Vous connaissez le RGPD. Vous l’avez peut-être même subi. Alors voici la mauvaise nouvelle : traverser l’Atlantique ne vous en débarrasse pas, ça vous en ajoute un deuxième. Les États-Unis n’ont pas de loi fédérale unique sur les données personnelles. Chaque État écrit la sienne, et la plus ancienne, la plus appliquée et la plus copiée de toutes, c’est le CCPA californien.
Le point que la plupart des entrepreneurs français ratent : cette loi peut s’appliquer à votre entreprise sans que vous ayez le moindre bureau, salarié ou entrepôt en Californie. Un site e-commerce hébergé à Paris qui livre des clients à Los Angeles peut suffire. Et comme votre site est l’endroit où tout se joue, formulaires, cookies, pixels publicitaires, checkout, c’est dès sa conception qu’on traite le sujet. C’est d’ailleurs pour ça que nous l’intégrons dans chaque projet de création de site web pour le marché américain.
Précision honnête avant de commencer : nous ne sommes ni avocats ni juristes. Pour un avis de conformité formel, vous devez consulter un avocat spécialisé en privacy américaine. Ce qui suit vous donne le cadre business pour comprendre de quoi on parle, savoir si vous êtes concerné, et arriver chez l’avocat avec les bonnes questions.
Le CCPA, c’est quoi ?
Le CCPA (California Consumer Privacy Act) est la loi californienne de protection des données personnelles. Adoptée en 2018 et en vigueur depuis le 1er janvier 2020, elle donne aux résidents californiens des droits sur les données que les entreprises collectent à leur sujet, et impose des obligations à ces entreprises, où qu’elles soient basées.
Depuis le 1er janvier 2023, le CCPA a été renforcé par le CPRA (California Privacy Rights Act), voté par référendum en novembre 2020. Dans la pratique, quand on dit « CCPA » aujourd’hui, on parle de la loi amendée par le CPRA. Ce renforcement a aussi créé un régulateur dédié, la CPPA (California Privacy Protection Agency), l’équivalent fonctionnel de notre CNIL, avec un vrai budget et une vraie volonté de sanctionner.
Concrètement, la loi donne aux consommateurs californiens six droits principaux :
- Savoir quelles données une entreprise collecte sur eux, pourquoi, et avec qui elle les partage
- Supprimer leurs données personnelles
- Corriger des données inexactes (ajouté par le CPRA en 2023)
- Refuser la vente ou le partage de leurs données (le fameux lien « Do Not Sell or Share My Personal Information »)
- Limiter l’usage de leurs données sensibles (géolocalisation précise, santé, origine ethnique, etc.)
- Ne pas être discriminés pour avoir exercé ces droits : pas de prix plus élevé ni de service dégradé
Un détail qui n’en est pas un : depuis le 1er janvier 2023, la loi couvre aussi les données des salariés et les données B2B. Les coordonnées d’un prospect californien dans votre CRM sont des données personnelles au sens du CCPA.
Quelles entreprises sont concernées par le CCPA ?
Le CCPA s’applique à toute entreprise à but lucratif qui « fait des affaires en Californie » et dépasse au moins un des trois seuils suivants. Peu importe où elle est immatriculée : une SAS française peut être concernée exactement comme une société du Delaware.
Les trois seuils, dont un seul suffit :
- Plus de 25 millions de dollars de chiffre d’affaires annuel brut (seuil indexé sur l’inflation, relevé à environ 26,6 millions depuis janvier 2025). Attention : c’est le chiffre d’affaires mondial de l’entreprise, pas seulement ses ventes californiennes.
- Acheter, vendre ou partager les données personnelles de 100 000 consommateurs ou foyers californiens ou plus par an. Avec du trafic web et des cookies publicitaires, ce seuil se franchit beaucoup plus vite qu’on ne l’imagine.
- Tirer 50 % ou plus de ses revenus annuels de la vente ou du partage de données personnelles.
Le piège est dans l’expression « faire des affaires en Californie ». Elle ne suppose aucune présence physique. Vendre en ligne à des clients californiens, faire tourner une app utilisée à San Francisco, ou cibler la Californie avec vos campagnes publicitaires peut suffire. Votre boutique en ligne collecte nom, adresse, email et données de paiement à chaque commande : si vous préparez votre checkout pour les acheteurs américains, vous préparez déjà des données couvertes par le CCPA.
Et le mot « partage » mérite qu’on s’y arrête. Au sens du CCPA, transmettre des données à Meta ou Google via un pixel publicitaire pour du ciblage cross-context, c’est du « sharing ». Beaucoup d’entreprises pensent ne « vendre » aucune donnée alors que leur stack marketing en partage en continu.
Si vous êtes sous les trois seuils, la loi ne vous oblige à rien aujourd’hui. Mais un business qui décolle aux USA les franchit vite, et vos partenaires américains (retailers, marketplaces, régies) exigent souvent la conformité par contrat, seuils ou pas.
CCPA vs RGPD : les différences qui comptent
La différence fondamentale tient en une phrase : le RGPD interdit de traiter des données sans base légale préalable, le CCPA autorise la collecte par défaut mais donne au consommateur le droit de dire stop. L’Europe fonctionne en opt-in, la Californie en opt-out.
| RGPD | CCPA (amendé CPRA) | |
|---|---|---|
| Qui est protégé | Toute personne dans l’UE | Les résidents californiens |
| Qui doit se conformer | Toute organisation, sans seuil | Entreprises à but lucratif dépassant un des 3 seuils |
| Logique de consentement | Opt-in : consentement ou autre base légale avant traitement | Opt-out : collecte par défaut, droit de refuser la vente/le partage |
| Bannière cookies | Consentement préalable requis | Pas de consentement préalable, mais lien de refus obligatoire et signal GPC à respecter |
| Sanctions | Jusqu’à 20 M€ ou 4 % du CA mondial | 2 500 $ par violation, 7 500 $ si intentionnelle ou données de mineurs, par consommateur concerné |
| Régulateur | CNIL et homologues européens | CPPA et procureur général de Californie |
| DPO obligatoire | Oui dans certains cas | Non |
Deux conséquences pratiques pour vous.
D’abord, être conforme RGPD est une vraie longueur d’avance : cartographie des données, registre des traitements, process de suppression, tout ça resservira. Mais ce n’est pas une conformité CCPA. Le CCPA exige des éléments que le RGPD ne connaît pas : le lien « Do Not Sell or Share My Personal Information » visible sur votre site, la prise en compte du signal Global Privacy Control (GPC) envoyé par le navigateur, et une politique de confidentialité avec des mentions spécifiques, mise à jour au moins tous les douze mois.
Ensuite, la mécanique des sanctions est vicieuse. 2 500 dollars par violation paraît dérisoire à côté des 4 % du RGPD. Sauf que chaque consommateur concerné compte comme une violation distincte. Multipliez 2 500 $ par 50 000 visiteurs californiens dont le signal GPC a été ignoré, et vous voyez le problème. S’y ajoute un droit d’action privé en cas de fuite de données : de 100 à 750 $ de dommages statutaires par consommateur et par incident, sans que le plaignant ait à prouver un préjudice. C’est le carburant des class actions.
Pourquoi une boîte française hors Californie doit s’en soucier
Parce que le critère d’application, ce n’est pas où vous êtes, c’est qui sont vos clients. Une entreprise française sans aucune présence physique aux États-Unis tombe sous le CCPA dès qu’elle fait des affaires avec la Californie et franchit un seuil. Et ignorer la Californie n’est pas une stratégie : près de 40 millions d’habitants, un PIB qui en ferait l’une des quatre ou cinq premières économies mondiales, et une part disproportionnée du e-commerce américain.
Le régulateur ne sanctionne pas que les géants de la tech, et les marques françaises ne sont pas épargnées. En 2022, Sephora, filiale américaine du groupe LVMH, a payé 1,2 million de dollars au procureur général de Californie pour ne pas avoir déclaré qu’elle « vendait » des données au sens du CCPA et pour avoir ignoré le signal GPC de ses visiteurs. En 2025, la CPPA a infligé 632 500 dollars à Honda pour avoir compliqué à l’excès l’exercice du droit d’opposition. Le message est clair : l’application est réelle, et l’ignorance du texte n’est pas une défense.
Il y a une deuxième raison, plus structurelle : le CCPA n’est plus seul. Une vingtaine d’États américains ont adopté leur propre loi de protection des données depuis 2018 : Virginie, Colorado, Texas, Connecticut, Oregon et d’autres. Presque toutes s’inspirent du modèle californien. Se mettre au niveau du CCPA, le texte le plus exigeant du lot, c’est se mettre au niveau du patchwork entier en un seul effort. C’est le même raisonnement que pour la conformité ADA de votre site web : on traite le standard le plus strict une fois, proprement, plutôt que de courir après chaque règle.
Enfin, il y a l’argument business, celui qu’on oublie toujours dans les discussions juridiques. Les consommateurs américains lisent les signaux de confiance. Un site sans politique de confidentialité crédible, sans lien d’opt-out, avec une bannière cookies traduite à la va-vite du français, envoie le même message qu’une vitrine sale. Pour une marque française qui prépare son implantation aux États-Unis, la conformité est aussi un outil de crédibilité.
Par où commencer votre mise en conformité
Pas de panique ni de chantier pharaonique. Pour une PME, la démarche tient en six étapes, dans cet ordre.
- Vérifiez si vous êtes concerné. CA mondial, volume de consommateurs californiens touchés (trafic web inclus), part des revenus liée aux données. Un avocat privacy tranche les cas limites.
- Cartographiez vos données. Quelles données personnelles collectez-vous, par quels canaux (site, checkout, CRM, newsletter, pixels), où sont-elles stockées, qui y accède, à qui sont-elles transmises. Si vous avez fait l’exercice pour le RGPD, mettez-le à jour avec un œil américain.
- Auditez votre stack marketing. Pixels Meta et Google, outils d’analytics, plateformes d’emailing, régies retargeting : identifiez tout ce qui constitue une « vente » ou un « partage » au sens du CCPA. C’est là que se cachent 90 % des mauvaises surprises.
- Mettez votre site au niveau. Politique de confidentialité avec les mentions CCPA, lien « Do Not Sell or Share My Personal Information » accessible, gestion du signal GPC, et une plateforme de gestion du consentement configurée pour la logique opt-out américaine, pas recopiée de votre config européenne.
- Outillez les demandes d’exercice de droits. Vous avez en général 45 jours pour répondre à une demande d’accès ou de suppression. Il vous faut un canal de réception (formulaire ou email dédié) et un process interne pour retrouver et supprimer les données d’une personne.
- Encadrez vos prestataires. Vos contrats avec les sous-traitants qui touchent aux données (logistique, support, agences, outils SaaS) doivent contenir les clauses que la loi exige.
La partie juridique appartient à votre avocat. La partie visible, elle, se joue sur votre site : c’est votre politique de confidentialité, votre bannière, vos formulaires et votre checkout que le client et le régulateur voient. C’est exactement le genre de sujet qu’on cadre en amont avec les PME que nous accompagnons : si vous structurez votre lancement américain, regardez notre accompagnement des PME françaises aux USA.
FAQ : le CCPA en questions rapides
Le CCPA s’applique-t-il aux entreprises françaises ?
Oui, dès lors qu’une entreprise française fait des affaires en Californie et dépasse un des trois seuils de la loi (environ 26,6 M$ de CA annuel mondial, ou données de 100 000 consommateurs californiens ou plus par an, ou 50 % des revenus issus de la vente ou du partage de données). Aucune présence physique aux États-Unis n’est nécessaire : vendre en ligne à des Californiens peut suffire.
Quelle est la différence entre CCPA et CPRA ?
Le CPRA n’est pas une loi séparée, c’est l’amendement qui a renforcé le CCPA au 1er janvier 2023. Il a ajouté le droit de correction, la notion de données sensibles, encadré le « partage » publicitaire de données et créé le régulateur dédié, la CPPA. Aujourd’hui, « conformité CCPA » signifie en pratique conformité au CCPA tel qu’amendé par le CPRA.
Quelles sont les sanctions en cas de non-respect du CCPA ?
Les amendes civiles atteignent 2 500 $ par violation et 7 500 $ par violation intentionnelle ou impliquant des données de mineurs, chaque consommateur concerné comptant séparément. En cas de fuite de données, les consommateurs peuvent en plus réclamer de 100 à 750 $ chacun en action privée. Sephora a payé 1,2 M$ en 2022, Honda 632 500 $ en 2025.
Faut-il une bannière cookies opt-in comme en Europe ?
Non. Le CCPA ne demande pas de consentement préalable à la collecte : il exige de pouvoir refuser la vente et le partage des données, via un lien visible « Do Not Sell or Share My Personal Information » et le respect du signal Global Privacy Control du navigateur. Copier-coller votre bannière RGPD n’est donc ni suffisant ni adapté au marché américain.
Être conforme au RGPD suffit-il pour le CCPA ?
Non, mais c’est une bonne base. La cartographie des données et les process de suppression resservent, le socle est là. Il manque en revanche les obligations propres au CCPA : lien d’opt-out, signal GPC, mentions spécifiques dans la politique de confidentialité et gestion des demandes sous 45 jours.