Données personnelles

CCPA vs RGPD : guide pour entreprises françaises 2026

CCPA vs RGPD : différences, recouvrements, obligations. Guide pour entreprises françaises vendant aux résidents de Californie. Stratégie de conformité combinée.

TD
Dr. Thiébaut Devergranne
17 mai 20268 min read

En une phrase. Le CCPA (California Consumer Privacy Act, en vigueur depuis 2020, renforcé par le CPRA depuis 2023) est la loi californienne de protection des données personnelles. Pour une entreprise française vendant aux résidents de Californie ou collectant leurs données, le CCPA s’applique en plus du RGPD. Les deux régimes se recouvrent à environ 60 % mais divergent sur les droits opt-out (CCPA centré sur le « droit de refuser la vente »), les catégories de données sensibles, les délais de réponse (45 jours CCPA vs 30 jours RGPD), et les sanctions (CCPA : 7 500 $ par violation intentionnelle vs RGPD : 4 % du chiffre d’affaires mondial).

Pour une PME française qui exporte vers les États-Unis ou opère un SaaS B2B avec des clients américains, la question CCPA arrive dès qu’on a quelques utilisateurs en Californie. Le seuil CCPA est : 25 M$ de chiffre d’affaires brut OU traitement de 100 000+ consommateurs OU 50 %+ du CA tiré de la vente/partage de données personnelles.

Pour les fondamentaux RGPD : article 6 RGPD bases légales, data privacy compliance guide.

Points clés

  • Le CCPA s’applique aux entreprises ciblant les résidents de Californie, indépendamment de leur lieu d’établissement.
  • Seuils : 25 M$ CA brut OU 100 000+ consommateurs OU 50 %+ du CA tiré de la vente de données.
  • Droits CCPA principaux : savoir, supprimer, refuser la vente/partage, corriger, limiter l’usage des données sensibles.
  • Sanctions CCPA : 2 500 $ par violation non intentionnelle, 7 500 $ par violation intentionnelle ou impliquant un mineur.
  • Conformité combinée recommandée : construire sur la base RGPD (plus strict) avec couche CCPA spécifique (opt-out signals, sensitive data category).

1. Cadre légal californien : CCPA + CPRA

Loi En vigueur Effet principal
CCPA 1er janvier 2020 Premier cadre privacy moderne aux États-Unis
CPRA (California Privacy Rights Act) 1er janvier 2023 Amendement majeur : nouveaux droits, autorité dédiée (CPPA)
CPPA (California Privacy Protection Agency) Active depuis 2023 Autorité de contrôle indépendante

Le CCPA + CPRA fonctionnent comme un ensemble cohérent. En 2026, lorsqu’on parle de « CCPA », on inclut généralement les amendements CPRA.

2. Champ d’application

CCPA s’applique si :

Vous êtes une entreprise à but lucratif qui fait des affaires en Californie ET satisfait au moins un de ces critères :

  1. CA brut > 25 M$ par an (mondial)
  2. Traite les données de 100 000+ consommateurs ou ménages californiens par an
  3. 50 %+ du CA annuel provient de la vente ou du partage de données personnelles de consommateurs

CCPA NE s’applique PAS si :

  • Vous êtes une entreprise B2B pure (mais le CPRA réduit cette exemption depuis 2023)
  • Vous êtes une entité gouvernementale
  • Les données sont déjà couvertes par HIPAA, GLBA, FCRA (sectoriel)
  • Traitement uniquement non commercial

Pour une PME française

Une PME française avec 50 M€ de CA et 100 000 utilisateurs SaaS dont 5 000 en Californie est dans le champ CCPA.

3. Droits des consommateurs sous CCPA

Droit Article CPRA Équivalent RGPD
Right to know § 1798.100, 1798.110, 1798.115 Article 13/14/15
Right to delete § 1798.105 Article 17
Right to correct § 1798.106 Article 16
Right to opt-out of sale or sharing § 1798.120 Pas d’équivalent direct
Right to limit use of sensitive personal info § 1798.121 Article 9 (différent)
Right to non-discrimination § 1798.125 Pas d’équivalent direct
Right to data portability § 1798.130(a)(3) Article 20

Le droit unique du CCPA : « Do Not Sell or Share My Personal Information ». Toute entreprise qui vend ou partage des données personnelles doit afficher ce lien proéminent.

4. Données sensibles (CPRA)

Le CPRA a créé une catégorie « sensitive personal information » avec des protections renforcées :

  • Numéro de sécurité sociale, permis, passeport
  • Identifiants de compte avec authentifiant
  • Géolocalisation précise
  • Origine raciale ou ethnique
  • Religion ou opinions philosophiques
  • Contenu de la communication
  • Données génétiques
  • Données biométriques pour identification
  • Santé, vie sexuelle ou orientation sexuelle

Pour ces données, le consommateur peut limiter l’usage à ce qui est nécessaire à la fourniture du service. Plus large que l’article 9 RGPD mais avec moins de restrictions absolues.

5. Délais

Action CCPA RGPD
Réponse à demande consommateur 45 jours (extensible à 90) 30 jours (extensible à 90)
Notification de violation « Sans délai » (typiquement 30-60 jours) 72 heures
Mise en œuvre du opt-out 15 jours Immédiat

6. Sanctions

CCPA

  • 2 500 $ par violation non intentionnelle
  • 7 500 $ par violation intentionnelle ou impliquant un mineur
  • Plus action privée (private right of action) pour les violations de sécurité — 100-750 $ par incident par consommateur ou dommages réels
  • La CPPA peut également infliger des sanctions administratives

RGPD

  • Jusqu’à 20 M€ ou 4 % du CA mondial annuel
  • Pas d’action privée mais procédure devant les juridictions civiles possible
  • Action collective via Article 80 RGPD

En pratique, le RGPD permet des sanctions absolues plus élevées (Meta 1,2 Md€), mais le CCPA permet des actions privées coûteuses à grande échelle.

7. Stratégie de conformité combinée

Pour une entreprise française avec exposition CCPA, deux approches :

Approche A : Programme RGPD étendu

  • Maintenir le programme RGPD comme base (plus strict)
  • Ajouter une couche CCPA spécifique :
    • Détection des consommateurs CA (IP géoloc)
    • Bannière « Do Not Sell or Share » conditionnelle
    • Procédure de réponse adaptée (45 jours vs 30)
    • Politique de confidentialité avec section CCPA

Approche B : Programmes séparés

  • Programme RGPD pour utilisateurs EU
  • Programme CCPA pour utilisateurs CA
  • Risque : duplication de l’effort et incohérences

Approche A est recommandée dans 90 % des cas. Le RGPD est plus strict sur la plupart des dimensions, donc une conformité RGPD couvre la majorité des exigences CCPA. Les éléments spécifiques au CCPA (opt-out de vente, sensitive info opt-down, non-discrimination) doivent être ajoutés comme couche.

8. Mécanisme « Do Not Sell or Share »

Obligatoire pour toute entreprise qui vend ou partage des données. Implémentations :

  • Lien « Do Not Sell or Share My Personal Information » dans le footer (obligatoire)
  • Mécanisme Global Privacy Control (GPC) — signal navigateur à respecter automatiquement
  • Procédure de traitement sous 15 jours

Définition de « vente » au sens CCPA : large — inclut le partage avec des tiers pour leur propre usage, y compris pour la publicité ciblée. Beaucoup d’entreprises B2C françaises sont donc soumises à cette obligation sans le savoir.

9. Cas pratique : SaaS B2B français avec clients en Californie

Une PME française SaaS B2B avec 200 clients dont 30 en Californie représentant ~5 000 utilisateurs finaux californiens.

Évaluation CCPA : seuil non franchi (< 100 000 utilisateurs CA, < 25 M$, pas de revenus de vente de données). CCPA non applicable sauf si croissance.

Conformité RGPD existante : suffisante pour le moment. Veiller à respecter les obligations contractuelles avec les clients californiens (DPA équivalent).

Si la PME franchit le seuil :

  • Ajouter section CCPA à la politique de confidentialité
  • Activer le lien « Do Not Sell or Share »
  • Adapter la procédure de droits (45 jours)
  • Implémenter le respect du Global Privacy Control

10. Cas pratique : E-commerce français avec dropshipping mondial

E-commerce français vendant aux États-Unis. Estimation : 50 000+ clients californiens, CA total 30 M€.

Évaluation CCPA : seuil franchi (100 000+ implicite si 50 000 actifs + historiques). CCPA applicable.

Action requise :

  • Section CCPA dans la politique de confidentialité
  • Bannière cookies adaptée (consentement EU + opt-out CA)
  • Lien « Do Not Sell or Share » dans le footer
  • Procédure de droits dual (30 jours EU / 45 jours CA)
  • Vérification des sous-traitants (DPA + CCPA Service Provider Addendum)
  • Notification violation adaptée (72h EU + CCPA timing)

11. Autres États américains

Le CCPA n’est plus seul. Plusieurs États ont adopté des lois similaires :

  • Virginia VCDPA (2023)
  • Colorado CPA (2023)
  • Connecticut CTDPA (2023)
  • Utah UCPA (2023)
  • Texas TDPSA (2024)
  • Oregon OCPA (2024)
  • Iowa, Tennessee, Indiana, etc. (2025)

Tendance : convergence vers un standard américain de fait inspiré du CCPA. Pour une entreprise française visant le marché US, une approche pragmatique est de conformer au CCPA (le plus strict) et de considérer les autres États comme satisfaits par défaut.

12. Outillage

Legiscope gère la conformité multi-juridictionnelle RGPD + CCPA : détection automatique du seuil CCPA, génération du « Do Not Sell or Share » conditionnel, adaptation des délais de réponse, support du Global Privacy Control.

Pour les approfondissements connexes : data privacy compliance guide, GDPR vs CCPA (EN), transferts internationaux RGPD, exemples de formulations de consentement RGPD.

Conclusion

Le CCPA n’est pas une copie du RGPD — c’est un cadre différent inspiré du RGPD avec des choix architecturaux distincts (opt-out de vente, action privée, sanctions par violation). Pour une entreprise française avec exposition US, la conformité combinée est gérable : construire sur la base RGPD et ajouter la couche CCPA spécifique. Le coût marginal est limité ; le coût de la non-conformité (actions privées, sanctions CPPA) est élevé.

FAQ

Le CCPA s’applique-t-il à mon entreprise française ?

Si vous ciblez les résidents de Californie ET franchissez au moins un de ces seuils : 25 M$ CA brut, OU 100 000+ consommateurs CA, OU 50 %+ du CA provenant de la vente de données personnelles. Sinon, non.

Quelle est la principale différence entre CCPA et RGPD ?

Le CCPA est centré sur le « droit de refuser la vente/partage » et l’« action privée » (les consommateurs peuvent poursuivre directement). Le RGPD est centré sur la base légale, le consentement, et les sanctions administratives lourdes.

Mon site doit-il avoir un lien « Do Not Sell or Share » ?

Oui si vous vendez ou partagez des données personnelles de Californiens (au sens large CCPA), et si vous êtes dans le champ d’application. Le lien doit être proéminent dans le footer.

Quels sont les délais de réponse aux demandes CCPA ?

45 jours à partir de la demande, extensibles à 90 jours pour les demandes complexes. Plus long que les 30 jours du RGPD.

Le respect du RGPD couvre-t-il automatiquement le CCPA ?

Environ 70 % de couverture. Les éléments CCPA spécifiques à ajouter : opt-out de vente, traitement sensible opt-down, section CCPA dans la politique de confidentialité, délais de réponse adaptés (45 jours), respect du Global Privacy Control.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →