La checklist complète des exigences CPRA : les 47 mesures que votre organisation doit avoir en place
La plupart des organisations pensent être conformes au CPRA. Notre checklist révèle les exigences qui passent à la trappe, en particulier pour les entreprises multi-entités qui gèrent la protection des données à travers leurs filiales et leurs juridictions.
Pourquoi une checklist des exigences CPRA compte plus que vous ne le pensez
Le CPRA n'a pas simplement retouché le CCPA. Il a redéfini l'application du droit californien de la vie privée, et les organisations qui supposaient que leur ancienne posture de conformité restait valable sont désormais exposées.
L'application est désormais proactive
La CPPA n'attend plus les plaintes
La California Privacy Protection Agency est passée d'un traitement réactif des plaintes à des audits proactifs et à des opérations conjointes de contrôle. En septembre 2025, la Californie, le Colorado et le Connecticut ont lancé une enquête conjointe visant les entreprises qui ne respectent pas les signaux Global Privacy Control.
Lors de sa réunion du conseil de septembre 2025, la CPPA a fait état de centaines d'enquêtes actives, dont beaucoup visent des entreprises qui ignorent encore qu'elles sont sous surveillance. De nouvelles réglementations couvrant les audits de cybersécurité, les évaluations des risques et la prise de décision automatisée sont entrées en vigueur le 01.01.2026.
1,35 M$
Plus lourde amende de la CPPA à ce jour, infligée à Tractor Supply Company (septembre 2025)
Le calcul des sanctions
Les amendes par violation s'accumulent vite
Depuis 2025, la CPPA a ajusté les sanctions civiles à 2'663 dollars par violation involontaire et 7'988 dollars par violation intentionnelle ou impliquant des mineurs. Ces montants sont calculés par consommateur et par incident, ce qui signifie qu'une seule lacune systématique touchant l'ensemble de votre base de consommateurs californiens peut se transformer en une exposition théorique à sept ou huit chiffres.
Le CPRA a également supprimé le délai de régularisation obligatoire de 30 jours qui existait auparavant au titre du CCPA. Le fait qu'une entreprise dispose ou non d'un délai pour corriger une violation relève désormais entièrement de la discrétion de l'autorité.
7'988 $
Maximum par violation intentionnelle (ajusté à l'IPC depuis janvier 2025, selon l'annonce de la CPPA)
La complexité multi-entités
Les filiales multiplient votre surface de risque
Si votre organisation opère à travers plusieurs filiales, unités d'affaires ou juridictions, chaque entité peut avoir ses propres activités de traitement de données, relations fournisseurs et points de contact avec les consommateurs. Le CCPA s'applique aux entités contrôlées par les entreprises concernées ainsi qu'aux coentreprises et partenariats, ce qui signifie qu'une checklist appliquée une seule fois au niveau de la maison mère ne suffit pas.
L'application devient aussi transfrontalière. Les enquêtes conjointes multi-États signifient que les entreprises présentes dans plusieurs États ne peuvent plus présumer que l'application reste cloisonnée à chaque juridiction. Chaque entité a besoin d'une vérification indépendante de sa conformité.
3 États
La Californie, le Colorado et le Connecticut ont lancé des opérations conjointes de contrôle en septembre 2025
Les équipes privacy sont à flux tendu. La plupart des organisations n'ont pas de spécialistes CPRA dédiés. Le DPD ou le responsable privacy jongle en même temps avec le RGPD, une mosaïque croissante de lois étatiques américaines et des réglementations sectorielles.
C'est précisément pour cela que nous avons conçu cette checklist : donner aux équipes privacy un document unique et structuré qui relie chaque exigence CPRA à une action concrète.
Résultats clients éprouvés
Les chiffres d'une conformité privacy à l'échelle du groupe, bien menée
200+
Heures économisées sur la préparation ISO 27001
Medtec a utilisé Priverion pour alléger la charge de documentation et de collecte de preuves qui prend habituellement 6 à 12 mois à effectuer manuellement.
Medtec, préparation ISO 27001
60 %
Réduction du temps administratif de conformité
Un constructeur aéronautique a éliminé les mises à jour manuelles du registre des traitements sur plusieurs filiales au cours de ses six premiers mois, alors que les plateformes privacy d'entreprise comme OneTrust peuvent coûter jusqu'à six chiffres par an pour un déploiement mid-market.
Constructeur aéronautique, six premiers mois avec Priverion
100 %
Taux de recertification du registre des traitements, entièrement automatisé
AXA a atteint une recertification automatisée complète sur l'ensemble de ses activités de traitement, remplaçant les flux manuels sur tableur que l'article 30 du RGPD exige de maintenir exacts et à jour en permanence.
AXA, recertification automatisée du registre des traitements
Pourquoi les équipes mid-market quittent OneTrust
OneTrust est une plateforme d'entreprise puissante. Mais pour les organisations mid-market qui gèrent la protection des données sur plusieurs entités, cela revient souvent à payer pour une complexité que vous n'utilisez jamais. Voici comment Priverion se compare là où cela compte le plus.
Priverion
Souveraineté des données suisse, garantie
Conçu et hébergé en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse, à l'abri des lois d'accès extraterritoriales comme le US CLOUD Act et la Section 702 du FISA. Dans un monde post-Schrems II, ce n'est pas une simple case marketing à cocher.
Opérationnel en quelques semaines, pas en quelques mois
Priverion est spécialement conçu pour la gestion privacy multi-entités. Pas de semaines de configuration des flux, pas d'équipe d'implémentation dédiée requise. Un constructeur aéronautique était pleinement opérationnel et a constaté une réduction de 60 % de son temps administratif de conformité en six mois.
Constructeur aéronautique, six premiers mois
Une tarification prévisible et transparente
Tarification basée sur le nombre d'entreprises et la taille de l'organisation. Pas de frais par utilisateur, pas de pièges d'extension par module. Vous savez ce que vous paierez cette année et l'année prochaine.
Une solution tout-en-un pour les programmes privacy
Gestion du registre des traitements, automatisation des AIPD/TIA, évaluations des risques fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données inter-entités et tableaux de bord prêts pour le conseil d'administration. Une seule plateforme, un seul prix. Pas de montée en gamme par module.
Assistée par l'IA, maîtrisée par l'humain
L'IA aide à rédiger les AIPD et à coter les risques, mais chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour entraîner les modèles. L'IA assiste, les humains décident.
Plateforme d'entreprise classique
Siège aux États-Unis, juridiction américaine
Même lorsque les données sont stockées dans des centres de données de l'UE, les fournisseurs dont le siège est aux États-Unis restent soumis au CLOUD Act. Comme l'a déclaré le directeur général de Microsoft France devant le Sénat français en 2025, les fournisseurs américains ne peuvent pas garantir que les données des citoyens de l'UE sont à l'abri d'un accès par les autorités américaines.
Source : audition au Sénat français, 2025
Mise en place complexe, courbe d'apprentissage abrupte
Les évaluateurs relèvent systématiquement des semaines de configuration et des besoins de formation importants. Un utilisateur mid-market sur G2 a indiqué que l'interface « peut paraître encombrée » et a cité « le prix élevé et la courbe d'apprentissage abrupte » comme inconvénients. Les services d'implémentation peuvent ajouter de 10'000 à 50'000 dollars aux coûts de la seule première année.
Avis d'utilisateurs G2 et Capterra, 2025 ; analyse tarifaire Enzuzo, mars 2026
Une tarification modulaire et opaque qui s'envole
Pas de tarification publique. Chaque module est facturé selon sa propre métrique. Les organisations mid-market (de 1'000 à 5'000 employés) peuvent s'attendre à payer de 40'000 à 120'000 dollars par an, avec une tarification qui « peut s'envoler dès que vous ajoutez les modules dont vous avez réellement besoin ». OneTrust ne publie pas de tarifs catalogue ; les acheteurs devraient demander d'emblée un devis pluriannuel couvrant l'ensemble des modules et des licences.
Données tarifaires Vendr, février 2026 ; Enzuzo, mars 2026
Surcharge fonctionnelle répartie sur plus de 5 gammes de produits
Les plateformes d'entreprise proposent ESG, lignes d'alerte éthique, consentement aux cookies et plus de 200 intégrations. Si vous avez besoin de tout cela, elles sont le bon choix. Mais la plupart des équipes privacy mid-market finissent par payer pour des fonctionnalités qu'elles n'utilisent jamais.
Des capacités d'IA avec moins de transparence
Les grands éditeurs de plateformes proposent des fonctionnalités d'IA, mais on ignore souvent où les données sont traitées, si elles servent à l'entraînement et quel degré de supervision humaine subsiste dans la boucle. Pour des enregistrements de conformité, cette opacité crée un risque.
Nous sommes honnêtes sur ce que nous ne couvrons pas : l'ESG, les lignes d'alerte éthique et le consentement aux cookies sortent de notre périmètre. Notre force, c'est la gestion du programme privacy à l'échelle du groupe pour les organisations comptant plusieurs entités et juridictions.
Si c'est le problème que vous cherchez à résoudre, parlons-en.
Réservez une démo de 30 minChecklist des exigences CPRA : la conformité 2026 dans un seul document
De nouvelles réglementations de la CPPA sont entrées en vigueur le 01.01.2026, introduisant des évaluations des risques obligatoires, des échéances d'audit de cybersécurité et des obligations ADMT. Cette checklist couvre ce que votre équipe de conformité doit vérifier dès maintenant.
Dans la checklist, vous trouverez :
- + Les critères d'applicabilité complets : seuils de chiffre d'affaires, volume de consommateurs et déclencheurs liés au traitement de données sensibles qui déterminent si le CPRA s'applique à votre organisation
- + Les exigences de cartographie des données, de flux DSAR et de contrats fournisseurs, y compris la clause de notification de 5 jours pour les prestataires de services et les mécanismes actualisés de limitation des SPI
- + Les échéances d'audit de cybersécurité par paliers de chiffre d'affaires (avril 2028 pour les entreprises de plus de 100 M$, jusqu'à avril 2030 pour les plus petites organisations) ainsi que les calendriers de soumission des évaluations des risques
- + Un guide de référence des sanctions avec les montants d'amende actuels (jusqu'à 7'988 dollars par violation intentionnelle) pour que vous puissiez communiquer le risque à la direction en termes financiers
La CPPA a finalisé ces réglementations en septembre 2025 et a fait état de centaines d'enquêtes actives, dont le règlement record de 1,35 million de dollars avec Tractor Supply Company. L'application n'a rien d'hypothétique.
Sources : registres d'application de la CPPA (septembre 2025), réglementations finalisées de la CPPA (janvier 2026).
Obtenir la checklist
Couvre toutes les obligations CPRA 2026 dans un seul PDF concret.
PDF gratuit. Aucune démo requise. Nous vous l'envoyons par e-mail.
Pourquoi c'est crucial maintenant
La CPPA a supprimé le délai de régularisation de 30 jours. Il n'y a aucune lettre d'avertissement avant le déclenchement des amendes. Les organisations qui gèrent les données des consommateurs californiens sur plusieurs entités ont besoin d'une conformité documentée, pas d'un projet de démarrage ultérieur.
Questions fréquentes sur la conformité CPRA
Quelle est la différence entre le CCPA et le CPRA ?
Le CPRA (California Privacy Rights Act) a profondément modifié et élargi le CCPA. Parmi les principaux changements figurent la création de la California Privacy Protection Agency (CPPA) comme organe d'application dédié, de nouvelles catégories d'informations personnelles sensibles assorties de droits spécifiques pour les consommateurs, des évaluations des risques obligatoires pour les traitements à haut risque, des droits de rectification et de limitation de l'utilisation des données sensibles, ainsi que la suppression du délai de régularisation de 30 jours en cas de violation. Le CPRA est entré en vigueur le 1er janvier 2023 et s'applique aux données collectées à compter du 1er janvier 2022.
À qui s'applique le CPRA ?
Le CPRA s'applique aux entreprises à but lucratif qui collectent les informations personnelles des consommateurs californiens et atteignent au moins l'un de trois seuils : un chiffre d'affaires brut annuel supérieur à 25 millions de dollars l'année civile précédente, l'achat, la vente ou le partage des informations personnelles de 100'000 consommateurs ou foyers ou plus par an, ou un chiffre d'affaires annuel provenant à 50 % ou plus de la vente ou du partage d'informations personnelles. Fait important, le CPRA s'applique aussi aux entités contrôlées par les entreprises concernées, y compris les filiales et les coentreprises, ce qui explique pourquoi les organisations multi-entités font face à des exigences de conformité particulièrement complexes.
Quelles sont les sanctions en cas de non-conformité au CPRA ?
Depuis janvier 2025 (montants ajustés à l'IPC), les sanctions s'élèvent à 2'663 dollars par violation involontaire et 7'988 dollars par violation intentionnelle ou impliquant des mineurs. Elles sont calculées par consommateur et par incident, sans plafond total. La plus lourde amende de la CPPA à ce jour, de 1,35 million de dollars, a été infligée à Tractor Supply Company en septembre 2025. Le CPRA préserve également le droit d'action privé en cas de violation de données résultant d'un défaut de mesures de sécurité raisonnables, les consommateurs pouvant alors récupérer entre 100 et 750 dollars par incident, ou les dommages réels si ceux-ci sont supérieurs.
Quelles nouvelles réglementations CPRA sont entrées en vigueur en 2026 ?
Les réglementations finalisées par la CPPA en septembre 2025 sont entrées en vigueur le 01.01.2026. Elles couvrent trois grands domaines : les audits de cybersécurité obligatoires (déployés par paliers de chiffre d'affaires, les entreprises de plus de 100 M$ de chiffre d'affaires devant réaliser leur premier audit d'ici avril 2028 et les plus petites organisations d'ici avril 2030), les évaluations des risques pour les activités de traitement présentant un risque significatif pour la vie privée des consommateurs, et les obligations relatives aux technologies de décision automatisée (ADMT), notamment les droits d'opposition des consommateurs et les notices préalables à l'utilisation pour le profilage et les décisions importantes.
Comment Priverion aide-t-il à la conformité CPRA des organisations multi-entités ?
Priverion offre une gestion du programme privacy à l'échelle du groupe, couvrant l'ensemble des filiales et entités depuis une plateforme unique. Pour la conformité CPRA en particulier, cela inclut la gestion automatisée du registre des traitements et sa recertification inter-entités (un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois), la rédaction assistée par l'IA des AIPD et des évaluations des risques pour répondre aux nouvelles exigences de 2026, les évaluations des risques fournisseurs et la gestion des contrats avec les tiers, les flux de gestion des incidents et de notification de violation, le traitement des demandes des personnes concernées entre entités, ainsi que la cartographie des données inter-entités pour une visibilité à l'échelle du groupe. Toutes les données sont traitées au sein de l'infrastructure suisse, avec des garanties complètes de souveraineté des données.
Le CPRA s'applique-t-il aux entreprises situées hors de Californie ?
Oui. Le CPRA s'applique à toute entreprise à but lucratif qui atteint les seuils de chiffre d'affaires ou de traitement de données et collecte des informations personnelles auprès de consommateurs californiens, quel que soit le lieu de son siège. Cela inclut les entreprises européennes et internationales qui font affaire avec des résidents californiens. Pour les organisations multi-entités, chaque filiale ayant des points de contact avec des consommateurs californiens peut nécessiter une vérification de conformité indépendante. L'opération conjointe de contrôle de septembre 2025 entre la Californie, le Colorado et le Connecticut a en outre démontré que l'application du droit étatique de la vie privée est de plus en plus coordonnée entre les juridictions.
Que couvre cette checklist que les guides CPRA génériques ne couvrent pas ?
Notre checklist cartographie l'ensemble des 47 exigences de mesure spécifiques avec des étapes de vérification concrètes, y compris les réglementations de 2026 que la plupart des guides existants n'ont pas intégrées. Elle couvre les échéances d'audit de cybersécurité par paliers de chiffre d'affaires, les nouvelles obligations ADMT, les exigences actualisées d'évaluation des risques et les clauses contractuelles spécifiques aux prestataires de services (dont l'exigence de notification de 5 jours) que les organisations multi-entités doivent vérifier pour chaque relation fournisseur de chaque filiale. Chaque mesure inclut la référence réglementaire pertinente afin que votre équipe juridique puisse vérifier de manière indépendante.
Votre posture de conformité ne peut pas attendre
Cessez de piloter la conformité privacy à coups de tableurs. Recommencez à dormir sur vos deux oreilles.
Les amendes RGPD ont atteint 1,2 milliard d'euros pour la seule année 2025, et les autorités européennes traitent désormais plus de 400 notifications de violation par jour. Pour les organisations multi-entités, la marge d'erreur n'a jamais été aussi étroite. En 30 minutes, nous vous montrerons comment Priverion remplace des outils fragmentés et des processus manuels par une gestion automatisée du programme privacy à l'échelle du groupe.
60 %
de temps administratif de conformité en moins
Constructeur aéronautique, six premiers mois
200+
heures économisées sur la préparation ISO 27001
Medtec
100 %
de taux de recertification du registre des traitements
AXA, entièrement automatisé
Conçu en Suisse. Hébergé en Suisse. Assisté par l'IA avec une supervision humaine complète. Aucune donnée client utilisée pour entraîner les modèles. Une tarification prévisible, sans pièges par utilisateur.
Sans engagement. Découvrez de vrais flux clients dans un environnement réel.
The Privacy Compliance Briefing
Chaque mois, des analyses sur l'application du RGPD, les évolutions de la nLPD et les stratégies d'automatisation pour les DPD et les équipes de conformité.
Pas de spam. Désabonnement à tout moment.


