California Consumer Privacy Act of 2018, as amended by the California Privacy Rights Act of 2020
Articles structurants documentés dans la cartographie ACF.
Information au moment ou avant la collecte des catégories de données, des finalités et de la durée de conservation. Limitation des finalités secondaires.
Tout consommateur peut demander la suppression de ses données ; le business doit aussi notifier ses prestataires et sous-traitants. 9 exceptions limitatives (transaction en cours, sécurité, etc.).
Le consommateur peut demander la correction de données inexactes ; obligation d'efforts commercialement raisonnables pour corriger.
Droit de savoir quelles catégories de données ont été collectées / vendues / partagées, source et destinataire. Droit à la portabilité électronique.
Opt-out de la vente, du partage (cross-context behavioral advertising) et de l'usage de sensitive personal information au-delà des finalités limitées autorisées.
Interdiction de discriminer un consommateur exerçant ses droits ; encadrement strict des financial incentives liés au consentement.
Au moins deux méthodes désignées (toll-free phone + site web ou autre selon le contexte). Authentification raisonnable du requérant obligatoire.
Définitions structurantes : 'sale' large (incl. échange contre valeur autre que monétaire), 'share' spécifique au cross-context behavioral advertising, 'sensitive PI' énuméré (SSN, géo précis, religion, santé, biométrie, contenus messages, etc.).
Action en dommages-intérêts statutaires de 100 à 750 USD par consommateur et par incident (ou préjudice réel si supérieur) en cas de breach lié à un défaut de sécurité raisonnable.
Règlements CPPA (entrés en vigueur 2025-2026) sur les risk assessments pour processing à risque significatif, audits annuels de cybersécurité pour businesses au-dessus de seuils, et automated decision-making technology (ADMT).
Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.
Publier une privacy policy conforme (§1798.130(a)(5))
Mettre en place les droits d'accès (« Right to Know »), de suppression (« Right to Delete ») et de rectification (« Right to Correct ») sous CCPA/CPRA et répondre sous 45 jours
Implémenter un lien d'opposition à la vente/partage de données personnelles (« Do Not Sell or Share My Personal Information » sous CCPA/CPRA) et reconnaître le signal de contrôle global de la vie privée (« Global Privacy Control » / GPC)
Si : business vend ou partage des données personnelles
Encadrer service providers, contractors et third parties par contrat conforme (§1798.140(ag))
Réaliser un risk assessment annuel pour traitements à risque significatif (CPPA reg)
Si : traitement de sensitive PI · usage ADMT pour décisions significatives · profilage extensif
Audit annuel de cybersécurité par auditeur qualifié (CPPA reg)
Si : business dépasse seuils CPPA cybersecurity audit
Reasonable security procedures and practices proportionnés au risque
Notification de breach aux consommateurs et au procureur général (CA Civ. Code §1798.82)
Si : breach affectant > 500 résidents CA
Répondre aux requêtes opt-out de profil / vente / partage / ADMT
Tenir des registres des requêtes consommateurs (24 mois minimum)
Violation non intentionnelle (par incident)
Violation intentionnelle ou concernant des données de mineurs
Droit d'action privée en cas de breach lié à un défaut de sécurité
Les regulations CPPA finalisées fin 2025 introduisent des risk assessments et opt-out spécifiques pour l'automated decision-making technology (ADMT). Articulation pratique pour un acteur soumis à l'AI Act : (1) le risk assessment ADMT californien recoupe le risk management AI Act (art. 9) ; (2) les obligations de transparence ADMT (information préalable, droit à une review humaine) sont compatibles avec les art. 13, 14, 50 AI Act ; (3) une organisation opérant en UE et en Californie peut mutualiser une grande partie de sa documentation (gouvernance modèle, fiches de risque), mais doit maintenir une notice CCPA distincte (§1798.130).