Mis à jour en avril 2026

Lois sur la confidentialité des États américains 2026 : ce que votre organisation doit savoir avant le début de l'application

En janvier 2026, 20 États américains disposent de lois complètes sur la confidentialité, chacune assortie d'exigences, de calendriers et de mécanismes d'application différents. Trois nouvelles lois en Indiana, dans le Kentucky et dans le Rhode Island sont entrées en vigueur le 1er janvier, venant s'ajouter à une mosaïque déjà complexe de 17 textes étatiques existants.

Aucune loi fédérale complète sur la confidentialité ne se profile à l'horizon. Les procureurs généraux des États passent de la sensibilisation à l'application. Et si votre organisation opère dans plusieurs États ou via plusieurs entités, la charge de conformité se multiplie rapidement.

Voici votre guide complet de ce qui a changé, de ce qui arrive et de la manière de vous préparer.

20
États dotés de lois complètes sur la confidentialité en 2026
MultiState, février 2026
3
Nouvelles lois étatiques en vigueur au 1er janvier 2026
IAPP US State Privacy Tracker
0
Loi fédérale sur la confidentialité attendue pour primer sur l'action des États
Smith Anderson, janvier 2026
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Pourquoi 2026 est l'année où la conformité américaine en matière de confidentialité devient exponentiellement plus difficile

La mosaïque n'est plus théorique. Voici les forces qui convergent pour faire de la conformité multi-États en matière de confidentialité un défi fondamentalement différent de ce qu'il était il y a encore deux ans.

19 à 20
États dotés de lois complètes sur la confidentialité en vigueur, 2026

La mosaïque a atteint une masse critique

En 2023, seuls cinq États disposaient de lois complètes sur la confidentialité. En janvier 2026, ce nombre se situe entre 19 et 20, selon la manière dont est classée la Digital Bill of Rights de la Floride. L'Indiana, le Kentucky et le Rhode Island sont tous entrés en vigueur le 1er janvier 2026, et l'Arkansas suivra en juillet. Chaque loi comporte ses propres définitions, seuils, droits des consommateurs et dispositions d'application.

Sources : IAPP US State Privacy Legislation Tracker (mis à jour en avril 2026) ; Smarsh US Data Privacy Updates 2026 ; MultiState Insider, février 2026

0
Loi fédérale complète sur la confidentialité attendue à court terme

Aucune primauté fédérale n'est en vue

Aucun effort significatif n'a été engagé en 2025 autour de la proposition ou de l'adoption d'une législation fédérale complète sur la confidentialité. Compte tenu des priorités de l'administration actuelle, une norme fédérale reste improbable à court terme. Les procureurs généraux des États continueront de mener la protection des consommateurs en matière de confidentialité des données, et les organisations ne peuvent pas attendre une simplification qui ne se profile pas à l'horizon.

Sources : Smith Anderson, « Data Privacy in 2026: State Enforcement Takes Center Stage », janvier 2026 ; Wolters Kluwer Privacy Insights, janvier 2026

2,75 M$
Plus important accord transactionnel de la CPPA début 2026

L'application s'accélère, elle ne ralentit pas

Les procureurs généraux des États ne sont plus en phase d'échauffement. La California Privacy Protection Agency a établi un accord record de 2,75 millions de dollars en février 2026, dépassant son précédent maximum de 1,35 million de dollars conclu avec Tractor Supply Company. Le Texas s'est imposé comme un régulateur agressif en matière de confidentialité, et l'activité d'application en Californie, au Texas et dans le Connecticut s'intensifie, des sanctions de plusieurs millions de dollars faisant désormais jurisprudence.

Sources : Secure Privacy US State Privacy Law Tracker, mars 2026 ; Sidley Austin Data Matters Blog, 2026

120
Obligations de conformité pour 8 entités réparties dans 15 États

L'arithmétique multi-entités est implacable

Une entreprise comptant 8 filiales opérant dans 15 États ne fait pas face à 15 obligations de conformité. Elle en compte 120. Chaque entité doit démontrer sa conformité de manière indépendante au regard de chaque loi étatique applicable : tenir un registre des activités de traitement, réaliser des analyses et répondre aux demandes d'exercice des droits des consommateurs. La plupart des lois étatiques définissent le « responsable du traitement » au niveau de l'entité juridique, ce qui rend insuffisante une certification au niveau du groupe.

Calcul illustratif : 15 États x 8 entités = 120 obligations de conformité distinctes

9
Lois étatiques existantes sur la confidentialité modifiées pour la seule année 2025

Les lois continuent d'évoluer après leur adoption

La conformité n'est pas un exercice ponctuel. Neuf États dotés de lois complètes existantes sur la confidentialité les ont modifiées en 2025. La Californie a finalisé de nouvelles règles relatives à la prise de décision automatisée, aux audits de cybersécurité et aux analyses de risques. Le Connecticut a supprimé les exemptions accordées aux établissements financiers. L'Oregon a renforcé la protection des données de géolocalisation et de celles des mineurs. Les délais de régularisation expirent dans plusieurs États, augmentant sensiblement les enjeux liés à l'application.

Sources : Smith Anderson, janvier 2026 ; Baker Donelson, janvier 2026 ; IAPP, janvier 2026

0 $
Délai de régularisation du Rhode Island pour les violations en matière de confidentialité

La conformité réactive devient inabordable

Les programmes de conformité proactifs gagnent en efficacité au fil du temps, à mesure que les processus mûrissent. La conformité réactive devient plus coûteuse à mesure que le volume réglementaire augmente. Le Rhode Island n'offre aucun délai de régularisation pour les violations, avec des sanctions pouvant atteindre 10'000 $ chacune. Le délai de régularisation du Montana expire en avril 2026. Les organisations qui mettent en place des programmes structurés engagent des dépenses prévisibles, tandis que celles qui réagissent dans l'urgence à des mesures d'application font face à des coûts qui s'accumulent rapidement.

Sources : Koley Jessen, janvier 2026 (sanctions du Rhode Island) ; VeraSafe US Privacy Laws 2026 ; Compliance and Risks, mars 2026

Le IAPP US State Privacy Legislation Tracker suit ces évolutions en temps réel. Pour les organisations multi-entités, le suivi seul ne suffit pas. Il vous faut une approche structurée pour opérationnaliser la conformité dans chaque filiale et chaque juridiction.

Télécharger la matrice comparative 2026 des lois étatiques américaines sur la confidentialité

Toutes les lois étatiques américaines sur la confidentialité en vigueur ou entrant en vigueur en 2026

Ce tableau couvre l'ensemble des lois étatiques complètes sur la confidentialité actuellement en vigueur, ainsi que celles entrant en vigueur en 2026. Les lois sont classées par date d'entrée en vigueur. Les seuils d'applicabilité, les modèles d'application et les délais de régularisation varient considérablement, ce qui rend indispensable une approche de conformité unifiée pour les organisations multi-entités.

État Loi Date d'entrée en vigueur Seuil d'applicabilité Délai de régularisation Application Sanction maximale
Californie CCPA / CPRA 1er janv. 2020 / 1er janv. 2023 Chiffre d'affaires de 25 M$+, 100'000+ consommateurs, ou 50 %+ du chiffre d'affaires issu de la vente de données Aucun (expiré) Procureur général + CPPA 7'500 $/violation
Virginie VCDPA 1er janv. 2023 100'000+ consommateurs ou 25'000+ consommateurs avec 50 %+ du chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 7'500 $/violation
Colorado CPA 1er juil. 2023 100'000+ consommateurs ou 25'000+ consommateurs avec un chiffre d'affaires issu de la vente de données 60 jours (expiré en janv. 2025) Procureur général uniquement 20'000 $/violation
Connecticut CTDPA 1er juil. 2023 100'000+ consommateurs ou 25'000+ consommateurs avec 25 %+ du chiffre d'affaires issu de la vente de données 60 jours (expiré en déc. 2024) Procureur général uniquement 5'000 $/violation
Utah UCPA 31 déc. 2023 Chiffre d'affaires de 25 M$+ et 100'000+ consommateurs ou 50 %+ du chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 7'500 $/violation
Oregon OCPA 1er juil. 2024 100'000+ consommateurs ou 25'000+ consommateurs avec 25 %+ du chiffre d'affaires issu de la vente de données 30 jours (expire en juil. 2026) Procureur général uniquement 7'500 $/violation
Texas TDPSA 1er juil. 2024 Exerce une activité au TX ou produit des biens/services consommés au TX ; aucun seuil de chiffre d'affaires 30 jours Procureur général uniquement 7'500 $/violation
Montana MCDPA 1er oct. 2024 50'000+ consommateurs ou 25'000+ consommateurs avec 25 %+ du chiffre d'affaires issu de la vente de données 60 jours (expire en avr. 2026) Procureur général uniquement 7'500 $/violation
Delaware DPDPA 1er janv. 2025 35'000+ consommateurs ou 10'000+ consommateurs avec 20 %+ du chiffre d'affaires issu de la vente de données 60 jours Procureur général uniquement 10'000 $/violation
Iowa ICDPA 1er janv. 2025 100'000+ consommateurs ou 50 %+ du chiffre d'affaires issu de la vente de données avec 25'000+ consommateurs 90 jours Procureur général uniquement 7'500 $/violation
Nebraska NDPA 1er janv. 2025 S'applique largement aux responsables du traitement ; aucun seuil de chiffre d'affaires ou de nombre de consommateurs 30 jours Procureur général uniquement 7'500 $/violation
New Hampshire NHPA 1er janv. 2025 100'000+ consommateurs ou 25'000+ consommateurs avec 25 %+ du chiffre d'affaires issu de la vente de données 60 jours Procureur général uniquement 10'000 $/violation
New Jersey NJDPA 15 janv. 2025 100'000+ consommateurs ou 25'000+ consommateurs avec un chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 10'000 $/violation
Tennessee TIPA 1er juil. 2025 Chiffre d'affaires de 25 M$+ et 175'000+ consommateurs ou 25'000+ consommateurs avec 50 %+ du chiffre d'affaires issu de la vente de données 60 jours Procureur général uniquement 7'500 $/violation
Minnesota MCDPA 31 juil. 2025 100'000+ consommateurs ou 25'000+ consommateurs avec 25 %+ du chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 7'500 $/violation
Maryland MODPA 1er oct. 2025 35'000+ consommateurs ou 10'000+ consommateurs avec 20 %+ du chiffre d'affaires issu de la vente de données 60 jours (2 premières années) Procureur général uniquement 10'000 $/violation
Floride FDBR 1er juil. 2024 Chiffre d'affaires mondial de 1 Md$+ ; critères spécifiques applicables 45 jours Procureur général + Dept. of Legal Affairs 50'000 $/violation
Indiana ICDPA 1er janv. 2026 100'000+ consommateurs ou 25'000+ consommateurs avec 50 %+ du chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 7'500 $/violation
Kentucky KCDPA 1er janv. 2026 100'000+ consommateurs ou 25'000+ consommateurs avec 50 %+ du chiffre d'affaires issu de la vente de données 30 jours Procureur général uniquement 7'500 $/violation
Rhode Island RIDPA 1er janv. 2026 35'000+ consommateurs ou 10'000+ consommateurs avec 20 %+ du chiffre d'affaires issu de la vente de données Aucun Procureur général uniquement 10'000 $/violation

Sources : IAPP US State Privacy Legislation Tracker (mis à jour en avril 2026) ; MultiState Insider, février 2026 ; Smarsh US Data Privacy Updates 2026 ; Smith Anderson, janvier 2026. La FDBR de la Floride est parfois exclue du décompte des lois complètes sur la confidentialité en raison de son seuil d'applicabilité étroit. Les délais de régularisation indiqués ci-dessus reflètent le statut actuel : plusieurs États ont supprimé ou sont en train de supprimer leur délai de régularisation, accroissant le risque lié à l'application.

À surveiller : l'Arkansas (SB 396) entre en vigueur le 1er juillet 2026. Plusieurs autres États, dont la Géorgie, la Pennsylvanie et le Wisconsin, examinent des projets de loi sur la confidentialité lors des sessions 2026.

Télécharger la matrice comparative complète (PDF)

Les chiffres derrière des équipes de conformité plus sereines

200+
Heures gagnées sur la préparation à l'ISO 27001

Medtec a gagné plus de 200 heures dans sa préparation à l'ISO 27001. Le processus de certification type prend de 6 à 12 mois sans outillage dédié.

Medtec, résultat client vérifié

60 %
De temps administratif de conformité en moins par rapport aux plateformes traditionnelles

Un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois, alors que des plateformes de confidentialité d'entreprise comme OneTrust peuvent coûter de moyennes à hautes six chiffres par an.

Constructeur aéronautique, six premiers mois sur Priverion

3 mois
D'avance sur le calendrier de préparation à l'ISO 27001

La plupart des organisations ont besoin de 6 à 12 mois pour la certification ISO 27001. Grâce aux dossiers de preuves prêts pour l'audit de Priverion, les équipes compriment sensiblement ce calendrier.

D'après les références sectorielles de l'ISO 27001 (Vanta, ISMS.online, 2026)

Conçu pour la réalité du mid-market, pas pour la lourdeur des grands groupes

Avec des amendes RGPD dépassant 7,1 milliards d'euros et une application qui s'accélère partout en Europe, il vous faut une plateforme de confidentialité opérationnelle dès le premier jour. Pas une plateforme qui demande des mois de configuration et coûte six chiffres avant de produire de la valeur.

Source : DLA Piper GDPR Fines and Data Breach Survey, janvier 2026

Priverion

Conçu sur mesure pour les programmes de confidentialité multi-entités

  • Souveraineté suisse des données, garantie

    Conçu et hébergé en Suisse. Tout le traitement des données reste au sein de l'infrastructure suisse, à l'abri du US CLOUD Act et de la section 702 du FISA. Dans un contexte post-Schrems II, ce n'est pas un argument marketing ; c'est une garantie juridique pour les transferts de données transfrontaliers.

  • Opérationnel en quelques semaines, pas en quelques mois

    Un constructeur aéronautique est passé d'une conformité gérée sur tableur à une recertification entièrement automatisée du registre des traitements au cours de ses six premiers mois, réduisant de 60 % son temps administratif de conformité. Aucun recours à des services professionnels n'est nécessaire pour démarrer.

    Constructeur aéronautique, six premiers mois sur la plateforme

  • Tarification prévisible et transparente

    Tarifée selon le nombre de sociétés et la taille de l'organisation. Pas de frais par utilisateur, pas de pièges liés à l'extension par module, pas d'augmentations annuelles surprises. Votre directeur financier appréciera de pouvoir budgétiser sans deviner.

  • Une conformité à l'échelle du groupe depuis une seule plateforme

    Gestion du registre des traitements, automatisation des AIPD/TIA, évaluations du risque fournisseurs, traitement des demandes des personnes concernées, gestion des incidents et Registre IA pour la préparation au règlement européen sur l'IA. Tout est inclus, tout est connecté, tout est visible depuis un seul tableau de bord DPD.

  • Assisté par l'IA, décidé par l'humain

    L'IA rédige les AIPD, évalue les risques et met en correspondance les exigences réglementaires. Chaque résultat est examiné avant de devenir un enregistrement de conformité. Aucune donnée client n'est jamais utilisée pour l'entraînement des modèles. La transparence et le contrôle priment.

  • Des intégrations approfondies là où cela compte

    Des connexions significatives avec les systèmes RH, d'achats et de gestion des actifs informatiques. Pas 200 connecteurs superficiels qui génèrent une charge de maintenance. La profondeur ciblée plutôt que l'étendue dispersée.

OneTrust

Une plateforme à l'échelle de l'entreprise, avec une complexité à l'échelle de l'entreprise

  • Siège aux États-Unis, soumis au droit américain

    Les fournisseurs basés aux États-Unis restent soumis au CLOUD Act et à la section 702 du FISA, qui peuvent contraindre à la divulgation de données, même pour des données stockées en Europe. Les États membres de l'UE ont formalisé cette préoccupation dans la Déclaration de Berlin de novembre 2025 pour la souveraineté numérique européenne.

    Source : Déclaration de Berlin pour la souveraineté numérique européenne, nov. 2025

  • Des semaines de configuration avant la moindre valeur

    Les utilisateurs du mid-market signalent systématiquement des courbes d'apprentissage abruptes et des délais de mise en place étendus. Comme l'a noté un évaluateur sur G2, la configuration des flux de travail et la cartographie des données ont pris « plusieurs semaines » avant que la plateforme ne devienne fonctionnelle. Les équipes plus modestes trouvent cette complexité particulièrement difficile.

    Source : avis d'utilisateurs G2 et Capterra, 2025/2026

  • Une tarification modulaire opaque qui s'envole

    Pas de tarif public. Chaque module facturé selon sa propre métrique. Les prestations de mise en œuvre des plateformes GRC d'entreprise sont généralement facturées séparément, en sus du contrat logiciel. OneTrust ne publie pas de tarifs catalogue. Selon les données de prix agrégées rapportées par les acheteurs, les déploiements pour le mid-market vont couramment du milieu de la tranche à cinq chiffres jusqu'au bas de la tranche à six chiffres par an. Source : données de prix agrégées rapportées par les acheteurs de Vendr et Enzuzo, consultées le 18.05.2026.

    Sources : données de marché Vendr (févr. 2026), analyse tarifaire Enzuzo (mars 2026)

  • L'étendue au détriment de la concentration

    Cinq gammes de produits couvrant le consentement, la confidentialité, la GRC, l'éthique et le risque tiers. Puissant pour les organisations du Fortune 500 dotées d'équipes dédiées, mais les entreprises du mid-market paient souvent pour des fonctionnalités qu'elles n'utilisent jamais. L'ESG, les lignes d'alerte éthique et le consentement aux cookies ne sont peut-être pas ce dont votre DPD a le plus besoin.

  • Une gouvernance de l'IA en expansion, mais complexe

    Les fonctionnalités de gouvernance de l'IA lancées en 2025 sont bien considérées par les analystes. Toutefois, ajouter des modules d'IA implique un nouveau palier tarifaire et une couche de configuration supplémentaire par-dessus une plateforme déjà complexe.

  • Des intégrations nombreuses, une charge importante

    Se connecte à des centaines de systèmes, y compris des intégrations Microsoft approfondies. Les organisations ont fréquemment besoin d'équipes dédiées pour gérer les déploiements OneTrust et leur maintenance continue.

    Source : avis d'utilisateurs Capterra et G2, 2025/2026

7,1 Md€+
Amendes RGPD cumulées depuis mai 2018. L'application s'accélère, avec 1,2 milliard d'euros prononcés pour la seule année 2025.
DLA Piper GDPR Fines and Data Breach Survey, janvier 2026
443/jour
Notifications de violation reçues quotidiennement en moyenne par les autorités européennes de protection des données, soit une hausse de 22 % d'une année sur l'autre.
DLA Piper GDPR Fines and Data Breach Survey, janvier 2026
40 %
Part prévue des grandes entreprises qui imposeront à leurs fournisseurs cloud des contrôles de souveraineté des données d'ici fin 2025.
Prévision d'analystes sectoriels (TechClass, 2025)

Une note d'honnêteté

Priverion ne couvre pas l'ESG, les lignes d'alerte éthique ou le consentement aux cookies. Nous ne sommes pas conçus pour les entreprises mono-entité. Si vous êtes une entreprise du Fortune 500 avec plus de 200 besoins d'intégration et des équipes d'ingénierie de conformité dédiées, OneTrust est peut-être le bon choix. Si vous êtes une organisation du mid-market gérant la confidentialité au sein de plusieurs filiales et devez être opérationnel en quelques semaines avec des coûts prévisibles, c'est exactement ce pour quoi nous avons conçu notre solution.

Réserver une démonstration de 30 min

Découvrez comment un constructeur aéronautique a réduit de 60 % son temps administratif de conformité en 6 mois

Le guide de conformité 2026 aux lois étatiques américaines sur la confidentialité

19 à 20 États disposent désormais de lois complètes sur la confidentialité en vigueur, avec une application qui s'intensifie en Californie, au Texas, dans le Connecticut et au-delà. Gérer cette mosaïque au sein d'une organisation multi-entités exige bien plus qu'un tableur. Ce guide en fait le décryptage.

Dans ce guide, vous trouverez :

  • + Un décryptage État par État de toutes les dates d'entrée en vigueur 2026, des délais de régularisation et des seuils d'application pour l'Indiana, le Kentucky, le Rhode Island, ainsi que des lois modifiées en Californie, dans l'Oregon et au-delà
  • + Les principales différences de seuils d'applicabilité, du seuil bas du Rhode Island de 35'000 consommateurs à la norme de 100'000 consommateurs du modèle de la Virginie adoptée par l'Indiana et le Kentucky
  • + Une liste de contrôle pratique de la conformité couvrant les analyses de risques, les avis de confidentialité, les mécanismes d'opt-out et les exigences de consentement pour les données sensibles dans plusieurs juridictions
  • + Les fourchettes de sanctions par État, incluant jusqu'à 7'500 $ par violation en Indiana et dans le Kentucky et jusqu'à 10'000 $ par violation dans le Rhode Island, pour savoir où le risque lié à l'application est le plus élevé

Données issues du IAPP US State Privacy Legislation Tracker (mis à jour en avril 2026) et des relevés d'application des procureurs généraux des États.

Obtenez le PDF gratuit

Votre équipe de conformité vous en remerciera. Livré directement dans votre boîte de réception.

PDF gratuit. Aucune démonstration requise. Nous vous l'envoyons dans votre boîte de réception.

Pourquoi c'est important maintenant :

Les procureurs généraux des États coordonnent de plus en plus leurs actions, et de nouvelles réglementations californiennes sur la prise de décision automatisée, les analyses de risques et les audits de cybersécurité sont entrées en vigueur le 1er janvier 2026. Attendre est la stratégie de conformité la plus coûteuse.

Cessez de gérer la conformité dans des tableurs

Découvrez à quoi ressemble une gestion de la confidentialité à l'échelle du groupe quand elle fonctionne vraiment

Les régulateurs ont prononcé plus de 2'200 amendes RGPD totalisant environ 5,65 milliards d'euros depuis 2018, l'application s'accélérant vers les secteurs du mid-market et des PME.

Source : CMS GDPR Enforcement Tracker Report, mars 2025

En 30 minutes, nous vous montrerons comment des organisations comme un constructeur aéronautique ont réduit leur temps administratif de conformité de 60 % au cours de leurs six premiers mois, et comment la recertification automatisée du registre des traitements, les AIPD assistées par l'IA et la cartographie des données inter-entités peuvent faire de même pour votre équipe.

60 %
De temps administratif de conformité en moins