Si votre site web sert des utilisateurs à la fois dans l’Union européenne et en Californie, vous êtes probablement soumis à deux des réglementations les plus influentes au monde en matière de protection des données : le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA), tel qu’amendé par le California Privacy Rights Act (CPRA). Bien que les deux lois visent à protéger les données personnelles, elles diffèrent fondamentalement dans leur approche, leur portée et leur application. Comprendre ces différences n’est pas facultatif — c’est essentiel pour construire une stratégie de conformité qui satisfasse les deux cadres sans duplication inutile ni lacunes. Cet article offre un éclairage particulier pour les entreprises françaises, où la CNIL applique le RGPD avec une vigilance reconnue.
Fondements philosophiques : opt-in vs opt-out
La différence la plus fondamentale entre le RGPD et le CCPA réside dans leur modèle de consentement par défaut.
Le RGPD fonctionne sur une base d’opt-in. En vertu de l’article 6 du RGPD, le traitement des données personnelles nécessite une base légale avant toute collecte. Pour de nombreux types de traitement — notamment le marketing, le profilage et l’analyse — le consentement explicite doit être obtenu du sujet des données avant la collecte. Cela signifie que lorsqu’un utilisateur européen visite votre site web pour la première fois, vous ne pouvez pas définir de cookies non essentiels, déclencher des pixels de suivi ni collecter de données comportementales tant que l’utilisateur n’a pas donné son accord affirmatif. En France, la CNIL a établi des lignes directrices particulièrement strictes sur le consentement aux cookies, avec des sanctions emblématiques contre les grandes entreprises technologiques.
Le CCPA fonctionne sur une base d’opt-out. Les entreprises peuvent collecter et utiliser les informations personnelles sans obtenir de consentement préalable (avec certaines exceptions pour les mineurs de moins de 16 ans). Au lieu de cela, le CCPA donne aux consommateurs le droit de refuser la vente ou le partage de leurs informations personnelles après coup. L’entreprise doit fournir un lien « Ne pas vendre ou partager mes informations personnelles », mais elle peut traiter les données par défaut jusqu’à ce que le consommateur exerce ce droit.
Cette distinction a des implications pratiques profondes. Un site web conforme au RGPD qui bloque tout suivi jusqu’au consentement satisfera également les exigences moins restrictives du CCPA. Mais un site conforme au CCPA qui suit les utilisateurs par défaut et repose sur l’opt-out violera le RGPD s’il sert des utilisateurs européens sans consentement préalable.
Portée et applicabilité
Qui est protégé
RGPD : Toute « personne concernée » se trouvant dans l’Union européenne, indépendamment de sa nationalité ou de sa résidence. Un touriste américain naviguant sur un site web pendant une visite à Paris est protégé par le RGPD pendant cette visite. Le règlement protège les individus (personnes physiques), pas les entreprises.
CCPA : Les « consommateurs » californiens, définis comme des personnes physiques résidentes de Californie. La protection suit la résidence de la personne, pas sa localisation physique. Un résident californien naviguant sur un site web pendant des vacances à Tokyo est toujours protégé par le CCPA.
Quelles entreprises doivent se conformer
RGPD : Toute organisation, n’importe où dans le monde, qui traite les données personnelles de personnes dans l’UE, à condition qu’elle offre des biens ou services aux résidents de l’UE ou surveille leur comportement (Article 3). Il n’y a pas de seuil de chiffre d’affaires, pas de minimum de volume de données. Un blog d’une personne qui collecte des adresses email de visiteurs de l’UE doit se conformer. En France, la CNIL a confirmé cette approche en poursuivant des entreprises de toutes tailles.
CCPA : Les entreprises à but lucratif qui exercent en Californie et répondent à au moins un de trois seuils : chiffre d’affaires annuel brut supérieur à 25 millions de dollars ; achat, vente ou partage d’informations personnelles de 100 000 consommateurs ou ménages ou plus ; ou tirant 50 % ou plus du chiffre d’affaires annuel de la vente ou du partage d’informations personnelles (Cal. Civ. Code section 1798.140(d)). Les organisations à but non lucratif et les entités gouvernementales sont exemptées.
Cette différence signifie que le RGPD a une portée beaucoup plus large. Un petit commerce en ligne avec quelques clients européens est soumis au RGPD, alors que la même entreprise pourrait être en dessous de tous les seuils du CCPA et être exemptée du droit californien.
Définition des données personnelles
RGPD : Les « données à caractère personnel » désignent toute information se rapportant à une personne physique identifiée ou identifiable (Article 4(1)). Cela inclut les noms, adresses email, adresses IP, identifiants de cookies, données de localisation, identifiants en ligne et même les données pseudonymisées si la ré-identification est possible.
CCPA : Les « informations personnelles » sont définies plus largement à certains égards, couvrant les informations qui « identifient, se rapportent à, décrivent, sont raisonnablement susceptibles d’être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou un ménage particulier » (Cal. Civ. Code section 1798.140(v)). L’ajout de « ménage » étend la couverture au-delà de l’individu. Cependant, les informations accessibles au public sont explicitement exclues de la définition du CCPA, tandis que le RGPD ne fait pas cette exclusion.
Les deux lois couvrent les mêmes catégories fondamentales (noms, emails, adresses IP, identifiants d’appareils, historique de navigation, historique d’achats), mais la portée au niveau du ménage du CCPA et l’inclusion des données accessibles au public par le RGPD créent des divergences qui comptent en pratique.
Droits des consommateurs/personnes concernées
Les deux lois accordent aux individus des droits sur leurs données personnelles, mais les détails diffèrent :
| Droit | RGPD | CCPA/CPRA |
|---|---|---|
| Droit d’accès/de savoir | Article 15 : droit d’obtenir confirmation et copie de toutes les données personnelles | Section 1798.100 : droit de connaître les catégories et les éléments spécifiques collectés au cours des 12 derniers mois |
| Droit de suppression | Article 17 : droit à l’effacement (« droit à l’oubli ») avec de larges exceptions | Section 1798.105 : droit de suppression avec des exceptions spécifiées |
| Droit à la portabilité | Article 20 : droit de recevoir les données dans un format lisible par machine | Pas d’équivalent dans le CCPA |
| Droit de rectification | Article 16 : droit de rectification | Section 1798.106 (ajoutée par le CPRA) : droit de corriger les informations inexactes |
| Droit de refus de vente | Non directement applicable (modèle basé sur le consentement) | Section 1798.120 : droit de refuser la vente et le partage |
| Droit de limiter les données sensibles | Article 9 : les catégories spéciales nécessitent un consentement explicite | Section 1798.121 (CPRA) : droit de limiter l’utilisation des informations personnelles sensibles |
| Droit à la non-discrimination | Implicite dans les principes généraux | Section 1798.125 : interdiction explicite de discriminer les consommateurs qui exercent leurs droits |
| Délai de réponse | 1 mois (extensible à 3) | 45 jours (extensible à 90) |
Les droits du RGPD sont généralement plus étendus et mieux établis grâce à des années de jurisprudence et d’orientations réglementaires, notamment les nombreuses délibérations de la CNIL en France. Les droits du CCPA sont plus spécifiquement définis dans la loi mais plus récents et encore en évolution.
Vous ne savez pas quelles reglementations s’appliquent a votre site ? Le scanner de conformite gratuit de WebLegal analyse votre site et identifie les documents legaux et exigences de confidentialite a traiter.
Bases légales du traitement
C’est ici que les deux cadres divergent le plus nettement.
RGPD : L’article 6 exige l’une des six bases légales pour chaque activité de traitement : consentement, exécution d’un contrat, obligation légale, intérêts vitaux, mission d’intérêt public ou intérêts légitimes. Le choix de la base légale doit être documenté et communiqué aux personnes concernées. Pour les catégories spéciales de données (Article 9), une condition supplémentaire doit être remplie, généralement le consentement explicite. La CNIL a publié de nombreuses orientations sur le choix de la base légale appropriée.
CCPA : Il n’existe pas de concept de « base légale » dans le CCPA. Les entreprises peuvent collecter et traiter les informations personnelles pour toute finalité commerciale déclarée. La loi réglemente la divulgation et les droits d’opt-out plutôt que d’exiger une justification affirmative pour chaque activité de traitement. C’est une architecture réglementaire fondamentalement différente.
Pour les entreprises soumises aux deux lois, les exigences de base légale du RGPD deviennent effectivement la norme dominante, puisque vous devez établir une base légale pour les personnes concernées de l’UE indépendamment de ce que le CCPA autorise.
Application et sanctions
Application du RGPD
L’application est assurée par les autorités de protection des données (APD) dans chaque État membre de l’UE. En France, la CNIL est particulièrement active. Les sanctions maximales en vertu de l’article 83 sont :
- Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les infractions mineures
- Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les infractions graves
Les actions d’application majeures ont atteint des centaines de millions d’euros. En 2022, la CNIL a infligé 101 millions d’euros d’amendes au total. Les APD peuvent également émettre des ordres de cessation du traitement, interdire les transferts de données et exiger des mesures correctives spécifiques.
Application du CCPA
L’application est partagée entre le procureur général de Californie et la California Privacy Protection Agency (CPPA) :
- Jusqu’à 2 500 $ par violation non intentionnelle
- Jusqu’à 7 500 $ par violation intentionnelle ou violation impliquant des mineurs
- Droit d’action privé pour les violations de données : 100 $ à 750 $ par consommateur par incident (dommages-intérêts légaux)
Bien que les montants par violation soient inférieurs aux maximums du RGPD, le calcul par dossier du CCPA peut produire des sanctions agrégées énormes. Une violation affectant 500 000 consommateurs californiens pourrait générer de 50 millions $ à 375 millions $ en dommages-intérêts légaux au titre du seul droit d’action privé.
Transferts de données
RGPD : Les transferts de données personnelles en dehors de l’UE/EEE sont restreints par le chapitre V du RGPD. Les transferts nécessitent une décision d’adéquation, des clauses contractuelles types (CCT), des règles d’entreprise contraignantes ou un autre mécanisme de transfert approuvé. L’arrêt Schrems II a invalidé le Privacy Shield UE-US, et le cadre de protection des données UE-US qui l’a remplacé reste soumis à un examen juridique continu. La CNIL a été l’une des premières autorités à prendre des mesures concrètes suite à Schrems II, notamment concernant Google Analytics.
CCPA : Il n’y a pas de restrictions sur les transferts internationaux de données en vertu du CCPA. La loi réglemente la façon dont les données sont collectées, utilisées, vendues et partagées, mais ne restreint pas où elles sont stockées ou traitées géographiquement.
Cela signifie qu’une entreprise américaine recevant des données de l’UE doit se conformer aux règles de transfert du RGPD (CCT, certification DPF), mais une entreprise recevant des données californiennes peut les traiter n’importe où sans mécanismes juridiques supplémentaires.
Stratégie pratique de conformité pour les entreprises bi-juridictionnelles
Si votre site web sert à la fois des utilisateurs de l’UE et de Californie, voici une approche pratique, adaptée aux entreprises françaises :
1. Commencez par la conformité RGPD. Les exigences du RGPD sont généralement plus strictes. Une politique de confidentialité, un mécanisme de consentement et des pratiques de traitement des données conformes au RGPD satisferont la plupart des exigences du CCPA. Suivez les recommandations de la CNIL pour les cookies et le consentement.
2. Ajoutez les éléments spécifiques au CCPA. Ajoutez les divulgations et mécanismes que le CCPA exige et que le RGPD n’exige pas : le lien « Ne pas vendre ou partager », le cadre de divulgation en 12 catégories, l’opt-out pour les informations personnelles sensibles et la mise à jour annuelle avec horodatage.
3. Mettez en oeuvre un consentement base sur la geolocalisation. Utilisez une plateforme de gestion du consentement qui detecte la localisation de l’utilisateur et applique le modele de consentement approprie : opt-in pour les visiteurs de l’UE, droits d’opt-out pour les visiteurs californiens. La banniere de cookies gratuite de WebLegal gere le consentement RGPD et peut servir de base a votre approche multi-juridiction.
4. Maintenez des registres séparés. Le RGPD exige des registres des activités de traitement (Article 30). Le CCPA exige une documentation des demandes des consommateurs et des réponses. Maintenez les deux. En France, la CNIL vérifie régulièrement la tenue du registre des traitements.
5. Révisez les contrats fournisseurs. Assurez-vous que vos contrats avec les sous-traitants (RGPD) et les prestataires de services (CCPA) répondent aux exigences des deux cadres. La terminologie diffère, mais l’obligation sous-jacente — contrôler la façon dont les tiers traitent les données de vos utilisateurs — est la même.
Conclusion
Le RGPD et le CCPA représentent deux approches distinctes de la réglementation de la vie privée : le consentement exhaustif européen versus la transparence ciblée californienne. Ni l’un ni l’autre n’englobe l’autre. Une entreprise servant des utilisateurs dans les deux juridictions a besoin d’une stratégie de conformité qui aborde les exigences de consentement du RGPD, le cadre des bases légales et les restrictions de transfert de données, parallèlement aux catégories de divulgation spécifiques du CCPA, aux mécanismes d’opt-out et à la structure de sanctions par violation.
Le coût de la double non-conformité est substantiel. Le coût de la construction d’une stratégie de confidentialité unifiée qui satisfait les deux cadres est gérable — et bien inférieur au risque d’application lié à une erreur. Pour les entreprises françaises surveillées par la CNIL et exposées au CCPA, la priorité est d’aborder les deux cadres maintenant plutôt que rétroactivement après une action d’application.