La CCPA (California Consumer Privacy Act) est une loi californienne sur la protection de la vie privée, entrée en vigueur le 1er janvier 2020. Elle vise à donner aux résidents de Californie plus de contrôle sur leurs données personnelles collectées par les entreprises.
Principales similitudes avec le RGPD
| Aspect | RGPD (UE) | CCPA (Californie) |
|---|---|---|
| Objectif | Renforcer les droits des personnes sur leurs données | Donner aux consommateurs californiens un contrôle sur leurs données |
| Transparence | Obligation d’informer sur la collecte et l’usage | Obligation de fournir une notice de confidentialité |
| Accès | Droit d’accéder à ses données | Droit de demander ce qui a été collecté |
| Suppression | Droit à l’effacement (« droit à l’oubli ») | Droit de demander la suppression (sous conditions) |
| Portabilité | Droit à la portabilité des données | Droit de recevoir ses données en format lisible |
Différences clés
| Critère | RGPD | CCPA |
|---|---|---|
| Champ d’application | Toute personne physique dans l’UE | Uniquement les résidents de Californie |
| Base légale | Consentement explicite ou autre base légale (ex. : contrat) | Pas de consentement requis a priori ; opt-out pour la vente/partage |
| Opt-in / Opt-out | Opt-in obligatoire pour le traitement (sauf exceptions) | Opt-out suffisant (via lien « Ne pas vendre ni partager mes infos ») |
| Définition des données | « Données à caractère personnel » très large | « Informations personnelles » incluant aussi les données inférées |
| Sanctions | Jusqu’à 4 % du chiffre d’affaires mondial | Jusqu’à $7 500 par violation intentionnelle |
| Entreprises concernées | Toute entité traitant des données de résidents UE | Seulement les entreprises ayant :<br>– ≥ $25 M de CA<br>– ou traitant ≥ 100 000 consommateurs/an<br>– ou ≥ 50 % de CA via vente de données |
Le RGPD part du principe que le traitement est interdit sauf s’il est justifié.
La CCPA part du principe que le traitement est autorisé, sauf si l’utilisateur s’y oppose (opt-out).