anonym.legal

By · Last updated 2026-06-05

Retour au blogGDPR & Conformité

CCPA/CPRA 2025 : Ce que la California Privacy Rights...

La CPPA a infligé plus de 100 millions de dollars d'amendes en 2024. La CPRA couvre 40 millions de Californiens et s'applique mondialement à la...

June 5, 202610 min de lecture
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA : Guide sur la loi californienne sur la vie privée

Mis à jour pour 2026.

Le California Consumer Privacy Rights Act (CPRA) est entré en vigueur en 2023. Il a créé la California Privacy Protection Agency (CPPA). La CPPA est le premier régulateur étatique dédié à la vie privée aux États-Unis. En 2024, la CPPA a prononcé plus de 100 millions de dollars d'amendes. La loi californienne sur la vie privée est une application active — pas une règle sur le papier.

Qui doit se conformer ?

Trois critères déterminent si la loi s'applique. Une entreprise doit en remplir au moins un.

  • Chiffre d'affaires annuel de 25 millions de dollars ou plus.
  • Données personnelles de 100 000 consommateurs ou plus dans l'État.
  • Plus de 50 % des revenus provenant de la vente d'informations personnelles.

L'État compte 40 millions d'habitants. Il est la cinquième économie mondiale. La plupart des entreprises mondiales remplissent au moins un critère.

19 catégories de données sensibles

La loi crée un niveau spécial pour les détails personnels sensibles. Les entreprises doivent informer les consommateurs et leur donner le droit de limiter l'utilisation. Les 19 types sont :

  1. Numéros de sécurité sociale, de permis de conduire, de carte d'identité, de passeport
  2. Numéros de compte financier ou de carte avec codes d'accès
  3. Géolocalisation précise (dans un rayon de 1 852 mètres)
  4. Origine raciale ou ethnique
  5. Croyances religieuses ou philosophiques
  6. Appartenance syndicale
  7. Contenu des e-mails privés ou du courrier postal
  8. Informations génétiques
  9. Données biométriques utilisées pour l'identification
  10. Dossiers médicaux ou de santé
  11. Orientation sexuelle ou vie sexuelle
  12. Statut migratoire (ajouté en 2024)
  13. Dossiers de santé mentale (ajoutés en 2024)
  14. Statut de citoyenneté
  15. Numéros de compte sans codes d'accès
  16. Statut de handicap
  17. Indicateurs de statut d'emploi
  18. Informations sur les polices d'assurance
  19. Casier judiciaire ou dossiers d'arrestation

Pour chaque catégorie, les consommateurs peuvent limiter la façon dont une entreprise l'utilise et la partage. Ce droit est distinct du droit général de s'opposer à la vente de données.

Ce que la CPPA a ciblé en 2024

Les actions de la CPPA en 2024 se sont divisées en quatre domaines.

Enregistrement des courtiers en données. L'État exige que les courtiers en données s'enregistrent auprès de la CPPA. L'agence a trouvé des centaines de courtiers non enregistrés qui vendaient des profils de consommateurs.

Outils d'opt-out défaillants. De nombreuses plateformes de consentement n'offraient pas un vrai opt-out. Le bouton ne fonctionnait pas, ou l'opt-out ne couvrait que certaines utilisations.

Décisions IA sans notification. Les règles IA de 2025 exigent une notification quand des outils automatisés prennent des décisions clés. L'emploi, le crédit et le logement sont concernés. Plusieurs cas de 2024 ciblaient des outils IA utilisés sans cette notification.

Données des enfants. Le Code de conception adapté à l'âge de Californie s'applique à tout service susceptible d'être utilisé par des mineurs. Ces entreprises doivent réaliser une analyse d'impact sur la protection des données. La CPPA a constaté que de nombreuses sociétés ne l'avaient pas fait.

Droit étatique vs. RGPD : différences clés

La conformité au RGPD ne vous couvre pas en Californie. Les lois partagent des objectifs mais diffèrent sur des points essentiels.

Opt-out versus opt-in. Le RGPD exige un consentement opt-in pour la plupart des utilisations de données sensibles. La loi étatique utilise un modèle opt-out. Le traitement est autorisé jusqu'à ce que le consommateur s'y oppose.

Droits des consommateurs. Les deux lois accordent des droits d'accès, de suppression et de rectification. La loi étatique ajoute un droit de s'opposer aux décisions automatisées. L'article 22 du RGPD couvre également ce point, mais avec une portée plus étroite.

Dossiers des employés. La loi étatique s'applique pleinement aux informations personnelles des employés. Le RGPD aussi, mais les États membres de l'UE ont leurs propres règles en matière d'emploi. La confidentialité du personnel dans l'État nécessite souvent une piste de conformité séparée.

Types sensibles. Les 19 types étatiques se recoupent en partie avec l'article 9 du RGPD. Le statut migratoire et les numéros de compte autonomes sont spécifiques à l'État.

Consultez le guide de conformité légale pour savoir comment ces obligations s'articulent.

Exigences envers les fournisseurs IA

Les règles IA de 2025 créent des obligations claires pour les sociétés qui utilisent des outils IA sur les données des consommateurs.

Contrats fournisseurs. Les prestataires de services doivent signer un accord écrit. L'accord doit couvrir quatre points. Premièrement : utiliser les dossiers uniquement aux fins déclarées. Deuxièmement : supprimer les dossiers à la fin du service. Troisièmement : transmettre les demandes de droits des consommateurs. Quatrièmement : maintenir une sécurité adéquate en place.

Notification de décision automatisée. Si un outil IA aide à décider sur le crédit, la fraude ou l'emploi — les consommateurs doivent être informés. Ils doivent également bénéficier d'un opt-out.

Limites d'entraînement IA. Si des dossiers de consommateurs ont entraîné un modèle IA, ce modèle a des limites. Il ne peut pas être utilisé à des fins qui entrent en conflit avec la raison de collecte initiale.

La solution directe pour la plupart des équipes : supprimer les identifiants personnels avant que les dossiers n'entrent dans un système IA. Cela répond aux règles de décision IA et réduit en même temps le risque lié aux types sensibles.

Découvrez comment anonym.legal supprime les identifiants avant le traitement IA sur /security-compliance.

Points clés

La loi étatique couvre la plupart des sociétés mondiales ayant des clients dans l'État. Elle ajoute 19 types sensibles, une agence d'application active et des règles de notification IA. La conformité au RGPD ne remplace pas la conformité étatique. L'étape la plus claire : supprimer les identifiants personnels avant que les dossiers n'entrent dans les outils IA.

Lisez les informations sur la minimisation des données sur /docs/faq.

Sources

  • CPPA : California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) texte intégral. leginfo.legislature.ca.gov.
  • CPPA : Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.