Ressource de conformité CPRA

La checklist complète des exigences CPRA : les 47 mesures que votre organisation doit avoir en place

Mise à jour 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à gérer les 47 mesures de conformité CPRA — du registre des traitements à l'AIPD, en passant par le risque fournisseur et le traitement des demandes des personnes concernées — au même endroit.

La plupart des organisations pensent être conformes au CPRA. Notre checklist révèle les exigences qui passent à la trappe, en particulier pour les entreprises multi-entités qui gèrent la protection des données à travers leurs filiales et leurs juridictions.

2'663 $

par violation involontaire (ajustée à l'IPC en 2025)

Source : CPPA, déc. 2024

7'988 $

par violation intentionnelle ou impliquant des mineurs

Source : ajustement IPC de la CPPA, en vigueur depuis le 01.01.2025

1,35 M$

plus lourde amende de la CPPA à ce jour (Tractor Supply, oct. 2025)

Source : décision d'application de la CPPA, sept. 2025

Des centaines

d'enquêtes actives de la CPPA actuellement en cours

Source : réunion du conseil de la CPPA, sept. 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi c'est crucial maintenant

Pourquoi une checklist des exigences CPRA compte plus que vous ne le pensez

Le CPRA n'a pas simplement retouché le CCPA. Il a redéfini l'application du droit californien de la vie privée, et les organisations qui supposaient que leur ancienne posture de conformité restait valable sont désormais exposées.

L'application est désormais proactive

La CPPA n'attend plus les plaintes

La California Privacy Protection Agency est passée d'un traitement réactif des plaintes à des audits proactifs et à des opérations conjointes de contrôle. En septembre 2025, la Californie, le Colorado et le Connecticut ont lancé une enquête conjointe visant les entreprises qui ne respectent pas les signaux Global Privacy Control.

Lors de sa réunion du conseil de septembre 2025, la CPPA a fait état de centaines d'enquêtes actives, dont beaucoup visent des entreprises qui ignorent encore qu'elles sont sous surveillance. De nouvelles réglementations couvrant les audits de cybersécurité, les évaluations des risques et la prise de décision automatisée sont entrées en vigueur le 01.01.2026.

1,35 M$

Plus lourde amende de la CPPA à ce jour, infligée à Tractor Supply Company (septembre 2025)

Le calcul des sanctions

Les amendes par violation s'accumulent vite

Depuis 2025, la CPPA a ajusté les sanctions civiles à 2'663 dollars par violation involontaire et 7'988 dollars par violation intentionnelle ou impliquant des mineurs. Ces montants sont calculés par consommateur et par incident, ce qui signifie qu'une seule lacune systématique touchant l'ensemble de votre base de consommateurs californiens peut se transformer en une exposition théorique à sept ou huit chiffres.

Le CPRA a également supprimé le délai de régularisation obligatoire de 30 jours qui existait auparavant au titre du CCPA. Le fait qu'une entreprise dispose ou non d'un délai pour corriger une violation relève désormais entièrement de la discrétion de l'autorité.

7'988 $

Maximum par violation intentionnelle (ajusté à l'IPC depuis janvier 2025, selon l'annonce de la CPPA)

La complexité multi-entités

Les filiales multiplient votre surface de risque

Si votre organisation opère à travers plusieurs filiales, unités d'affaires ou juridictions, chaque entité peut avoir ses propres activités de traitement de données, relations fournisseurs et points de contact avec les consommateurs. Le CCPA s'applique aux entités contrôlées par les entreprises concernées ainsi qu'aux coentreprises et partenariats, ce qui signifie qu'une checklist appliquée une seule fois au niveau de la maison mère ne suffit pas.

L'application devient aussi transfrontalière. Les enquêtes conjointes multi-États signifient que les entreprises présentes dans plusieurs États ne peuvent plus présumer que l'application reste cloisonnée à chaque juridiction. Chaque entité a besoin d'une vérification indépendante de sa conformité.

3 États

La Californie, le Colorado et le Connecticut ont lancé des opérations conjointes de contrôle en septembre 2025

Les équipes privacy sont à flux tendu. La plupart des organisations n'ont pas de spécialistes CPRA dédiés. Le DPD ou le responsable privacy jongle en même temps avec le RGPD, une mosaïque croissante de lois étatiques américaines et des réglementations sectorielles.

C'est précisément pour cela que nous avons conçu cette checklist : donner aux équipes privacy un document unique et structuré qui relie chaque exigence CPRA à une action concrète.

Résultats clients éprouvés

Les chiffres d'une conformité privacy à l'échelle du groupe, bien menée

200+

Heures économisées sur la préparation ISO 27001

Medtec a utilisé Priverion pour alléger la charge de documentation et de collecte de preuves qui prend habituellement 6 à 12 mois à effectuer manuellement.

Medtec, préparation ISO 27001

60 %

Réduction du temps administratif de conformité

Un constructeur aéronautique a éliminé les mises à jour manuelles du registre des traitements sur plusieurs filiales au cours de ses six premiers mois, alors que les plateformes privacy d'entreprise comme OneTrust peuvent coûter jusqu'à six chiffres par an pour un déploiement mid-market.

Constructeur aéronautique, six premiers mois avec Priverion

100 %

Taux de recertification du registre des traitements, entièrement automatisé

AXA a atteint une recertification automatisée complète sur l'ensemble de ses activités de traitement, remplaçant les flux manuels sur tableur que l'article 30 du RGPD exige de maintenir exacts et à jour en permanence.

AXA, recertification automatisée du registre des traitements

Comparatif

Pourquoi les équipes mid-market quittent OneTrust

OneTrust est une plateforme d'entreprise puissante. Mais pour les organisations mid-market qui gèrent la protection des données sur plusieurs entités, cela revient souvent à payer pour une complexité que vous n'utilisez jamais. Voici comment Priverion se compare là où cela compte le plus.

Priverion

Souveraineté des données suisse, garantie

Conçu et hébergé en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse, à l'abri des lois d'accès extraterritoriales comme le US CLOUD Act et la Section 702 du FISA. Dans un monde post-Schrems II, ce n'est pas une simple case marketing à cocher.

Opérationnel en quelques semaines, pas en quelques mois

Priverion est spécialement conçu pour la gestion privacy multi-entités. Pas de semaines de configuration des flux, pas d'équipe d'implémentation dédiée requise. Un constructeur aéronautique était pleinement opérationnel et a constaté une réduction de 60 % de son temps administratif de conformité en six mois.

Constructeur aéronautique, six premiers mois

Une tarification prévisible et transparente

Tarification basée sur le nombre d'entreprises et la taille de l'organisation. Pas de frais par utilisateur, pas de pièges d'extension par module. Vous savez ce que vous paierez cette année et l'année prochaine.

Une solution tout-en-un pour les programmes privacy

Gestion du registre des traitements, automatisation des AIPD/TIA, évaluations des risques fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données inter-entités et tableaux de bord prêts pour le conseil d'administration. Une seule plateforme, un seul prix. Pas de montée en gamme par module.

Assistée par l'IA, maîtrisée par l'humain

L'IA aide à rédiger les AIPD et à coter les risques, mais chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour entraîner les modèles. L'IA assiste, les humains décident.

Plateforme d'entreprise classique

Siège aux États-Unis, juridiction américaine

Même lorsque les données sont stockées dans des centres de données de l'UE, les fournisseurs dont le siège est aux États-Unis restent soumis au CLOUD Act. Comme l'a déclaré le directeur général de Microsoft France devant le Sénat français en 2025, les fournisseurs américains ne peuvent pas garantir que les données des citoyens de l'UE sont à l'abri d'un accès par les autorités américaines.

Source : audition au Sénat français, 2025

Mise en place complexe, courbe d'apprentissage abrupte

Les évaluateurs relèvent systématiquement des semaines de configuration et des besoins de formation importants. Un utilisateur mid-market sur G2 a indiqué que l'interface « peut paraître encombrée » et a cité « le prix élevé et la courbe d'apprentissage abrupte » comme inconvénients. Les services d'implémentation peuvent ajouter de 10'000 à 50'000 dollars aux coûts de la seule première année.

Avis d'utilisateurs G2 et Capterra, 2025 ; analyse tarifaire Enzuzo, mars 2026

Une tarification modulaire et opaque qui s'envole

Pas de tarification publique. Chaque module est facturé selon sa propre métrique. Les organisations mid-market (de 1'000 à 5'000 employés) peuvent s'attendre à payer de 40'000 à 120'000 dollars par an, avec une tarification qui « peut s'envoler dès que vous ajoutez les modules dont vous avez réellement besoin ». OneTrust ne publie pas de tarifs catalogue ; les acheteurs devraient demander d'emblée un devis pluriannuel couvrant l'ensemble des modules et des licences.

Données tarifaires Vendr, février 2026 ; Enzuzo, mars 2026

Surcharge fonctionnelle répartie sur plus de 5 gammes de produits

Les plateformes d'entreprise proposent ESG, lignes d'alerte éthique, consentement aux cookies et plus de 200 intégrations. Si vous avez besoin de tout cela, elles sont le bon choix. Mais la plupart des équipes privacy mid-market finissent par payer pour des fonctionnalités qu'elles n'utilisent jamais.

Des capacités d'IA avec moins de transparence

Les grands éditeurs de plateformes proposent des fonctionnalités d'IA, mais on ignore souvent où les données sont traitées, si elles servent à l'entraînement et quel degré de supervision humaine subsiste dans la boucle. Pour des enregistrements de conformité, cette opacité crée un risque.

Le contexte d'application : pourquoi ce choix compte aujourd'hui

L'application du RGPD s'accélère. Les enjeux d'une conformité multi-entités défaillante n'ont jamais été aussi élevés, et les États membres de l'UE poussent activement vers une plus grande souveraineté des données à travers la Déclaration de Berlin sur la souveraineté numérique européenne signée en novembre 2025.

7,1 Mrd €

Cumul des amendes RGPD depuis mai 2018

DLA Piper GDPR Survey, janvier 2026

443/jour

Notifications de violation aux autorités de l'UE (hausse de 22 % sur un an)

DLA Piper GDPR Survey, janvier 2026

97 %

De l'infrastructure cloud européenne repose sur des fournisseurs non européens

TechClass, janvier 2026

Nous sommes honnêtes sur ce que nous ne couvrons pas : l'ESG, les lignes d'alerte éthique et le consentement aux cookies sortent de notre périmètre. Notre force, c'est la gestion du programme privacy à l'échelle du groupe pour les organisations comptant plusieurs entités et juridictions.

Si c'est le problème que vous cherchez à résoudre, parlons-en.

Réservez une démo de 30 min
Téléchargement gratuit

Checklist des exigences CPRA : la conformité 2026 dans un seul document

De nouvelles réglementations de la CPPA sont entrées en vigueur le 01.01.2026, introduisant des évaluations des risques obligatoires, des échéances d'audit de cybersécurité et des obligations ADMT. Cette checklist couvre ce que votre équipe de conformité doit vérifier dès maintenant.

Dans la checklist, vous trouverez :

  • + Les critères d'applicabilité complets : seuils de chiffre d'affaires, volume de consommateurs et déclencheurs liés au traitement de données sensibles qui déterminent si le CPRA s'applique à votre organisation
  • + Les exigences de cartographie des données, de flux DSAR et de contrats fournisseurs, y compris la clause de notification de 5 jours pour les prestataires de services et les mécanismes actualisés de limitation des SPI
  • + Les échéances d'audit de cybersécurité par paliers de chiffre d'affaires (avril 2028 pour les entreprises de plus de 100 M$, jusqu'à avril 2030 pour les plus petites organisations) ainsi que les calendriers de soumission des évaluations des risques
  • + Un guide de référence des sanctions avec les montants d'amende actuels (jusqu'à 7'988 dollars par violation intentionnelle) pour que vous puissiez communiquer le risque à la direction en termes financiers

La CPPA a finalisé ces réglementations en septembre 2025 et a fait état de centaines d'enquêtes actives, dont le règlement record de 1,35 million de dollars avec Tractor Supply Company. L'application n'a rien d'hypothétique.

Sources : registres d'application de la CPPA (septembre 2025), réglementations finalisées de la CPPA (janvier 2026).

Obtenir la checklist

Couvre toutes les obligations CPRA 2026 dans un seul PDF concret.

PDF gratuit. Aucune démo requise. Nous vous l'envoyons par e-mail.

Pourquoi c'est crucial maintenant

La CPPA a supprimé le délai de régularisation de 30 jours. Il n'y a aucune lettre d'avertissement avant le déclenchement des amendes. Les organisations qui gèrent les données des consommateurs californiens sur plusieurs entités ont besoin d'une conformité documentée, pas d'un projet de démarrage ultérieur.

FAQ

Questions fréquentes sur la conformité CPRA

Quelle est la différence entre le CCPA et le CPRA ?

Le CPRA (California Privacy Rights Act) a profondément modifié et élargi le CCPA. Parmi les principaux changements figurent la création de la California Privacy Protection Agency (CPPA) comme organe d'application dédié, de nouvelles catégories d'informations personnelles sensibles assorties de droits spécifiques pour les consommateurs, des évaluations des risques obligatoires pour les traitements à haut risque, des droits de rectification et de limitation de l'utilisation des données sensibles, ainsi que la suppression du délai de régularisation de 30 jours en cas de violation. Le CPRA est entré en vigueur le 1er janvier 2023 et s'applique aux données collectées à compter du 1er janvier 2022.

À qui s'applique le CPRA ?

Le CPRA s'applique aux entreprises à but lucratif qui collectent les informations personnelles des consommateurs californiens et atteignent au moins l'un de trois seuils : un chiffre d'affaires brut annuel supérieur à 25 millions de dollars l'année civile précédente, l'achat, la vente ou le partage des informations personnelles de 100'000 consommateurs ou foyers ou plus par an, ou un chiffre d'affaires annuel provenant à 50 % ou plus de la vente ou du partage d'informations personnelles. Fait important, le CPRA s'applique aussi aux entités contrôlées par les entreprises concernées, y compris les filiales et les coentreprises, ce qui explique pourquoi les organisations multi-entités font face à des exigences de conformité particulièrement complexes.

Quelles sont les sanctions en cas de non-conformité au CPRA ?

Depuis janvier 2025 (montants ajustés à l'IPC), les sanctions s'élèvent à 2'663 dollars par violation involontaire et 7'988 dollars par violation intentionnelle ou impliquant des mineurs. Elles sont calculées par consommateur et par incident, sans plafond total. La plus lourde amende de la CPPA à ce jour, de 1,35 million de dollars, a été infligée à Tractor Supply Company en septembre 2025. Le CPRA préserve également le droit d'action privé en cas de violation de données résultant d'un défaut de mesures de sécurité raisonnables, les consommateurs pouvant alors récupérer entre 100 et 750 dollars par incident, ou les dommages réels si ceux-ci sont supérieurs.

Quelles nouvelles réglementations CPRA sont entrées en vigueur en 2026 ?

Les réglementations finalisées par la CPPA en septembre 2025 sont entrées en vigueur le 01.01.2026. Elles couvrent trois grands domaines : les audits de cybersécurité obligatoires (déployés par paliers de chiffre d'affaires, les entreprises de plus de 100 M$ de chiffre d'affaires devant réaliser leur premier audit d'ici avril 2028 et les plus petites organisations d'ici avril 2030), les évaluations des risques pour les activités de traitement présentant un risque significatif pour la vie privée des consommateurs, et les obligations relatives aux technologies de décision automatisée (ADMT), notamment les droits d'opposition des consommateurs et les notices préalables à l'utilisation pour le profilage et les décisions importantes.

Comment Priverion aide-t-il à la conformité CPRA des organisations multi-entités ?

Priverion offre une gestion du programme privacy à l'échelle du groupe, couvrant l'ensemble des filiales et entités depuis une plateforme unique. Pour la conformité CPRA en particulier, cela inclut la gestion automatisée du registre des traitements et sa recertification inter-entités (un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois), la rédaction assistée par l'IA des AIPD et des évaluations des risques pour répondre aux nouvelles exigences de 2026, les évaluations des risques fournisseurs et la gestion des contrats avec les tiers, les flux de gestion des incidents et de notification de violation, le traitement des demandes des personnes concernées entre entités, ainsi que la cartographie des données inter-entités pour une visibilité à l'échelle du groupe. Toutes les données sont traitées au sein de l'infrastructure suisse, avec des garanties complètes de souveraineté des données.

Le CPRA s'applique-t-il aux entreprises situées hors de Californie ?

Oui. Le CPRA s'applique à toute entreprise à but lucratif qui atteint les seuils de chiffre d'affaires ou de traitement de données et collecte des informations personnelles auprès de consommateurs californiens, quel que soit le lieu de son siège. Cela inclut les entreprises européennes et internationales qui font affaire avec des résidents californiens. Pour les organisations multi-entités, chaque filiale ayant des points de contact avec des consommateurs californiens peut nécessiter une vérification de conformité indépendante. L'opération conjointe de contrôle de septembre 2025 entre la Californie, le Colorado et le Connecticut a en outre démontré que l'application du droit étatique de la vie privée est de plus en plus coordonnée entre les juridictions.

Que couvre cette checklist que les guides CPRA génériques ne couvrent pas ?

Notre checklist cartographie l'ensemble des 47 exigences de mesure spécifiques avec des étapes de vérification concrètes, y compris les réglementations de 2026 que la plupart des guides existants n'ont pas intégrées. Elle couvre les échéances d'audit de cybersécurité par paliers de chiffre d'affaires, les nouvelles obligations ADMT, les exigences actualisées d'évaluation des risques et les clauses contractuelles spécifiques aux prestataires de services (dont l'exigence de notification de 5 jours) que les organisations multi-entités doivent vérifier pour chaque relation fournisseur de chaque filiale. Chaque mesure inclut la référence réglementaire pertinente afin que votre équipe juridique puisse vérifier de manière indépendante.

Votre posture de conformité ne peut pas attendre

Cessez de piloter la conformité privacy à coups de tableurs. Recommencez à dormir sur vos deux oreilles.

Les amendes RGPD ont atteint 1,2 milliard d'euros pour la seule année 2025, et les autorités européennes traitent désormais plus de 400 notifications de violation par jour. Pour les organisations multi-entités, la marge d'erreur n'a jamais été aussi étroite. En 30 minutes, nous vous montrerons comment Priverion remplace des outils fragmentés et des processus manuels par une gestion automatisée du programme privacy à l'échelle du groupe.

60 %

de temps administratif de conformité en moins

Constructeur aéronautique, six premiers mois

200+

heures économisées sur la préparation ISO 27001

Medtec

100 %

de taux de recertification du registre des traitements

AXA, entièrement automatisé

Conçu en Suisse. Hébergé en Suisse. Assisté par l'IA avec une supervision humaine complète. Aucune donnée client utilisée pour entraîner les modèles. Une tarification prévisible, sans pièges par utilisateur.

Sans engagement. Découvrez de vrais flux clients dans un environnement réel.

The Privacy Compliance Briefing

Chaque mois, des analyses sur l'application du RGPD, les évolutions de la nLPD et les stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés

Le CPRA a élargi le cadre californien de la vie privée bien au-delà du CCPA d'origine, en créant 47 mesures de conformité distinctes que les organisations doivent prendre en charge. L'application par la California Privacy Protection Agency (CPPA) s'est orientée vers des audits proactifs, avec des sanctions atteignant 2'663 dollars par violation involontaire et 7'988 dollars par violation intentionnelle depuis l'ajustement à l'IPC de 2025. Les organisations multi-entités font face à un risque démultiplié, car les activités de traitement de chaque filiale sont évaluées de manière indépendante. Cette checklist relie chaque exigence CPRA à une mesure concrète et auditable.

Définitions

Qu'est-ce que le CPRA ?

Le California Privacy Rights Act (CPRA) est une initiative populaire approuvée par les électeurs californiens en novembre 2020 qui a profondément modifié et élargi le California Consumer Privacy Act (CCPA). Il est entré en vigueur le 1er janvier 2023 et s'applique aux informations personnelles collectées à compter du 1er janvier 2022. Le CPRA a introduit de nouveaux droits des consommateurs — notamment le droit de rectifier des informations personnelles inexactes et le droit de limiter l'utilisation des informations personnelles sensibles — et a instauré la California Privacy Protection Agency (CPPA) comme premier organe d'application de la vie privée dédié au niveau d'un État aux États-Unis. Source : CPPA — Regulations

Qu'est-ce que la CPPA ?

La California Privacy Protection Agency (CPPA) est une agence d'État indépendante créée par le CPRA pour mettre en œuvre et faire appliquer les lois californiennes sur la protection de la vie privée des consommateurs. Elle dispose de pleins pouvoirs administratifs pour enquêter sur les violations, mener des audits et infliger des sanctions civiles sans devoir saisir le procureur général. Source : CPPA — About Us

Qu'est-ce qu'un registre des traitements (ROPA) ?

Un registre des activités de traitement (ROPA) est un inventaire complet documentant chaque activité de traitement de données personnelles réalisée par une organisation. Si l'article 30 du RGPD impose explicitement un registre des traitements, en tenir un est considéré comme une bonne pratique au titre de la conformité CPRA, car cela permet aux organisations de répondre aux demandes des consommateurs, de réaliser des évaluations des risques et de démontrer leur responsabilité auprès des autorités. Source : Article 30 du RGPD

Qu'est-ce qu'une AIPD au titre du CPRA ?

Une analyse d'impact relative à la protection des données (AIPD) au titre du CPRA est une évaluation des risques que les organisations doivent réaliser avant de s'engager dans des activités de traitement présentant un risque significatif pour la vie privée des consommateurs. Les réglementations de la CPPA, en vigueur depuis le 1er janvier 2026, formalisent les exigences d'audit de cybersécurité et d'évaluation des risques pour les entreprises dont le traitement atteint des seuils déterminés. Source : CPPA Regulations

Qu'est-ce que le Global Privacy Control (GPC) ?

Le Global Privacy Control (GPC) est une spécification technique qui permet aux consommateurs de signaler leurs préférences d'opposition via leur navigateur web. Au titre des réglementations CPRA, les entreprises doivent traiter un signal GPC valide comme une opposition juridiquement contraignante à la vente ou au partage d'informations personnelles. La CPPA a mené des opérations de contrôle visant spécifiquement les entreprises qui ne respectent pas les signaux GPC. Source : CPPA Announcements

Qu'est-ce que les informations personnelles sensibles au titre du CPRA ?

Les informations personnelles sensibles (SPI) sont une catégorie définie par le CPRA qui inclut les numéros de sécurité sociale, les identifiants de comptes financiers, la géolocalisation précise, l'origine raciale ou ethnique, les convictions religieuses, les données biométriques, les informations de santé, les données relatives à la vie sexuelle ou à l'orientation sexuelle, ainsi que le contenu du courrier, des e-mails ou des messages texte. Les consommateurs ont le droit de limiter l'utilisation et la divulgation de leurs SPI à ce qui est nécessaire aux services qu'ils attendent.

Questions fréquentes

Qui doit se conformer au CPRA ?

Le CPRA s'applique aux entreprises à but lucratif qui collectent les informations personnelles des consommateurs californiens et atteignent au moins l'un de trois seuils : (1) un chiffre d'affaires brut annuel supérieur à 25 millions de dollars, (2) l'achat, la vente ou le partage des informations personnelles de 100'000 consommateurs ou foyers ou plus par an, ou (3) un chiffre d'affaires annuel provenant à 50 % ou plus de la vente ou du partage des informations personnelles des consommateurs. Les entités contrôlées par une entreprise concernée ou placées sous contrôle commun avec elle sont également soumises à la loi. Source : CPPA

Comment les sanctions CPRA sont-elles calculées ?

Les sanctions civiles au titre du CPRA sont évaluées par consommateur et par incident, sans plafond global. Depuis l'ajustement à l'IPC de janvier 2025, les violations involontaires entraînent des sanctions allant jusqu'à 2'663 dollars chacune, tandis que les violations intentionnelles ou impliquant des mineurs entraînent des sanctions allant jusqu'à 7'988 dollars chacune. Le CPRA a supprimé le délai de régularisation obligatoire de 30 jours du CCPA, ce qui signifie que la CPPA a toute discrétion pour autoriser ou non une remédiation avant d'imposer des amendes.

Quelle est la différence entre le CCPA et le CPRA ?

Le CPRA a modifié et élargi le CCPA de plusieurs manières essentielles : il a créé la CPPA comme agence d'application dédiée, introduit le droit de rectifier les informations personnelles, instauré la catégorie des informations personnelles sensibles assortie d'un droit d'en limiter l'utilisation, supprimé le délai de régularisation obligatoire de 30 jours et imposé de nouvelles exigences en matière d'audits de cybersécurité et d'évaluations des risques. Le CPRA a également étendu la couverture aux données des employés et aux données B2B, qui avaient été temporairement exemptées par le CCPA d'origine.

Le CPRA s'applique-t-il aux données des employés ?

Oui. Le CPRA a supprimé les exemptions temporaires pour les données des employés et des candidats qui existaient au titre du CCPA d'origine. Depuis le 1er janvier 2023, les entreprises doivent étendre l'ensemble des droits des consommateurs prévus par le CPRA — y compris l'accès, la suppression, la rectification et l'opposition — à leurs employés et candidats basés en Californie.

Quelles sont les nouvelles exigences CPRA en vigueur depuis janvier 2026 ?

Les réglementations entrées en vigueur le 1er janvier 2026 formalisent les exigences relatives aux audits de cybersécurité, aux évaluations des risques pour les traitements présentant un risque significatif pour la vie privée des consommateurs, et aux règles régissant les technologies de décision automatisée (ADMT). Ces réglementations obligent les entreprises à réaliser et à documenter des évaluations régulières et à fournir aux consommateurs des informations sur le profilage automatisé et, dans certains cas, la possibilité de s'y opposer. Source : CPPA Regulations

Comment l'application du CPRA se compare-t-elle à celle du RGPD ?

Si les amendes RGPD peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé étant retenu), les sanctions CPRA sont calculées par consommateur et par incident sans plafond, ce qui peut entraîner une exposition totale comparable, voire supérieure, pour les entreprises disposant d'une large base de consommateurs californiens. Selon l'IAPP, le modèle par violation signifie que des lacunes de conformité systématiques touchant des millions de consommateurs peuvent générer une exposition théorique de plusieurs centaines de millions de dollars.

Les entreprises doivent-elles respecter les signaux Global Privacy Control ?

Oui. La CPPA a explicitement indiqué que les entreprises doivent traiter un signal Global Privacy Control (GPC) valide comme une opposition du consommateur à la vente ou au partage de ses informations personnelles. En septembre 2025, la Californie, le Colorado et le Connecticut ont lancé des opérations conjointes de contrôle visant spécifiquement les entreprises qui ne respectaient pas les signaux GPC. Le non-respect du GPC est traité comme une violation intentionnelle, relevant du palier de sanction le plus élevé de 7'988 dollars.

Comment Priverion aide-t-il à la conformité CPRA ?

Priverion est une plateforme GRC hébergée en Suisse, spécialement conçue pour les organisations multi-entités. Elle offre des modules intégrés de gestion du registre des traitements, d'automatisation des AIPD et des analyses d'impact des transferts, d'évaluation des risques fournisseurs, de gestion des incidents, de traitement des demandes des personnes concernées, de cartographie des données inter-entités et de tableaux de bord de conformité prêts pour le conseil d'administration. Tout le traitement des données s'effectue au sein de l'infrastructure suisse, à l'abri d'un accès extraterritorial au titre du US CLOUD Act et de la Section 702 du FISA.

Statistiques et sources

Selon le barème de sanctions de la CPPA ajusté à l'IPC en 2025, les violations CPRA involontaires entraînent des amendes de 2'663 dollars par violation et les violations intentionnelles des amendes de 7'988 dollars par violation. La plus lourde amende de la CPPA à ce jour, de 1,35 million de dollars, a été infligée à Tractor Supply Company en septembre 2025. La CPPA a fait état de centaines d'enquêtes actives lors de sa réunion du conseil de septembre 2025. En septembre 2025, trois États — la Californie, le Colorado et le Connecticut — ont lancé des opérations conjointes de contrôle visant le non-respect du GPC. Selon le rapport annuel IAPP-EY sur la gouvernance de la vie privée, l'organisation moyenne dépense désormais plus de 2,7 millions de dollars par an en conformité à la protection des données. Le NIST Privacy Framework offre une structure complémentaire pour gérer le risque lié à la vie privée parallèlement aux exigences CPRA (Source : NIST).

Le CPRA face aux autres lois étatiques américaines sur la vie privée

CaractéristiqueCPRA (Californie)CPA (Colorado)CTDPA (Connecticut)VCDPA (Virginie)
Agence d'application dédiéeOui (CPPA)Non (procureur général uniquement)Non (procureur général uniquement)Non (procureur général uniquement)
Droit de rectificationOuiOuiOuiOui
Droit de limiter l'utilisation des SPIOuiNonNonNon
Délai de régularisation obligatoireNon (à la discrétion)60 jours (expire en 2025)60 jours (expire en 2025)30 jours
Sanctions par violation2'663–7'988 $Jusqu'à 20'000 $Jusqu'à 5'000 $Jusqu'à 7'500 $
Données des employés couvertesOuiNonNonNon
Signal GPC requisOuiOuiOuiNon