Ressource gratuite pour les professionnels de la protection des données

Le tableau comparatif de référence des lois de protection des données des États américains pour 2025

Plus de 20 lois de protection des données des États. Des centaines d'exigences qui se recoupent. Une seule référence claire, côte à côte, pour ne plus jamais manquer une obligation de conformité.

Le paysage de la protection des données aux États-Unis est passé d'une seule loi applicable en 2020 à 20 lois étatiques complètes en 2026. Chacune fixe des seuils d'application, des droits des consommateurs, des mécanismes d'opt-out, des délais de régularisation et des structures d'application différents. Que vous soyez un DPD chargé de cartographier les obligations entre filiales ou une équipe juridique conseillant des activités multi-États, ce tableau comparatif vous offre la clarté dont vous avez besoin en quelques minutes, et non en plusieurs jours.

Aucune carte de crédit. Aucun appel commercial. Saisissez votre adresse e-mail professionnelle ci-dessous et nous vous enverrons le tableau dans votre boîte de réception.

Plateforme hébergée en Suisse

Résidence des données en Europe

Alignée sur la norme ISO 27001

Openmedical : plus de 200 heures économisées en préparation

20 lois étatiques suivies

IAPP US State Privacy Legislation Tracker

La confiance des équipes de protection des données

Gestion de plus de 50 entités dans le monde

20

Lois étatiques complètes de protection des données adoptées

IAPP et ArentFox Schiff, à la mi-2025

1,55 M$

Plus important règlement CCPA obtenu par le procureur général de Californie

Smith Anderson, action coercitive de juillet 2025

8

États ayant amendé leurs lois de protection des données en 2025

IAPP US State Privacy Laws Report, octobre 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Principales capacités du produit

Conçue pour la réalité de la conformité multi-États

Vingt États ont adopté des lois complètes de protection des données depuis que la Californie a voté le CCPA en 2018, et neuf d'entre eux ont amendé leurs lois pour la seule année 2025. Suivre le rythme exige bien plus que des feuilles de calcul et des onglets de navigateur. Ces capacités aident les équipes de protection des données à garder une longueur d'avance sur un paysage qui évolue à chaque trimestre.

Gestion du registre des traitements inter-entités

Lorsque vous opérez dans plusieurs États, chacun avec ses propres seuils d'application et droits des consommateurs, votre registre des activités de traitement doit refléter chaque juridiction. Priverion automatise la recertification du registre des traitements pour l'ensemble des entités du groupe : les mises à jour se propagent dès que les lois changent, et non plusieurs semaines plus tard lorsque quelqu'un pense enfin à ouvrir la feuille de calcul.

Un assureur suisse a atteint un taux de recertification du registre des traitements de 100 % grâce à des flux de travail entièrement automatisés.

Un assureur suisse, témoignage client Priverion

AIPD et notation des risques assistées par l'IA

Des États comme le Colorado et le New Jersey exigent désormais des analyses de protection des données avant même qu'un traitement à haut risque puisse commencer. La loi de 2025 du Maryland ajoute certaines des normes de minimisation des données les plus strictes du pays. La rédaction assistée par l'IA de Priverion vous aide à produire plus rapidement la documentation d'analyse, avec une notation des risques calibrée selon les exigences propres à chaque État. L'IA assiste ; les humains décident. Aucune donnée client n'est utilisée pour l'entraînement des modèles.

Une entreprise de technologie médicale a économisé plus de 200 heures de préparation à la certification ISO 27001 grâce aux outils d'analyse de Priverion.

Une entreprise de technologie médicale, témoignage client Priverion

Suivi des évolutions réglementaires

En 2025, huit nouvelles lois étatiques de protection des données sont entrées en vigueur tandis que neuf lois existantes ont fait l'objet d'amendements importants. Le Connecticut a renforcé la protection des mineurs. Le Colorado a ajouté des obligations relatives aux données biométriques. La Californie a finalisé de nouvelles réglementations sur l'analyse des risques. Le suivi des évolutions réglementaires de Priverion maintient votre programme de conformité à jour à mesure que les exigences évoluent, pour que vous ne dépendiez plus de billets de blog de cabinets d'avocats obsolètes ou d'une feuille de calcul commencée par votre prédécesseur et jamais terminée.

Huit lois étatiques de protection des données sont devenues applicables en 2025, faisant presque doubler le nombre d'États dotés de lois effectives.

Perkins Coie, Privacy Law Recap 2025 (janvier 2026)

Gestion des incidents et flux de traitement des violations

Le CCPA de Californie reste l'une des seules lois étatiques à prévoir un droit d'action privé en cas de violation de données. Le Texas a obtenu un règlement de 1,4 milliard de dollars avec Meta au sujet de la collecte de données biométriques. Lorsqu'une violation survient, les délais de réaction et les règles de notification varient d'un État à l'autre. Les flux de gestion des incidents de Priverion guident votre équipe à travers les exigences de notification des violations propres à chaque juridiction, en générant des dossiers de preuves prêts pour l'audit en quelques minutes plutôt qu'en plusieurs semaines.

Le règlement CCPA de Californie de juillet 2025 a atteint 1,55 M$, le plus élevé à ce jour en vertu de cette loi.

Smith Anderson, Data Privacy in 2026 (janvier 2026)

Évaluations des risques fournisseurs

Le Texas a engagé sa première action en justice au titre du TDPSA contre Allstate et sa filiale Arity, qui auraient intégré des logiciels de pistage dans des applications tierces afin de collecter et de revendre des données personnelles. Votre écosystème de fournisseurs constitue votre surface d'exposition. La gestion des tiers de Priverion vous offre une visibilité complète sur la manière dont les fournisseurs traitent les données, avec des évaluations rattachées aux obligations spécifiques de chaque loi étatique à laquelle votre organisation doit se conformer.

Un établissement de santé a atteint une couverture de 100 % de ses évaluations des risques fournisseurs avec Priverion.

Un établissement de santé, témoignage client Priverion

Tableaux de bord de conformité prêts pour le conseil d'administration

Les procureurs généraux des États coordonnent de plus en plus leur action coercitive au sein d'un consortium bipartite de régulateurs de la protection des données. Lorsque votre CEO vous demande « sommes-nous conformes partout ? », il vous faut une réponse claire, à jour et défendable. Les tableaux de bord de Priverion offrent aux RSSI et aux DPD une visibilité en temps réel sur chaque entité et chaque juridiction, transformant les données opérationnelles de conformité en rapports prêts pour le conseil d'administration, sans consolidation manuelle.

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois.

Constructeur aéronautique, témoignage client Priverion (6 premiers mois)

Découvrir la plateforme complète

Découvrez comment Priverion cartographie les obligations de conformité sur plus de 50 entités et de multiples juridictions.

Des résultats mesurables issus de clients réels

Les chiffres qui font sourire les DPD

200+

Heures économisées sur la préparation à l'ISO 27001

Une entreprise de technologie médicale a économisé plus de 200 heures en préparant sa certification ISO 27001 avec Priverion. Le processus de certification habituel prend de 6 à 12 mois ; les clients de Priverion sont prêts pour l'audit plusieurs mois avant l'échéance.

Une entreprise de technologie médicale, résultat client vérifié

60 %

De temps d'administration de la conformité en moins

Un constructeur aéronautique a réduit son temps d'administration de la conformité de 60 % au cours de ses 6 premiers mois. Avec une tarification prévisible fondée sur le nombre d'entreprises, et non sur des frais par utilisateur, les équipes évitent l'escalade des coûts fréquente avec les plateformes d'entreprise.

Constructeur aéronautique, 6 premiers mois avec Priverion

3 mois

D'avance sur le calendrier ISO 27001

Alors que la certification ISO 27001 prend généralement de 6 à 12 mois, les dossiers de preuves prêts pour l'audit et la documentation automatisée de Priverion aident les équipes à réduire considérablement les délais.

Une entreprise de technologie médicale, comparé aux délais moyens du secteur

Priverion vs. OneTrust

Conçue pour le mid-market. Pas une version allégée de l'entreprise.

Alors que les amendes RGPD dépassent désormais 7,1 milliards d'euros cumulés et que l'application s'étend bien au-delà des géants de la tech, le choix de votre plateforme de conformité compte plus que jamais. Voici pourquoi les organisations en croissance choisissent Priverion.

Source : DLA Piper GDPR Fines and Data Breach Survey, janvier 2026

Priverion

Conçue spécifiquement pour la gestion de la protection des données multi-entités

  • Souveraineté des données suisse, garantie

    Conçue en Suisse et hébergée en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse, hors de portée des lois extraterritoriales comme le US CLOUD Act et la section 702 de la FISA. Dans un climat réglementaire où même les hyperscalers américains reconnaissent ne pas pouvoir garantir la souveraineté des données de l'UE, ce n'est pas un argument marketing : c'est un facteur de différenciation juridique.

    Le directeur général de Microsoft France a témoigné sous serment que l'accès des autorités américaines aux données ne peut être exclu (Sénat français, été 2025)

  • Opérationnelle en quelques semaines, pas en quelques mois

    Une interface épurée et intuitive conçue pour les DPD, et non pour les équipes IT d'entreprise. Pas de semaines de configuration ni de personnel d'implémentation dédié. Un constructeur aéronautique a constaté une réduction de 60 % de son temps d'administration de la conformité au cours de ses 6 premiers mois.

    Constructeur aéronautique, 6 premiers mois avec Priverion

  • Une tarification prévisible et transparente

    Fondée sur le nombre d'entreprises et la taille de l'organisation. Pas de frais par utilisateur, pas de pièges d'extension par module, pas de devis personnalisés opaques. Vous savez ce que vous paierez avant de signer.

  • Une plateforme de protection des données tout-en-un

    Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données, registre IA et tableaux de bord de conformité réunis dans une seule plateforme. Pas de modules à débloquer en supplément pour obtenir ce dont vous avez besoin.

  • Assistée par l'IA, pilotée par l'humain

    L'IA aide à rédiger les AIPD, à noter les risques et à cartographier les réglementations. Tous les résultats sont revus par des humains avant de devenir des enregistrements de conformité. Aucune donnée client n'est jamais utilisée pour l'entraînement des modèles.

  • Des intégrations approfondies et ciblées

    Des intégrations avec les systèmes de RH, d'achats et de gestion des actifs IT qui comptent pour les flux de protection des données. Moins de connecteurs, mais chacun fonctionne de manière fiable sans surcoût de maintenance permanente.

OneTrust

Une qualité d'entreprise avec la complexité de l'entreprise

  • Siège aux États-Unis, hébergement aux États-Unis

    Soumise au US CLOUD Act et à la section 702 de la FISA. Des options de résidence des données en Europe existent, mais l'entité juridique reste sous juridiction américaine. La déclaration de Berlin de l'UE sur la souveraineté numérique, adoptée en novembre 2025, souligne pourquoi cela importe.

    Déclaration pour la souveraineté numérique européenne, signée par tous les États membres de l'UE, novembre 2025

  • Une courbe d'apprentissage abrupte

    Les utilisateurs signalent systématiquement des processus de configuration complexes nécessitant des semaines de paramétrage et des ressources techniques dédiées. Les équipes plus réduites trouvent la plateforme particulièrement difficile à maintenir.

    Avis d'utilisateurs Capterra, 2025/2026

  • Une tarification opaque et croissante

    Aucune tarification publiée. Des devis personnalisés qui varient selon les modules, les domaines, les utilisateurs et les volumes de données. OneTrust ne publie pas de prix catalogue. D'après des données tarifaires agrégées et rapportées par les acheteurs, les déploiements pour le mid-market se situent couramment entre le milieu de la fourchette à cinq chiffres et le bas de la fourchette à six chiffres par an, les services d'implémentation étant facturés séparément. Source : données tarifaires agrégées et rapportées par les acheteurs de Vendr et Enzuzo, consultées le 18.05.2026.

    Analyse tarifaire Enzuzo, mars 2026 ; données d'achat Vendr, février 2026

  • Un modèle modulaire, payant par capacité

    Cinq lignes de produits distinctes, chacune facturée selon sa propre métrique. Chaque module ajouté augmente votre coût total, et la facture peut croître dans des directions que vous n'aviez pas anticipées à mesure que votre équipe ou votre empreinte de données s'étend.

    Sprinto OneTrust Review, mars 2026

  • Des fonctionnalités d'IA complètes

    De solides capacités de gouvernance de l'IA et une veille réglementaire couvrant plus de 300 juridictions. Un ensemble de fonctionnalités puissant, qui ajoute toutefois à la complexité et au coût global de la plateforme.

  • Un vaste écosystème d'intégrations

    Une large bibliothèque de connecteurs couvrant l'IT, la sécurité, le marketing, les RH et les plateformes cloud. Puissant une fois entièrement configuré, mais maintenir ces intégrations exige une supervision technique permanente significative.

L'application s'accélère. Pour la seule année 2024, les autorités européennes de protection des données ont infligé environ 1,2 milliard d'euros d'amendes RGPD, les notifications de violation atteignant désormais une moyenne de 443 par jour. Le règlement européen sur l'IA atteint sa pleine application pour les systèmes à haut risque en août 2026, ajoutant une nouvelle couche de sanctions. La question n'est pas de savoir s'il faut investir dans des outils de conformité, mais si les vôtres sont bien dimensionnés pour votre organisation.

Sources : DLA Piper GDPR Fines Survey, janvier 2025 ; calendrier d'application du règlement européen sur l'IA

En toute transparence : OneTrust est un produit solide pour les grandes entreprises disposant d'équipes de conformité dédiées et de besoins GRC complexes. Priverion ne le remplace pas. Nous sommes conçus pour les organisations mid-market et multi-entités qui ont besoin d'une gestion de la protection des données de niveau entreprise, sans la complexité ni le coût d'une solution d'entreprise. Nous ne couvrons pas l'ESG, les lignes d'alerte éthique ni le consentement aux cookies.

Aperçu du tableau

Ce qu'il contient : un extrait du comparatif complet

Le PDF complet couvre les 20 lois étatiques de protection des données adoptées sur 12 catégories de comparaison. Voici un aperçu de la structure du tableau, illustré par 6 États représentatifs.

Catégorie Californie (CCPA/CPRA) Colorado (CPA) Connecticut (CTDPA) Texas (TDPSA) Maryland (MODPA) Rhode Island
Date d'entrée en vigueur 01.01.2020 / 01.01.2023 01.07.2023 01.07.2023 01.07.2024 01.10.2025 01.01.2026
Seuil d'application 25 M$ de chiffre d'affaires, 100 000 consommateurs, ou 50 % du chiffre d'affaires issu de la vente de données 100 000 consommateurs ou 25 000 consommateurs + chiffre d'affaires issu de la vente de données 100 000 consommateurs ou 25 000 consommateurs + chiffre d'affaires issu de la vente de données Exerce une activité au TX ou cible des résidents du TX (aucun seuil de chiffre d'affaires) 100 000 consommateurs ou 25 000 consommateurs + chiffre d'affaires issu de la vente de données 35 000 consommateurs ou 10 000 consommateurs + chiffre d'affaires issu de la vente de données
Droit à l'effacement Oui Oui Oui Oui Oui Oui
Droit de refuser la vente (opt-out) Oui Oui Oui Oui Oui (+ publicité ciblée) Oui
AIPD requise Oui (réglementations CPRA, 2025) Oui Oui Oui Oui (minimisation stricte des données) Oui
Délai de régularisation Aucun (expiré en juillet 2023) 60 jours (expiré en janvier 2025) 60 jours (expiré en décembre 2024) 30 jours 60 jours (2 premières années) Aucun
Mise en œuvre Procureur général + CPPA + droit d'action privé (violations) Procureur général uniquement Procureur général uniquement Procureur général uniquement Procureur général uniquement Procureur général uniquement
Sanction maximale par infraction 7 500 $ (intentionnelle) 20 000 $ 5 000 $ 7 500 $ 10 000 $ 10 000 $

Ceci est un aperçu de 6 États et de 8 catégories. Le PDF complet inclut l'ensemble des 20 États et 12 catégories de comparaison.

Sources : texte des lois adoptées, IAPP US State Privacy Legislation Tracker (avril 2026), analyse ArentFox Schiff

Modèle gratuit

Tableau comparatif des lois de protection des données des États : les 20 lois, côte à côte

Vingt États américains disposent désormais de lois complètes de protection des données, et les différences entre elles créent de réelles failles de conformité. Ce PDF gratuit vous offre une comparaison structurée et en un coup d'œil, pour vous épargner le recoupement manuel des lois.

Ce que vous obtiendrez :

  • + Les droits des consommateurs cartographiés à travers les 20 lois étatiques adoptées : accès, rectification, effacement, opt-out et portabilité
  • + Les obligations des entreprises comparées : consentement pour les données sensibles, AIPD, mécanismes d'opt-out universels et délais de régularisation (y compris l'exigence du Rhode Island sans délai de régularisation)
  • + Les seuils d'application en un coup d'œil : des déclencheurs fondés sur le chiffre d'affaires en Californie au seuil plus bas de 35 000 consommateurs du Rhode Island
  • + Les principales dates d'entrée en vigueur et les calendriers d'amendement de 2026, dont l'Indiana, le Kentucky et le Rhode Island, ainsi que les nouvelles réglementations californiennes sur l'ADMT et l'analyse des risques

Les sources comprennent l'IAPP US State Privacy Legislation Tracker (mis à jour en avril 2026) et le texte des lois adoptées pour l'ensemble des 20 États.

Télécharger le tableau gratuit

Saisissez votre adresse e-mail professionnelle et nous vous enverrons le PDF directement dans votre boîte de réception.

PDF gratuit. Aucune démonstration requise. Nous l'enverrons dans votre boîte de réception.

20

États américains dotés de lois complètes de protection des données en vigueur en 2026

MultiState, février 2026 ; IAPP Tracker, avril 2026

Ce que disent les équipes de protection des données

Du chaos des feuilles de calcul à la confiance stratégique

Ce sont les résultats qui comptent : moins de temps consacré à l'administratif, plus de temps pour le travail qui protège réellement votre organisation.

« Nous sommes passés de la majeure partie de notre temps de conformité passée à relancer les unités opérationnelles pour les mises à jour du registre des traitements à travers plusieurs filiales, à une recertification entièrement automatisée. Notre DPD se consacre désormais au travail stratégique sur la protection des données plutôt qu'à la maintenance des feuilles de calcul. »

Équipe de protection des données

Constructeur aéronautique — réduction de 60 % du temps d'administration de la conformité, 6 premiers mois

« Atteindre 100 % de recertification du registre des traitements était inimaginable avec des processus manuels. L'automatisation de Priverion l'a rendu possible sur l'ensemble de nos entités, sans ajouter d'effectifs. »

Équipe de conformité

Un assureur suisse — taux de recertification du registre des traitements de 100 %, entièrement automatisé

« La couverture des évaluations des risques fournisseurs nous a donné une visibilité que nous n'avions jamais eue auparavant. Nous pouvons désormais montrer à notre conseil d'administration exactement où nous en sommes avec chaque tiers qui traite des données personnelles. »

Équipe de protection des données

Un établissement de santé — couverture de 100 % des évaluations des risques fournisseurs

Questions fréquentes

Questions courantes sur les lois de protection des données des États américains

Combien d'États américains disposent de lois complètes de protection des données en 2025 ?

À la mi-2025, 20 États américains ont adopté des lois complètes de protection des données des consommateurs. Huit nouvelles lois sont entrées en vigueur pour la seule année 2025 (Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota et Maryland), faisant presque doubler le nombre d'États dotés de lois de protection des données applicables. D'autres États, dont l'Indiana, le Kentucky et le Rhode Island, ont des lois qui entrent en vigueur en 2026. Source : IAPP US State Privacy Legislation Tracker ; ArentFox Schiff, 2025.

Quelle est la différence entre les lois de protection des données des États et le RGPD ?

Le RGPD est un règlement unique couvrant tous les États membres de l'UE/EEE avec un ensemble harmonisé d'exigences. Les lois de protection des données des États américains sont adoptées indépendamment par chaque État, créant une mosaïque de seuils d'application, de droits des consommateurs, de mécanismes d'application et de délais de régularisation différents. Pour les organisations opérant dans plusieurs États, cela implique de cartographier les obligations loi par loi plutôt que de suivre un cadre unique. Le RGPD s'applique également directement aux sous-traitants, tandis que la plupart des lois étatiques se concentrent sur les responsables du traitement, avec des obligations distinctes pour les sous-traitants.

Quelle loi étatique de protection des données impose les exigences les plus strictes ?