CCPA/CPRA 2025 : Ce que la California Privacy Rights Act exige des fournisseurs d'IA et de traitement des données

La California Consumer Privacy Rights Act (CPRA, entrée en vigueur en 2023) a établi la California Privacy Protection Agency (CPPA) comme le premier régulateur de la vie privée des États-Unis. La CPPA a émis plus de 100 millions de dollars en actions d'application en 2024 — démontrant que la loi sur la vie privée de Californie n'est pas seulement un cadre réglementaire mais un environnement d'application actif.

L'impact extraterritorial de la CPRA est l'aspect le plus significatif pour les entreprises mondiales : la loi s'applique à toute entreprise ayant un revenu annuel de plus de 25 millions de dollars, ou qui traite des données personnelles de 100 000 consommateurs ou ménages californiens ou plus. Avec 40 millions de résidents californiens et le statut de la Californie en tant que 5ème plus grande économie mondiale, la plupart des entreprises mondiales relèvent de la juridiction de la CPRA.

Catégories d'informations personnelles sensibles de la CPRA

La CPRA crée un niveau distinct d'"informations personnelles sensibles" nécessitant une protection accrue et des exigences de divulgation spécifiques. Les 19 catégories correspondent étroitement aux catégories spéciales de l'article 9 du RGPD, mais avec des ajouts spécifiques aux États-Unis :

1. Numéros de sécurité sociale, permis de conduire, ID d'État, numéros de passeport
2. Numéros de compte financier, numéros de carte de débit/crédit avec codes d'accès
3. Géolocalisation précise (dans un rayon de 1 852 mètres)
4. Origine raciale/ethnique
5. Croyances religieuses ou philosophiques
6. Appartenance syndicale
7. Contenu des e-mails et du courrier postal (s'il n'est pas largement disponible)
8. Données génétiques
9. Données biométriques pour identification
10. Données de santé/médicales
11. Orientation sexuelle ou vie sexuelle
12. Statut d'immigration (ajouté dans les règlements de 2024)
13. Données sur la santé mentale (ajoutées dans les règlements de 2024)
14. Statut de citoyenneté
15. Numéros de compte financier (indépendants, sans codes d'accès)
16. Statut de handicap
17. Indicateurs de statut d'emploi
18. Informations sur les polices d'assurance
19. Données sur les antécédents criminels ou les dossiers d'arrestation

L'implication pratique : tout pipeline de traitement des données qui gère ces catégories doit fournir aux consommateurs le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles, séparément du droit général de refuser la vente.

Application de la CPPA en 2024 : Ce qui a été ciblé

La CPPA a émis des actions d'application et des règlements en 2024 ciblant :

Violations d'enregistrement des courtiers en données : La Californie exige que les courtiers en données s'enregistrent auprès de la CPPA. La CPPA a trouvé des centaines de courtiers en données non enregistrés — des organisations vendant des données de profil personnel sans divulgation requise.

Non-conformité à la gestion du consentement : La CPPA a constaté que de nombreuses "plateformes de gestion du consentement" des entreprises ne fournissaient pas réellement de mécanismes de refus fonctionnels — soit le bouton de refus ne fonctionnait pas, soit le refus ne s'appliquait qu'à des utilisations spécifiques des données tandis que d'autres continuaient.

Prise de décision automatisée par IA : Les règlements de la CPPA de 2025 sur l'IA exigent que les entreprises notifient les consommateurs lorsque la prise de décision automatisée est utilisée pour des décisions significatives (emploi, crédit, logement) et fournissent des mécanismes de refus significatifs. Plusieurs actions d'application en 2024 ont ciblé des outils d'IA utilisés sans notification adéquate.

Données des enfants : En vertu du California Age-Appropriate Design Code (AADC), les entreprises susceptibles d'être accessibles par des mineurs doivent réaliser des évaluations d'impact sur la protection des données. La CPPA a trouvé plusieurs entreprises technologiques ne parvenant pas à compléter les DPIA requises.

CPRA vs. RGPD : Différences clés pour les organisations mondiales

Les organisations opérant sous le RGPD et la CPRA font face à des exigences de conformité qui sont similaires en principe mais différentes dans les détails :

Refus vs. consentement : Le RGPD exige un consentement explicite pour la plupart des traitements de données sensibles. La CPRA utilise un modèle de refus — le traitement est légal jusqu'à ce que le consommateur refuse. Cela signifie que les mécanismes de consentement conformes au RGPD sont souvent plus restrictifs que ce que la CPRA exige, mais les pratiques conformes à la CPRA peuvent ne pas satisfaire le RGPD.

Droits des personnes concernées : Les deux exigent des droits d'accès, de suppression et de correction. La CPRA ajoute un droit de refuser la prise de décision automatisée — plus large que la disposition de prise de décision automatisée plus étroite de l'article 22 du RGPD.

Données des employés : La CPRA s'applique pleinement aux données personnelles des employés. Le RGPD a un champ d'application similaire mais les États membres ont des dispositions spécifiques à l'emploi variées. La vie privée des employés en Californie est souvent une voie de conformité distincte de celle des employés du RGPD de l'UE.

Portée des données sensibles : Les 19 catégories de la CPRA se chevauchent partiellement avec l'article 9 du RGPD mais incluent des catégories (statut d'immigration, numéros de compte financier, dossiers criminels) que le RGPD traite différemment.

L'implication de conformité des fournisseurs d'IA

Les règlements de la CPRA de 2025 sur l'IA créent des exigences spécifiques pour les organisations utilisant des outils d'IA qui traitent des données de consommateurs californiens :

Exigences contractuelles pour les fournisseurs : Les prestataires de services (fournisseurs traitant des données pour le compte de l'entreprise) doivent s'engager contractuellement à : utiliser les données uniquement pour le but divulgué, supprimer les données lorsque le service prend fin, permettre aux demandes de droits des consommateurs de circuler, et mettre en œuvre des mesures de sécurité adéquates.

Divulgation de la prise de décision automatisée : Si votre outil d'IA prend ou contribue de manière significative à des décisions concernant des consommateurs californiens — évaluation de crédit, signalement de fraude, modération de contenu, vérification d'emploi — les consommateurs doivent être informés et se voir offrir un refus significatif.

Provenance des données d'entraînement : Si des données de consommateurs californiens ont été utilisées pour entraîner un modèle d'IA, les exigences de limitation de but de la CPRA signifient que les résultats du modèle d'IA ne peuvent pas être utilisés à des fins incompatibles avec le but de collecte d'origine.

Pour les organisations gérant des données de consommateurs californiens dans des systèmes d'IA : la minimisation des données avant le traitement par l'IA — en supprimant les PII avant que les données n'entrent dans les pipelines d'entraînement de l'IA ou les outils d'analyse de l'IA — est le moyen le plus simple de satisfaire aux exigences de prise de décision automatisée de la CPPA tout en réduisant l'exposition aux informations personnelles sensibles.

Sources :

• CPPA : California Privacy Protection Agency
• CPRA : texte intégral de la California Privacy Rights Act
• CPPA : Règlements sur la prise de décision automatisée par IA 2025