La protection des donnĂ©es personnelles est devenue l’un des grands chantiers juridiques de l’Ă©conomie numĂ©rique. Deux textes majeurs structurent aujourd’hui ce paysage rĂ©glementaire : le Règlement GĂ©nĂ©ral sur la Protection des DonnĂ©es (RGPD), adoptĂ© par l’Union europĂ©enne, et le California Consumer Privacy Act (CCPA), entrĂ© en vigueur en Californie. Si ces deux lĂ©gislations partagent un objectif commun — renforcer les droits des individus sur leurs donnĂ©es —, leurs approches, leur champ d’application et leurs mĂ©canismes diffèrent profondĂ©ment. Tour d’horizon des distinctions essentielles Ă connaĂ®tre pour toute entreprise soucieuse de conformitĂ©.
Portée et applicabilité
Le RGPD : une portée extraterritoriale assumée
Le RGPD, entrĂ© en vigueur le 25 mai 2018, s’applique Ă toute entreprise traitant des donnĂ©es personnelles de citoyens europĂ©ens, qu’elle soit Ă©tablie ou non sur le territoire de l’Union europĂ©enne. Une sociĂ©tĂ© amĂ©ricaine, asiatique ou australienne qui collecte des donnĂ©es d’utilisateurs français ou allemands est donc pleinement soumise Ă ce règlement. Cette portĂ©e extraterritoriale est l’une des caractĂ©ristiques les plus structurantes du texte europĂ©en. Il couvre aussi bien les responsables du traitement que les sous-traitants, qu’ils soient des entitĂ©s publiques ou privĂ©es.
Le CCPA : un champ d’application ciblĂ© sur la Californie
Le CCPA, entrĂ© en vigueur le 1er janvier 2020, adopte une logique diffĂ©rente. Il ne s’applique qu’aux entreprises Ă but lucratif faisant des affaires en Californie et rĂ©pondant Ă au moins l’un des critères suivants :
- Un chiffre d’affaires brut annuel supĂ©rieur Ă 25 millions de dollars
- Le traitement des données personnelles de plus de 50 000 consommateurs californiens par an
- La réalisation de 50 % ou plus de leurs revenus annuels grâce à la vente de données personnelles
Les organismes publics et les associations Ă but non lucratif sont exclus du champ d’application du CCPA, ce qui constitue une diffĂ©rence fondamentale avec le RGPD.
Comparaison synthĂ©tique des champs d’application
| Critère | RGPD | CCPA |
|---|---|---|
| Zone géographique | Union européenne (et au-delà ) | Californie (États-Unis) |
| Type d’entitĂ©s | Publiques et privĂ©es | Entreprises Ă but lucratif uniquement |
| Portée territoriale | Extraterritoriale | Limitée à la Californie |
| Seuils d’application | Aucun seuil de taille | Seuils de CA ou de volume de donnĂ©es |
Ces différences de portée ont des conséquences directes sur la manière dont les entreprises multinationales doivent structurer leur conformité. Une même société peut être soumise simultanément aux deux régimes, avec des obligations qui ne se recoupent pas toujours.
Exigences de consentement
Le RGPD : le consentement explicite comme pierre angulaire
Le RGPD impose que le consentement au traitement des donnĂ©es personnelles soit libre, spĂ©cifique, Ă©clairĂ© et univoque. Concrètement, cela signifie qu’une case prĂ©-cochĂ©e ne suffit pas : l’utilisateur doit accomplir un acte positif pour donner son accord. Le consentement doit ĂŞtre aussi facile Ă retirer qu’Ă donner. Par ailleurs, le RGPD reconnaĂ®t d’autres bases lĂ©gales pour traiter des donnĂ©es — comme l’exĂ©cution d’un contrat ou l’intĂ©rĂŞt lĂ©gitime —, mais le consentement reste la rĂ©fĂ©rence la plus stricte et la plus encadrĂ©e.
Le CCPA : une logique d’opt-out plutĂ´t que d’opt-in
Le CCPA adopte une philosophie radicalement diffĂ©rente. Il ne requiert pas de consentement prĂ©alable pour le traitement des donnĂ©es personnelles. En revanche, il offre aux consommateurs le droit de refuser la vente de leurs donnĂ©es Ă des tiers — c’est le principe de l’opt-out. Les entreprises doivent afficher un lien visible intitulĂ© « Do Not Sell My Personal Information » sur leur site web. Cette approche est moins contraignante pour les entreprises en termes de collecte initiale, mais elle impose une transparence accrue sur les pratiques de revente de donnĂ©es.
Ce que cela change en pratique
La distinction opt-in (RGPD) versus opt-out (CCPA) a des implications concrètes majeures pour les Ă©quipes marketing et les dĂ©veloppeurs d’applications :
- Sous le RGPD, aucune donnée ne peut être collectée à des fins marketing sans accord préalable explicite
- Sous le CCPA, la collecte est permise par dĂ©faut, mais le consommateur peut s’y opposer Ă tout moment
- Les interfaces utilisateurs (bandeaux de cookies, formulaires) doivent être conçues différemment selon le régime applicable
La question du consentement est indissociable de la dĂ©finition mĂŞme de ce que l’on entend par « donnĂ©es personnelles », notion qui varie Ă©galement selon les deux textes.
Définition des données personnelles
Une définition large sous le RGPD
Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition est volontairement large et englobe :
- Les donnĂ©es d’identification classiques (nom, prĂ©nom, adresse)
- Les identifiants en ligne (adresse IP, cookies, identifiants de terminaux)
- Les données de localisation
- Les données sensibles (santé, origine ethnique, opinions politiques, données biométriques)
Les donnĂ©es anonymisĂ©es, c’est-Ă -dire celles dont il est impossible de remonter Ă l’individu, sont exclues du champ du RGPD. En revanche, les donnĂ©es pseudonymisĂ©es restent couvertes.
La définition plus étendue du CCPA
Le CCPA retient également une définition large des informations personnelles, mais y intègre des catégories spécifiques qui reflètent les usages numériques américains :
- Les historiques de navigation et de recherche
- Les informations sur les interactions avec un site web ou une application
- Les donnĂ©es d’infĂ©rence — c’est-Ă -dire les profils construits Ă partir de comportements observĂ©s
- Les informations commerciales (historiques d’achat, tendances de consommation)
Le CCPA exclut les donnĂ©es accessibles au public et certaines informations couvertes par d’autres lĂ©gislations fĂ©dĂ©rales amĂ©ricaines, comme la loi HIPAA pour les donnĂ©es de santĂ©.
Un périmètre qui détermine les obligations
La dĂ©finition retenue par chaque texte conditionne directement l’Ă©tendue des obligations qui pèsent sur les entreprises. Plus la dĂ©finition est large, plus le nombre de traitements soumis Ă rĂ©gulation est important. Sur ce point, les deux textes convergent vers une vision extensive, mĂŞme si les catĂ©gories prĂ©cises diffèrent.
Ces définitions servent de socle aux droits accordés aux individus — droits qui, eux aussi, présentent des divergences notables entre les deux régimes.
Comparaison des droits des consommateurs
Les droits reconnus par le RGPD
Le RGPD consacre un ensemble de droits particulièrement étoffé au bénéfice des personnes concernées :
- Droit d’accès : obtenir une copie des donnĂ©es dĂ©tenues par un responsable de traitement
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit Ă l’effacement (dit « droit Ă l’oubli ») : demander la suppression de ses donnĂ©es sous certaines conditions
- Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine
- Droit d’opposition : s’opposer au traitement de ses donnĂ©es, notamment Ă des fins de prospection
- Droit Ă la limitation du traitement : restreindre l’utilisation de ses donnĂ©es dans certains cas
- Droits relatifs Ă la dĂ©cision automatisĂ©e : ne pas faire l’objet d’une dĂ©cision fondĂ©e exclusivement sur un traitement automatisĂ©
Les droits reconnus par le CCPA
Le CCPA offre un socle de droits plus restreint, mais significatif pour les consommateurs californiens :
- Droit de savoir : connaître les catégories de données collectées et les finalités de leur utilisation
- Droit de suppression : demander l’effacement de ses donnĂ©es personnelles
- Droit de refus de vente : s’opposer Ă la vente de ses donnĂ©es Ă des tiers
- Droit à la non-discrimination : ne pas subir de traitement défavorable pour avoir exercé ses droits
Tableau comparatif des droits
| Droit | RGPD | CCPA |
|---|---|---|
| Accès aux données | Oui | Oui |
| Suppression | Oui | Oui |
| Rectification | Oui | Non |
| Portabilité | Oui | Partielle |
| Opposition au traitement | Oui | Limitée (vente uniquement) |
| Non-discrimination | Implicite | Explicite |
| Décision automatisée | Oui | Non |
Ces différences de droits se répercutent naturellement sur les régimes de sanctions applicables en cas de non-respect des obligations imposées par chacun des deux textes.
Sanctions et application
Des amendes dissuasives sous le RGPD
Le RGPD prĂ©voit un rĂ©gime de sanctions particulièrement sĂ©vère, conçu pour ĂŞtre dissuasif mĂŞme pour les plus grandes entreprises mondiales. Les autoritĂ©s de contrĂ´le nationales (comme la CNIL en France) peuvent infliger deux niveaux d’amendes :
- Jusqu’Ă 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les infractions les moins graves
- Jusqu’Ă 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour les infractions les plus graves, notamment les violations des principes fondamentaux du traitement ou du consentement
C’est le montant le plus Ă©levĂ© des deux qui s’applique. Des entreprises de premier plan ont dĂ©jĂ fait l’objet de sanctions de plusieurs centaines de millions d’euros.
Un régime de sanctions plus modéré sous le CCPA
Le CCPA confie l’application de la loi au procureur gĂ©nĂ©ral de Californie. Les sanctions prĂ©vues sont les suivantes :
- 2 500 dollars par infraction non intentionnelle
- 7 500 dollars par infraction intentionnelle
En cas de violation de donnĂ©es, les consommateurs peuvent Ă©galement engager une action civile individuelle et rĂ©clamer entre 100 et 750 dollars de dommages et intĂ©rĂŞts par incident et par consommateur, sans avoir Ă prouver un prĂ©judice rĂ©el. Ce mĂ©canisme d’action privĂ©e est absent du RGPD dans sa forme directe.
Comparaison des niveaux de sanctions
| Critère | RGPD | CCPA |
|---|---|---|
| Amende maximale | 20 M€ ou 4 % du CA mondial | 7 500 $ par infraction intentionnelle |
| Autorité compétente | Autorités nationales (ex. CNIL) | Procureur général de Californie |
| Action privée | Limitée | Oui (violation de données) |
| DĂ©lai de mise en conformitĂ© | Aucun dĂ©lai après constat | 30 jours pour remĂ©dier Ă l’infraction |
Au-delà des sanctions, les règles encadrant les transferts de données vers des pays tiers constituent un autre point de divergence majeur entre les deux régimes.
Règles de transfert de données
Le RGPD : un encadrement strict des flux transfrontaliers
Le RGPD impose des conditions strictes pour tout transfert de donnĂ©es personnelles vers un pays situĂ© en dehors de l’Espace Ă©conomique europĂ©en (EEE). Plusieurs mĂ©canismes sont prĂ©vus :
- La dĂ©cision d’adĂ©quation de la Commission europĂ©enne, qui reconnaĂ®t qu’un pays tiers offre un niveau de protection Ă©quivalent Ă celui de l’UE
- Les clauses contractuelles types (CCT), adoptées par la Commission et intégrées dans les contrats entre exportateurs et importateurs de données
- Les règles d’entreprise contraignantes (BCR), utilisĂ©es au sein des groupes multinationaux
- Les garanties appropriées spécifiques, comme les codes de conduite approuvés ou les certifications
Le transfert vers les États-Unis a longtemps Ă©tĂ© encadrĂ© par des accords spĂ©cifiques (Safe Harbor, puis Privacy Shield), invalidĂ©s par la Cour de justice de l’UE. Un nouveau cadre, le Data Privacy Framework, a depuis Ă©tĂ© adoptĂ© pour rĂ©tablir ces flux.
Le CCPA : une approche moins contraignante sur les transferts
Le CCPA ne contient pas de dispositions spécifiques encadrant les transferts internationaux de données. La loi californienne se concentre principalement sur les droits des consommateurs et les obligations des entreprises dans leur relation avec les résidents californiens, sans établir de régime de contrôle des flux transfrontaliers comparable à celui du RGPD. Cette absence reflète une approche plus libérale, typique du cadre juridique américain en matière de données.
Un écart révélateur des philosophies réglementaires
La différence de traitement des transferts de données illustre une divergence philosophique profonde : le RGPD conçoit la protection des données comme un droit fondamental, qui doit suivre la personne où que ses données aillent. Le CCPA, lui, adopte une logique plus consumériste, centrée sur la transparence et le choix individuel plutôt que sur la protection systémique.
Cette différence de philosophie se retrouve également dans la manière dont chaque texte traite les obligations de notification en cas de violation de données.
Exigences de notification de violation
Le RGPD : 72 heures pour notifier
En cas de violation de donnĂ©es personnelles susceptible d’engendrer un risque pour les droits et libertĂ©s des personnes, le RGPD impose au responsable du traitement de notifier l’autoritĂ© de contrĂ´le compĂ©tente dans un dĂ©lai de 72 heures après en avoir pris connaissance. Si la violation est de nature Ă engendrer un risque Ă©levĂ©, les personnes concernĂ©es doivent Ă©galement ĂŞtre informĂ©es sans dĂ©lai injustifiĂ©. La notification doit contenir :
- La nature de la violation et les catégories de données concernées
- Le nombre approximatif de personnes et d’enregistrements affectĂ©s
- Les conséquences probables de la violation
- Les mesures prises ou envisagées pour y remédier
Le CCPA : une notification centrée sur les consommateurs
Le CCPA ne fixe pas de dĂ©lai prĂ©cis de notification aux autoritĂ©s. En revanche, il impose aux entreprises d’informer les consommateurs californiens dans les meilleurs dĂ©lais lorsque leurs donnĂ©es non chiffrĂ©es ont Ă©tĂ© compromises. Cette obligation de notification s’inscrit dans le cadre plus large de la lĂ©gislation californienne sur les violations de donnĂ©es (California Data Breach Notification Law), qui prĂ©cède et complète le CCPA. Les consommateurs victimes d’une violation peuvent, comme mentionnĂ© prĂ©cĂ©demment, engager une action civile sans avoir Ă prouver un prĂ©judice concret.
Synthèse des obligations de notification
| Critère | RGPD | CCPA |
|---|---|---|
| DĂ©lai de notification Ă l’autoritĂ© | 72 heures | Non dĂ©fini |
| Notification aux individus | Obligatoire si risque élevé | Obligatoire (données non chiffrées) |
| Contenu de la notification | Très détaillé | Moins prescriptif |
| Recours individuel en cas de violation | Limité | Action civile possible |
Le RGPD et le CCPA reprĂ©sentent deux modèles distincts de protection des donnĂ©es personnelles, nĂ©s de cultures juridiques et de traditions rĂ©glementaires diffĂ©rentes. Le premier mise sur un cadre contraignant, des droits Ă©tendus et des sanctions dissuasives Ă l’Ă©chelle mondiale. Le second privilĂ©gie la transparence, le choix du consommateur et un rĂ©gime d’application plus souple, ancrĂ© dans le contexte californien. Pour les entreprises opĂ©rant des deux cĂ´tĂ©s de l’Atlantique, la conformitĂ© simultanĂ©e aux deux textes est devenue un impĂ©ratif stratĂ©gique, d’autant que d’autres États amĂ©ricains ont depuis adoptĂ© leurs propres lĂ©gislations inspirĂ©es du CCPA, et que la California Privacy Rights Act (CPRA) a renforcĂ© le dispositif californien initial. MaĂ®triser ces deux rĂ©gimes, c’est aujourd’hui maĂ®triser l’essentiel du paysage mondial de la protection des donnĂ©es.
