. Guide complet couvrant les exigences du CCPA, les droits des consommateurs, les mises à jour de la CPRA et comment créer une politique de confidentialité conforme.

TermsBox Team|January 16, 202516 min read

Si vous dirigez une entreprise qui sert des résidents de Californie, le California Consumer Privacy Act (CCPA) pourrait s'appliquer à vous. Cette loi marquante sur la confidentialité a transformé la manière dont les entreprises traitent les données personnelles aux États-Unis, et la comprendre est essentiel pour la conformité.

Dans ce guide, nous expliquerons tout ce que vous devez savoir sur le CCPA en termes clairs et pratiques : de son champ d'application aux droits qu'il accorde aux consommateurs, en passant par la manière dont vous pouvez assurer la conformité.

Qu'est-ce que le CCPA ?

Le California Consumer Privacy Act (CCPA) est une loi sur la confidentialité des données au niveau de l'État qui donne aux résidents de Californie un meilleur contrôle sur les informations personnelles que les entreprises collectent à leur sujet. Elle est entrée en vigueur le 1er janvier 2020, l'application ayant débuté le 1er juillet 2020.

Le CCPA est souvent appelé le « GDPR des États-Unis » car il s'agit de la première loi complète sur la confidentialité en Amérique, bien qu'il présente des différences importantes par rapport à son homologue européen.

CCPA contre CPRA : qu'est-ce qui a changé ?

En novembre 2020, les électeurs californiens ont approuvé la Proposition 24, qui a créé le California Privacy Rights Act (CPRA). La CPRA est essentiellement le CCPA 2.0 : elle modifie et élargit la loi d'origine.

Principaux changements de la CPRA entrés en vigueur le 1er janvier 2023 :

  • Création d'une nouvelle agence d'application : la California Privacy Protection Agency (CPPA)
  • Introduction de la catégorie des « informations personnelles sensibles » avec des protections supplémentaires
  • Élargissement du droit de corriger les données inexactes
  • Augmentation de la période de rétrospection pour les demandes de données de 12 à 15 mois
  • Triplement du seuil de chiffre d'affaires de 25 millions de dollars à 25 millions de dollars (ajusté en fonction de l'inflation)
  • Ajout de nouvelles restrictions sur la prise de décision automatisée
  • Introduction d'évaluations des risques pour le traitement de données à haut risque

Lorsque les gens parlent du « CCPA » aujourd'hui, ils désignent généralement la loi telle que modifiée par la CPRA.

À qui le CCPA s'applique-t-il ?

Le CCPA s'applique aux entreprises à but lucratif qui exercent une activité en Californie et qui remplissent au moins l'un de ces seuils :

Seuil de chiffre d'affaires

Un chiffre d'affaires brut annuel dépassant 25 millions de dollars (ajusté chaque année en fonction de l'inflation, actuellement 26,45 millions de dollars pour 2025)

Seuil de données de consommateurs

Acheter, vendre ou partager les informations personnelles de 100,000 consommateurs ou foyers californiens ou plus par an

Chiffre d'affaires provenant de la vente de données

Réaliser 50 % ou plus du chiffre d'affaires annuel grâce à la vente ou au partage des informations personnelles des consommateurs

Vous ne savez pas si le CCPA s'applique à vous ? Créez une politique de confidentialité conforme au CCPA pour vous assurer d'être couvert quelle que soit la taille de votre entreprise.

Remarques importantes

  • Vous n'avez pas besoin d'être situé en Californie : servir des résidents de Californie suffit
  • Les organisations à but non lucratif sont généralement exemptées
  • Les prestataires de services et les sous-traitants ont des obligations différentes
  • La loi s'applique aux informations personnelles collectées en ligne et hors ligne

Quelles informations personnelles le CCPA protège-t-il ?

Le CCPA a une définition large des informations personnelles. Il couvre toute information qui identifie, se rapporte à, ou pourrait raisonnablement être liée à un consommateur ou un foyer californien particulier.

Catégories d'informations personnelles

  1. Identifiants

    • Nom réel, alias, adresse postale, e-mail, numéro de téléphone
    • Identifiant personnel unique, adresse IP, nom de compte
    • Numéro de sécurité sociale, permis de conduire, numéro de passeport

  2. Dossiers clients

    • Historique d'achat, informations de paiement
    • Informations sur l'emploi
    • Informations sur l'éducation

  3. Classifications protégées

    • Âge, race, sexe, orientation sexuelle
    • État civil, statut d'ancien combattant
    • Statut de handicap

  4. Informations commerciales

    • Produits ou services achetés
    • Historiques d'achat ou de consommation
    • Tendances ou préférences

  5. Informations biométriques

    • Empreintes digitales, données de reconnaissance faciale
    • Empreintes vocales, scans de l'iris
    • Schémas comportementaux

  6. Activité sur Internet

    • Historique de navigation, historique de recherche
    • Informations sur l'interaction du consommateur avec les sites web ou les applications
    • Données de flux de clics

  7. Données de géolocalisation

    • Données de localisation précises
    • Schémas de déplacement

  8. Données sensorielles

    • Informations audio, électroniques, visuelles ou similaires

  9. Informations professionnelles

    • Antécédents professionnels actuels ou passés
    • Évaluations de performance

  10. Inférences

    • Profil reflétant les préférences, caractéristiques, comportements, attitudes

Informations personnelles sensibles (selon la CPRA)

La CPRA a créé une catégorie spéciale nécessitant des protections supplémentaires :

  • Numéros de sécurité sociale, de permis de conduire, de passeport
  • Identifiants de compte avec mots de passe
  • Géolocalisation précise
  • Origine raciale ou ethnique, croyances religieuses, appartenance syndicale
  • Contenu du courrier, des e-mails et des messages texte
  • Données génétiques
  • Données biométriques à des fins d'identification
  • Informations de santé
  • Vie sexuelle ou orientation sexuelle

Droits des consommateurs selon le CCPA

Le CCPA accorde aux consommateurs californiens plusieurs droits exécutoires :

Droit de savoir

Les consommateurs peuvent demander :

  • Quelles catégories d'informations personnelles vous avez collectées
  • Les éléments spécifiques d'informations personnelles que vous détenez
  • Les sources de ces informations
  • Les finalités commerciales de la collecte
  • Les tiers avec lesquels vous avez partagé les données

Vous devez répondre dans un délai de 45 jours (avec une éventuelle prolongation de 45 jours).

Droit de suppression

Les consommateurs peuvent demander la suppression de leurs informations personnelles, avec certaines exceptions (par exemple, l'exécution de transactions, les obligations légales, les finalités de sécurité).

Droit de refuser la vente/le partage

Les consommateurs peuvent refuser la vente ou le partage de leurs informations personnelles. Vous devez fournir un lien clair « Ne pas vendre ni partager mes informations personnelles » sur votre site web.

Droit de correction

Selon la CPRA, les consommateurs peuvent demander la correction d'informations personnelles inexactes.

Droit de limiter l'utilisation des informations personnelles sensibles

La CPRA permet aux consommateurs de limiter l'utilisation et la divulgation de leurs informations personnelles sensibles à ce qui est nécessaire pour fournir des biens ou des services.

Droit à la non-discrimination

Les entreprises ne peuvent pas exercer de discrimination à l'encontre des consommateurs qui exercent leurs droits au titre du CCPA. Toutefois, vous pouvez offrir des incitations financières pour la collecte de données si elles sont correctement divulguées.

Obligations des entreprises selon le CCPA

Si le CCPA s'applique à votre entreprise, vous devez :

1. Fournir une politique de confidentialité

Votre politique de confidentialité doit inclure :

  • Les catégories d'informations personnelles collectées
  • Les sources d'informations personnelles
  • Les finalités commerciales de la collecte
  • Les catégories de tiers avec lesquels vous partagez des données
  • Les droits des consommateurs au titre du CCPA
  • Comment exercer ces droits
  • Les catégories d'informations vendues ou partagées (le cas échéant)
  • Les catégories d'informations personnelles sensibles collectées

2. Ajouter les liens requis

Vous devez fournir :

  • Un lien clair et visible intitulé « Ne pas vendre ni partager mes informations personnelles » (si vous vendez/partagez des données)
  • Un lien vers « Limiter l'utilisation de mes informations personnelles sensibles » (le cas échéant en vertu de la CPRA)
  • Des liens dans votre politique de confidentialité pour demander l'accès aux données ou leur suppression

3. Honorer les demandes des consommateurs

Mettez en place un processus pour :

  • Vérifier l'identité du consommateur
  • Répondre aux demandes dans un délai de 45 jours
  • Fournir les données dans un format portable et facilement utilisable
  • Conserver les enregistrements des demandes pendant 24 mois

4. Former les employés

Assurez-vous que les employés qui traitent les demandes ou requêtes des consommateurs sont formés aux exigences du CCPA et aux droits des consommateurs.

5. Mettre à jour les contrats avec les prestataires de services

Les contrats des prestataires de services doivent :

  • Interdire la vente d'informations personnelles
  • Interdire la conservation ou l'utilisation en dehors du contrat
  • Exiger une certification de conformité

6. Réaliser des évaluations des risques (CPRA)

Pour les activités de traitement à haut risque, réalisez et soumettez des audits de cybersécurité et des évaluations des risques à la CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Prêt à vous conformer ? Générez une politique de confidentialité conforme au CCPA qui couvre toutes les divulgations requises.

Sanctions et application du CCPA

Le CCPA prévoit à la fois une application réglementaire et un droit d'action privé :

Sanctions administratives

Le procureur général de Californie (et désormais la CPPA en vertu de la CPRA) peut imposer :

  • Jusqu'à 2,500 dollars par violation
  • Jusqu'à 7,500 dollars par violation intentionnelle

Les régulateurs accordent généralement une période de régularisation de 30 jours pour les premières violations avant d'imposer des amendes.

Droit d'action privé (fuites de données)

Les consommateurs peuvent intenter une action en justice directement pour les fuites de données impliquant :

  • Des informations personnelles non chiffrées ou non expurgées
  • Des dommages-intérêts légaux de 100 à 750 dollars par consommateur et par incident
  • Des dommages réels s'ils sont plus élevés

Actions d'application notables du CCPA

  • Sephora : règlement de 1,2 million de dollars pour avoir omis de divulguer la vente d'informations personnelles et d'honorer les demandes de refus
  • DoorDash : règlement pour avis inadéquat sur les ventes de données
  • Détaillants : plusieurs règlements pour des liens « Ne pas vendre » manquants

La CPPA a commencé l'application active en 2023 et a signalé une action plus agressive à l'avenir.

Comment se conformer au CCPA

Voici une feuille de route pratique pour la conformité au CCPA :

Étape 1 : Déterminer si le CCPA s'applique

Calculez :

  • Le chiffre d'affaires annuel
  • Le nombre de consommateurs californiens dont vous traitez les données
  • Le pourcentage du chiffre d'affaires provenant de la vente de données

Étape 2 : Cartographie des données

Réalisez un inventaire des données :

  • Quelles informations personnelles collectez-vous ?
  • À partir de quelles sources ?
  • À quelles fins ?
  • Avec qui les partagez-vous ?
  • Combien de temps les conservez-vous ?

Étape 3 : Mettre à jour votre politique de confidentialité

Assurez-vous que votre politique inclut :

  • Toutes les divulgations requises par le CCPA
  • Un langage clair et simple
  • Un emplacement facile à trouver (lien en pied de page)
  • Un cycle de mise à jour de 12 mois

Étape 4 : Mettre en place des mécanismes pour les droits des consommateurs

Mettez en place :

  • Un formulaire web pour les demandes d'accès/suppression
  • Un numéro de téléphone gratuit (pour les entreprises ayant une présence en ligne)
  • Un contact e-mail pour les demandes
  • Un processus de vérification d'identité
  • Un flux de réponse avec suivi de l'échéance de 45 jours

Étape 5 : Ajouter les liens requis

Sur votre site web :

  • Un lien « Ne pas vendre ni partager mes informations personnelles » (le cas échéant)
  • Un lien « Limiter l'utilisation de mes informations personnelles sensibles » (le cas échéant)
  • Un lien vers la politique de confidentialité en pied de page

Étape 6 : Examiner les relations avec les tiers

Pour les prestataires de services :

  • Mettez à jour les contrats avec le langage du CCPA
  • Obtenez des certifications de conformité
  • Auditez les pratiques de partage de données

Étape 7 : Former votre équipe

Assurez-vous que le personnel comprend :

  • Ce qu'est le CCPA et à qui il s'applique
  • Les droits des consommateurs au titre du CCPA
  • Comment traiter les demandes
  • Ce qui constitue une « vente » de données

Étape 8 : Mettre en place des contrôles techniques

Mettez en place :

  • Une gestion du consentement aux cookies (pour le refus des ventes)
  • Des flux de suppression de données
  • Des outils de portabilité des données
  • La reconnaissance des signaux de refus (Global Privacy Control)

Besoin d'aide avec les cookies ? Créez une politique de cookies qui explique vos pratiques de suivi et honore les demandes de refus.

CCPA contre GDPR : différences clés

Bien que les deux lois protègent la confidentialité des consommateurs, elles présentent des différences importantes :

Aspect CCPA GDPR
Champ d'application Résidents de Californie Résidents de l'UE
Taille de l'entreprise Seuils de chiffre d'affaires/de données Toutes les entreprises traitant des données de l'UE
Modèle de consentement Refus (sauf mineurs) Consentement préalable requis
Vente de données Doit autoriser le refus Généralement interdite
Sanctions Jusqu'à 7,500 $/violation Jusqu'à 4 % du chiffre d'affaires mondial
Délégué à la protection des données Non requis Requis pour certains
Base légale Non requise Doit être établie pour chaque finalité
Application Procureur général de l'État, CPPA, consommateurs Autorités de contrôle

Point clé à retenir

Le GDPR est généralement plus complet et plus strict. Si vous êtes déjà conforme au GDPR, vous êtes en bonne voie pour la conformité au CCPA, mais vous devrez tout de même répondre aux exigences spécifiques au CCPA comme le lien « Ne pas vendre » et le langage de divulgation du CCPA.

Erreurs courantes de conformité au CCPA

Évitez ces erreurs fréquentes :

  1. Lien « Ne pas vendre » manquant : requis même si vous affirmez ne pas « vendre » de données au sens traditionnel
  2. Politique de confidentialité inadéquate : doit inclure les 11 catégories de divulgations requises
  3. Absence de processus de vérification : doit vérifier l'identité du consommateur avant de répondre aux demandes
  4. Facturation des demandes : ne peut pas facturer de frais pour les deux premières demandes par an
  5. Discrimination envers les demandeurs : ne peut pas refuser le service ou facturer des prix différents aux consommateurs qui exercent leurs droits
  6. Ignorer les agents autorisés : doit honorer les demandes des agents autorisés par les consommateurs
  7. Ne pas honorer Global Privacy Control : la CPRA exige la reconnaissance des signaux de refus basés sur le navigateur
  8. Mises à jour de contrats manquantes : les accords avec les prestataires de services doivent inclure un langage spécifique au CCPA

Le CCPA et les autres lois sur la confidentialité des États

Le CCPA a inspiré des lois similaires à travers les États-Unis :

  • Virginie (VCDPA) : en vigueur le 1er janvier 2023
  • Colorado (CPA) : en vigueur le 1er juillet 2023
  • Connecticut (CTDPA) : en vigueur le 1er juillet 2023
  • Utah (UCPA) : en vigueur le 31 décembre 2023
  • Iowa, Montana, Oregon, Tennessee, Texas : diverses dates d'entrée en vigueur 2024-2025

De nombreuses entreprises adoptent une approche nationale en utilisant le CCPA comme référence afin d'éviter de maintenir des programmes de conformité distincts pour chaque État.

Premiers pas vers la conformité au CCPA

La première étape la plus importante consiste à créer une politique de confidentialité conforme qui :

  1. Divulgue clairement vos pratiques en matière de données : ce que vous collectez, pourquoi et comment
  2. Explique les droits des consommateurs : tous les droits disponibles au titre du CCPA/CPRA
  3. Fournit des mécanismes de contact : comment les consommateurs peuvent exercer leurs droits
  4. Liste les ventes/partages de données : le cas échéant, quelles catégories vous vendez ou partagez
  5. Mise à jour annuelle : révisez et mettez à jour au moins une fois tous les 12 mois

À partir de là, mettez en place les processus techniques et opérationnels pour honorer les droits des consommateurs et maintenir la conformité.

Foire aux questions

Que signifie CCPA ?

CCPA signifie California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs). Il s'agit d'une loi complète sur la confidentialité des données, entrée en vigueur le 1er janvier 2020, qui donne aux résidents de Californie le contrôle de leurs informations personnelles.

À qui le CCPA s'applique-t-il ?

Le CCPA s'applique aux entreprises à but lucratif qui exercent une activité en Californie et qui remplissent au moins l'un de ces seuils : un chiffre d'affaires annuel supérieur à 25 millions de dollars, l'achat/la vente d'informations personnelles de plus de 100,000 consommateurs californiens, ou la réalisation de plus de 50 % de leur chiffre d'affaires grâce à la vente d'informations personnelles.

Quelles sont les sanctions en cas de violation du CCPA ?

Les violations du CCPA peuvent entraîner des amendes pouvant atteindre 2,500 dollars par violation ou 7,500 dollars par violation intentionnelle. Les violations liées à une fuite de données peuvent donner lieu à des poursuites de consommateurs avec des dommages-intérêts de 100 à 750 dollars par incident et par consommateur.

Quelle est la différence entre le CCPA et la CPRA ?

La CPRA (California Privacy Rights Act) est un amendement au CCPA entré en vigueur le 1er janvier 2023. Elle élargit les droits des consommateurs, crée la California Privacy Protection Agency et introduit des exigences plus strictes pour les informations personnelles sensibles.

Dois-je me conformer à la fois au CCPA et au GDPR ?

Si vous servez à la fois des résidents de Californie et des résidents de l'UE, vous devez vous conformer aux deux lois. Le CCPA est généralement moins strict que le GDPR, donc si vous êtes déjà conforme au GDPR, vous êtes probablement proche de la conformité au CCPA.

Conclusion

Le CCPA représente un changement important dans le droit américain de la confidentialité, donnant aux consommateurs californiens un contrôle réel sur leurs informations personnelles. Bien que la conformité demande des efforts (mise à jour des politiques, mise en place de mécanismes de demande, formation du personnel), le principe fondamental est simple : faire preuve de transparence sur les pratiques en matière de données et respecter les choix des consommateurs.

Pour la plupart des entreprises, l'effort le plus important est le travail de conformité initial. Une fois que vous avez mis à jour votre politique de confidentialité, mis en place les flux de demandes et ajouté les liens requis, la conformité continue devient une routine.

L'essentiel est de commencer dès maintenant. Avec la CPPA qui applique activement la loi et des consommateurs de plus en plus conscients de leurs droits, la conformité au CCPA n'est plus facultative pour les entreprises servant des résidents de Californie.

Prêt à créer votre politique de confidentialité conforme au CCPA ? Utilisez notre générateur gratuit pour créer une politique complète qui couvre toutes les exigences du CCPA en quelques minutes.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Exigences de politique de confidentialité pour le e-commerce : ce que les boutiques en ligne doivent inclure

Guide complet sur les exigences de politique de confidentialité pour les sites e-commerce. Découvrez les mentions obligatoires pour les boutiques en ligne concernant les paiements, l'expédition et le marketing.

January 17, 202512 min read
Legal Compliance

GDPR contre CCPA : les différences clés expliquées

Comparez les lois sur la confidentialité GDPR et CCPA. Découvrez les différences clés en matière de portée, de modèles de consentement, de droits des consommateurs et de sanctions pour garantir la conformité de votre entreprise.

January 17, 202515 min read
Mobile Apps

Exigences de politique de confidentialité pour applications mobiles : guide de conformité iOS et Android

Découvrez les exigences de politique de confidentialité pour les applications mobiles. Couvre les règles de l'Apple App Store, du Google Play Store et la conformité légale pour les applications iOS et Android.

January 16, 202514 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • Qu'est-ce que le CCPA ?
  • CCPA contre CPRA : qu'est-ce qui a changé ?
  • À qui le CCPA s'applique-t-il ?
  • Seuil de chiffre d'affaires
  • Seuil de données de consommateurs
  • Chiffre d'affaires provenant de la vente de données
  • Remarques importantes
  • Quelles informations personnelles le CCPA protège-t-il ?
  • Catégories d'informations personnelles
  • Informations personnelles sensibles (selon la CPRA)
  • Droits des consommateurs selon le CCPA
  • Droit de savoir
  • Droit de suppression
  • Droit de refuser la vente/le partage
  • Droit de correction
  • Droit de limiter l'utilisation des informations personnelles sensibles
  • Droit à la non-discrimination
  • Obligations des entreprises selon le CCPA
  • 1. Fournir une politique de confidentialité
  • 2. Ajouter les liens requis
  • 3. Honorer les demandes des consommateurs
  • 4. Former les employés
  • 5. Mettre à jour les contrats avec les prestataires de services
  • 6. Réaliser des évaluations des risques (CPRA)
  • Sanctions et application du CCPA
  • Sanctions administratives
  • Droit d'action privé (fuites de données)
  • Actions d'application notables du CCPA
  • Comment se conformer au CCPA
  • Étape 1 : Déterminer si le CCPA s'applique
  • Étape 2 : Cartographie des données
  • Étape 3 : Mettre à jour votre politique de confidentialité
  • Étape 4 : Mettre en place des mécanismes pour les droits des consommateurs
  • Étape 5 : Ajouter les liens requis
  • Étape 6 : Examiner les relations avec les tiers
  • Étape 7 : Former votre équipe
  • Étape 8 : Mettre en place des contrôles techniques
  • CCPA contre GDPR : différences clés
  • Point clé à retenir
  • Erreurs courantes de conformité au CCPA
  • Le CCPA et les autres lois sur la confidentialité des États
  • Premiers pas vers la conformité au CCPA
  • Foire aux questions
  • Conclusion
TermsBox

Analysez votre site web, générez automatiquement des documents juridiques, ajoutez une bannière de consentement et restez en conformité. Une seule plateforme pour tout.

Produit

  • Scanner de cookies
  • Bannière de consentement
  • Générateur de politique de cookies
  • Tarifs

Générateurs

  • Générateur de politique de confidentialité
  • Générateur de conditions générales
  • Générateur d'EULA
  • Générateur de clause de non-responsabilité
  • Générateur de politique de retour et de remboursement

Entreprise

  • À propos
  • Contact
  • Politique de confidentialité
  • Conditions d'utilisation
  • Politique de cookies
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Tous droits réservés.