RGPD vs CCPA : les différences clés expliquées
Le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA) sont les deux lois privacy les plus influentes au monde. Comprendre leurs différences est essentiel pour toute entreprise traitant des données personnelles de résidents européens ou de consommateurs californiens.
Points clés
| Point | Résumé |
|---|---|
| Juridiction | Le RGPD couvre les données des résidents UE ; le CCPA couvre les données des résidents californiens |
| Modèle de consentement | Le RGPD exige un consentement opt-in ; le CCPA permet l'opt-out pour la vente de données |
| Seuil d'application | Le RGPD s'applique à tous les responsables ; le CCPA a des seuils de CA/volume de données |
| Sanctions maximales | RGPD : 20M€ ou 4 % du CA mondial ; CCPA : 7 500 $ par violation intentionnelle |
| Action privée | RGPD : Limitée ; CCPA : Oui, pour les violations de données (100-750 $ par incident) |
Réponse rapide : Le RGPD est plus strict avec des exigences de consentement opt-in et s'applique à toute entreprise traitant des données de résidents UE. Le CCPA a des seuils de CA (25M$+) et utilise un modèle opt-out pour la vente de données. La plupart des entreprises ont besoin des deux si elles servent des clients UE et californiens.
Comparaison en un coup d'œil
| Aspect | RGPD | CCPA/CPRA |
|---|---|---|
| Date d'entrée en vigueur | 25 mai 2018 | 1er janvier 2020 (CPRA : 1er janvier 2023) |
| Portée géographique | Résidents UE/EEE | Résidents californiens |
| Qui doit se conformer | Toute organisation traitant des données UE | Entreprises atteignant les seuils |
| Seuil de CA | Aucun | 25 millions $+ de CA annuel |
| Seuil de données | Aucun | 100 000+ consommateurs/foyers |
| Modèle de consentement | Opt-in requis | Opt-out pour les ventes |
| Droit à la suppression | Oui | Oui |
| Droit d'accès | Oui | Oui |
| Droit à la portabilité | Oui | Oui |
| Droit de rectification | Oui | Oui (CPRA) |
| Droit de limiter l'utilisation | Via retrait du consentement | Oui (données sensibles) |
| Amende maximale | 20M€ ou 4 % du CA mondial | 7 500 $ par violation intentionnelle |
| Actions privées | Limitées | Oui (violations de données) |
| Autorité d'application | DPA nationales | California AG + CPPA |
Portée et applicabilité
Le RGPD s'applique à
Toute organisation qui :
- Est établie dans l'UE/EEE
- Offre des biens/services à des résidents UE (même gratuitement)
- Surveille le comportement de résidents UE
Pas de seuil de taille : le RGPD s'applique indépendamment de la taille ou du CA de l'entreprise.
Le CCPA s'applique aux
Entreprises à but lucratif qui :
- Ont 25 millions $+ de CA annuel brut, OU
- Achètent, vendent ou partagent les informations personnelles de 100 000+ consommateurs/foyers californiens, OU
- Tirent 50%+ de leur CA annuel de la vente d'informations personnelles
Important : Les organisations à but non lucratif et les agences gouvernementales sont exemptées du CCPA.
Exigences de consentement
RGPD : Modèle Opt-In
Le RGPD exige un consentement explicite avant de traiter des données personnelles (avec quelques exceptions pour les intérêts légitimes) :
| Exigence de consentement | Standard RGPD |
|---|---|
| Type | Opt-in requis |
| Timing | Avant la collecte de données |
| Granularité | Consentement séparé par finalité |
| Retrait | Doit être aussi facile que de donner le consentement |
| Cases pré-cochées | Non autorisées |
| Bundling | Ne peut pas être groupé avec les CGU |
CCPA : Modèle Opt-Out
Le CCPA permet la collecte de données par défaut, avec droit de refuser les ventes :
| Exigence de consentement | Standard CCPA |
|---|---|
| Type | Opt-out pour les ventes de données |
| Par défaut | Collecte autorisée |
| Lien "Do Not Sell" | Requis sur le site web |
| Mineurs (16-17) | Opt-in requis |
| Enfants (moins de 16 ans) | Opt-in parent/tuteur requis |
| Incitations financières | Opt-in requis |
Définition des données personnelles
Données personnelles RGPD
Toute information concernant une personne physique identifiée ou identifiable :
| Catégorie | Exemples |
|---|---|
| Identifiants directs | Nom, email, téléphone, numéros d'identification |
| Identifiants en ligne | Adresses IP, cookies, identifiants d'appareil |
| Données de localisation | Coordonnées GPS, adresses |
| Données biométriques | Empreintes digitales, reconnaissance faciale |
| Données génétiques | ADN, dossiers médicaux |
| Catégories particulières | Origine raciale, religion, opinions politiques, orientation sexuelle |
Informations personnelles CCPA
Informations qui identifient, concernent ou pourraient être liées à un consommateur ou foyer :
| Catégorie | Exemples |
|---|---|
| Identifiants | Nom, email, SSN, permis de conduire |
| Informations commerciales | Historique d'achats, produits consultés |
| Activité Internet | Historique de navigation, historique de recherche |
| Géolocalisation | Données de localisation physique |
| Informations professionnelles | Historique d'emploi, titre de poste |
| Inférences | Profils consommateur, préférences |
| Sensibles (CPRA) | SSN, géolocalisation précise, origine raciale, santé, orientation sexuelle |
Comparaison des droits des consommateurs
| Droit | RGPD | CCPA/CPRA |
|---|---|---|
| Droit de savoir/d'accès | Oui, informations détaillées sur le traitement | Oui, catégories et éléments spécifiques |
| Droit à la suppression | Oui (avec exceptions) | Oui (avec exceptions) |
| Droit à la portabilité | Oui, format lisible par machine | Oui, format portable |
| Droit de rectification | Oui | Oui (CPRA uniquement) |
| Droit à la limitation du traitement | Oui | Limité (données sensibles) |
| Droit d'opposition | Oui | Pas d'équivalent direct |
| Droit de refuser les ventes | Non applicable (modèle différent) | Oui, "Do Not Sell My Info" |
| Droit à la non-discrimination | Implicite dans le principe d'équité | Protection explicite |
| Délai de réponse | Un mois (extensible de deux mois supplémentaires) | 45 jours (extensible à 90) |
Sanctions et application
Sanctions RGPD
| Niveau de violation | Sanction maximale | Exemples |
|---|---|---|
| Niveau inférieur | 10M€ ou 2 % du CA mondial | Défaut de tenue de registres, DPO inadéquat |
| Niveau supérieur | 20M€ ou 4 % du CA mondial | Traitement illicite, violation des droits des personnes concernées |
Amendes RGPD notables :
- Meta (Irlande) : 1,2 milliard € (2023) - transferts de données
- Amazon (Luxembourg) : 746 millions € (2021) - pratiques publicitaires
- WhatsApp (Irlande) : 225 millions € (2021) - violations de transparence
Sanctions CCPA
| Type de violation | Sanction |
|---|---|
| Non intentionnelle | 2 500 $ par violation (période de correction de 30 jours) |
| Intentionnelle | 7 500 $ par violation |
| Violation de données (consommateur) | 100-750 $ par consommateur par incident |
| Administrative CPRA | 7 500 $ par violation |
Différence clé : Le CCPA permet les poursuites privées pour violations de données, tandis que l'application du RGPD passe principalement par les autorités réglementaires.
Accords de traitement des données
Exigences RGPD
Les responsables doivent avoir des DPA avec les sous-traitants incluant :
| Élément requis | Description |
|---|---|
| Objet | Finalité et durée du traitement |
| Nature du traitement | Types d'opérations effectuées |
| Catégories de données | Quelles données personnelles sont traitées |
| Catégories de personnes concernées | À qui appartiennent les données traitées |
| Obligations et droits | Responsabilités du responsable et du sous-traitant |
| Règles sous-traitants ultérieurs | Autorisation pour les sous-traitants |
| Mesures de sécurité | Contrôles techniques et organisationnels |
| Droits d'audit | Capacité à vérifier la conformité |
Exigences CCPA
Le CCPA exige des contrats avec les prestataires de services qui :
| Élément requis | Description |
|---|---|
| Limitation des finalités | Données utilisées uniquement pour les finalités spécifiées |
| Interdiction de vendre | Le prestataire ne peut pas vendre les données |
| Certification de conformité | Le prestataire certifie sa compréhension |
| Notification d'incapacité | Doit informer s'il ne peut pas respecter les obligations |
Règles de transfert de données
Transferts internationaux RGPD
Les transferts hors UE/EEE nécessitent :
| Mécanisme | Description |
|---|---|
| Décision d'adéquation | Pays jugé adéquat par la Commission européenne |
| Clauses contractuelles types | Termes contractuels approuvés par l'UE |
| Règles d'entreprise contraignantes | Politiques intra-groupe approuvées |
| Consentement explicite | Consentement éclairé et spécifique (usage limité) |
Pays avec décision d'adéquation : Royaume-Uni, Canada (commercial), Japon, Corée du Sud, Argentine, Nouvelle-Zélande, Israël, Suisse, et autres.
Transferts internationaux CCPA
Le CCPA n'a pas de restrictions spécifiques sur les transferts internationaux de données. Cependant :
- Toutes les obligations CCPA s'appliquent indépendamment de l'endroit où les données sont stockées
- Les exigences de notification de violation restent en vigueur
- Les contrats avec les prestataires de services doivent être en place
Exigences de notification de violation
| Aspect | RGPD | CCPA |
|---|---|---|
| Notification à l'autorité | 72 heures (si risque pour les droits) | Pas d'exigence fédérale |
| Notification aux individus | Sans délai indu (risque élevé) | California AG si 500+ résidents |
| Exigences de contenu | Détaillé (nature, conséquences, mesures) | Description et recours disponibles |
| Exemptions | Les données chiffrées peuvent être exemptées | Aucune spécifique |
Questions courantes ?
Dois-je me conformer aux deux ?
Si vous traitez des données personnelles de résidents UE et de résidents californiens, vous devez vous conformer aux deux réglementations. De nombreuses entreprises choisissent d'appliquer les standards RGPD plus stricts à l'échelle mondiale pour plus de cohérence.
Lequel est plus strict ?
Le RGPD est généralement considéré comme plus strict parce que :
- Il exige un consentement opt-in (vs opt-out)
- Il s'applique à toutes les organisations (pas de seuil de CA)
- Il a des amendes maximales plus élevées
- Il exige des DPO dans certains cas
Puis-je utiliser une seule politique de confidentialité pour les deux ?
Oui, mais votre politique de confidentialité doit répondre à toutes les exigences des deux réglementations. Ajouts clés pour une double conformité :
- Lien "Do Not Sell My Personal Information" (CCPA)
- Mécanismes de consentement opt-in (RGPD)
- Les deux ensembles de droits des consommateurs
- Catégories de divulgation (spécifique CCPA)
Qu'en est-il des autres lois privacy des États américains ?
Plusieurs États ont promulgué des lois similaires au CCPA :
- Virginia Consumer Data Protection Act (VCDPA)
- Colorado Privacy Act (CPA)
- Connecticut Data Privacy Act (CTDPA)
- Utah Consumer Privacy Act (UCPA)
Celles-ci suivent généralement le modèle CCPA avec des variations.
Checklist de conformité : les deux réglementations
| Action | RGPD | CCPA |
|---|---|---|
| Mise à jour politique de confidentialité | ✓ | ✓ |
| Inventaire/cartographie des données | ✓ | ✓ |
| Gestion du consentement | ✓ (opt-in) | ✓ (lien opt-out) |
| Processus de demandes des consommateurs | ✓ | ✓ |
| Accords fournisseurs | DPA requis | Contrats prestataires de services |
| Mesures de sécurité des données | ✓ | ✓ |
| Formation du personnel | ✓ | ✓ |
| Désignation DPO | Certains cas | Non requis |
| Mécanismes de transfert de données | ✓ | N/A |
| Plan de réponse aux violations | ✓ | ✓ |
Comment Bastion peut vous aider
Gérer la conformité avec plusieurs réglementations privacy ajoute de la complexité, mais les organisations servant à la fois les marchés UE et californiens trouvent souvent cela gérable avec la bonne approche. Travailler avec des partenaires expérimentés aide à rationaliser la double conformité.
| Défi | Comment nous aidons |
|---|---|
| Complexité des politiques | Templates de politique de confidentialité unifiés répondant aux exigences des deux frameworks |
| Gestion du consentement | Conseils pour implémenter à la fois les mécanismes opt-in et opt-out |
| Gestion des demandes | Workflows efficaces pour gérer les demandes des personnes concernées sous les deux réglementations |
| Gestion des fournisseurs | Suivi des DPA et des contrats de prestataires de services CCPA |
| Collecte de preuves | Approches de documentation satisfaisant les exigences de responsabilité des deux frameworks |
Avoir un support expérimenté aide à s'assurer que votre programme de conformité répond efficacement aux deux réglementations, évitant la duplication d'efforts qui survient souvent quand les frameworks sont abordés séparément.
Vous cherchez à rationaliser votre conformité privacy à travers plusieurs juridictions ? Parlons-en →
Sources
- Texte complet du RGPD (EUR-Lex) - Texte officiel du Règlement (UE) 2016/679
- Texte CCPA (California Legislature) - California Civil Code 1798.100-1798.199.100
- Texte complet CPRA - California Privacy Rights Act of 2020
- Lignes directrices CEPD - Guidance du Comité européen de la protection des données
- California AG CCPA - Ressources CCPA du California Attorney General