Le guide complet de conformité au CCPA (mise à jour 2026)
.png)
La California Consumer Privacy Act (CCPA) est une loi d'État sur la protection de la vie privée en vigueur depuis le 1er janvier 2020 qui accorde aux Californiens de nouveaux droits sur leurs données personnelles. Elle impose aux entreprises concernées de faire preuve de transparence en matière de collecte de données et donne aux consommateurs le contrôle (accès, suppression, désinscription). En novembre 2020, les électeurs californiens ont approuvé la California Privacy Rights Act (CPRA), qui a modifié le CCPA. La CPRA (entrée en vigueur le 1er janvier 2023) a renforcé les droits des consommateurs en ajoutant un droit de correction des erreurs informations personnelles et le droit de limiter l'utilisation des données personnelles sensibles. La loi se lit désormais comme « le CCPA, tel que modifié par la CPRA », combinant ces droits au lieu de les traiter séparément comme le CCPA et le CRPA.
Le CCPA s'applique à toute entreprise à but lucratif collectant des informations personnelles auprès de résidents de Californie qui ont atteint au moins un seuil :
Il est essentiel de noter que la présence physique en Californie n'est PAS requise. Même les entreprises en ligne situées en dehors de l'État doivent se conformer si elles ciblent des Californiens.
Informations personnelles (IP) : Définition large pour inclure tout ce qui « identifie, concerne, décrit ou est raisonnablement susceptible d'être associé à » un consommateur ou un foyer, les identifiants, les informations commerciales/financières, les identifiants en ligne, les données biométriques, la géolocalisation, etc.
Informations personnelles sensibles (SPI) : La CPRA a ajouté des protections supplémentaires pour les numéros de sécurité sociale, la géolocalisation précise, l'origine ethnique, les données de santé, les données génétiques/biométriques et l'orientation sexuelle. Les entreprises doivent divulguer la collecte du SPI et autoriser les consommateurs à en limiter l'utilisation.
« Sale » or « share » of data : Le CCPA définit la « vente » comme l'échange d'informations personnelles contre tout objet de valeur, y compris des réseaux publicitaires numériques ou des analyses. Le « partage » couvre les transferts pour la publicité ciblée intercontextuelle. Les deux nécessitent des mécanismes de désinscription clairs et le respect des signaux du Global Privacy Control (GPC).
Tendances en matière d'application : La position de la Californie a toujours été légère en matière d'application de la loi, mais cela est en train de changer. La nouvelle agence de protection de la vie privée de la CPRA a publié des directives et a mis en garde contre les audits. Les observateurs du secteur prédisent que l'agence publiera bientôt des réglementations sur des sujets tels que les audits, les évaluations des risques et les normes de sécurité.
Exposition civile : La réglementation CCPA permet aux consommateurs de poursuivre les entreprises pour certaines violations de données (par exemple, en cas de fuite de données non cryptées). Ces actions en « droit d'action privé » peuvent permettre d'obtenir des dommages et intérêts de 100 à 750 dollars par personne et par incident. Collectivement, cela peut être énorme pour les recours collectifs. Il est donc important de comprendre comment se conformer au CCPA.
Les attentes du marché : Aux États-Unis, d'autres États (Virginie, Colorado, Connecticut, Utah, etc.) promulguent des lois similaires au RGPD, et les lois sur la protection de la vie privée sont en train de prendre de l'ampleur. Les entreprises qui se conforment déjà à la CCPA/CPRA ont une longueur d'avance. Démontrer que vous suivez les directives du CCPA (par exemple, en obtenant une certification CCPA ou une validation par un tiers) peut rassurer les parties prenantes.
La CCPA/CPRA accorde aux résidents de Californie six droits fondamentaux concernant leurs données personnelles :
Les entreprises doivent répondre aux demandes vérifiées dans un délai de 45 jours (extensible une fois de 45 jours).
Pour se conformer à la CCPA/CPRA, votre organisation doit élaborer un programme de confidentialité et respecter les exigences fondamentales suivantes :
Effectuez un inventaire complet de toutes les informations personnelles collectées, traitées, vendues ou partagées. Identifiez les sources de données, classez les catégories d'IP, signalez les données sensibles et cartographiez le flux de données vers des parties externes.
Indiquez clairement les catégories d'informations personnelles collectées, les objectifs, les pratiques de vente/de partage et les tiers concernés. Fournissez des instructions pour exercer vos droits et assurez-vous que les notifications sont accessibles sur toutes les plateformes.
Placez les liens « Ne pas vendre ni partager mes informations personnelles » bien en évidence. Concevez des systèmes pour détecter et honorer les signaux Global Privacy Control (GPC) en tant que demandes de désinscription valides.
Établissez des canaux dédiés aux demandes d'accès des personnes concernées, des processus de vérification sécurisés et des flux de travail pour récupérer et fournir des données dans un délai de 45 jours.
Mettez à jour les contrats tiers avec des clauses conformes à la CCPA obligeant les fournisseurs à mettre en œuvre la sécurité, à prendre en charge les DSAR et à éviter les ventes de données non autorisées.
Maintenez une « sécurité raisonnable » grâce au cryptage, aux contrôles d'accès, à la journalisation et à des tests réguliers. Établissez des plans de réponse aux violations et renforcez la minimisation des données.
Conservez des registres complets des cartes de données, des avis de confidentialité, des journaux DSAR, des dossiers de formation, des contrats fournisseurs et des évaluations des risques.
Pour gérer la conformité au CCPA, vous pouvez suivre cette liste de contrôle pratique :
Examinez attentivement les critères de seuil : chiffre d'affaires, volume de données californiennes ou recettes provenant de la vente de données. N'oubliez pas que même si vous avez aucune présence physique en Californie, la vente à des consommateurs californiens déclenche la mise en conformité.
Carte où circulent les informations personnelles. Cela inclut les sources, le stockage et les destinataires. Signalez le SPI (SSN, health, biometric) for a special treatment.
Sois explicite : dressez la liste des catégories de données, des finalités, de la conservation et des droits. Notifications de liens sur les bannières du site, de l'application et des cookies.
Ajoutez des options claires « Ne pas vendre/partager » et « Limiter l'utilisation sensible ». Testez les options de désinscription et respectez les signaux du Global Privacy Control.
Créez une réception, une vérification allégée, des exportations modélisées et une livraison sécurisée. Respectez le délai de réponse de 45 jours pour DSAR in the CCPA and enregistrez chaque demande.
Passez en revue tous les fournisseurs ou services tiers qui traitent les données des consommateurs californiens. Pour chaque fournisseur, mettez à jour les contrats afin d'inclure des clauses spécifiques à la CCPA : il doit accepter de ne pas « vendre » les données, de prendre en charge les DSAR (fournir des données à divulgation/suppression), de mettre en œuvre des contrôles de sécurité et de vous informer des violations.
Vérifiez que vos mesures de sécurité sont « raisonnables » pour les types de données que vous détenez. Cela implique généralement un chiffrement au repos/en transit, un contrôle d'accès basé sur les rôles, une authentification renforcée et des correctifs en temps opportun. Il est également important d'effectuer fréquemment un test de casserole.
Formez tout le personnel traitant les données des consommateurs aux principes de base et aux procédures internes du CCPA, aux représentants du service client, aux équipes informatiques/de développement et aux responsables légaux/de conformité. Expliquez les droits (en particulier la désinscription et la suppression) et comment rediriger les demandes. Actualisez la formation chaque année et documentez la participation.
La conformité n'est pas « réglée et oubliée ». Mener des audits internes périodiques pour s'assurer que les politiques et les procédures sont respectées. Surveillez les directives réglementaires. La Californie pourrait publier de nouvelles règles ou FAQ (la CPPA devrait publier des directives supplémentaires tout au long de 2026).
Your policy of confidentiality is the public face of your compliance. Pour le rendre conforme à la CCPA, couvrez clairement ces éléments :
Énumérez toutes les catégories d'informations personnelles que vous collectez, les objectifs et les pratiques d'utilisation/de partage. Indiquez si vous vendez ou partagez des données et avec quels tiers (annonceurs, fournisseurs d'analyses). Dressez la liste des catégories de données sensibles et de leurs finalités. Afficher les droits des consommateurs (accès, suppression, désinscription, correction, limitation, non-discrimination) avec des instructions d'exercice claires. Évitez les termes vagues et utilisez des termes spécifiques tels que « nous collectons les adresses e-mail, les adresses IP et l'historique des achats ».
Au-delà de votre politique de confidentialité principale, vous pouvez utiliser des notifications à plusieurs niveaux au point de collecte (formulaires sur le site Web, inscriptions à des applications) avec de brèves descriptions renvoyant à la politique complète. Déployez des bannières de cookies et des autorisations d'application pour rappeler aux utilisateurs leurs choix en matière de consentement. Cette approche à plusieurs niveaux garantit que les utilisateurs ne passent pas à côté d'informations clés et répond à l'exigence de « divulgation significative » du CCPA.
Maintenez un langage cohérent sur toutes les plateformes, sites Web, applications mobiles et notifications relatives aux cookies. Mentionnez les cookies et les traceurs dans votre politique sous la rubrique « Catégories d'informations personnelles collectées ». Associez votre politique à des bannières relatives aux cookies afin que les utilisateurs puissent facilement trouver et comprendre les informations du CCPA, quelle que soit la plateforme.
Passez en revue et mettez à jour votre politique de confidentialité au moins une fois par an ou chaque fois que les pratiques en matière de données changent (nouveaux fournisseurs, fonctionnalités des produits). Tenez un journal des modifications documentant les dates et les modifications afin de démontrer le maintien actif de la conformité aux régulateurs.
Lorsqu'un consommateur soumet une demande d'accès ou de suppression de données, vous avez besoin d'un flux de travail fluide :
Proposez plusieurs canaux de soumission (formulaire Web, e-mail, numéro gratuit). Vérifiez votre identité à l'aide des données que vous détenez déjà, de votre adresse e-mail connue ou des quatre derniers chiffres d'un mode de paiement, plutôt que de demander la numérisation de documents. Documentez les étapes de vérification avec soin sans stocker de nouvelles informations sensibles uniquement pour confirmer votre identité.
Vous disposez de 45 jours pour répondre avec les données demandées ou pour terminer la suppression (une prolongation de 45 jours est autorisée avec préavis). Enregistrez chaque action : reception, verification and processing. Utilisez des systèmes de billetterie ou des outils spécialisés DSAR pour le suivi. Proposez les données dans des formats portables (PDF, tableur) et conservez une preuve de livraison. Si vous refusez une demande, veuillez fournir un avis écrit en indiquant la raison.
Rédigez les informations concernant d'autres personnes avant la livraison. Pour les suppressions, supprimez définitivement les données (et non « suppression logicielle ») de tous les systèmes, y compris les sauvegardes. Chiffrez ou protégez par mot de passe les données en transit. Pour les demandes complexes, envoyez des rapports de synthèse avec des liens de portail sécurisés. Enregistrez les livraisons et demandez éventuellement une confirmation de réception.
Les outils d'automatisation de la confidentialité peuvent collecter et compiler automatiquement des données personnelles à partir de systèmes cloud, accélérant ainsi les réponses. Même sans automatisation complète, vous pouvez utiliser des modèles de feuilles de calcul ou des scripts pour rassembler des champs communs. La cohérence est essentielle ; traitez chaque DSAR de la même manière pour éviter de manquer des étapes.
La CPRA fait la distinction entre les « prestataires de services » (qui traitent des données pour le compte d'entreprises, comme les sous-traitants du RGPD) et les « sous-traitants » (une catégorie plus large comprenant les filiales). Les fournisseurs de services ne peuvent ni vendre ni utiliser les données à d'autres fins. Les fournisseurs de SaaS et de cloud doivent indiquer explicitement leur rôle dans les contrats, tandis que les entreprises doivent s'assurer que les contrats avec les fournisseurs imposent des conditions conformes à la CCPA.
Gardez le contrôle de tous les services cloud, bases de données, CRM et marketing tools. Assurez-vous que chaque fournisseur comprend son rôle en vertu de la CCPA (contrôleur ou processeur). Vérifiez que les plateformes telles qu'AWS ou Salesforce offrent les fonctionnalités de conformité nécessaires (cryptage, journaux d'audit) et que l'utilisation ne « vend » pas de données par inadvertance. Implémentez l'accès basé sur les rôles et le principe du moindre privilège sur tous les systèmes.
Dans les contextes B2B, précisez dans les contrats qui est « l'entreprise » au sens de la CCPA et qui gère les notifications et les demandes. Si votre client vous envoie des données concernant des employés ou des clients californiens, vous devez toujours bénéficier des droits prévus par la CCPA. Mettez à jour les termes standard afin de garantir des responsabilités claires en matière de conformité pour les deux parties.
De nombreux droits se recoupent entre le RGPD et les lois des États (CDPA de Virginie, CPA du Colorado) : accès, suppression, désinscription, portabilité des données et non-discrimination. Lors de la comparaison Le RGPD contre le CCPA nous pouvons observer la principale différence : le RGPD exige une base légale (souvent le consentement) pour le traitement ; le CCPA/CPRA utilisent des modèles de désinscription. Si vous êtes conforme au RGPD, vous disposez probablement de nombreux contrôles CCPA, mais vous devez ajuster les notifications et les processus pour le cadre de désinscription. Concevez des programmes de confidentialité répondant aux normes les plus strictes de toutes les lois applicables.
De nombreuses entreprises ne savent pas où se trouvent les données personnelles, en particulier dans les systèmes informatiques parallèles ou existants. Utilisez des outils de découverte de données et menez des entretiens avec les départements. Désignez un responsable des données ou un DPO pour une supervision centralisée. Réconciliez les inventaires informatiques tous les trimestres pour identifier les nouvelles sources de données.
Les politiques favorables aux clients génèrent de nombreuses demandes. Mettez en œuvre des outils de gestion DSAR, automatisant la vérification et la collecte de données. Formez les équipes du service client à répondre rapidement aux demandes de confidentialité. Regroupez les demandes simples et transmettez les demandes complexes à un niveau supérieur.
La prise en charge du Global Privacy Control (GPC) est toujours en cours de développement. Adoptez des plateformes modernes de gestion du consentement (CMP) ou mettez à jour le code Web. Testez les paramètres de confidentialité des principaux navigateurs par rapport aux liens de désinscription pour vous assurer de la compatibilité.
Certains fournisseurs résistent aux addenda relatifs à la confidentialité ou manquent de sécurité. Priorisez les fournisseurs à haut risque (traitant de grands volumes de PI ou des données sensibles) pour une correction immédiate. Utilisez des outils d'évaluation des risques standardisés. Si les fournisseurs ne peuvent pas se conformer, trouvez des alternatives ou limitez le partage des données.
Les startups et les entreprises en expansion modifient fréquemment la collecte et l'utilisation des données grâce à de nouvelles fonctionnalités, à des acquisitions ou à des partenariats. Traitez la confidentialité dans le cadre de la gestion du changement. Exiger des évaluations de l'impact sur la vie privée pour les nouveaux projets. Mettez à jour les politiques et les notifications immédiatement lorsque vous lancez de nouvelles activités de traitement des données, afin d'améliorer la conformité de votre entreprise.
Les spécialistes de la protection de la vie privée élaborent des plans clairs en évaluant les lacunes et en répartissant le travail par étapes. Les points de vue des experts révèlent des problèmes cachés et hiérarchisent les tâches en fonction des risques et de l'impact sur les ressources.
Les auditeurs externes cartographient les flux de données de manière indépendante, en trouvant des sources que les équipes internes n'ont pas détectées. Leurs rapports fournissent des tableaux de bord avec des mesures correctives spécifiques, rassurant les conseils et les régulateurs.
Le cabinet de conseil optimise les flux de travail DSAR grâce à des modèles de lettres de réponse, aux meilleures pratiques de cryptage et à l'intégration du CRM. Des exercices DSAR simulés testent l'état de préparation de l'équipe.
Les auditeurs tiers vérifient les fournisseurs à l'aide de listes de contrôle et de clauses types. Ils analysent les mesures de confidentialité/sécurité, donnent la priorité aux mises à jour des contrats et suggèrent un langage plus ferme, y compris des droits d'audit et des clauses de notification des violations.
Des conseillers externes suivent la réglementation californienne, les directives de l'Agence de protection de la vie privée et les développements connexes. Ils interprètent la manière dont les lois d'autres États se chevauchent ou diffèrent de la CCPA et fournissent des conseils sur des scénarios complexes tels que les transferts internationaux de données ou les utilisations de données liées à l'IA.
Fort d'une expérience approfondie en matière de CCPA, de CPRA, de GDPR et de programmes de confidentialité multi-juridictionnels, DPO Consulting aide les organisations à passer d'efforts de conformité fragmentés à des cadres de confidentialité structurés et prêts à être audités.
Bien que les processus et les politiques soient essentiels, la technologie peut considérablement accélérer les tâches de conformité. Voici quelques catégories d'outils et de solutions :
Des plateformes telles que OneTrust, TrustArc Privacy Studio ou Nymity (TrustArc) Data Mapping automatisent la découverte de données personnelles sur l'ensemble des systèmes. Ils permettent de créer et de gérer des inventaires de données et des diagrammes de flux.
Les bannières de cookies et les outils de gestion du consentement (par exemple, CookieConsent, OneTrust CMP ou Transcend) peuvent enregistrer les préférences d'activation et de désactivation et générer des journaux du consentement des utilisateurs. Ils peuvent s'intégrer au site Web pour respecter les signaux « Ne pas vendre » ou « Ne pas suivre ».
Des solutions spécialisées telles que DataGrail, Osano (anciennement Evidon), Ketch ou Airslate proposent une automatisation DSAR. Ils peuvent automatiser les étapes de saisie, de vérification d'identité et de récupération des données, en particulier lorsqu'ils sont intégrés aux bases de données clients et aux systèmes marketing.
Des outils tels que OneTrust Vendor Risk Management, Aravo ou Vendorpedia permettent de suivre tous les tiers. Ils vous permettent de télécharger et d'attribuer des questionnaires axés sur le CCPA aux fournisseurs, de stocker des addenda de confidentialité signés et de signaler les contrats nécessitant des mises à jour.
Recherchez des plateformes qui surveillent les mises à jour réglementaires. Certaines suites GRC (Governance, Risk, and Compliance) incluent des modules pour le suivi de la législation californienne en matière de confidentialité, qui peuvent vous alerter en cas de modification des directives. D'autres regroupent la gestion des politiques, le suivi de la formation et les journaux d'audit en un seul endroit. Par exemple, de nombreuses entreprises utilisent LogicGate ou Collibra pour intégrer les exigences de confidentialité à un programme de conformité plus large.
Ces outils ne sont pas exigés par la loi, mais ils réduisent considérablement les tâches manuelles et le risque d'erreur humaine. Par exemple, un outil de gestion du consentement peut automatiquement ajouter une bannière de cookies « Ne pas vendre » et enregistrer les désinscriptions, que les développeurs humains pourraient oublier de mettre en œuvre correctement. Evaluez les outils en fonction de votre taille et de votre budget ; souvent, ils sont rentables en économisant de la main-d'œuvre et en garantissant la cohérence.
C'est là que DPO Consulting aide les organisations à évaluer, sélectionner et mettre en œuvre la bonne combinaison d'outils, en veillant à ce que la technologie soutienne le programme de confidentialité au lieu de le compliquer.
À ce jour, vous savez que la conformité au CCPA ne se limite pas au simple respect des exigences légales. Il s'agit davantage de comprendre vos données, de respecter les droits des consommateurs et de créer des systèmes adaptés à votre activité. Des concepts fondamentaux tels que les données personnelles et sensibles au flux de travail DSAR, à la gouvernance des fournisseurs et à la sélection d'outils, ce guide vous a guidé tout au long du parcours de conformité. Les organisations qui considèrent le CCPA comme un programme permanent, plutôt que comme une tâche ponctuelle, sont mieux placées pour réduire les risques, renforcer la confiance et garder une longueur d'avance alors que les attentes en matière de confidentialité continuent d'évoluer.
Chez DPO Consulting, nous aidons les organisations à prendre multiréglementaire compliance approach afin que le CCPA, la CPRA, le RGPD et les futures lois sur la confidentialité puissent être gérés via un cadre évolutif unique.
Contactez nos experts pour en savoir plus !
Oui Toute entreprise vendant à des Californiens ou collectant leurs données doit s'y conformer, quel que soit son emplacement physique.
L'échange de données personnelles contre tout ce qui a de la valeur, y compris les services de réseaux publicitaires. La plupart des entreprises considèrent tout échange de données entre tiers à des fins commerciales comme une vente.
Commencez par analyser les écarts, utilisez des modèles et des listes de contrôle, tirez parti de l'automatisation, hiérarchisez les priorités par risque, faites appel à des consultants pour la configuration initiale et formez minutieusement les employés.
Au moins une fois par an, mais plus fréquemment lorsque les lois changent, lors du lancement de nouveaux produits ou lors d'acquisitions.
La CPRA a modifié la CCPA en y ajoutant des droits et des mécanismes d'application supplémentaires. D'autres lois nationales partagent des objectifs fondamentaux mais diffèrent en termes de seuils et de droits spécifiques. Le RGPD exige un consentement volontaire, tandis que le CCPA/CPRA utilisent des modèles de désinscription.
Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.
Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.
Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.
RGPD et conformité
DPO et représentation externalisés
Formation et assistance
To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.
Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.
We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.
Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.
Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.
Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.
On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.
Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.
Grained Template comes with eCommerce set up, so you can start selling your services straight away.
To give you 100% control over the design, together with Webflow project, you also get the Figma file.
.png)
.svg)
.png)
