Un guide pratique de CCPA vs RGPD

Ce guide explique CCPA vs RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

CCPA vs GDPR n'est pas un concours pour savoir quelle loi est « la plus stricte » dans chaque situation. La meilleure question est de savoir comment chaque loi modifie la façon dont vous collectez, utilisez, partagez et expliquez les données personnelles.

Pour les équipes d’analyse, la différence compte. Une configuration qui semble gérable dans le cadre du modèle de non-participation californien peut encore échouer en Europe si elle définit des cookies non essentiels avant le consentement, transfère des données sans garanties ou profile les visiteurs sans base juridique valable.

La différence fondamentale

Le GDPR est construit autour d’un traitement licite. Avant de traiter des données personnelles, une organisation a besoin d'une base juridique telle qu'un consentement, un contrat, une obligation légale, des intérêts vitaux, une mission publique ou des intérêts légitimes. Il doit également suivre des principes tels que la limitation de la finalité, la minimisation des données, l'exactitude, la limitation du stockage, l'intégrité, la confidentialité et la responsabilité (GDPR Article 5 et Article 6).

Le California Consumer Privacy Act, tel que modifié par le CPRA, donne aux résidents californiens des droits sur les informations personnelles collectées par les entreprises couvertes. Le procureur général de Californie résume les droits, notamment l'accès, la suppression, la correction, la désinscription de la vente ou du partage, ainsi que la limitation de l'utilisation et de la divulgation des informations personnelles sensibles (page California AG CCPA).

En bref : GDPR demande : « qu'est-ce qui permet ce traitement ? » CCPA demande souvent : « de quels droits et avis les consommateurs doivent-ils bénéficier, et peuvent-ils refuser la vente ou le partage ? »

Portée et applicabilité

Le GDPR peut s'appliquer à des organisations en dehors du EU si elles offrent des biens ou des services aux personnes du EU ou surveillent leur comportement dans le EU. Cela ne se limite pas aux grandes entreprises. Une petite entreprise SaaS peut relever du GDPR si elle dessert intentionnellement les utilisateurs de EU.

Le CCPA s'applique aux entreprises à but lucratif exerçant leurs activités en Californie et qui satisfont aux seuils légaux. Pour 2025, le CPPA prévoit un seuil de revenu brut annuel ajusté en fonction de l'inflation de 26 625 000 $. D'autres seuils incluent l'achat, la vente ou le partage d'informations personnelles de 100 000 résidents ou ménages californiens ou plus, ou le fait de tirer 50 % ou plus des revenus annuels de la vente des informations personnelles des résidents californiens. Les organisations à but non lucratif et les agences gouvernementales ne relèvent généralement pas de son champ d'application.

Cette différence est importante pour les petites entreprises. Une startup avec des clients EU peut avoir besoin de la conformité GDPR même si elle est bien inférieure aux seuils CCPA.

Données personnelles vs informations personnelles

Les deux lois définissent les données couvertes de manière large. Sous le GDPR, les données personnelles désignent les informations relatives à une personne identifiée ou identifiable. Les identifiants en ligne peuvent être éligibles, notamment le cookie IDs et les identifiants d'appareil.

Le CCPA utilise des « informations personnelles » et comprend des informations qui identifient, se rapportent, décrivent ou pourraient raisonnablement être liées à un consommateur ou à un foyer. La California AG répertorie des exemples tels que l'historique de navigation Internet, les données de géolocalisation, les empreintes digitales et les inférences qui créent un profil.

Pour l'analyse, cela signifie que « nous ne collectons pas de noms » ne suffit pas. Le client IDs, le cookie IDs, la publicité IDs, l'emplacement dérivé de IP, l'historique des événements et les inférences au niveau du foyer peuvent tous avoir de l'importance.

Consentement, désinscription et cookies

Le GDPR ne nécessite pas toujours le consentement pour chaque activité de traitement, mais le consentement est essentiel pour de nombreuses pratiques d'analyse et de publicité. En Europe, les règles en matière de cookies proviennent du cadre ePrivacy tel que mis en œuvre par les États membres. Les cookies non essentiels et les technologies de suivi similaires nécessitent généralement un consentement préalable.

Le consentement valide de GDPR doit être libre, spécifique, éclairé et sans ambiguïté, et les personnes doivent pouvoir le retirer. Le EDPB explique que le consentement nécessite un véritable libre choix, suffisamment d'informations et une action positive claire sans cases pré-cochées (EDPB consentement guidance).

Le CCPA est davantage axé sur les droits de désinscription pour la vente et le partage, y compris la publicité comportementale inter-contextuelle. Les entreprises doivent fournir des avis clairs et honorer les signaux de désinscription tels que Global Privacy Control, le cas échéant. Le consentement devient particulièrement important pour les mineurs et certaines utilisations sensibles, mais la structure par défaut n'est pas identique au consentement aux cookies GDPR.

Données sensibles

Le GDPR interdit généralement le traitement de catégories particulières de données personnelles, sauf si une exception de l'article 9 s'applique. Les catégories spéciales comprennent les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques utilisées à des fins d'identification, les données sur la santé et les données concernant la vie sexuelle ou l'orientation sexuelle.

Le CCPA donne aux consommateurs le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles. La California AG répertorie des exemples, notamment les identifiants gouvernementaux, les identifiants de connexion au compte, la géolocalisation précise, le contenu des communications, les données génétiques, les informations biométriques, les informations sur la santé, la vie sexuelle ou l'orientation sexuelle, ainsi que certaines informations raciales, religieuses, philosophiques ou syndicales.

Les équipes d'analyse doivent faire attention au contexte de la page. Une URL, un terme de recherche ou un nom d'événement peut révéler des informations sensibles même lorsqu'aucun formulaire n'est soumis.

Application et sanctions

Les sanctions GDPR peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu, pour les infractions les plus graves. Les autorités de contrôle peuvent également ordonner des modifications du traitement, suspendre les transferts et exiger des mesures de conformité.

Le CCPA est appliqué par les autorités californiennes, notamment la California Privacy Protection Agency et le procureur général. Il comprend également un droit d’action privé limité pour certaines violations de données. Le risque opérationnel ne se limite pas aux amendes ; cela inclut les ordonnances exécutoires, la rupture de contrat et la perte de confiance.

Transferts de données internationaux

Le GDPR comporte des restrictions détaillées sur le transfert de données personnelles en dehors de l'EEE. Les transferts peuvent s’appuyer sur des décisions d’adéquation, des clauses contractuelles types, des règles d’entreprise contraignantes ou des dérogations spécifiques. La Commission européenne explique qu'une décision d'adéquation permet aux données de circuler sans garanties supplémentaires, tandis que d'autres transferts peuvent nécessiter des mécanismes supplémentaires (Orientations de transfert de la Commission européenne).

Le CCPA ne dispose pas de régime de transfert transfrontalier équivalent. C'est pourquoi les fournisseurs d'analyses basées sur US peuvent constituer un problème bien plus important pour la conformité à EU que pour la conformité californienne.

Liste de contrôle analytique pour les deux lois

Utilisez la norme pratique la plus stricte lorsqu'une configuration dessert les deux régions : évitez les cookies et les identifiants persistants à moins que cela ne soit vraiment nécessaire, n'envoyez pas de données personnelles dans URL ou dans des propriétés personnalisées, fournissez des notifications claires, honorez les choix de désinscription et de consentement avant de charger les balises marketing, séparez les analyses globales des systèmes publicitaires, examinez les contrats des fournisseurs et maintenez des périodes de conservation proportionnées.

L'architecture d'analyse la plus sûre est celle qui minimise les données par défaut. Si vous pouvez répondre aux questions commerciales avec des mesures globales, sans cookies et de première partie, vous réduisez les frictions GDPR et CCPA au lieu de construire deux machines de conformité distinctes.

Liste de contrôle d'analyse à double régime

Pour la Californie, vérifiez si CCPA s'applique, y compris la mise à jour du CPPA seuil de revenus bruts annuels de 26 625 000 $ en vigueur à compter du 1er janvier 2025, et examinez la vente, le partage, les données sensibles, les avis, les liens de désinscription et la gestion de Global Privacy Control.

Pour l'Europe, examinez la base juridique, le consentement ou l'exemption ePrivacy, les transferts internationaux, les conditions du processeur et la conservation. Une configuration d'analyse partagée doit suivre les normes pratiques les plus strictes : minimiser les données d'événement, éviter les identifiants publicitaires, conserver les données personnelles hors de URL, honorer les choix avant le déclenchement des balises et rapprocher uniquement les résultats commerciaux dont vous avez réellement besoin.