Skip to main content

CCPA, CPRA et lois américaines sur la vie privée : la conformité des cookies au-delà de l'Europe

Les États-Unis adoptent une approche fondamentalement différente de celle de l'Europe en matière de confidentialité des cookies. Il n'existe pas de loi fédérale sur les cookies, pas d'exigence universelle de consentement, ni d'autorité unique de protection des données. À la place, une mosaïque croissante de lois d'États relatives à la vie privée façonne un paysage de plus en plus complexe pour les exploitants de sites web. Comprendre l'approche américaine — et en quoi elle diffère du GDPR — est essentiel pour toute entreprise dont les visiteurs proviennent des deux rives de l'Atlantique.

Le paysage américain de la vie privée : vue d'ensemble

La distinction la plus importante entre les lois américaines et européennes sur les cookies réside dans le modèle réglementaire :

  • Modèle de l'UE : opt-in. Vous devez obtenir le consentement avant de déposer des cookies non essentiels. Par défaut, aucun suivi n'a lieu.
  • Modèle des États-Unis : opt-out. Vous pouvez collecter et partager des informations personnelles par défaut, mais vous devez offrir aux consommateurs la possibilité de refuser. Par défaut, le suivi est actif, avec un bouton d'arrêt.

Cette différence de philosophie se reflète dans tous les aspects de la réglementation des cookies. Dans l'UE, une bannière de cookies demande une autorisation. Aux États-Unis, une bannière de cookies (lorsqu'elle existe) informe généralement les utilisateurs de leur droit de refuser.

Début 2026, des lois complètes sur la vie privée ont été adoptées dans au moins 15 États, et d'autres sont en cours d'examen actif. Cependant, seule une poignée d'entre elles ont des implications spécifiques pour la conformité des cookies.

Californie : CCPA et CPRA

La Californie est l'État américain le plus important en matière de réglementation de la vie privée. Le California Consumer Privacy Act (CCPA), entré en vigueur le 1er janvier 2020, a été la première loi complète d'un État sur la vie privée. Il a été substantiellement modifié par le California Privacy Rights Act (CPRA), pleinement entré en vigueur le 1er janvier 2023, dont l'application par la California Privacy Protection Agency (CPPA) a débuté le 1er juillet 2023.

Le lien entre les cookies et le CCPA/CPRA

Le CCPA/CPRA ne réglemente pas directement les cookies. Il encadre plutôt la collecte, la vente et le partage d'informations personnelles, ce qui inclut les données recueillies via les cookies. Les concepts clés sont les suivants :

  • Les « informations personnelles » au sens du CCPA/CPRA comprennent les identifiants en ligne, les adresses IP, l'historique de navigation et les informations sur l'interaction d'un consommateur avec un site web — autant d'éléments couramment collectés au moyen de cookies.
  • La « vente » est définie au sens large comme la mise à disposition d'informations personnelles à un tiers en échange d'une contrepartie monétaire ou d'une autre valeur. Si les cookies publicitaires tiers présents sur votre site partagent les données des visiteurs avec des régies publicitaires, cela peut constituer une « vente » au sens du CCPA.
  • Le « partage » (ajouté par le CPRA) couvre la mise à disposition d'informations personnelles à des tiers à des fins de publicité comportementale intercontextuelle, qu'il y ait ou non échange d'argent. Cela intègre explicitement les cookies publicitaires dans son champ d'application.

Principales exigences

  1. Lien « Do Not Sell or Share My Personal Information » : si votre site web vend ou partage des informations personnelles (ce qui recouvre la plupart des scénarios de cookies publicitaires), vous devez fournir un lien clairement identifié sur votre page d'accueil permettant aux consommateurs de refuser. Il s'agit de l'équivalent américain d'un mécanisme de consentement aux cookies, bien qu'il fonctionne sur une base d'opt-out plutôt que d'opt-in.
  2. Global Privacy Control (GPC) : en vertu des règles du CPRA finalisées par la CPPA, les entreprises doivent traiter les signaux GPC envoyés par le navigateur d'un utilisateur comme une demande de refus valide. Le GPC est un signal émis au niveau du navigateur (conceptuellement similaire à l'ancien Do Not Track, mais juridiquement contraignant au titre du CCPA/CPRA). Si le navigateur d'un utilisateur envoie un signal GPC, vous devez cesser de vendre ou de partager ses informations personnelles — ce qui implique de désactiver les cookies publicitaires et de suivi pour cet utilisateur.
  3. Divulgation dans la politique de confidentialité : votre politique de confidentialité doit divulguer les catégories d'informations personnelles collectées, les finalités de la collecte, les catégories de tiers avec lesquels les informations sont partagées, ainsi que le fait qu'elles soient vendues ou partagées.
  4. Informations personnelles sensibles : le CPRA introduit un droit de « Limit the Use of My Sensitive Personal Information ». Si des cookies collectent des informations sensibles (telles qu'une géolocalisation précise), les consommateurs doivent pouvoir en limiter l'utilisation.
  5. Mineurs : pour les consommateurs de moins de 16 ans, le CCPA/CPRA bascule vers un modèle d'opt-in. Vous ne pouvez pas vendre ou partager les informations personnelles d'un consommateur dont vous savez qu'il a moins de 16 ans sans consentement affirmatif (du consommateur s'il a entre 13 et 15 ans, d'un parent/tuteur s'il a moins de 13 ans).

Qui doit se conformer

Le CCPA/CPRA s'applique aux entreprises à but lucratif exerçant une activité en Californie et remplissant l'un des seuils suivants : un chiffre d'affaires annuel brut supérieur à 25 millions de dollars ; l'achat, la vente ou le partage des informations personnelles de 100 000 consommateurs ou foyers ou plus ; ou le fait de tirer 50 % ou plus de son chiffre d'affaires annuel de la vente ou du partage des informations personnelles des consommateurs.

Autres lois d'États américains sur la vie privée

Plusieurs autres États ont adopté des lois complètes sur la vie privée ayant des implications pour la conformité des cookies. Bien qu'aucune ne soit aussi détaillée que le CCPA/CPRA, elles instaurent des thèmes cohérents autour des droits de refus et de la transparence des données.

Colorado Privacy Act (CPA)

Entrée en vigueur : 1er juillet 2023. Appliquée par : le procureur général du Colorado.

Exige des droits de refus pour la publicité ciblée et la vente de données personnelles. Les entreprises doivent respecter les mécanismes universels de refus (comme le GPC). Les règles du Colorado imposent spécifiquement une méthode de refus « claire et visible » et reconnaissent les signaux universels de refus, rendant la conformité au GPC de fait obligatoire pour les entreprises concernées.

Connecticut Data Privacy Act (CTDPA)

Entrée en vigueur : 1er juillet 2023. Appliquée par : le procureur général du Connecticut.

Similaire à la loi du Colorado. Exige un droit de refus pour la publicité ciblée, la vente de données personnelles et le profilage. Impose la reconnaissance des mécanismes universels de refus à compter du 1er janvier 2025. Prévoit des protections spécifiques pour les données sensibles nécessitant un consentement opt-in.

Virginia Consumer Data Protection Act (VCDPA)

Entrée en vigueur : 1er janvier 2023. Appliquée par : le procureur général de Virginie.

Prévoit des droits de refus pour la publicité ciblée et la vente de données personnelles. N'exige pas la reconnaissance des signaux universels de refus (contrairement à la Californie, au Colorado et au Connecticut). Requiert un consentement pour le traitement des données sensibles.

Texas Data Privacy and Security Act (TDPSA)

Entrée en vigueur : 1er juillet 2024. Appliquée par : le procureur général du Texas.

Particulièrement large dans son champ d'application, sans seuil de chiffre d'affaires — elle s'applique à toute entité exerçant une activité au Texas qui traite des données personnelles et qui n'est pas une petite entreprise au sens de la SBA. Exige un droit de refus pour la publicité ciblée et la vente de données. Impose la reconnaissance des mécanismes universels de refus.

Oregon Consumer Privacy Act (OCPA)

Entrée en vigueur : 1er juillet 2024. Appliquée par : le procureur général de l'Oregon.

S'applique aux entreprises contrôlant ou traitant les données de plus de 100 000 consommateurs de l'Oregon, ou de plus de 25 000 consommateurs si elles tirent plus de 25 % de leur chiffre d'affaires de la vente de données. Prévoit des droits de refus standard et impose un délai de régularisation de 30 jours en cas de manquement.

Comparaison : États américains vs GDPR

Exigence GDPR/ePrivacy CCPA/CPRA Autres États américains
Modèle de consentement Opt-in (consentement préalable) Opt-out Opt-out
Consentement aux cookies requis avant dépôt Oui Non Non
Bannière de cookies requise De fait, oui Non (lien de refus requis) Non
Consentement granulaire par catégorie Oui Non Non
Droit de refuser le suivi Oui (en ne consentant pas) Oui (« Do Not Sell/Share ») Oui (publicité ciblée/vente de données)
GPC/refus universel requis Non précisé Oui Variable (CA, CO, CT, TX : oui)
Politique de confidentialité requise Oui Oui Oui
Données sensibles : opt-in requis Oui (consentement explicite) Droit de limiter l'utilisation Variable (la plupart : opt-in)
Application APD + action privée (limitée) CPPA + procureur général + droit d'action privée (violations de données) Procureur général uniquement
Amendes maximales 4 % du chiffre d'affaires mondial / 20 M€ 2 500 $/infraction ; 7 500 $/infraction intentionnelle Variable ; généralement 7 500 à 10 000 $

Approche pratique : la conformité au GDPR couvre la plupart des exigences américaines

Si votre site web respecte déjà le GDPR, vous êtes en bonne position pour la conformité américaine. Le modèle d'opt-in du GDPR est plus strict que le modèle d'opt-out de n'importe quel État américain. Il existe toutefois des exigences américaines spécifiques que le GDPR ne couvre pas :

  1. Lien « Do Not Sell or Share » : le GDPR impose une gestion du consentement, mais pas un lien spécifique « Do Not Sell or Share ». Si vous avez des visiteurs californiens et remplissez les seuils du CCPA, ce lien vous est nécessaire.
  2. Reconnaissance du signal GPC : si le GDPR n'exige pas la reconnaissance des signaux du navigateur, plusieurs États américains l'imposent. La mise en œuvre de la reconnaissance du GPC est simple et témoigne du respect des préférences des utilisateurs.
  3. Divulgations spécifiques dans la politique de confidentialité : le CCPA/CPRA exige des divulgations présentées de manière spécifique (catégories d'informations collectées au cours des 12 derniers mois, catégories de sources, etc.) qui diffèrent des exigences du GDPR en matière d'avis de confidentialité.
  4. « Do Not Track » vs GPC : l'ancien signal Do Not Track (DNT) du navigateur n'a jamais été juridiquement contraignant. Le GPC en est le successeur et est juridiquement contraignant au titre du CCPA/CPRA et de plusieurs autres lois d'États. Assurez-vous que votre plateforme de gestion du consentement reconnaît les signaux GPC et agit en conséquence.

La perspective d'une loi fédérale américaine sur la vie privée

L'American Data Privacy and Protection Act (ADPPA) s'est approché de l'adoption plus qu'aucun projet de loi fédéral antérieur sur la vie privée lorsqu'il a franchi le House Energy and Commerce Committee en juillet 2022, mais il a finalement été bloqué. Les sessions ultérieures du Congrès ont vu de nouvelles propositions, mais début 2026, aucune loi fédérale sur la vie privée n'a été adoptée.

Les principaux obstacles demeurent :

  • Préemption : la question de savoir si une loi fédérale doit prévaloir sur les lois des États (la Californie s'oppose à une préemption qui affaiblirait le CCPA/CPRA).
  • Droit d'action privé : la question de savoir si les particuliers doivent pouvoir poursuivre directement les entreprises pour des atteintes à la vie privée.
  • Opt-in vs opt-out : la question de savoir si la norme fédérale doit adopter un modèle d'opt-in pour les données sensibles ou maintenir l'approche d'opt-out.

Tant qu'une loi fédérale n'est pas adoptée, les entreprises doivent composer avec une mosaïque de lois d'un État à l'autre. Le conseil pratique reste le même : construire un système de gestion du consentement capable de répondre aux exigences les plus strictes (opt-in du GDPR), puis y ajouter les fonctionnalités propres aux États-Unis (liens de refus, prise en charge du GPC) selon les besoins.

Recommandations pour une conformité globale

Pour les sites web accueillant des visiteurs à la fois de l'UE et des États-Unis, l'approche la plus efficace consiste à :

  1. Mettre en œuvre une gestion du consentement conforme au GDPR comme base de référence. Cela vous donne le modèle le plus strict, qui satisfait de fait aux exigences moins contraignantes.
  2. Ajouter un mécanisme « Do Not Sell or Share » si vous remplissez les seuils du CCPA ou disposez d'un trafic californien significatif.
  3. Mettre en œuvre la reconnaissance du signal GPC pour tous les visiteurs. Il s'agit d'une implémentation technique simple aux bénéfices juridiques considérables.
  4. Utiliser la géolocalisation pour proposer des expériences de consentement adaptées. Les visiteurs de l'UE voient une bannière d'opt-in ; les visiteurs américains voient un avis moins intrusif assorti d'options de refus. Cela concilie conformité et expérience utilisateur.
  5. Maintenir des divulgations de confidentialité complètes qui satisfont à la fois aux exigences du GDPR et du CCPA/CPRA.

La tendance mondiale s'oriente indiscutablement vers une protection accrue de la vie privée et un plus grand contrôle des utilisateurs sur les technologies de suivi. Mettre en place dès maintenant une gestion robuste du consentement est un investissement qui portera ses fruits à mesure que de nouvelles réglementations continueront d'émerger.

Votre site web est-il conforme aux regles sur les cookies ?

Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.

Scanner vos cookies gratuitement