Loi américaine sur la protection de la vie privée

Conformité au Texas Data Privacy and Security Act : ce que votre organisation doit savoir

Mise à jour 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à opérationnaliser la conformité au TDPSA grâce à la cartographie des données inter-entités, à des flux d'AIPD automatisés et à la gestion des fournisseurs.

Le TDPSA est entré en vigueur le 01.07.2024, faisant du Texas l'un des États dotés des lois sur la protection de la vie privée les plus marquantes aux États-Unis. Si votre organisation traite les données personnelles de résidents du Texas, vous avez besoin d'une feuille de route claire en matière de conformité — surtout si vous gérez des obligations réparties entre plusieurs entités ou juridictions.

Ce guide détaille à qui s'applique le TDPSA, ce qu'il exige, comment il se compare aux autres lois étatiques sur la protection de la vie privée, et les étapes pratiques à suivre pour opérationnaliser la conformité. Que vous partiez de zéro ou que vous étendiez un programme de confidentialité existant pour couvrir le Texas, vous saurez exactement où vous en êtes.

La confiance d'équipes de confidentialité qui gèrent la conformité dans plus de 50 juridictions

Constructeur aéronautique mondial Prestataire de santé européen Groupe MedTech suisse Opérateur de transport multi-entités Réseau de soins régional
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Exigences clés

Les exigences clés du Texas Data Privacy and Security Act

Le TDPSA crée des obligations dans six domaines critiques. Voici ce que votre programme de confidentialité doit couvrir — présenté de manière à pouvoir le partager directement avec votre équipe.

Champ d'application large

À qui s'applique le TDPSA ?

Toute personne exerçant une activité commerciale au Texas ou proposant des produits et services consommés par des résidents du Texas, qui traite ou vend des données personnelles. Contrairement à de nombreuses lois étatiques sur la protection de la vie privée, le TDPSA ne fixe ni seuil de chiffre d'affaires, ni volume minimal de traitement de données.

Cela signifie que son périmètre est nettement plus large que celui du CCPA/CPRA ou du VCDPA de Virginie. Si votre organisation manipule des données de consommateurs du Texas de manière significative, partez du principe que vous êtes concerné.

Les principales exemptions comprennent :

  • Les petites entreprises au sens de la SBA (avec des réserves sur la vente de données sensibles)
  • Les institutions financières régies par le GLBA
  • Les entités soumises à la HIPAA (pour les seules informations de santé protégées)
  • Les organisations à but non lucratif et les établissements d'enseignement supérieur

Source : Texas Business & Commerce Code, Chapter 541, en vigueur depuis le 01.07.2024

Droits des consommateurs

Six droits que votre organisation doit respecter

Les résidents du Texas obtiennent un ensemble complet de droits sur leurs données, que votre organisation doit opérationnaliser au moyen de flux de travail documentés et d'un délai de réponse de 45 jours.

  • Droit de connaître ses données personnelles et d'y accéder
  • Droit de rectifier des données inexactes
  • Droit d'effacer ses données personnelles
  • Droit à la portabilité des données
  • Droit de s'opposer à la vente de données, à la publicité ciblée et au profilage
  • Reconnaissance des mécanismes universels d'opposition (obligatoire depuis le 01.01.2025)

Le délai de réponse de 45 jours peut être prolongé de 45 jours supplémentaires moyennant une notification au consommateur — mais votre équipe a besoin d'un système pour suivre et documenter chaque demande de manière cohérente.

Délai de réponse selon le TDPSA §541.101–.105

Obligations du responsable du traitement

Ce que les responsables du traitement doivent faire — bien au-delà d'une mise à jour de la politique de confidentialité

Le TDPSA impose au responsable du traitement des exigences opérationnelles importantes qui vont bien au-delà de la simple mise à jour de votre déclaration de confidentialité.

  • Minimisation des données — ne collecter que ce qui est adéquat, pertinent et raisonnablement nécessaire
  • Limitation des finalités et mesures de sécurité raisonnables
  • Consentement explicite avant tout traitement de données sensibles (données biométriques, de géolocalisation, d'enfants, de santé, d'origine raciale, de religion)
  • Analyses d'impact relatives à la protection des données pour la publicité ciblée, la vente de données, le profilage et le traitement de données sensibles

Pour les organisations multi-entités, chaque filiale traitant des données de résidents du Texas doit disposer de ses propres analyses documentées — c'est là que la coordination à l'échelle du groupe devient essentielle.

Exigences d'analyse selon le TDPSA §541.151–.153

Exigences relatives au sous-traitant

Obligations et exigences contractuelles du sous-traitant

Si votre organisation a recours à des sous-traitants tiers, le TDPSA exige des accords contractuels formels qui reprennent la structure de l'article 28 du RGPD, déjà bien connue de nombreuses équipes de confidentialité européennes.

  • Les sous-traitants doivent aider les responsables du traitement à remplir leurs obligations au titre du TDPSA
  • Exigences contractuelles de confidentialité
  • Suppression ou restitution des données à la fin du contrat
  • Coopération aux audits et à la vérification de la conformité

Les organisations qui gèrent des dizaines de relations avec des fournisseurs ont besoin d'une méthode systématique pour évaluer, documenter et recertifier la conformité des sous-traitants — les tableurs montrent vite leurs limites à grande échelle.

Exigences relatives aux contrats de sous-traitance selon le TDPSA §541.201

Application de la loi

Une application par l'Attorney General avec de vraies sanctions

L'Attorney General du Texas détient l'autorité exclusive d'application — il n'existe pas de droit d'action privé. Mais ne vous laissez pas bercer par un faux sentiment de sécurité. Le Texas a déjà démontré sa volonté de mener une application agressive en matière de protection des données.

1,4 milliard de dollars

Accord transactionnel du Texas avec Meta pour des violations relatives aux données biométriques, 2024

  • Délai de régularisation de 30 jours après notification de l'Attorney General
  • Amendes civiles pouvant atteindre 7'500 dollars par violation
  • Mesures d'injonction et recouvrement des frais d'enquête

Le délai de régularisation de 30 jours ne bénéficie qu'aux organisations capables de démontrer l'existence d'un programme de conformité opérationnel. Si vous recevez une plainte sans rien avoir documenté, vous partez d'une position fondamentalement plus faible.

Dispositions d'application selon le TDPSA §541.251 ; accord avec Meta selon le Texas OAG, juillet 2024

Données sensibles

Les données sensibles ont leurs propres règles

Le TDPSA définit largement les données sensibles et exige un consentement explicite préalable à leur traitement. Il ne s'agit pas d'une logique de « simple information puis traitement » — votre organisation doit disposer de mécanismes de consentement affirmatif.

Les catégories de données sensibles du TDPSA comprennent :

  • L'origine raciale ou ethnique
  • Les convictions religieuses
  • Les données relatives à un diagnostic de santé ou à la vie sexuelle
  • Les données biométriques à des fins d'identification
  • Les données de géolocalisation précise
  • Les données d'un enfant identifié comme tel
  • Le statut de citoyenneté ou d'immigration

Même les petites entreprises au sens de la SBA — par ailleurs exemptées de la plupart des exigences du TDPSA — ne peuvent pas vendre de données sensibles sans consentement explicite. Sur ce point, la loi trace une ligne rouge.

Données sensibles définies au TDPSA §541.001(29) ; exception pour les petites entreprises au §541.002

Besoin de cartographier ces exigences à travers plusieurs entités et juridictions ?

Découvrez comment Priverion gère la conformité multi-cadres

200+

Heures économisées sur la gestion du registre des traitements

Medtec a réaffecté plus de 200 heures consacrées aux mises à jour manuelles du registre des traitements à la préparation de la certification ISO 27001 — qu'elle a obtenue trois mois avant le calendrier prévu.

60%

De coûts en moins par rapport aux plateformes d'entreprise classiques

Un constructeur aéronautique a atteint une conformité complète à l'échelle du groupe pour une fraction du prix d'OneTrust — avec des coûts prévisibles basés sur les entités, et non sur des pièges d'expansion facturés par utilisateur.

3 mois

D'avance sur le calendrier ISO 27001

Medtec a utilisé les dossiers de preuves prêts pour l'audit de Priverion afin de raccourcir la préparation à l'ISO 27001 — en terminant un trimestre complet avant le calendrier initial.

Opérationnaliser la conformité

Sept étapes pour opérationnaliser la conformité au TDPSA

Connaître les exigences est une chose. Construire des flux de travail conformes dans toute votre organisation en est une autre. Voici comment les équipes de confidentialité transforment les obligations du TDPSA en processus reproductibles et auditables.

Étape 1

Délimitez votre empreinte de données au Texas

Identifiez chaque entité, unité opérationnelle et produit qui collecte ou traite des données personnelles de résidents du Texas. Pour les organisations multi-entités, cela implique de cartographier les flux de données entre les filiales — pas uniquement au niveau de la société mère.

La cartographie des données inter-entités de Priverion offre une visibilité à l'échelle du groupe sur les entités concernées, éliminant les approximations à l'origine des lacunes de conformité.

Étape 2

Mettez à jour vos déclarations de confidentialité

Le TDPSA exige une divulgation claire des catégories de données collectées, des finalités de traitement, des droits des consommateurs et des modalités pour les exercer. Si vous êtes déjà conforme au CCPA ou au VCDPA, vos déclarations nécessitent probablement des ajustements propres au Texas plutôt qu'une réécriture complète.

Vérifiez les exigences de déclaration au regard du §541.051 pour vous assurer que vous couvrez toutes les divulgations imposées, y compris les mécanismes d'opposition à la vente de données et à la publicité ciblée.

Étape 3

Construisez des flux de traitement des demandes des personnes concernées

Opérationnalisez la réception, la vérification d'identité, l'acheminement, le traitement et le suivi des réponses pour les six droits des consommateurs. Le compteur de 45 jours démarre à la réception — pas au moment où quelqu'un de votre équipe remarque l'e-mail.

Le module de traitement des demandes des personnes concernées de Priverion suit chaque demande à travers les entités avec une escalade automatisée, afin que rien ne passe entre les mailles du filet durant le délai de réponse légal.

Étape 4

Réalisez des analyses d'impact relatives à la protection des données

Le TDPSA impose des analyses pour la publicité ciblée, la vente de données, le profilage et le traitement de données sensibles. Chaque analyse doit mettre en balance les bénéfices et les risques potentiels pour les droits des consommateurs — et doit être documentée en vue d'un éventuel contrôle de l'Attorney General.

L'automatisation des AIPD/TIA assistée par IA de Priverion rédige les analyses avec une notation des risques, tandis que des relecteurs humains conservent l'approbation finale. Chaque analyse est conservée sous forme de dossier de preuves prêt pour l'audit.

Étape 5

Auditez vos contrats avec les fournisseurs

Chaque relation avec un sous-traitant nécessite des clauses contractuelles couvrant les instructions de traitement des données, la confidentialité, les obligations de suppression et la coopération aux audits. Les contrats de sous-traitance de type RGPD existants couvrent peut-être la plupart des exigences, mais examinez-les pour repérer les lacunes propres au Texas.

Le module d'évaluation des risques fournisseurs de Priverion évalue systématiquement chaque sous-traitant, signale les lacunes contractuelles et suit la recertification de l'ensemble de votre portefeuille de fournisseurs.

Étape 6

Mettez en place des mécanismes de consentement pour les données sensibles

Si une entité de votre groupe traite des catégories de données sensibles — données biométriques, de santé, de géolocalisation précise, d'enfants —, vous devez disposer de mécanismes de consentement affirmatif. Un simple acquittement d'une politique générale de confidentialité ne suffit pas.

Cartographiez les catégories de données sensibles à travers toutes les entités grâce à la cartographie des données inter-entités de Priverion afin d'identifier où des flux de consentement sont nécessaires, avant qu'une action répressive ne décèle la lacune la première.

Étape 7

Reconnaissez les mécanismes universels d'opposition

Depuis le 01.01.2025, le TDPSA impose aux responsables du traitement de reconnaître les signaux universels d'opposition basés sur le navigateur (comme le Global Privacy Control). Cela signifie que votre stack technologique — et pas seulement vos politiques — doit répondre à ces signaux.

Remarque : Priverion ne propose pas de gestion du consentement aux cookies. Si vous avez besoin de reconnaître les signaux universels d'opposition au niveau du navigateur, associez Priverion à une plateforme dédiée de gestion du consentement.

Vous gérez ces étapes à travers plusieurs filiales et juridictions ?

Découvrez comment un constructeur aéronautique a opérationnalisé la conformité à l'échelle du groupe
Comparaison des lois étatiques

Comment le TDPSA se compare aux autres lois étatiques américaines sur la protection de la vie privée

Si votre organisation gère déjà la conformité au CCPA, au VCDPA ou au CPA, comprendre où le TDPSA s'aligne — et où il diverge — vous aide à éviter de dupliquer le travail tout en comblant les lacunes propres au Texas.

Exigence TDPSA (Texas) CCPA/CPRA (Californie) VCDPA (Virginie) CPA (Colorado)
Seuil de chiffre d'affaires / de données Aucun — toute entreprise traitant des données de résidents du Texas 25 M$ de chiffre d'affaires, 50'000+ consommateurs, ou 50%+ du chiffre d'affaires issu de la vente de données 100'000 consommateurs ou 25'000 consommateurs + 50% du chiffre d'affaires issu de la vente de données 100'000 consommateurs ou 25'000 consommateurs + chiffre d'affaires issu de la vente de données
Consentement pour les données sensibles Opt-in requis Opt-out (avec opt-in pour les mineurs) Opt-in requis Opt-in requis
Signal universel d'opposition Requis (depuis le 01.01.2025) Requis Non requis Requis (depuis le 01.07.2024)
Analyses d'impact relatives à la protection des données Requises pour la publicité ciblée, la vente de données, le profilage, les données sensibles Requises (analyses de risque CPRA) Requises Requises
Délai de régularisation 30 jours Aucun (supprimé sous le CPRA) 60 jours (expire en 2026) 60 jours (expiré en janvier 2025)
Application de la loi Attorney General uniquement — pas de droit d'action privé Attorney General + droit d'action privé limité (violations de données) Attorney General uniquement Attorney General uniquement
Amende maximale par violation 7'500 $ 7'500 $ 7'500 $ 20'000 $

Sources : Texas Business & Commerce Code Ch. 541 ; California Civil Code §1798.100 et seq. ; Virginia Code §59.1-575 et seq. ; Colorado Rev. Stat. §6-1-1301 et seq.

Vous gérez la conformité à plusieurs lois étatiques ? L'approche multi-cadres de Priverion vous permet de cartographier les exigences qui se recoupent une seule fois — et non séparément pour chaque juridiction.

Découvrez la conformité multi-cadres en action
Priverion vs. OneTrust

Une conformité de niveau entreprise, sans la complexité de l'entreprise

Les entreprises de taille intermédiaire n'ont pas besoin de 200 modules ni d'une mise en œuvre de six mois. Elles ont besoin d'une plateforme opérationnelle dès la première semaine — avec une tarification qui ne pénalise pas la croissance.

Priverion

Souveraineté des données suisse, garantie

Conçue et hébergée intégralement en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse — et pas seulement dans une zone de disponibilité européenne que vous devez demander. Dans un monde post-Schrems II, ce n'est pas une préférence. C'est une garantie juridique.

Opérationnelle en quelques semaines, pas en plusieurs trimestres

Pas de consultants en mise en œuvre. Pas de déploiement de six mois. Un constructeur aéronautique est passé du lancement à une recertification entièrement automatisée du registre des traitements en moins de six mois — et la majeure partie de ce temps a été consacrée à la personnalisation, pas à la configuration.

D'après le calendrier de déploiement d'un constructeur aéronautique

Une tarification qui a du sens

Basée sur le nombre de sociétés et la taille de l'organisation — pas sur des licences par utilisateur ni des modules complémentaires. Ajoutez des membres d'équipe, étendez-vous à de nouvelles filiales : votre facture reste prévisible. Pas de mauvaise surprise au renouvellement.

Une plateforme de confidentialité tout-en-un

Registre des traitements, AIPD/TIA, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données, registre de l'IA — le tout sur une seule plateforme. Pas besoin d'assembler cinq produits différents du même éditeur.

Une IA qui assiste, sans jamais décider

Rédaction d'AIPD assistée par IA, notation des risques et cartographie réglementaire — le tout traité au sein de l'infrastructure suisse. Chaque résultat de l'IA est revu par un humain avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour entraîner les modèles.

Plateformes d'entreprise classiques

La résidence des données comme option payante

La plupart des plateformes d'entreprise ont leur siège aux États-Unis avec un hébergement américain par défaut. La résidence des données en Europe — quand elle est disponible — est une mise à niveau, un contrat séparé ou une promesse de moyens. Votre service juridique a alors le plaisir de décortiquer la différence entre « hébergé dans l'UE » et « traité dans l'UE ».

Des mois avant de voir la valeur

Les plateformes d'entreprise exigent souvent des équipes de mise en œuvre dédiées, des prestations de services professionnels et des délais de 3 à 6 mois avant que votre premier flux de travail soit opérationnel. C'est du temps que votre DPD passe en réunions de projet au lieu de faire un véritable travail de confidentialité.

Une tarification conçue pour l'expansion

Les licences par utilisateur, par module et les régularisations annuelles font croître vos coûts de manière imprévisible. Ajoutez cinq utilisateurs pour gérer une nouvelle filiale et votre directeur financier reçoit une facture surprise. Le modèle de tarification récompense l'enfermement propriétaire, pas la réussite du client.

Des modules vendus séparément

Besoin du risque fournisseurs et de l'AIPD ensemble ? Cela fait deux modules. Vous voulez la gestion des incidents ? Encore un module. Le consentement aux cookies ? Un autre. Ce qui commence comme un outil de confidentialité devient une plateforme tentaculaire couvrant l'ESG, l'éthique et la GRC — avec la complexité qui va avec.

L'IA comme boîte noire

De nombreuses plateformes commercialisent une conformité « propulsée par l'IA » sans préciser où les données sont traitées, si les résultats sont modifiables avant d'atteindre l'enregistrement, ni comment les modèles sont entraînés. Lorsque votre autorité de contrôle demande comment une note de risque a été générée, « c'est l'IA qui a décidé » n'est pas une réponse.

En toute transparence : nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies. Si vous avez besoin de ces fonctions, nous ne sommes pas le bon choix. Mais si vous avez besoin d'une gestion du programme de confidentialité à l'échelle du groupe qui fonctionne — alors nous devrions discuter.

FAQ

Questions fréquentes sur la conformité au TDPSA

Le TDPSA s'applique-t-il aux entreprises situées hors du Texas ?

Oui. Le TDPSA s'applique à toute personne exerçant une activité commerciale au Texas ou proposant des produits et services consommés par des résidents du Texas. Aucune présence physique au Texas n'est exigée.