CIPA : quand votre pixel Meta devient une « écoute illégale » en Californie

CIPA

Quick Nav.

Vous avez un pixel Meta sur votre site ? Google Analytics ? Un module de chat en bas à droite ? Aux yeux de certains avocats californiens, vous êtes peut-être en train de commettre une écoute téléphonique illégale. Ce n’est pas une blague. C’est le fondement juridique de milliers de mises en demeure envoyées à des sites web ces dernières années, au nom d’une loi de 1967 : le CIPA, California Invasion of Privacy Act.

Il y a quelques mois, je vous expliquais pourquoi la conformité ADA de votre site web pouvait vous coûter très cher aux États-Unis. Le CIPA, c’est la deuxième vague. Même mécanique : des cabinets d’avocats spécialisés, des courriers types envoyés en masse, et des entreprises qui découvrent le problème le jour où la lettre arrive. Chez Royal Cheese, cette vérification fait maintenant partie des fondations de tout site web conçu pour le marché américain, au même titre que l’accessibilité.

Dans cet article, on va voir ce que dit vraiment cette loi, pourquoi elle est détournée de son objectif d’origine, comment elle s’articule avec le CCPA, le CDAFA et l’UCL, et surtout ce que vous devez faire concrètement sur votre site. Y compris si la fameuse « demand letter » est déjà dans votre boîte mail.

Le CIPA, c’est quoi exactement ?

Le CIPA (California Invasion of Privacy Act) est la loi californienne anti-écoutes de 1967, codifiée aux articles 630 à 638 du Code pénal de Californie. Elle a été écrite pour interdire les écoutes téléphoniques : personne ne peut intercepter ou enregistrer une communication sans le consentement de toutes les parties. Pas d’une seule. De toutes.

Pendant cinquante ans, cette loi a servi à ce pour quoi elle était faite. Puis en 2022, la cour d’appel fédérale du 9e circuit a rendu une décision qui a tout changé : Javier v. Assurance IQ. Un site utilisait un logiciel de « session replay », qui enregistre tout ce que fait le visiteur à l’écran, avant même que celui-ci ait pu voir la politique de confidentialité. La cour a jugé que ce type d’enregistrement avant consentement pouvait constituer une interception illégale au sens du CIPA. Autrement dit : du wiretapping. De l’écoute clandestine, version web.

D’autres affaires ont suivi, comme D’Antonio v. CNN, où le plaignant reprochait à CNN de partager ses données de navigation avec des partenaires publicitaires via des trackers tiers. Le raisonnement est à chaque fois le même : si un outil transmet des données de visite à un tiers avant que le visiteur ait donné son accord, il y a « interception secrète » d’une communication.

Ce qui rend le CIPA redoutable, c’est son article 637.2 : toute personne dont les communications ont été interceptées peut réclamer 5 000 $ de dommages statutaires par violation, sans avoir à prouver le moindre préjudice réel. Multipliez par le nombre de visiteurs californiens, ajoutez la menace d’une class action, et vous comprenez pourquoi les avocats adorent cette loi.

Quels outils de tracking attirent les plaintes ?

Les plaintes visent les technologies qui envoient des données de visite, ou ce que tape le visiteur, à un tiers avant tout consentement. D’après Termly, plateforme de gestion du consentement qui suit ce contentieux de près (juillet 2026), les outils les plus cités dans les réclamations sont :

  • Le pixel Meta (Facebook) : l’outil le plus fréquemment nommé. Il envoie pages vues, événements et identifiants à Meta.
  • Les tags Google Ads (conversion et remarketing) et Google Analytics, qui capturent parcours de pages, événements et identifiants.
  • Le pixel TikTok et le LinkedIn Insight Tag, même logique côté publicité.
  • Les outils de session replay et d’enregistrement de session, capables de reconstituer toute la visite, y compris ce qui est saisi dans les formulaires.
  • Les heatmaps et outils d’analyse comportementale, qui enregistrent clics, scroll, mouvements, parfois les frappes clavier.
  • Les chats et chatbots tiers, quand le contenu des conversations transite par un prestataire externe.
  • Les barres de recherche et formulaires : une vague récente de courriers vise le cas où un nom ou une requête tapée dans un champ de recherche part vers un service d’analytics ou de pub avant consentement.

Si vous vendez en ligne aux États-Unis, regardez cette liste et comptez. Un site e-commerce français typique en coche quatre ou cinq. C’est d’ailleurs le paradoxe : ces outils sont exactement ceux qu’on recommande pour piloter votre croissance e-commerce sur le marché américain. Le problème n’est pas de les utiliser. Le problème est de les laisser se déclencher avant que le visiteur ait fait un choix. La question qui gouverne tout le contentieux tient en une phrase : un tiers reçoit-il des données avant que le visiteur ait choisi ?

Les dérives : une industrie du courrier recommandé

Soyons clairs sur un point : le CIPA n’a pas été conçu pour protéger les internautes contre Google Analytics. Il a été conçu en 1967 contre les écoutes téléphoniques. Son application au web est une construction récente, portée en grande partie par des cabinets qui ont trouvé un modèle économique : envoyer des mises en demeure standardisées à des centaines de sites, réclamer un règlement amiable de quelques milliers ou dizaines de milliers de dollars, et compter sur le fait que la plupart des entreprises paieront pour éviter un procès. Vous avez déjà vu ce film : c’est exactement le mécanisme des poursuites ADA en série.

Les juges commencent à le dire ouvertement. En 2024-2025, plusieurs juridictions californiennes ont rejeté des plaintes de ce type : Sanchez v. Cars.com (la théorie du « pen register » ne s’applique pas), Casillas v. Transitions Optical (collecter une adresse IP est le fonctionnement normal d’un site, pas de la surveillance illégale), Rodriguez v. Plivo (la collecte de données de routine n’est pas du wiretapping). Un tribunal a même averti que traiter la collecte d’adresses IP comme de l’écoute clandestine reviendrait à « criminaliser le fonctionnement ordinaire d’internet ». En juillet 2025, dans Gutierrez v. Converse, le 9e circuit a confirmé le rejet d’une plainte fondée sur l’article 631(a), avec une opinion concordante qui doute que cette disposition s’applique même aux communications internet. Et dans Torres v. Prudential (2025), la cour a exigé la preuve que les données ont été lues « en transit », ce que le session replay ne fait techniquement pas.

Est-ce que ça veut dire que la menace est finie ? Non. Les décisions restent contradictoires. Dans Mikulsky v. Bloomingdale’s (9e circuit, 2025), la cour a au contraire relancé une plainte CIPA, jugeant que la plaignante avait suffisamment allégué que le contenu de ses communications était capté en temps réel par un prestataire de session replay. Les théories fondées sur les articles 638.50 à 638.51 (pen register et trap-and-trace) sont encore activement plaidées, avec des tribunaux divisés. Traduction pour vous : le vent tourne en faveur des défendeurs, mais une lettre peut toujours arriver, et se défendre coûte cher même quand on gagne.

Une décision mérite votre attention particulière : Lakes v. Ubisoft (2025). Le tribunal y a jugé que le consentement donné via une bannière défait les plaintes fondées sur le Wiretap Act fédéral, le CIPA et le VPPA. C’est toute la logique de la partie « actions concrètes » plus bas : le consentement préalable est votre meilleur bouclier.

CIPA, CCPA, CDAFA, UCL : qui fait quoi ?

Ces quatre textes californiens reviennent souvent dans les mêmes plaintes, mais ils ne jouent pas du tout le même rôle.

Le CCPA (California Consumer Privacy Act) est la loi de protection des données personnelles de Californie, l’équivalent local du RGPD dans l’esprit. C’est une loi de transparence fondée sur un modèle opt-out : vous pouvez collecter et partager des données, à condition d’en informer le visiteur et de lui offrir un moyen de refuser, notamment le fameux lien « Do Not Sell or Share My Personal Information ». Elle est appliquée par le régulateur (procureur général et agence CPPA), et les particuliers ne peuvent agir en justice que dans des cas limités de fuite de données.

Le CIPA fonctionne à l’inverse. C’est une loi pénale anti-écoutes fondée sur le consentement de toutes les parties, avant l’interception. Pas d’opt-out ici : la logique est celle du consentement préalable. Et surtout, n’importe quel particulier peut attaquer directement et réclamer 5 000 $ par violation. C’est cette combinaison, consentement préalable exigé plus action privée facile, qui en fait l’arme favorite des cabinets spécialisés. Retenez la distinction : le CCPA encadre ce que vous faites des données, le CIPA sanctionne le fait de les capter en douce.

Le CDAFA (California Comprehensive Data Access and Fraud Act), article 502 du Code pénal, est à l’origine une loi anti-piratage informatique. Les plaignants la recyclent en soutenant qu’un tracker qui dépose des cookies ou lit des données sur l’appareil du visiteur « accède sans autorisation » à un ordinateur, comme le ferait un hacker. L’argument est audacieux, mais il apparaît de plus en plus souvent en complément des plaintes CIPA dans la vague actuelle de litiges liés aux pixels et au session replay.

L’UCL (Unfair Competition Law), article 17200 du Business and Professions Code, interdit toute pratique commerciale « illégale, déloyale ou frauduleuse ». Sa particularité : elle se greffe sur n’importe quelle autre violation. Si votre tracking viole le CIPA ou contredit votre politique de confidentialité, le même comportement peut être requalifié en concurrence déloyale. C’est la roue de secours des plaignants : même si la plainte CIPA tombe, l’UCL peut survivre.

En pratique, une demand letter bien rédigée empile souvent les quatre. Un seul pixel mal configuré, quatre fondements juridiques.

Pourquoi les entreprises françaises sont concernées

Il suffit d’avoir des visiteurs californiens pour être exposé. Pas un bureau à Los Angeles, pas une filiale au Delaware : des visiteurs. Si votre site vend ou vise des clients aux États-Unis, il reçoit du trafic californien, et vos trackers traitent les données de ces visiteurs. C’est le même raisonnement que pour l’ADA : être basé à Lyon ne vous protège pas.

Trois raisons font des PME françaises des cibles intéressantes pour ce contentieux. D’abord, elles utilisent massivement les outils visés : pixel Meta, Google Ads, un chat externalisé, parfois un Hotjar installé un jour de curiosité et jamais désinstallé. Ensuite, elles configurent souvent leur bannière cookies pour l’Europe uniquement, avec des scripts qui se déclenchent librement pour le trafic américain « puisque le RGPD ne s’y applique pas ». C’est précisément le scénario qui attire les plaintes. Enfin, une PME étrangère préfère presque toujours payer quelques milliers de dollars plutôt que de s’engager dans une procédure californienne. Les cabinets le savent.

Il y a quand même une bonne nouvelle. Si vous êtes français, vous avez été élevé au RGPD. Le réflexe « rien ne se déclenche avant le consentement » que l’Europe vous a imposé est exactement la posture la plus solide face au CIPA. Vous avez déjà la culture. Il reste à l’appliquer à votre trafic américain au lieu de l’éteindre à la frontière.

Conformité CIPA : les actions concrètes sur votre site

La conformité CIPA tient en une règle : aucun tracker non essentiel ne doit se déclencher avant que le visiteur ait fait un choix. Tout le reste en découle. Voici la checklist, dans l’ordre où je la déroulerais sur votre site.

1. Installez une vraie plateforme de gestion du consentement (CMP)

Une CMP (Termly, OneTrust, Cookiebot, Axeptio, Elementor Cookie Consent…) affiche la bannière, enregistre les choix et surtout bloque les scripts tant que le visiteur n’a pas répondu. Le point technique qui compte : activez le blocage automatique des scripts (auto-blocking). Une bannière qui s’affiche pendant que le pixel Meta tire en arrière-plan ne vous protège de rien. C’est même la définition exacte de ce que les plaignants cherchent.

2. Traquez les pixels codés en dur

Un pixel collé directement dans le <head> de votre thème WordPress ou de votre template Shopify se déclenche avant que la CMP ou le tag manager puisse le bloquer. C’est l’erreur la plus fréquente que je vois en audit. Tous les tags doivent passer par le tag manager ou par la CMP, aucun en direct dans le code.

3. Vérifiez que vos tags obéissent vraiment au consentement

Installer une CMP ne suffit pas, il faut prouver que les signaux de consentement contrôlent réellement les tags. Le protocole de test, à refaire après chaque modification du site :

  • Ouvrez le site dans une session navigateur propre, comme un visiteur californien qui arrive pour la première fois.
  • Onglet Réseau ouvert avant le chargement : seuls les trackers essentiels doivent partir avant tout choix.
  • Cliquez « Refuser » : les trackers non essentiels doivent rester bloqués.
  • Nouvelle session, cliquez « Accepter » : ils ne doivent partir qu’à ce moment-là.
  • Dans Google Tag Manager, utilisez le mode Preview (Tag Assistant) pour vérifier que vos tags publicitaires et analytics restent dans « Tags Not Fired » tant qu’aucun choix n’est fait.

Méfiez-vous des listes d’exception de votre CMP : tout outil placé en « allowlist » se déclenche avant consentement et réintroduit exactement le risque que le blocage venait d’éliminer.

4. Alignez vos documents sur la réalité

Votre politique de confidentialité doit lister les technologies de tracking réellement en place, les données qu’elles collectent et les tiers qui les reçoivent. Ajoutez le lien « Do Not Sell or Share My Personal Information » exigé par le CCPA pour les visiteurs californiens. Un document qui promet une chose pendant que vos tags en font une autre est une pièce à conviction, pas une protection. Il alimente d’ailleurs directement une plainte UCL pour pratique « frauduleuse ».

5. Respectez le signal Global Privacy Control (GPC)

Le GPC est un signal envoyé par le navigateur du visiteur pour refuser le partage de ses données. Le reconnaître est requis côté CCPA et démontre votre bonne foi côté CIPA. La plupart des CMP sérieuses ont une case à cocher pour ça.

6. Donnez au visiteur un moyen de changer d’avis

Un centre de préférences accessible en permanence (lien « Consent Preferences » dans le footer, ou petit bouton flottant) permet de revoir, modifier ou retirer son consentement après la première visite. C’est un des sept éléments qui rendent très difficile de plaider une « interception secrète » : rien n’est secret quand tout est affiché, choisi et modifiable.

7. Gardez des logs de consentement

En cas de réclamation, votre meilleure défense est de pouvoir prouver ce que votre site faisait à la date visée : qui a consenti, quand, à quoi. Les CMP enregistrent ces logs. Conservez-les, avec des exports datés de votre configuration.

Opt-in ou opt-out pour la Californie ? La vraie décision business

Voici le choix que personne ne vous explique. Le mode le plus protecteur juridiquement est l’opt-in : rien ne se déclenche avant un « Accepter » explicite. C’est la réponse la plus solide à l’exigence de consentement de toutes les parties du CIPA. Mais c’est plus strict que ce que le CCPA impose (opt-out pour les adultes, opt-in seulement pour les mineurs de moins de 16 ans), et le coût marketing est réel : la majorité des visiteurs ne cliquent jamais « Accepter ». Concrètement, l’opt-in en Californie signifie moins de données analytics, des audiences publicitaires réduites, une attribution des conversions dégradée et un retour sur dépense publicitaire plus difficile à mesurer.

Il n’y a pas de bonne réponse universelle. C’est un arbitrage entre performance marketing mesurable et posture contentieuse maximale. Ce que je vous recommande : décidez consciemment où vous placez le curseur, et documentez cette décision par écrit. Une entreprise qui peut montrer qu’elle a étudié la question et fait un choix raisonné est dans une position très différente de celle qui découvre le sujet dans une mise en demeure.

Vous avez reçu une demand letter : que faire ?

Ne l’ignorez pas, et ne payez pas par réflexe. L’ignorer peut transformer un courrier en procès. Payer sans vérifier finance le modèle qui enverra la lettre suivante. Voici la marche à suivre, dans l’ordre.

Préservez les preuves avant de toucher à quoi que ce soit. Notez la date limite de réponse, désignez un seul interlocuteur interne (pas un employé qui répondrait de façon informelle et admettrait des faits). Sauvegardez immédiatement : la lettre et ses en-têtes, des captures d’écran du site, la configuration de votre CMP, un export du tag manager, la liste des plugins installés, les résultats de scan de cookies, vos logs de consentement, et les versions de vos politiques en vigueur à la date visée par le courrier. Surtout, ne retirez pas discrètement les trackers avant d’avoir tout sauvegardé : corriger le site est une bonne chose, donner l’impression d’avoir détruit des preuves en est une très mauvaise.

Vérifiez vos assurances. Relisez vos polices cyber, responsabilité professionnelle tech (E&O) et responsabilité civile générale : certaines couvrent la collecte de données fautive ou les « atteintes à la vie privée ». Beaucoup excluent désormais explicitement les réclamations wiretapping, donc lisez le texte. Si vous êtes couvert, l’assureur peut financer la défense, à condition de le notifier dans les délais prévus.

Auditez la réclamation avant de payer qui que ce soit. Ces lettres sont souvent des modèles types, et la plainte est parfois plus faible qu’elle en a l’air. Répondez avec des preuves : le tracker nommé existait-il vraiment sur le site ? S’est-il déclenché avant le choix de consentement, seulement après opt-in, ou était-il bloqué pour les visiteurs californiens ? Qu’a-t-il transmis exactement ? Que montrent vos logs à la date visée ? Si le tracker était absent, bloqué, ou déclenché uniquement après consentement, c’est un levier sérieux à remettre à votre avocat. Datez et exportez chaque résultat.

Prenez un avis juridique à la bonne échelle. Pas besoin d’un gros forfait contentieux tant qu’il n’y a ni plainte déposée ni échéance judiciaire. Les services de mise en relation certifiés par le barreau de Californie (calbar.ca.gov) offrent une première consultation gratuite ou à prix réduit ; SmartLaw, le service du barreau de Los Angeles, inclut vingt minutes gratuites. Vous pouvez aussi négocier une mission ponctuelle à forfait : analyse de la lettre et de vos logs, plus rédaction d’une réponse. Pour vérifier la compétence d’un avocat, cherchez la spécialisation « Privacy Law Specialist » (ABA) ou au minimum les certifications CIPP/US et CIPM. Évitez les outils low-cost de « demand letter » trouvés en première page de Google : ils rédigent des lettres pour en envoyer, pas pour défendre une entreprise qui en reçoit.

Corrigez la cause en parallèle. Même si vous réglez à l’amiable, un site inchangé attirera le plaignant suivant. Bloquez les trackers avant consentement, supprimez les pixels codés en dur, activez le blocage automatique, respectez le GPC, alignez vos politiques sur la réalité, et commencez à conserver vos logs. La lettre est douloureuse ; la recevoir deux fois est impardonnable.

Si vous vendez aux États-Unis et que vous ne savez pas ce que vos tags font réellement de votre trafic californien, c’est exactement le genre de vérification qu’on fait en audit. Parlons-en avant que le courrier arrive, c’est nettement moins cher qu’après.

FAQ : CIPA et sites web des entreprises françaises

Le CIPA s’applique-t-il à mon entreprise si elle n’a aucun bureau aux USA ?

Oui, dès lors que votre site a des visiteurs californiens et que des trackers transmettent leurs données à des tiers avant consentement. Les plaintes visent le comportement du site, pas le lieu du siège social. Une entreprise basée en France qui vend en ligne aux États-Unis est exposée au même titre qu’une entreprise de San Diego.

Un bandeau cookies suffit-il pour être conforme au CIPA ?

Non. Ce qui compte, c’est que les trackers non essentiels soient réellement bloqués tant que le visiteur n’a pas fait de choix. Une bannière affichée pendant que le pixel Meta se déclenche en arrière-plan ne protège de rien. Testez votre site en session propre, onglet Réseau ouvert, pour vérifier ce qui part avant le clic.

Quelle est la différence entre le CIPA et le CCPA ?

Le CCPA est une loi de protection des données en modèle opt-out : transparence, information, droit de refuser la vente ou le partage des données. Le CIPA est une loi pénale anti-écoutes qui exige le consentement de toutes les parties avant toute interception, et permet à tout particulier de réclamer 5 000 $ par violation (article 637.2). Un site peut être conforme au CCPA et néanmoins visé par une plainte CIPA si ses trackers se déclenchent avant consentement.

Que risque concrètement mon entreprise en cas de plainte CIPA ?

Une mise en demeure réclame généralement un règlement amiable de quelques milliers à quelques dizaines de milliers de dollars. En cas de procès, les dommages statutaires sont de 5 000 $ par violation, auxquels s’ajoutent vos frais de défense. Les décisions de 2025 sont plutôt favorables aux sites poursuivis, mais elles restent contradictoires, et se défendre coûte cher même quand on gagne. La prévention (blocage avant consentement, logs, politiques à jour) coûte une fraction de tout ça.

DISCLAIMER: This content is for informational purposes only and does not constitute legal advice. It reflects legal developments as of 7/1/2026. CIPA litigation is evolving rapidly, and new decisions may alter the analysis above. For specific legal advice regarding your situation, including whether to respond to a demand letter or lawsuit, please consult with qualified legal counsel experienced in California privacy and wiretapping litigation. Termly is a consent management platform provider and does not provide legal services.

Olivier GRUERE, CEO Royal Cheese Digital

Article proposé par Olivier Gruère

Olivier Gruère, expert en stratégie de marque et fondateur de Royal Cheese Agency à Los Angeles, accompagne depuis plus de 15 ans les entreprises françaises dans leur réussite aux États-Unis. Reconnu pour son expertise en marketing transatlantique, il a conseillé plus de 150 marques et publié de nombreux contenus de référence sur l’adaptation des marques au marché américain.

Quick Nav.

French Circle - Logo blanc

Le cercle des Français qui se lancent aux USA

Vous venez d'arriver aux USA avec un visa E-2, vous êtes là depuis un an et le marché vous surprend encore, ou vous préparez votre implantation ? French Circle vous accompagne et vous branche aux Français qui connaissent déjà le terrain.

Rejoindre la communauté gratuitement

Depuis 2018, Royal Cheese a guidé plus d’une centaine d’entreprises dans leur développement sur le marché américain. Nous comprenons les nuances du marché américain et savons comment positionner votre marque pour maximiser son impact auprès de votre audience cible. Pour celà, nous fournissons un soutien sur mesure adapté à vos besoins spécifiques.

Choisir Royal Cheese, c’est s’assurer d’une approche personnalisée et d’une stratégie bien rodée, fruit de 25 années d’expérience. Nous avons une compréhension approfondie des enjeux spécifiques aux entreprises françaises se lançant aux États-Unis. Ensemble, nous travaillons à définir et à affiner votre message, à cibler efficacement votre marché et à naviguer les complexités culturelles et commerciales de ce nouveau territoire. Notre mission est de faire de votre expansion aux États-Unis non seulement un succès, mais aussi un vecteur de croissance durable pour votre entreprise.

Vous avez un projet à développer aux Etats-Unis ? Parlons-en.

Share

A lire aussi