Points clés — La conformité CCPA en 2025
Le California Consumer Privacy Act, tel que modifié par le CPRA, impose désormais des sanctions ajustées sur l'IPC pouvant atteindre 7'988 $ par infraction intentionnelle et exige des audits de cybersécurité au titre des réglementations finalisées en septembre 2025. Avec 19 États américains appliquant des lois complètes sur la protection de la vie privée et la CPPA menant des centaines d'enquêtes actives, les organisations multi-entités ont besoin de programmes de conformité structurés qui s'adaptent à plusieurs juridictions. La plateforme de Priverion hébergée en Suisse offre une recertification automatisée du registre des traitements, une cartographie des données inter-entités et un tableau de bord DPD unique pour gérer les obligations CCPA, RGPD et nLPD suisse depuis un seul système.
Définitions
Qu'est-ce que le CCPA ?
Le California Consumer Privacy Act (CCPA) est une loi de protection de la vie privée au niveau de l'État, promulguée en 2018 (Cal. Civ. Code §§ 1798.100–1798.199.100), qui confère aux résidents californiens des droits sur leurs informations personnelles, notamment le droit de savoir, de supprimer et de s'opposer à la vente ou au partage de leurs données. Elle a été substantiellement modifiée par le California Privacy Rights Act (CPRA) en 2020. IAPP U.S. State Privacy Legislation Tracker
Qu'est-ce que la CPPA ?
La California Privacy Protection Agency (CPPA) est l'agence d'État indépendante créée par le CPRA pour mettre en œuvre et faire appliquer le CCPA. Elle dispose d'un pouvoir réglementaire et peut enquêter sur les infractions, infliger des amendes administratives et engager des actions d'application sans dépendre du procureur général. IAPP Privacy Tracker
Qu'est-ce qu'un registre des traitements ?
Un registre des activités de traitement (registre des traitements) est un inventaire documenté de toutes les opérations de traitement de données personnelles au sein d'une organisation. En vertu de l'article 30 du RGPD, les responsables du traitement et les sous-traitants doivent tenir un tel registre. Bien que le CCPA n'impose pas explicitement de registre des traitements, en tenir un est considéré comme une bonne pratique pour démontrer la conformité aux obligations d'inventaire des données et aux droits des consommateurs. Article 30 du RGPD — gdpr-info.eu
Qu'est-ce qu'une AIPD ?
Une analyse d'impact relative à la protection des données (AIPD) est un processus systématique d'évaluation de l'impact potentiel d'un traitement de données sur la vie privée des personnes. En vertu des nouvelles réglementations de la CPPA finalisées en septembre 2025, les organisations doivent réaliser des évaluations des risques pour les traitements présentant un risque significatif pour la vie privée des consommateurs, avec des échéances de conformité s'étendant jusqu'en 2028.
Foire aux questions
Qu'est-ce que le CCPA et en quoi diffère-t-il du CPRA ?
Le California Consumer Privacy Act (CCPA) a été promulgué en 2018 et est entré en vigueur le 1er janvier 2020. Le California Privacy Rights Act (CPRA) a modifié le CCPA en 2020, créant la California Privacy Protection Agency (CPPA) dotée d'un pouvoir d'application indépendant. Le CPRA a introduit de nouveaux droits des consommateurs relatifs aux informations personnelles sensibles et aux technologies de prise de décision automatisée, élargi les droits de retrait pour couvrir le « partage » des données (et non plus seulement la « vente »), et supprimé le délai de régularisation de 30 jours qui permettait auparavant aux entreprises de corriger les infractions avant d'encourir des sanctions. IAPP U.S. State Privacy Legislation Tracker
Quels sont les seuils de chiffre d'affaires et de données du CCPA pour 2025 ?
Depuis le 1er janvier 2025, le CCPA s'applique aux entités à but lucratif exerçant en Californie qui atteignent l'un de ces seuils ajustés sur l'IPC : 26,625 millions de dollars ou plus de chiffre d'affaires brut annuel, l'achat/la vente/le partage d'informations personnelles de 100'000 ou plus consommateurs ou ménages, ou la génération de 50 % ou plus du chiffre d'affaires annuel par la vente ou le partage d'informations personnelles. Ces seuils sont ajustés chaque année à l'inflation par la CPPA.
Quelles sont les sanctions maximales du CCPA par infraction ?
En 2025, les sanctions ajustées sur l'IPC atteignent jusqu'à 2'663 $ par infraction non intentionnelle et 7'988 $ par infraction intentionnelle. Les sanctions sont calculées par consommateur concerné, ce qui signifie qu'une seule lacune de conformité touchant des milliers de personnes peut se chiffrer en millions de dollars. L'amende record de la CPPA de 1,35 million de dollars contre Tractor Supply Company en septembre 2025 démontre la volonté de l'agence d'infliger des sanctions importantes.
Combien d'États américains disposent de lois complètes sur la protection de la vie privée ?
En janvier 2026, 19 États américains disposent de lois complètes sur la protection de la vie privée en vigueur, dont la Californie, la Virginie, le Colorado, le Connecticut, l'Utah, l'Iowa, l'Indiana, le Tennessee, le Texas, le Montana, l'Oregon, le Delaware, le New Hampshire, le New Jersey, le Nebraska, le Kentucky, le Maryland, le Minnesota et le Rhode Island. D'autres États ont adopté des lois dont la date d'entrée en vigueur est à venir. Selon l'IAPP U.S. State Privacy Legislation Tracker, ce nombre ne cesse de croître à chaque session législative.
Quelles nouvelles réglementations CCPA ont été finalisées en 2025 ?
En septembre 2025, la CPPA a finalisé de nouvelles réglementations couvrant les audits de cybersécurité, les évaluations des risques et les technologies de prise de décision automatisée (ADMT). Elles ont été approuvées par l'Office of Administrative Law le 23 septembre 2025, pour une entrée en vigueur le 1er janvier 2026. Les échéances de conformité pour les audits de cybersécurité s'étendent jusqu'en 2027-2028, laissant aux organisations le temps de bâtir les programmes requis.
Priverion prend-il en charge la conformité CCPA pour les organisations multi-entités ?
Oui. Priverion est conçu spécifiquement pour les organisations qui gèrent la conformité au sein de plusieurs filiales et juridictions. La plateforme offre une cartographie des données inter-entités, une recertification automatisée du registre des traitements, une rédaction d'AIPD assistée par l'IA et un tableau de bord DPD unique. Toutes les données sont hébergées dans une infrastructure suisse, qui bénéficie de la décision d'adéquation de l'UE dont jouit la Suisse, offrant des garanties juridiques aux organisations gérant à la fois leurs obligations CCPA et RGPD.
Quelle a été la plus importante amende infligée par la CPPA en 2025 ?
La plus importante amende de la CPPA en 2025 s'est élevée à 1,35 million de dollars à l'encontre de Tractor Supply Company, annoncée le 30 septembre 2025. L'enquête a débuté à partir d'une seule plainte de consommateur. Parmi les autres actions d'application notables de 2025 figurent 632'500 $ contre Honda et 345'178 $ contre Todd Snyder. La CPPA a également lancé une Data Broker Enforcement Strike Force, et le procureur général de Californie a mené un contrôle des données de géolocalisation en mars 2025.
En quoi l'hébergement suisse profite-t-il à la conformité CCPA et RGPD ?
La Suisse bénéficie d'une décision d'adéquation de l'UE au titre du RGPD (décision de la Commission 2000/518/CE), ce qui signifie que les données de conformité stockées dans une infrastructure suisse ne quittent jamais une juridiction que l'UE a examinée et approuvée. Dans un contexte post-Schrems II — où la CJUE a invalidé le bouclier de protection des données UE-États-Unis — l'hébergement suisse offre une garantie juridique aux organisations gérant à la fois leurs obligations CCPA et RGPD, évitant les complexités des mécanismes de transfert propres aux plateformes hébergées aux États-Unis.
CCPA vs RGPD vs nLPD suisse — Tableau comparatif
| Dimension | CCPA / CPRA (Californie) | RGPD (UE/EEE) | nLPD suisse (LPD révisée) |
|---|
| Date d'entrée en vigueur | 1er janv. 2020 (CCPA) ; 1er janv. 2023 (amendements CPRA) | 25 mai 2018 | 1er sept. 2023 |
| Champ d'application | Entreprises à but lucratif atteignant les seuils de chiffre d'affaires/données | Toute entité traitant les données de résidents de l'UE/EEE | Toute entité traitant les données de personnes en Suisse |
| Autorité de surveillance | CPPA + procureur général de Californie | Autorités nationales (p. ex. CNIL, BfDI, ICO) | PFPDT (Préposé fédéral à la protection des données et à la transparence) |
| Sanction maximale (par infraction) | 7'988 $ (intentionnelle, ajustée sur l'IPC 2025) | 20 M€ ou 4 % du chiffre d'affaires mondial | 250'000 CHF (responsabilité individuelle) |
| Droit à l'effacement | Oui | Oui (art. 17) | Oui (art. 32) |
| Droit de s'opposer à la vente/au partage | Oui | S/O (modèle fondé sur le consentement) | S/O (modèle fondé sur le consentement) |
| Notification de violation de données | Via le California Civil Code § 1798.82 | 72 heures à l'autorité (art. 33) | Dès que possible au PFPDT (art. 24) |
| DPD / délégué requis | Aucune obligation légale | Oui, dans certains cas (art. 37) | Recommandé, non obligatoire |
| Mécanisme de transfert transfrontalier | Aucun mécanisme spécifique | CCT, BCR, décisions d'adéquation | Liste d'adéquation, CCT, BCR |
Statistiques et sources
Selon l'IAPP U.S. State Privacy Legislation Tracker, 19 États disposaient de lois complètes sur la protection de la vie privée en vigueur en janvier 2026, plusieurs autres ayant été adoptées et en attente de leur date d'entrée en vigueur. La CPPA a fait état de centaines d'enquêtes ouvertes lors de la réunion de son conseil en septembre 2025. Les montants des sanctions ajustés sur l'IPC (2'663 $ non intentionnelle ; 7'988 $ intentionnelle) sont entrés en vigueur le 1er janvier 2025. Le NIST Privacy Framework (nist.gov) fournit un outil volontaire que les organisations peuvent utiliser pour identifier et gérer le risque lié à la vie privée parallèlement à la conformité CCPA. Les lignes directrices du Comité européen de la protection des données sur les transferts internationaux (edpb.europa.eu) restent pertinentes pour les organisations gérant à la fois leurs obligations RGPD et CCPA dans plusieurs juridictions.