Loading…
Le GDPR et le CCPA/CPRA sont les deux cadres de confidentialité les plus référencés au monde. Ils se ressemblent au premier coup d'œil, mais divergent fortement sur la portée extraterritoriale, la base légale du traitement, l'architecture opt-in vs opt-out, les délais de notification des violations et la sévérité des sanctions. Ce guide vous offre la comparaison côte à côte précise vers laquelle toute équipe de confidentialité se tournera.
| Dimension | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| Instrument juridique | Règlement (UE) 2016/679 | Cal. Civ. Code § 1798.100 et seq. (CCPA, tel qu'amendé par la CPRA, 2020) |
| Date d'entrée en vigueur | 25 mai 2018 | CCPA : 1er janv. 2020 ; renforcement CPRA : 1er janv. 2023 |
| Portée territoriale | Toute personne traitant des données personnelles d'individus dans l'UE (art. 3 — extraterritorial) | Entreprises à but lucratif exerçant en Californie et atteignant les seuils (§1798.140(d)) |
| Seuil d'applicabilité Un seul critère suffit | Tout responsable du traitement/sous-traitant — aucun seuil de revenu/volume | 25 M$ de revenus OU 100 K+ consommateurs/foyers californiens OU 50 %+ des revenus issus de la vente/du partage de PI |
| Modèle de consentement | Opt-in pour la plupart des traitements (art. 6) | Opt-out de la vente ou du partage ; opt-in pour les mineurs de moins de 16 ans |
| Base légale requise | Oui — l'une des six (art. 6) ou une condition de catégorie particulière (art. 9) | Aucune base légale formelle ; « finalité commerciale » + avis lors de la collecte |
| Données sensibles | Les données de catégorie particulière (art. 9) requièrent un consentement explicite + des garanties | PI sensibles (CPRA §1798.140(ae)) — droit de limiter, et non restriction absolue |
| Notification des violations | 72 heures à l'autorité de contrôle (art. 33) ; aux personnes concernées affectées sans retard injustifié en cas de risque élevé | Aucun délai spécifique ; « dans les délais les plus brefs possibles » selon le Cal. Civ. Code §1798.82 |
| Amende maximale | 20 M€ ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (art. 83(5)) | 2 500 $ par violation non intentionnelle / 7 500 $ par violation intentionnelle ou impliquant un mineur (par enregistrement) |
| Régulateur | 27 autorités de contrôle des États membres de l'UE + EDPB (guichet unique) | California Privacy Protection Agency (CPPA) + procureur général de Californie |
| Exigence de DPO | Obligatoire dans certains cas définis (art. 37) | Non obligatoire ; exigence d'évaluation des risques pour les SDF |
| Représentant local | Représentant UE de l'article 27 requis pour les responsables du traitement/sous-traitants hors UE | Non requis ; présence physique non obligatoire |
| Délai de réponse aux DSAR | 1 mois + prolongation de 2 mois pour les demandes complexes (art. 12(3)) | 45 jours, prolongeable de 45 jours supplémentaires (§1798.130) |
| Transfert transfrontalier | Restreint — SCCs/BCR/adéquation requis (chapitre V) | Aucune restriction explicite ; garanties contractuelles au titre du droit sectoriel |
| Droit d'action privé | Oui — art. 79 (limité) + dommages-intérêts de l'art. 82 | Uniquement pour les violations de données au titre du §1798.150 |
| Données des enfants | Âge de consentement par défaut de moins de 16 ans (les États membres peuvent l'abaisser à 13 ans) | Opt-in de la vente/du partage pour les moins de 16 ans ; les moins de 13 ans requièrent un parent |
| Droit de suppression | Droit à l'effacement (art. 17) avec exceptions | Droit de suppression (§1798.105) avec exceptions |
| Droit de savoir/d'accès | Art. 15 — confirmation + copie | §1798.110 + §1798.115 — divulgation des catégories et des PI spécifiques |
| Droit d'opt-out | S'opposer au traitement fondé sur les intérêts légitimes ou le marketing direct (art. 21) | Opt-out de la vente ou du partage de PI (§1798.120) ; le GPC doit être respecté |
| Droit à la portabilité | Art. 20 — structuré, couramment utilisé, lisible par machine | Droit de recevoir dans un format portable (§1798.100(d)) |
Oui, si vous ciblez à la fois des individus dans l'UE et des consommateurs californiens. Ils présentent des exigences fondamentales qui se recoupent (avis, accès, suppression) mais divergent sur le consentement, les délais de violation et la territorialité. Un seul ensemble de contrôles cartographié fonctionne pour les deux.
Matériellement, oui. Le GDPR exige une base légale pour chaque activité de traitement, impose une notification des violations sous 72 heures, restreint les transferts transfrontaliers et prévoit des amendes non plafonnées fondées sur le chiffre d'affaires. Le CCPA/CPRA est davantage axé sur l'opt-out et prévoit des pénalités par infraction plutôt que sur le chiffre d'affaires — mais le règlement de 1,2 Md$ de Meta montre que l'exposition agrégée peut égaler celle du GDPR.
Non. L'article 3 du GDPR s'applique de manière extraterritoriale. Si vous proposez des biens ou services à des personnes dans l'UE ou surveillez leur comportement, vous entrez dans le champ d'application et devez désigner un représentant UE au titre de l'article 27.
Il n'existe aucun équivalent formel. Le CCPA n'exige pas de représentant local désigné. Toutefois, les données financières ou de santé sensibles peuvent déclencher des régimes fédéraux parallèles (HIPAA, GLBA) assortis de leurs propres exigences de point de contact.
GDPR : 72 heures à l'autorité de contrôle chef de file. CCPA : « dans les délais les plus brefs possibles » sans horloge fixe — bien que les avocats des plaignants dans les recours collectifs au titre du §1798.150 soutiennent que tout délai supérieur à quelques jours est déraisonnable.
Oui — et il le devrait. Construisez un seul pipeline de demandes de consommateurs vérifiables, et cartographiez les sorties vers les divulgations de l'article 15 du GDPR et du §1798.110 du CCPA. Conservez simplement le délai le plus court (1 mois pour les résidents de l'UE, 45 jours pour les résidents de Californie).
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.