Réglementation

CCPA (Californie)

Le CCPA est la loi californienne sur la protection des données, l'équivalent américain du RGPD pour les entreprises ciblant le marché de Californie.

Définition complète

Le California Consumer Privacy Act (CCPA) est une réglementation majeure entrée en vigueur en 2020, visant à renforcer la protection des données personnelles des résidents de l'État de Californie. Bien qu'américaine, elle s'impose à toute entreprise, même européenne, dès lors qu'elle exerce des activités commerciales en Californie et répond à certains critères (chiffre d'affaires, volume de données traitées ou vente de données). Le CCPA accorde aux consommateurs des droits similaires à ceux du RGPD, notamment le droit d'accès, le droit de suppression et le droit d'opposition à la vente de leurs informations personnelles. La différence majeure réside dans l'approche : là où le RGPD repose sur le consentement préalable (Opt-in) pour le traitement (Art. 6 RGPD), le CCPA privilégie souvent un droit d'opposition a posteriori (Opt-out), notamment via la mention obligatoire « Do Not Sell My Personal Information » sur les sites web. Pour une PME, la conformité au RGPD constitue une base solide, mais elle est insuffisante. Le CCPA impose des obligations spécifiques de transparence et de gestion des demandes de droits qui diffèrent légèrement des articles 12 à 22 du RGPD. Une analyse d'écart (gap analysis) est donc nécessaire pour adapter les mentions légales et les processus de collecte aux exigences californiennes.

Exemple concret en PME

Une PME française vendant des logiciels SaaS via un site e-commerce attire des clients en Californie. Même sans bureau sur place, elle doit ajouter un lien spécifique dans son pied de page permettant aux utilisateurs californiens de refuser la vente de leurs données à des tiers (partenaires marketing). Elle doit également adapter sa politique de confidentialité pour lister précisément les catégories de données collectées au cours des 12 derniers mois.

L'erreur fréquente à éviter

L'erreur classique est de croire que la conformité au RGPD couvre automatiquement le CCPA. Si les principes sont proches, le CCPA a des définitions plus larges de la « donnée personnelle » (incluant les données de foyer) et des exigences de signalétique web très strictes (Opt-out) que le RGPD ne prévoit pas sous cette forme.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site