Politique de confidentialité CCPA : le guide

← Blog Fondamentaux RGPD
9 min de lecture
Mis à jour : 30 avril 2026
Équipe WebLegal

Le California Consumer Privacy Act (CCPA), codifié aux Cal. Civ. Code sections 1798.100 à 1798.199.100, a fondamentalement modifié la façon dont les entreprises doivent traiter les informations personnelles des résidents californiens. Tel qu’amendé par le California Privacy Rights Act (CPRA) en 2023, la loi impose des exigences spécifiques en matière de politique de confidentialité qui vont bien au-delà de ce à quoi de nombreuses entreprises sont habituées. Si votre site web collecte des informations personnelles de consommateurs californiens, votre politique de confidentialité doit répondre à des normes légales détaillées sous peine de mesures d’application significatives. Ce guide détaille exactement ce que le CCPA exige et comment mettre votre politique de confidentialité en conformité.

Qui doit se conformer au CCPA

Le CCPA ne s’applique pas à toutes les entreprises. Il cible les entités à but lucratif qui exercent une activité en Californie et répondent à au moins l’un des trois seuils établis par le Cal. Civ. Code section 1798.140(d) :

1. Chiffre d’affaires annuel brut supérieur à 25 millions de dollars. Ce seuil s’applique au chiffre d’affaires mondial de l’entreprise, pas seulement aux revenus provenant des opérations californiennes. Si votre entreprise génère plus de 25 millions de dollars annuellement, quelle que soit la source, le CCPA s’applique à votre traitement des données des consommateurs californiens.

2. Achat, vente ou partage des informations personnelles de 100 000 consommateurs ou ménages ou plus. Ce seuil a été relevé de 50 000 à 100 000 en vertu des amendements CPRA. Étant donné que les « informations personnelles » selon le CCPA incluent les adresses IP, les identifiants d’appareils et l’historique de navigation, de nombreuses entreprises en ligne avec un trafic californien modéré peuvent atteindre ce nombre sans s’en rendre compte.

3. Tirer 50 % ou plus du chiffre d’affaires annuel de la vente ou du partage d’informations personnelles de consommateurs. Les courtiers en données et les entreprises dépendantes de la publicité entrent fréquemment dans cette catégorie.

Même si votre entreprise n’est pas basée en Californie, vous devez vous conformer si vous remplissez l’un de ces seuils et collectez des informations personnelles de résidents californiens. La portée extraterritoriale du CCPA signifie qu’une entreprise de commerce en ligne à Paris ou une société SaaS à Lyon peut être soumise au droit californien de la vie privée.

Pour les entreprises françaises soumises également au RGPD, il est essentiel de comprendre les différences entre les cadres américain et européen. La CNIL (Commission nationale de l’informatique et des libertés) applique le RGPD en France avec des exigences qui diffèrent sur plusieurs points du CCPA.

Ce que votre politique de confidentialité CCPA doit divulguer

Le CCPA établit des exigences de divulgation spécifiques aux Cal. Civ. Code sections 1798.100(a) et 1798.130(a). Votre politique de confidentialité doit inclure les éléments suivants :

Catégories d’informations personnelles collectées. Vous devez lister les catégories d’informations personnelles que vous avez collectées au cours des 12 derniers mois. Le CCPA définit 12 catégories au titre de la section 1798.140(v), incluant les identifiants (nom, email, adresse IP), les informations commerciales (historique d’achats), l’activité Internet (historique de navigation, historique de recherche), les données de géolocalisation et les informations professionnelles ou relatives à l’emploi.

Finalités de la collecte. Pour chaque catégorie d’informations personnelles, divulguez la finalité commerciale ou le but pour lequel elles ont été collectées. Des déclarations vagues comme « pour améliorer nos services » sont insuffisantes. Vous devez être précis : « pour traiter les commandes et effectuer les livraisons », « pour diffuser de la publicité ciblée basée sur le comportement de navigation », « pour détecter les incidents de sécurité ».

Catégories de tiers avec lesquels les informations sont partagées. Si vous partagez des informations personnelles avec des tiers, divulguez les catégories de destinataires : réseaux publicitaires, fournisseurs d’analyse, processeurs de paiement, services d’hébergement cloud. En vertu des amendements CPRA, vous devez également divulguer les catégories de tiers auxquels les informations sont vendues ou partagées pour la publicité comportementale cross-context.

Droits des consommateurs et comment les exercer. Votre politique doit expliquer les droits dont disposent les consommateurs californiens en vertu du CCPA : le droit de savoir, le droit de suppression, le droit de refuser la vente ou le partage des informations personnelles, le droit de corriger les informations inexactes et le droit de limiter l’utilisation des informations personnelles sensibles. Vous devez fournir des instructions claires pour soumettre des demandes, incluant au moins deux méthodes désignées (un numéro gratuit et une adresse de site web).

Périodes de conservation. Le CPRA a ajouté une exigence de divulgation de la période de conservation pour chaque catégorie d’informations personnelles, ou des critères utilisés pour déterminer les périodes de conservation.

Lien « Ne pas vendre ou partager mes informations personnelles ». Si votre entreprise vend ou partage des informations personnelles, vous devez fournir un lien clairement libellé sur votre page d’accueil intitulé « Ne pas vendre ou partager mes informations personnelles ». Ce mécanisme d’opt-out doit être fonctionnel et facile à utiliser. En vertu du CPRA, cela s’étend à la publicité comportementale cross-context, pas seulement aux ventes traditionnelles de données. Une bannière cookies gratuite peut fournir cette fonctionnalité d’opt-out en plus de la gestion du consentement RGPD.

Avis d’incitation financière. Si vous offrez des incitations financières (remises, programmes de fidélité) en échange de la collecte, de la vente ou de la conservation d’informations personnelles, votre politique de confidentialité doit décrire les termes matériels du programme d’incitation et expliquer comment les consommateurs peuvent s’inscrire ou se retirer.

Conformité au §7025 (Global Privacy Control). En vertu du règlement d’application du CCPA en vigueur depuis janvier 2026, votre politique de confidentialité doit divulguer comment votre site honore le signal Global Privacy Control transmis par le navigateur comme une demande d’opt-out valide. Voir la section dédiée ci-dessous pour un modèle de formulation.

Divulguer la conformité GPC dans votre politique de confidentialité

En vertu de la section 7025 du règlement d’application du CCPA, toute entreprise soumise au CCPA DOIT honorer automatiquement les signaux Global Privacy Control (GPC) au niveau du navigateur comme demandes d’opt-out de la vente ou du partage. Il s’agit d’un mandat technique de conformité : lorsque le navigateur d’un visiteur transmet un signal GPC, votre site doit traiter ce signal comme une demande valide de retrait du consommateur de la vente ou du partage de ses informations personnelles, sans aucune action utilisateur supplémentaire. La politique de confidentialité elle-même doit divulguer cette mise en œuvre technique — le silence sur ce point n’est pas acceptable.

Pourquoi la divulgation compte indépendamment. La CPPA et le procureur général de Californie ont clairement indiqué que respecter le GPC et divulguer ce respect sont deux obligations distinctes. Une entreprise qui traite techniquement les signaux GPC correctement mais omet de le mentionner dans sa politique de confidentialité peut être sanctionnée pour divulgation insuffisante. Inversement, une entreprise qui prétend respecter le GPC dans sa politique mais ne l’honore pas techniquement s’expose à des poursuites pour pratiques trompeuses tant en vertu du CCPA que de la loi californienne sur la concurrence déloyale.

Modèle de formulation. Vous pouvez adapter les deux paragraphes suivants comme point de départ :

Notre site honore le signal Global Privacy Control (GPC) comme demande d’opt-out valide en vertu du California Consumer Privacy Act, conformément à la section 7025 du règlement d’application du CCPA. Lorsque votre navigateur transmet un signal GPC, nous le traitons automatiquement comme une demande de refus de la vente et du partage de vos informations personnelles, y compris à des fins de publicité comportementale inter-contextuelle. Vous n’avez besoin de soumettre aucune demande supplémentaire, de cliquer sur aucun lien et de remplir aucun formulaire — le signal GPC seul suffit.

Si vous souhaitez vérifier que votre navigateur envoie un signal GPC, vous pouvez installer une extension de navigateur axée sur la confidentialité ou utiliser un navigateur qui prend en charge nativement le GPC. Le respect du GPC vient en complément — et ne remplace pas — notre lien « Ne pas vendre ou partager mes informations personnelles », qui reste disponible pour les consommateurs qui préfèrent soumettre une demande d’opt-out manuelle ou dont le navigateur ne transmet pas de signal GPC.

Placez cette divulgation dans une sous-section clairement identifiée de votre politique de confidentialité, généralement près de votre section « Ne pas vendre ou partager » ou « Vos droits de confidentialité en Californie ». La divulgation doit rester exacte : si vous modifiez votre logique de traitement GPC, mettez à jour la politique.

Divulguer les technologies de prise de décision automatisée (ADMT)

Le règlement d’application du CCPA en vigueur depuis janvier 2026 a également introduit des obligations de divulgation et d’opt-out concernant les technologies de prise de décision automatisée (ADMT, Automated Decision-Making Technology). Si votre entreprise utilise une ADMT pour prendre des décisions significatives concernant les consommateurs — par exemple, un scoring de crédit automatisé, des filtres de recrutement, une surveillance des employés, une souscription d’assurance, ou des décisions substantielles en matière éducative ou de logement — votre politique de confidentialité doit divulguer cette utilisation, décrire la logique impliquée, et expliquer le droit du consommateur de refuser d’être soumis à une ADMT (avec des exceptions limitées pour la détection de fraude et la sécurité).

Pour la plupart des sites grand public qui n’effectuent pas de prise de décision automatisée significative, cette section peut être brève : un court paragraphe confirmant que l’entreprise n’utilise pas d’ADMT pour prendre des décisions ayant un effet juridique ou similairement significatif sur les consommateurs. Pour les entreprises qui utilisent l’ADMT, une divulgation plus détaillée est requise, incluant le droit d’accès aux informations sur la logique et le droit d’opt-out. Voir notre analyse complète des sept changements CCPA 2026 pour les exigences techniques complètes.

Pour les opérateurs en double juridiction, notre comparaison CCPA vs RGPD explique comment les nouvelles obligations GPC et ADMT s’alignent — et divergent — avec les concepts équivalents du RGPD (article 22 sur la décision automatisée, article 21 sur le droit d’opposition).

Informations personnelles sensibles en vertu du CPRA

Le CPRA a introduit le concept d’« informations personnelles sensibles », qui inclut les numéros de sécurité sociale, les identifiants de comptes financiers, la géolocalisation précise, l’origine raciale ou ethnique, les croyances religieuses, le contenu des courriers ou messages texte, les données génétiques, les informations biométriques, les informations de santé et l’orientation sexuelle.

Si votre entreprise collecte des informations personnelles sensibles, votre politique de confidentialité doit le divulguer et offrir aux consommateurs le droit de limiter leur utilisation aux fins nécessaires à la fourniture des biens ou services demandés. Vous devez également inclure un lien séparé sur votre page d’accueil : « Limiter l’utilisation de mes informations personnelles sensibles ».

Cette protection renforcée pour les catégories de données sensibles fait écho aux dispositions similaires du RGPD (Article 9) — un cadre que la CNIL applique rigoureusement en France — reflétant une tendance mondiale vers un traitement plus strict des informations personnelles à haut risque.

Erreurs courantes de conformité

De nombreuses entreprises ne respectent pas le CCPA non pas par négligence délibérée, mais par méconnaissance des exigences de la loi. Voici les erreurs les plus fréquentes :

Utiliser une politique de confidentialité uniquement RGPD. Bien que le RGPD et le CCPA se recoupent dans certains domaines, une politique de confidentialité conçue exclusivement pour la conformité RGPD ne satisfera pas aux exigences du CCPA. Le CCPA a ses propres catégories de divulgation spécifiques, son propre cadre de droits des consommateurs et ses propres mécanismes d’opt-out qui diffèrent substantiellement du droit européen. Pour les entreprises françaises habituées aux exigences de la CNIL et du RGPD, il est crucial d’ajouter les éléments spécifiques au CCPA.

Ne pas mettre à jour annuellement. Le Cal. Civ. Code section 1798.130(a)(5) exige des entreprises qu’elles mettent à jour leur politique de confidentialité au moins une fois tous les 12 mois. La date de dernière mise à jour doit être affichée de manière visible. De nombreuses entreprises créent une politique une fois et ne la révisent jamais, la laissant obsolète à mesure que leurs pratiques de données évoluent.

Divulgations de catégories incomplètes. Lister « informations personnelles » comme une seule catégorie n’est pas suffisant. Le CCPA exige une divulgation granulaire à travers ses 12 catégories énumérées. Examinez vos flux de données réels, y compris les outils d’analyse, les pixels publicitaires, les intégrations CRM et les processeurs de paiement, pour vous assurer que chaque catégorie est couverte.

Aucun mécanisme d’opt-out fonctionnel. Avoir un lien « Ne pas vendre » qui mène à un formulaire cassé, une adresse email non surveillée ou une page de contact générique est une violation. L’opt-out doit fonctionner, et vous devez traiter les demandes dans un délai de 15 jours ouvrables.

Ignorer les prestataires de services et les sous-traitants. Le CCPA distingue les « prestataires de services » (qui traitent les données pour votre compte en vertu d’un contrat) et les « tiers » (qui reçoivent les données pour leurs propres finalités). Votre politique de confidentialité doit caractériser précisément ces relations, et vos contrats doivent inclure des clauses de traitement des données conformes au CCPA. En France, cette distinction est parallèle à celle du RGPD entre responsables de traitement et sous-traitants (articles 26 et 28).

Application et sanctions du CCPA

Le bureau du procureur général de Californie applique activement le CCPA depuis juillet 2020. En vertu du Cal. Civ. Code section 1798.155, les sanctions comprennent :

  • Jusqu’à 2 500 $ par violation non intentionnelle. Étant donné que chaque dossier de consommateur peut constituer une violation distincte, les amendes s’accumulent rapidement. Une violation de données affectant 10 000 consommateurs californiens pourrait théoriquement entraîner 25 millions de dollars de sanctions.
  • Jusqu’à 7 500 $ par violation intentionnelle. Les violations conscientes du CCPA ou les violations impliquant les informations personnelles de mineurs de moins de 16 ans entraînent la sanction plus élevée.
  • Droit d’action privé pour les violations de données. En vertu de la section 1798.150, les consommateurs peuvent poursuivre directement les entreprises pour des violations de données résultant du défaut de mise en œuvre de mesures de sécurité raisonnables. Les dommages-intérêts légaux vont de 100 $ à 750 $ par consommateur par incident, ou les dommages réels, le montant le plus élevé étant retenu.

La California Privacy Protection Agency (CPPA), créée par le CPRA, partage désormais l’autorité d’application avec le procureur général et émet activement des réglementations et mène des enquêtes. Pour en savoir plus sur les risques d’application, consultez notre article sur les sanctions CCPA.

Quatre approches de la conformité CCPA pour votre politique de confidentialité

Engager un avocat spécialisé en protection des données

Coût : 3 000 à 8 000 $ pour une politique de confidentialité CCPA complète et une infrastructure d’opt-out. Délai : 2 à 6 semaines.

Un avocat spécialisé en droit californien de la vie privée réalisera un exercice détaillé de cartographie des données, examinera vos accords fournisseurs et rédigera une politique adaptée à vos pratiques spécifiques de données. Cela est recommandé pour les entreprises avec des flux de données complexes, des volumes de données élevés ou des opérations dans plusieurs États américains ayant leurs propres lois sur la vie privée. Pour les entreprises françaises, un avocat maîtrisant le RGPD, les recommandations de la CNIL et le CCPA est idéal.

Utiliser un outil IA généraliste

Coût apparent : 0 $. Coût réel : potentiellement significatif en risque d’application.

Les chatbots IA généralistes peuvent produire du texte qui ressemble à une politique de confidentialité mais manquent souvent des exigences spécifiques au CCPA : les 12 catégories légales, l’exigence de lien d’opt-out, les divulgations relatives aux informations personnelles sensibles et la cadence de mise à jour requise. Une politique qui semble conforme mais manque d’éléments obligatoires crée un faux sentiment de sécurité.

Copier un modèle gratuit

Coût : 0 $. Risque : élevé.

Les modèles CCPA gratuits trouvés en ligne sont généralement génériques, obsolètes (beaucoup sont antérieurs aux amendements CPRA) et non adaptés à votre entreprise spécifique. Ils incluent rarement des mécanismes d’opt-out appropriés ou des divulgations relatives aux prestataires de services. Utiliser un modèle sans personnalisation significative est peu susceptible de satisfaire aux exigences du CCPA.

Utiliser un générateur de documents juridiques spécialisé

Coût : 19,90 € à 49,90 € (≈ 16 à 54 USD). Délai : moins de 10 minutes.

Un générateur de documents juridiques spécialisé pose des questions spécifiques sur vos activités commerciales, vos pratiques de collecte de données et vos relations avec des tiers, puis produit une politique de confidentialité conforme aux exigences du CCPA. Cette approche offre un équilibre entre rigueur de conformité et accessibilité et rapport coût-efficacité pour la majorité des entreprises en ligne.

Conclusion

Le CCPA impose des exigences détaillées et spécifiques aux politiques de confidentialité qui vont au-delà des bonnes pratiques générales. Si votre entreprise remplit l’un des trois seuils d’applicabilité, votre politique de confidentialité doit énumérer les catégories d’informations personnelles que vous collectez, expliquer vos finalités, divulguer le partage avec des tiers, décrire les droits des consommateurs et comment les exercer, et fournir des mécanismes d’opt-out fonctionnels.

Commencez par un scan de conformité gratuit pour évaluer votre situation actuelle. Pour les entreprises françaises soumises au RGPD via la CNIL, le CCPA ajoute une couche supplémentaire d’obligations spécifiques. Avec la CPPA qui applique activement la loi et les sanctions qui s’accumulent par violation, le coût de la non-conformité dépasse largement celui de la mise en conformité de votre politique de confidentialité. Que vous engagiez un avocat spécialisé pour des situations complexes ou utilisiez un générateur spécialisé pour des besoins de conformité simples, l’étape importante est d’agir maintenant. Chaque jour sans politique de confidentialité conforme au CCPA est un jour d’exposition juridique inutile.

RGPD E-commerce : 7 Erreurs CNIL à Éviter - Fondamentaux RGPD

RGPD E-commerce : 7 Erreurs CNIL à Éviter

⏱ 9 min de lecture
Fondamentaux RGPD E-commerce & Startups

Les 7 erreurs RGPD les plus fréquentes en boutique en ligne qui déclenchent un contrôle CNIL en 2026 (cookies, transferts US, sous-traitants).

Lire l'article →
Site Vitrine et RGPD : Êtes-vous Conforme ? - Fondamentaux RGPD

Site Vitrine et RGPD : Êtes-vous Conforme ?

⏱ 9 min de lecture
Fondamentaux RGPD Multi

83% des sites vitrines ont des violations RGPD. Vérifiez votre conformité : mentions légales, cookies, formulaires.

Lire l'article →
Conformité RGPD E-commerce : 10 Étapes - Fondamentaux RGPD

Conformité RGPD E-commerce : 10 Étapes

⏱ 10 min de lecture
Fondamentaux RGPD E-commerce & Startups Multi

Plan d'action RGPD en 10 étapes pour votre e-commerce : de l'audit initial à la conformité complète. Guide pratique pour protéger votre boutique en ligne.

Lire l'article →