Quel a été le coût de la CCPA pour les entreprises ? Analyse des 23,2 millions de dollars d'amendes infligées pour violation de la vie privée

Nous présentons ci-dessous le détail des 23,2 millions de dollars d'amendes infligées à ce jour à des entreprises pour avoir enfreint la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et examinons les faits qui ont conduit à cette violation de cette importante législation en matière de protection de la vie privée.

Découvrez également comment Termly aider votre entreprise à se mettre facilement en conformité avec la CCPA et d'autres lois sur la protection des données en vigueur à travers le monde.

Table des matières

1. Quel est le montant total des amendes infligées à ce jour au titre de la CCPA ?
2. Quelles sont les 10 amendes les plus élevées infligées à ce jour au titre de la CCPA ?
3. Une tendance récurrente : les entreprises ne respectent pas les exigences de la CCPA en matière de désinscription
4. Comment Termly les entreprises à se mettre en conformité avec la CCPA
5. La plus grosse amende infligée à ce jour au titre de la CCPA : Foire aux questions
6. Références

Quel est le montant total des amendes infligées à ce jour au titre de la CCPA ?

À ce jour, le montant total des amendes infligées au titre de la CCPA s'élève à au moins 23 205 881 dollars, selon les chiffres de mai 2026.

Le procureur général de Californie tient à jour une liste de toutes les mesures coercitives dans le « Privacy Enforcement Tracker », accessible au public sur son site web.

Ce chiffre devrait continuer à augmenter, d'autant plus que la CCPA est désormais pleinement en vigueur et que les entreprises ont eu plusieurs années pour s'y adapter pleinement et se conformer à cette législation stricte en matière de protection de la vie privée.

Quelles sont les 10 amendes les plus élevées infligées à ce jour au titre de la CCPA ?

Les lois sur la protection de la vie privée aux États-Unis sont relativement récentes, mais elles ont des répercussions considérables.

Selon Gartner, le montant total des amendes infligées en vertu des lois américaines sur la protection de la vie privée s'élevait à environ 3,425 milliards de dollars en 2025.

Voici les principales sanctions et infractions infligées à diverses entreprises pour avoir enfreint la loi californienne sur la protection de la vie privée des consommateurs (CCPA), considérée comme l'une des législations les plus strictes du pays en matière de protection de la vie privée.

1. General Motors – amende de 12 750 000 dollars

En mai 2026, l'Agence californienne de protection de la vie privée (CalPrivacy ou CPPA) a annoncé avoir conclu un accord avec General Motors, qui a donné lieu à la plus grosse amende de l'histoire de la CCPA. Celle-ci s'élevait à la somme colossale de 12,75 millions de dollars, l'entreprise étant accusée d'avoir enfreint la CCPA en vendant illégalement les données personnelles de millions de Californiens.

Il s'agit également de la première affaire relative à la minimisation des données dans l'histoire du droit.

Cette affaire, qui doit encore être approuvée par le tribunal, imposerait non seulement une amende, mais obligerait également l'entreprise à limiter l'utilisation des données de conduite de ses clients et à interdire la vente de ces informations à des courtiers en données.

Le procureur général de Californie, Rob Bonta, s'est exprimé au sujet de cet accord en déclarant :

«General Motors a vendu les données des conducteurs californiens à leur insu et sans leur consentement, et ce malgré de nombreuses déclarations visant à les rassurer sur le fait qu’elle ne le ferait pas. »

Il a ajouté : «L'accord conclu aujourd'hui oblige General Motors à mettre fin à ces pratiques illégales et souligne l'importance du principe de minimisation des données dans la législation californienne sur la protection de la vie privée : les entreprises ne peuvent pas simplement conserver des données pour les utiliser ultérieurement à d'autres fins. »

Cet accord traite de la manière dont les lois sur la protection de la vie privée s'appliquent aux voitures modernes, qui sont désormais devenues des dispositifs mobiles de collecte de données.

AVERTISSEMENT : Cet accord doit encore être approuvé par le tribunal.

2. The Walt Disney Company – amende de 2 750 000 dollars

En février 2026, Disney s'est vu infliger une amende de 2 750 000 dollars pour avoir enfreint les dispositions relatives au droit de retrait prévues par la CCPA.

Plus précisément, l'entreprise n'a pas respecté les choix de désabonnement des utilisateurs sur l'ensemble de ses services et appareils, notamment Disney+, Hulu et ESPN+.

Le procureur général Rob Bonta avait alors déclaré, selon le bureau du procureur général :

« Les consommateurs ne devraient pas avoir à aller jusqu’au bout du monde pour faire valoir leurs droits à la vie privée. »

En effet, l'Agence californienne de protection de la vie privée a constaté que les options de désinscription proposées par Disney à l'époque présentaient plusieurs lacunes qui permettaient à l'entreprise de continuer à vendre et à partager les données des consommateurs.

Lorsque les utilisateurs utilisaient le bouton de désactivation, la demande ne s'appliquait qu'au service de streaming en cours de visionnage, et souvent uniquement sur l'appareil utilisé à ce moment-là.

Cela a eu pour conséquence que leurs données continuaient d'être vendues ou partagées par d'autres services de streaming appartenant à Disney sur différents appareils connectés à leurs comptes.

Ils ont également mis à disposition un formulaire en ligne permettant de se désinscrire, mais celui-ci ne mettait fin qu'au partage de données via la plateforme publicitaire et les services de Disney.

L'entreprise a continué à vendre ces données et à les partager avec des sociétés tierces spécialisées dans les technologies publicitaires.

Ils ont également limité les demandes de désactivation provenant des paramètres de contrôle global de la confidentialité à certains appareils spécifiques, que l'utilisateur soit connecté ou non à son compte.

En conséquence, Disney a dû s'acquitter d'une amende de plusieurs millions de dollars et a été contraint de mettre en place des mécanismes de désinscription permettant de mettre véritablement et complètement fin à la vente et au partage des données des consommateurs.

3. Healthline Media – amende de 1 550 000 dollars

En juillet 2025, Healthline Media LLC s'est vu infliger une amende pour avoir enfreint les directives relatives au droit de refus prévues par la CCPA, notamment en ce qui concerne les demandes de refus de publicité ciblée et le partage de données avec des tiers.

L'accord final prévoyait une amende de 1 550 000 dollars au titre des sanctions civiles, ainsi que des mesures ordonnées par le tribunal interdisant à l'entreprise de diffuser des titres d'articles révélant le diagnostic d'un consommateur et lui interdisant de se livrer à ce type de collecte de données.

Le procureur général Bonta aurait déclaré à ce sujet :

« Notre accord avec Healthline souligne que les Californiens disposent, en vertu de la CCPA, de droits fondamentaux en matière de protection de la vie privée pour lutter contre la surveillance en ligne, y compris celle exercée par les éditeurs de sites web. »

Selon le site web de l'OAG, Healthline.com figure parmi les 40 sites web les plus visités au monde et tire ses revenus de la publicité.

Mais ils ont activé des cookies et des pixels qui collectaient des données sur leurs lecteurs et les transmettaient à des tiers, dont certaines pouvaient permettre d'identifier des personnes de manière unique.

On a constaté que des dizaines de traceurs étaient actifs et partageaient des données dès les premières millisecondes du chargement des pages web.

Outre cette lourde amende, l'entreprise a également été contrainte de s'assurer que les mécanismes de désinscription fonctionnent bel et bien et a dû cesser de divulguer des informations permettant d'associer un utilisateur au titre d'un article spécifique laissant entendre qu'il a été diagnostiqué avec une maladie, entre autres obligations correctives.

4. Jam City – amende de 1 400 000 dollars

La plateforme de jeux sur application mobile Jam City s'est vu infliger une amende de 1 400 000 dollars en novembre 2025 pour avoir enfreint la CCPA, notamment en ne respectant pas les obligations en matière de désinscription et en traitant de manière inappropriée les données de mineurs identifiés.

La société est connue pour créer des jeux inspirés de diverses franchises très appréciées des enfants, notamment Harry Potter, La Reine des neiges et bien d'autres encore.

Mais cette affaire se distingue des autres, car elle montre que même les applications mobiles sont soumises aux exigences strictes de la CCPA.

Le procureur général Bonta aurait déclaré :

« De nombreux Californiens aiment se détendre après une longue journée en jouant sur leur téléphone portable. Même pour les applications, la législation californienne oblige les entreprises à offrir aux consommateurs la possibilité de refuser la vente et le partage de leurs données personnelles. »

Outre les amendes, l'entreprise a été condamnée à mettre en place, au sein du jeu, des options permettant aux utilisateurs de refuser la vente ou le partage de leurs données, et elle n'est pas autorisée à vendre les données des consommateurs âgés de 13 à 16 ans sans leur consentement explicite.

5. Tractor Supply Company – amende de 1 350 000 dollars

En septembre 2025, la société Tractor Supply Company s'est vu infliger une amende de 1 350 000 dollars par la CPPA pour ne pas avoir respecté les demandes de désinscription et pour ne pas avoir mis en place une politique de confidentialité informant les consommateurs et les candidats à un emploi de leurs droits.

De plus, il a été constaté qu'ils avaient divulgué des informations personnelles à d'autres entreprises sans avoir conclu de contrats prévoyant des mesures de protection de la vie privée.

Outre cette lourde amende, le plus grand détaillant du pays spécialisé dans les produits liés à la vie à la campagne a également été condamné à mettre en œuvre de vastes mesures correctives afin de régulariser ses activités de traitement des données, notamment en exigeant qu'un dirigeant ou un administrateur certifie la conformité de ces activités dans un délai de quatre ans.

À l'époque, il s'agissait de la plus forte amende jamais infligée par la CPPA.

Il s'agissait également de la première décision à souligner l'importance des avis de confidentialité et des droits à la vie privée des candidats à un emploi.

6. Sephora – amende de 1 200 000 dollars

En août 2022, la chaîne de magasins de cosmétiques Sephora s'est vu infliger une amende de 1 200 000 dollars pour ne pas avoir divulgué la vente de données à caractère personnel et pour ne pas avoir respecté les droits de désinscription conformément à la CCPA.

Plus précisément, l'entreprise n'a pas donné suite aux demandes de désinscription formulées par les consommateurs à l'aide de technologies telles que Global Privacy Control.

L'entreprise a également été condamnée à clarifier ses informations en ligne et sa politique de confidentialité afin d'y inclure une déclaration confirmant qu'elle vend effectivement des données, de mettre en place des mécanismes permettant aux consommateurs de se désinscrire et de vérifier la conformité de ses contrats avec ses prestataires de services aux exigences de la CCPA, entre autres mesures correctives.

À l'époque, le procureur général Bonta avait déclaré :

« J'espère que l'accord conclu aujourd'hui enverra un message fort aux entreprises qui ne respectent toujours pas la loi californienne sur la protection de la vie privée des consommateurs. Mon bureau reste vigilant, et nous vous demanderons des comptes. »

Près de quatre ans plus tard, alors que des millions de dollars d'amendes ont désormais été infligés à d'autres entreprises, il est clair qu'il pensait vraiment ce qu'il disait.

Source : https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement

7. PlayOn Sports – Amende de 1 100 000 dollars

En mars 2026, la société de médias sportifs pour les jeunes PlayOn Sports a été condamnée à une amende pour avoir enfreint la CCPA en raison de son recours à des « dark patterns » et de l'utilisation abusive des données des élèves.

Utilisée par des établissements scolaires à travers toute l'Amérique pour vendre des billets pour des manifestations sportives, des représentations théâtrales et d'autres activités extrascolaires, notamment le bal de fin d'année et la fête des anciens élèves, cette entité recourait à des technologies de suivi pour diffuser illégalement des publicités ciblées aux détenteurs de billets et aux autres utilisateurs de ses services.

Michael Macko, responsable de l'application de la loi chez CalPrivacy, a été cité à ce sujet par privacy.ca.gov :

« Les élèves qui veulent aller au bal de fin d'année ou à un match de football américain du lycée ne devraient pas avoir à renoncer à leur droit à la vie privée pour y assister. »

Outre l'amende, l'entreprise a également été condamnée à réaliser des évaluations des risques, à fournir des informations claires et faciles à comprendre, et à mettre en place des procédures permettant aux clients de se désinscrire.

8. Ford Motor Company – amende de 375 703 dollars

En mars 2026, Ford Motor Company s'est vu infliger une amende de 375 703 dollars pour avoir enfreint les droits de désinscription et mis en place des mécanismes non conformes à la CCPA.

Plus précisément, Ford exigeait de ses clients qu'ils effectuent une vérification par e-mail avant de leur permettre de refuser la vente ou le partage de leurs données personnelles.

L'entreprise a également été condamnée à modifier ses pratiques en matière de traitement des données, notamment en mettant à la disposition des consommateurs un moyen simple de soumettre des demandes de désinscription et en procédant à un audit de ses technologies de suivi.

Tom Kemp, directeur exécutif de CalPrivacy, avait alors déclaré sur le site privacy.ca.gov :

« Cette affaire montre que la Division de l'application de la loi prendra toutes les mesures qui s'imposent lorsque les pratiques ne respectent pas les exigences légales. »

9. DoorDash – Amende de 375 000 dollars

En février 2024, DoorDash s'est vu infliger une amende de 375 000 dollars pour avoir partagé des données à caractère personnel de manière inappropriée sans en informer clairement les consommateurs, et pour ne pas avoir mis à leur disposition des options de désinscription adéquates.

La vente de données concernait plus précisément une coopérative de marketing dont le nom n'a pas été divulgué, qui utilise les données personnelles des clients de ses membres pour se faire mutuellement la promotion de leurs produits.

À l'époque, le procureur général Bonta aurait déclaré :

« La participation de DoorDash à une coopérative de marketing constitue une cession au sens de la CCPA et enfreint les droits de ses consommateurs en vertu de notre loi historique sur la protection de la vie privée. »

Outre cette amende, DoorDash a également été condamnée à se conformer pleinement à la CCPA et à la CalOPPA, à réexaminer tous ses contrats avec les prestataires de services de marketing et d'analyse de données, et à fournir des rapports annuels au procureur général.

10. Todd Snyder – amende de 345 178 dollars

En mai 2025, la chaîne de magasins de vêtements Todd Snyder s'est vu infliger une amende de 345 178 dollars pour non-respect des dispositions de la CCPA relatives aux cookies et au suivi.

La division chargée de l'application de la loi de la CPPA a constaté que l'entreprise n'avait pas correctement configuré son portail dédié à la protection de la vie privée, ce qui l'a empêchée de donner suite aux demandes de désinscription formulées par les consommateurs concernant la vente ou le partage de leurs données.

L'entreprise s'est également retrouvée en difficulté car elle exigeait des consommateurs qu'ils fournissent davantage d'informations que nécessaire pour traiter leurs demandes relatives à la protection de la vie privée, notamment en vérifiant leur identité avant de leur permettre de refuser la vente ou le partage de leurs données.

Macko, alors responsable de l'application de la loi au sein de CalPrivacy, a adressé un avertissement clair à toutes les entreprises soumises à cette loi :

« Les entreprises doivent examiner minutieusement leurs solutions de gestion de la confidentialité afin de s'assurer qu'elles sont conformes à la loi et qu'elles fonctionnent comme prévu, car c'est à elles qu'incombe l'entière responsabilité. »

Il a ajouté : « Le fait d'utiliser une plateforme de gestion du consentement vous dispense plateforme de gestion du consentement de respecter les obligations réglementaires. »

Cela souligne à quel point il est essentiel pour les entreprises de s'assurer que toute solution de gestion du consentement utilisée est sécurisée, conforme à la législation et fonctionne correctement, dans le respect des lois sur la protection de la vie privée.

Une tendance récurrente : les entreprises ne respectent pas les exigences de la CCPA en matière de désinscription

Les neuf infractions à la CCPA abordées dans cet article ont un point commun :

Ces entreprises continuent de ne pas respecter les exigences de la CCPA en matière de désinscription, qui visent à protéger les consommateurs et à leur permettre d'exercer leurs droits en matière de protection de la vie privée.

La CCPA accorde clairement aux Californiens le droit de s'opposer au traitement de leurs données dans les cas suivants :

Il est évident que le bureau du procureur général de Californie et la CPPA n'ont pas l'intention de lever le pied en matière d'enquêtes et de sanctions pour violation de la vie privée.

Assurez-vous que vos pratiques en matière de publicité ciblée, de partage et de vente de données respectent pleinement toutes les lois sur la protection des données applicables à votre entreprise, ou préparez-vous à en assumer les conséquences.

Comment Termly les entreprises à se mettre en conformité avec la CCPA

Votre site web peut éviter les amendes prévues par la CCPA en veillant à respecter toutes les directives en matière de consentement et de transparence énoncées par la loi.

Des outils tels que plateforme de gestion du consentementTermly et Générateur de politique de confidentialité facilitent grandement la tâche, notamment grâce à des fonctionnalités telles que le blocage automatique des scripts, le consentement interdomaines et les règles de consentement régionales.

Conçus avec le soutien de notre équipe juridique et de nos experts en protection des données, nos outils ont été développés pour se conformer à la législation californienne en matière de protection de la vie privée, ainsi qu'à toutes les autres lois en vigueur au niveau des États américains et aux réglementations internationales telles que le RGPD, la POPIA et bien d'autres encore.

Éliminez les incertitudes et la crainte des amendes liées à la mise en conformité en essayant Termly !

La plus grosse amende infligée à ce jour au titre de la CCPA : Foire aux questions

Vous trouverez ci-dessous les réponses aux questions fréquemment posées concernant les amendes prévues par la CCPA.

Quelles sont les sanctions en cas d'infraction à la CCPA ?

 

Les amendes pour violation de la CCPA peuvent atteindre 7 500 dollars par infraction. Les consommateurs ont également le droit d'intenter une action en justice en vertu de cette loi.

 

Puis-je avoir des ennuis si j'enfreins la CCPA ?

 

Si vous êtes soumis à la CCPA et que vous faites l'objet d'une enquête menée par le procureur général ou CalPrivacy et que votre non-conformité à la loi est constatée, vous risquez des sanctions, surtout si vous ne remédiez pas à la situation dans les délais impartis.

 

Références

Parmi les sources citées dans cet article, on trouve :

AVERTISSEMENT : Le contenu de cet article repose sur des informations accessibles au public au 12 mai 2026, mais peut ne pas refléter le montant total réel de toutes les amendes et tous les règlements en cours au titre de la CCPA/CPRA.

Écrit par Natasha Piirainen

Natasha Piirainen est une rédactrice spécialisée dans la protection de la vie privée. Elle est titulaire d'une licence en anglais et philosophie du Wheaton College et possède plus de 10 ans d'expérience professionnelle dans le développement de contenus axés sur la recherche.

Lire tous les articles de Natasha Piirainen

Révisé par Amanda Lee

Amanda est spécialiste en documentation et Certified Privacy Professional (US). Elle convertit la documentation du produit en un produit facile à comprendre pour les clients de Termly. Elle possède également une solide connaissance des lois et règlements américains en matière de protection de la vie privée, ce qui lui permet de maintenir les politiques des clients à jour à une époque où les États américains adoptent de plus en plus de lois en matière de protection de la vie privée.

Lire tous les articles révisés par Amanda Lee