Data Universe
Newsletter
Accueil/Encyclopédie/CCPA / CPRA — Loi californienne sur la vie privée
🗽Gouvernance & QualitéIntermédiaireRéglementation

CCPA / CPRA — Loi californienne sur la vie privée

California Consumer Privacy Act (CCPA, 2020) et son extension CPRA (2023) : droits étendus des résidents californiens sur leurs données personnelles. S'applique aux entreprises françaises qui traitent des données de clients californiens.

💡Explication simple

Le CCPA/CPRA s'applique à toute entreprise (quelle que soit sa localisation) qui traite des données de résidents californiens et remplit l'un de ces critères : CA > 25M$ ou traitement > 100 000 personnes/ménages californiens ou 50%+ du CA provient de la vente de données. Les droits accordés : droit de savoir (quelles données collectées), droit d'effacement, droit de portabilité, droit de refus de vente des données ('Do Not Sell My Personal Information'), et nouveauté CPRA : droit de correction et droit de limiter l'usage des données sensibles. Pour les data engineers de sociétés ayant des clients US : un module de gestion des droits CCPA doit être implémenté séparément du module RGPD (les droits ne sont pas identiques).

🏗️Exemple concret

Une startup française de e-commerce réalise 30% de son CA aux États-Unis (dont Californie). Elle doit : afficher un bouton 'Do Not Sell or Share My Personal Information' sur son site, répondre aux demandes d'accès et d'effacement sous 45 jours (vs 30 pour le RGPD), tenir un registre des données des résidents californiens séparé, et ne pas discriminer les utilisateurs qui exercent leurs droits (pas de refus de service ou de prix différents).

🎯Quand l'utiliser ?

Audit de conformité pour une entreprise française ayant des clients américains
Architecture du système de gestion des droits des utilisateurs (DSAR)
Rédaction d'une politique de confidentialité couvrant UE et USA

✅ Avantages

+Protection des données des consommateurs américains proche du standard RGPD
+Pression réglementaire qui pousse vers une meilleure hygiène des données
+Précurseur : inspire d'autres États américains (Virginia, Colorado, Texas…)

⚠️ Limites

Coexistence avec le RGPD : deux systèmes de droits légèrement différents à gérer
Amendes importantes : 2 500$ par violation involontaire, 7 500$ par violation intentionnelle
Pas de régulateur fédéral US équivalent à la CNIL : application fragmentée

🛠️ Outils principaux

OneTrust
TrustArc
Osano
DataGrail
Salesforce Privacy Center
RéglementationUSACaliforniePrivacyCCPACPRARGPD

Concepts liés

⚖️

AI Act européen — Réglementation de l'IA

Conformité

📊

BCBS 239 — Agrégation des données de risque bancaire

Réglementation

🏛️

Biais algorithmique et fairness

Éthique IA

📋

Data Contract

Gouvernance

← Retour à l'encyclopédie