CCPA et CPRA : ce que les lois californiennes sur la protection de la vie privée impliquent pour les équipes informatiques et les MSP

La California Consumer Privacy Act (CCPA), considérablement élargie par la California Privacy Rights Act (CPRA), constitue à ce jour la législation la plus complète en matière de protection de la vie privée au niveau des États américains. Souvent qualifié de « RGPD américain », le cadre californien en matière de protection de la vie privée a influencé la législation dans ce domaine à l'échelle nationale et sert désormais de référence en matière de conformité pour les organisations chargées de gérer les obligations liées à la protection de la vie privée à l'échelle nationale.

Selon le rapport « State of the MSP » 2026 de Kaseya, la conformité réglementaire et le reporting figurent parmi les dix principaux besoins des clients des MSP en 2026. La loi californienne CPRA est l’un des éléments les plus scrutés de tout programme de conformité aux États-Unis. La plateforme de Kaseya aide les MSP à gérer la conformité dans plus de 170 pays, ce qui nous permet d’identifier précisément les domaines où les obligations liées à la CPRA génèrent le plus de difficultés opérationnelles.

CCPA et CPRA : quelle est la différence ?

La CCPA, promulguée en 2018 et entrée en vigueur en janvier 2020, a établi les droits fondamentaux des consommateurs en matière de protection de la vie privée pour les résidents de Californie. La CPRA, approuvée par les électeurs en 2020 et pleinement applicable depuis janvier 2023, a considérablement élargi ces droits et créé une agence chargée de veiller à leur application, l'Agence californienne de protection de la vie privée (CPPA).

Principales nouveautés de la CPRA par rapport à la CCPA :

• Une nouvelle catégorie de données personnelles sensibles (DPS) bénéficiant de protections renforcées, comprenant notamment la géolocalisation précise, l'origine raciale ou ethnique, les données relatives à la santé, les coordonnées bancaires, les données biométriques et le contenu des communications.
• Nouveaux droits des consommateurs : droit de rectifier des données à caractère personnel inexactes ; droit de limiter l'utilisation et la divulgation de données à caractère personnel sensibles.
• Renforcement des exigences en matière de minimisation des données et de limitation de la finalité.
• Autorité chargée de l'application de la loi (CPPA) agissant en complément du procureur général de Californie.

À des fins de conformité, la CPRA remplace la CCPA. Les organisations doivent se conformer aux normes de la CPRA, et non à la version de référence initiale de 2020.

Qui doit s'y conformer

La CPRA s'applique aux entreprises à but lucratif qui collectent des données à caractère personnel auprès de résidents californiens et qui répondent à au moins l'un des critères suivants :

• Le chiffre d'affaires annuel brut dépasse les 25 millions de dollars
• acheter, vendre, recevoir ou partager chaque année, à des fins commerciales, les données à caractère personnel de 100 000 consommateurs ou ménages ou plus
• Tirer au moins 50 % de son chiffre d'affaires annuel de la vente ou du partage des données personnelles des consommateurs

Les organisations à but non lucratif sont généralement exemptées. Pour les entreprises technologiques, notamment les fournisseurs de SaaS, les services cloud et les MSP disposant d'une large clientèle, le seuil de 100 000 consommateurs ou foyers est le critère le plus fréquemment appliqué. La compétence est extraterritoriale : une entreprise basée à New York ou à Londres qui traite les données à caractère personnel de 100 000 résidents californiens doit se conformer à la réglementation, quel que soit le lieu où elle exerce ses activités.

Il convient de noter que la CCPA s'applique aux relations de travail et aux relations interentreprises en vertu de la réglementation de 2026. Les données relatives aux employés, aux prestataires, aux candidats à un emploi et aux contacts professionnels relèvent du champ d'application des évaluations des risques et d'autres obligations. Il s'agit là d'une différence notable par rapport à de nombreuses autres lois étatiques américaines sur la protection de la vie privée.

Les droits des consommateurs et leurs implications pour les systèmes informatiques

La CPRA accorde aux consommateurs californiens plusieurs droits qui imposent des exigences spécifiques en matière de systèmes informatiques.

Droit à l'information. Les consommateurs peuvent demander à savoir quelles données à caractère personnel sont collectées, utilisées, communiquées ou vendues. Les systèmes informatiques doivent être en mesure de fournir un aperçu complet des données à caractère personnel existantes concernant une personne donnée. Cela nécessite un inventaire des données et des fonctionnalités de recherche couvrant l'ensemble des systèmes, et pas seulement le CRM ou l'ERP principal.

Droit à l'effacement. Les consommateurs peuvent demander la suppression de leurs données à caractère personnel. Les systèmes informatiques doivent localiser et supprimer ces données sur l'ensemble des systèmes, y compris les sauvegardes et les sous-traitants tiers. En l'absence d'un programme structuré de gestion des données, cette opération s'avère complexe sur le plan opérationnel. Un fournisseur de services gérés (MSP) de taille moyenne gérant les données de 30 environnements clients, chacun disposant de son propre système de tickets, de sa plateforme de documentation et de ses archives de sauvegarde, est confronté à un défi opérationnel de taille s'il ne dispose pas d'outils permettant de cartographier et de contrôler les flux de données.

Droit de rectification. Les consommateurs peuvent demander la rectification de données à caractère personnel inexactes. Les systèmes doivent permettre la rectification des enregistrements dans toutes les bases de données concernées, et pas seulement au niveau de l'interface utilisateur.

Droit de s'opposer à la vente ou au partage. Les consommateurs peuvent s'opposer à la vente ou au partage de leurs données personnelles. Les systèmes doivent respecter les indicateurs de refus dans l'ensemble des processus de traitement et de partage des données. Les pixels marketing et les outils de reciblage qui partagent des données avec des plateformes publicitaires sont considérés comme un « partage » au sens de la CPRA, même en l'absence de paiement direct.

Droit de limiter l'utilisation des informations personnelles sensibles. Les consommateurs peuvent restreindre la manière dont les entreprises utilisent ces informations. Des mesures techniques doivent garantir le respect de ces restrictions au niveau du système, et non pas uniquement par le biais de documents de politique.

Pour répondre aux demandes relatives aux droits des consommateurs dans le délai de 45 jours imparti, trois éléments sont indispensables : un inventaire des données (savoir où se trouvent les informations personnelles), une fonctionnalité de recherche (permettant de retrouver les données d'une personne spécifique dans l'ensemble des systèmes) et une fonctionnalité de suppression/correction applicable à tous les sous-traitants.

Les exigences en matière d'informatique et de sécurité

La CPRA impose aux entreprises de mettre en œuvre des procédures et des pratiques de sécurité raisonnables, adaptées à la nature et au caractère sensible des informations personnelles. Le procureur général de Californie a indiqué que la conformité à la norme CIS Controls IG1 constituait une interprétation raisonnable de la norme minimale de « sécurité raisonnable ».

Plus précisément, la CPRA impose les exigences suivantes.

Minimisation des données. Ne collecter et ne conserver que les données strictement nécessaires à la finalité indiquée. Configurer les systèmes de manière à ne collecter que le minimum de données à caractère personnel requis. Cette règle s'applique aux champs des formulaires, à la durée de conservation des journaux, aux outils d'analyse et à toute intégration impliquant le transfert de données à caractère personnel entre des systèmes.

Limites de conservation. Ne conservez les données à caractère personnel que pendant la durée raisonnablement nécessaire à la réalisation de l'objectif visé. La mise en œuvre automatisée des règles de conservation (calendriers de suppression) est une exigence opérationnelle, et non une simple déclaration de principe. Les organisations doivent disposer d'un calendrier de conservation qui répertorie la catégorie de données, le système, le responsable, la durée de conservation et la méthode de suppression.

Évaluations des risques. Pour les activités de traitement présentant un risque important pour la vie privée des consommateurs (prise de décision automatisée, profilage à grande échelle, partage de données sensibles), une évaluation des risques documentée est requise. En vertu de la réglementation de 2026, les nouvelles activités de traitement lancées après le 1er janvier 2026 doivent faire l'objet d'une évaluation des risques avant leur mise en œuvre.

Audits de cybersécurité. Les entreprises présentant un risque important pour la vie privée des consommateurs pourraient être tenues de réaliser des audits annuels de cybersécurité. Les délais de soumission à la CPPA sont échelonnés en fonction du chiffre d'affaires : le 1er avril 2028 pour les entreprises dont le chiffre d'affaires est supérieur à 100 millions de dollars, le 1er avril 2029 pour celles dont le chiffre d'affaires est compris entre 50 et 100 millions de dollars, et le 1er avril 2030 pour les entreprises dont le chiffre d'affaires est inférieur à 50 millions de dollars. Il est judicieux de commencer dès maintenant le processus de préparation à l'audit, quelle que soit la date limite de soumission.

Qu'est-ce qui a changé en 2026 ?

En septembre 2025, la CPPA a finalisé un ensemble important de modifications réglementaires, qui entreront en vigueur le 1er janvier 2026. Celles-ci constituent l'élargissement le plus significatif des obligations en matière de protection de la vie privée en Californie depuis l'entrée en vigueur de la CPRA elle-même.

Technologie de prise de décision automatisée (ADMT). Les entreprises qui utilisent des systèmes automatisés pour prendre des décisions importantes concernant les consommateurs (octroi de crédit, sélection des candidats à l'embauche, éligibilité aux soins de santé, tarification des assurances) doivent fournir un avis préalable à l'utilisation expliquant le fonctionnement de cette technologie, les données qu'elle utilise et son impact potentiel sur les consommateurs. Les consommateurs ont le droit de refuser cette technologie. Les avis préalables à l'utilisation de l'ADMT doivent être mis en place d'ici le 1er janvier 2027 pour la plupart des entreprises.

Évaluations des risques obligatoires. Les nouvelles activités de traitement mises en place à compter du 1er janvier 2026 doivent faire l'objet d'une évaluation des risques documentée avant leur lancement. Pour les activités de traitement déjà en place avant cette date, les évaluations doivent être réalisées avant le 31 décembre 2027.

Gestion du contrôle global de la confidentialité (GPC). Plusieurs mesures coercitives prises par la CPPA ont visé des entreprises qui n'ont pas respecté les signaux GPC des navigateurs, lesquels permettent de refuser automatiquement la vente ou le partage de données. La configuration des systèmes pour qu'ils respectent ces signaux GPC constitue désormais une exigence de conformité fondamentale, et non plus une option.

Délai de notification des violations de 30 jours. L'obligation de notification des violations en Californie a été ramenée à 30 jours à compter du 1er janvier 2026.

Obligations des prestataires de services pour les MSP

En vertu de la CPRA, un MSP fournissant des services à une entreprise relevant de la CPRA est considéré comme un prestataire de services, ce qui correspond à un sous-traitant au sens du RGPD. Les principales obligations sont les suivantes :

• Traiter les données à caractère personnel uniquement dans le but de fournir les services prévus par le contrat.
• Ne vendez pas et ne divulguez pas les informations personnelles fournies par l'entreprise cliente.
• Supprimer ou restituer les données à caractère personnel à l'expiration du contrat.
• Mettez en place des mesures de sécurité appropriées.
• Conclure un contrat de service écrit précisant les obligations au titre de la CPRA.

Cela signifie que tout prestataire de services gérés (MSP) travaillant avec des clients soumis à la CPRA doit disposer d'un avenant relatif à la protection des données contenant les clauses CPRA appropriées. Cela signifie également que le MSP doit être en mesure de démontrer que son propre programme de sécurité est mis en œuvre et documenté, car un client faisant l'objet d'une enquête réglementaire exigera des preuves de la posture de sécurité du MSP, et pas seulement un document de politique.

Découvrez comment Compliance Manager GRC la gestion de la conformité à la CCPA/CPRA

Application et sanctions

Le procureur général de Californie et la CPPA sont tous deux habilités à faire respecter la CPRA. Amendes par infraction pour la période 2025-2026, ajustées en fonction de l'inflation :

• Infractions involontaires : 2 663 $ par infraction
• Infractions délibérées : 7 988 $ par infraction
• Infractions concernant les données de mineurs : 7 988 $ par infraction

Chaque consommateur concerné est considéré comme une infraction distincte, ce qui explique pourquoi les sanctions s'alourdissent rapidement. À ce jour, la plus lourde amende infligée par la CPPA s'élevait à 1,35 million de dollars ; elle a été prononcée à l'encontre de Tractor Supply en octobre 2025 après que son lien « Ne pas vendre mes informations personnelles » n'ait pas réellement empêché le partage de données. Au premier trimestre 2026, des mesures coercitives ont été prises à l'encontre de Disney, Ford, Honda et d'autres entreprises, pour un montant total de plusieurs millions de dollars en amendes et en ordonnances de mise en conformité obligatoires.

Les particuliers disposent également d'un droit d'action individuel en cas de violation de la sécurité résultant d'un manquement à l'obligation de mettre en place des mesures de sécurité raisonnables : entre 100 et 750 dollars par consommateur et par incident, ou le montant réel des dommages subis s'il est supérieur. Cela expose fortement toute organisation victime d'une violation de données et dont les mesures de sécurité ne répondent pas à des normes défendables à des recours collectifs.

La CPPA a déclaré qu'elle pouvait enquêter sur des faits remontant au 1er janvier 2020, date initiale d'entrée en vigueur de la loi. La rigueur dans l'application de la loi s'intensifie, elle ne s'assouplit pas.

Comment Compliance Manager GRC les programmes CPRA

Compliance Manager GRC les processus de collecte, d'évaluation et de documentation des preuves requis par la conformité à la CPRA. Pour les MSP chargés de gérer la conformité pour plusieurs clients, cette solution remplace le suivi manuel via des tableurs par une plateforme qui surveille en permanence l'état des contrôles, attribue les tâches d'évaluation aux responsables concernés et génère une documentation de conformité prête à être examinée par les autorités réglementaires ou les clients.

Les référentiels pris en charge comprennent notamment HIPAA, CMMC, PCI DSS, NIST CSF, CIS Controls et la règle de protection de la FTC, ainsi que des référentiels spécifiques à la Californie et des référentiels personnalisés. IT Glue transfère automatiquement les rapports de conformité vers la documentation de chaque client, garantissant ainsi une mise à jour constante sans nécessiter de cycles manuels d'exportation et de téléchargement.

Découvrez Compliance Manager GRC