Longtemps à la traîne par rapport à l’Europe en matière de protection des données personnelles, les Etats-Unis rattrapent leur retard à une vitesse fulgurante. Depuis l’entrée en vigueur du CCPA en Californie, une vague de régulations locales a déferlé sur le pays, redéfinissant les règles du jeu pour les entreprises et les utilisateurs.
Dans ce nouvel épisode de Check-Up Conformité, on fait le point sur l’architecture de ce nouveau paysage légal, entre inspiration californienne, différences de philosophie avec le RGPD et émergence de certaines solutions communes sur le territoire américain, comme le signal GPC.
Le CCPA, loi pionnière devenue référence
Entrée en vigueur en 2020, le California Consumer Privacy Act (CCPA) est l’une des réglementations pionnières aux Etats-Unis, en matière de collecte et d’usage des données personnelles.
Ce cadre juridique s’applique aux entreprises qui collectent et/ou utilisent les données des résidents californiens, même si ces entreprises sont basées en dehors des Etats-Unis, dès lors qu’elles répondent à certains critères de chiffre d’affaires ou de volume de données traitées.
Le CCPA accorde aux consommateurs toute une série de droits nouveaux, directement inspirés du RGPD, mais avec une philosophie propre aux États-Unis, notamment :
- Le droit de savoir quelles informations personnelles sont collectées, utilisées, partagées ou vendues
- Le droit d’accéder à ces données gratuitement, jusqu’à deux fois par an, pour une période de 12 mois.
- Le droit de suppression des données personnelles collectées, sauf exceptions (obligations légales, sécurité, etc.).
- Le droit de corriger des informations personnelles inexactes.
- Le droit de limiter l’usage et la divulgation des informations sensibles (comme la localisation précise, les données biométriques, etc.).
- Et surtout, le droit de s’opposer à la vente ou au partage des données personnelles (l’opt-out).
Ce dernier est un véritable changement de paradigme pour les entreprises concernées par le CCPA puisqu’elles ont donc l’obligation de fournir aux utilisateurs un point d’entrée clair et visible pour exercer leur droit d’opt-out – qu’il s’agisse d’une CMP conforme au CCPA, d’un lien dans le footer "Do Not Sell My Personal Information" menant généralement à un formulaire DSAR (Data Subject Access Request), ou encore d’une technologie qui permet d’enregistrer le signal de préférence d’opt-out comme le GPC (Global Privacy Control, dont on vous parlera un peu plus en détail quelques lignes plus bas).
Si, comme son homologue européen, le CCPA s’accompagne de sanctions en cas de non-conformité, il s’en distingue pourtant par une vision radicalement différente du consentement. Une différence culturelle majeure, que l’on décrypte dans la section suivante.
CCPA vs RGPD : deux philosophies du consentement
Si le RGPD impose une logique de consentement préalable (opt-in) avant toute collecte de données par le biais de traceurs, le CCPA adopte une approche inverse.
En effet, des cookies de type “vente de données” peuvent être déposés dès l’arrivée sur le site, sans consentement explicite préalable. Toutefois, cette pratique n’est autorisée que si plusieurs conditions sont réunies :
- Un mécanisme d’opt-out est clairement visible, par exemple via le lien “Do Not Sell or Share My Personal Information” ou via la CMP, comme mentionné précédemment.
- si la politique de confidentialité détaille les catégories de données concernées ainsi que les tiers impliqués.
- si l’utilisateur peut refuser, a posteriori, la vente ou le partage de ses données.
Cette distinction a des conséquences majeures sur la conception des interfaces de consentement. Axeptio vous accompagne dans cette évolution en proposant trois options d’affichage différentes, permettant notamment de choisir si le widget s’affiche ou non dès l’arrivée sur le site. Nous recommandons toutefois de privilégier les options 2 ou 3 qui affichent une bannière dès la première connexion afin de garantir que l’utilisateur soit informé de l’usage de traceurs dès le départ, et renforcer ainsi la transparence perçue de votre marque. Pour en savoir plus, découvrez notre article “Product Lab” dédié à cette fonctionnalité :
En bref : deux approches, deux cultures, mais une même finalité : redonner à l’utilisateur le contrôle sur ses données. Et cette tendance aux Etats-Unis ne se limite pas à la Californie.
Protection des données : un effet domino à travers les États américains
Depuis l’adoption du CCPA, 13 autres États américains ont adopté des lois locales sur la protection des données. Outre la Californie, on retrouve le Colorado, le Connecticut, le Delaware, la Floride, l’Iowa, le Montana, le Nebraska, le New Hampshire, le New Jersey, l’Oregon, le Texas, l’Utah et la Virginie.
En parallèle, 6 autres Etats ont annoncé l’entrée en vigueur de leur variante régionale courant 2025 et 2026, avec :
- le Tennessee (1er juillet 2025)
- le Minnesota (31 juillet 2025)
- le Maryland (1er octobre 2025)
- l’Indiana (1er janvier 2026)
- le Kentucky (1er janvier 2026)
- le Rhode Island (1er janvier 2026)
"Malgré cette fragmentation régionale, les lois sur la protection des données aux États-Unis sont globalement assez similaires, à l’exception du CCPA, qui se distingue par des définitions et exigences plus détaillées. Pour autant, il fait souvent figure de modèle ou de référence, même si certains États introduisent leurs propres subtilités. Par exemple, certains excluent les données collectées dans un cadre professionnel, là où la Californie inclut aussi les données des salariés ou des contacts B2B." explique Eunice Amisi, Juriste en droit des affaires et données personnelles chez Axeptio
Pour les entreprises opérant à l’échelle internationale, ce patchwork juridique peut rendre la mise en conformité particulièrement complexe. D’où l’intérêt croissant pour des solutions de gestion du consentement flexibles et capables de s’adapter aux spécificités des réglementations qui font “référence”, comme aujourd’hui le propose Axeptio for Brands avec le CCPA, le RGPD, la nLPD ou encore la Loi 25 au Canada.
GPC : vers un signal d’opt-out unique aux Etats-Unis ?
Vous l’aurez compris, malgré la diversité des lois sur la protection des données aux États-Unis, certains points communs commencent à émerger.
C’est le cas du Global Privacy Control (GPC), un mécanisme d’opt-out universel. Déjà évoqué plus haut dans cet article, le GPC se présente comme un signal émis par le navigateur, qui indique automatiquement à un site web qu’un utilisateur souhaite refuser la vente ou le partage de ses données personnelles. Une sorte de solution anti-tracking activée une fois pour toutes, qui permet d’exercer ses droits sans avoir à cliquer systématiquement sur le bouton “Do Not Sell My Personal Information” à chaque visite.
Ce signal est juridiquement reconnu par le CCPA, et également par d’autres réglementations comme celles des Etats du Colorado ou du Connecticut. Son adoption progressive renforce l’idée qu’un certain niveau d’uniformisation peut émerger malgré le patchwork juridique américain.
Mais ce mécanisme pose aussi une question de fond : comment concilier automatisation du choix et nécessité d'informer et d'expliquer les finalités à l’utilisateur ? C’est ici que la CMP a son rôle à jouer, car elle ne se limite pas à collecter un signal, elle crée aussi un cadre propice à une décision éclairée.
Chez Axeptio, nous suivons de très près ces évolutions et leur impact sur l’expérience utilisateur. La compatibilité de notre CMP avec le signal GPC arrive d’ailleurs très bientôt… so stay tuned!
Découvrez comment Axeptio peut accompagner votre structure dans sa mise en conformité à l'international !
