Accueil ' Ressources ' Listes de contrôle 'Exigences de conformité à l'ACPR en 7 étapes...

Liste de contrôle en 7 étapes des exigences de conformité de l'ACPR

Par : Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Mis à jour le : 15 janvier 2026

Liste de contrôle CPRA

Le California Privacy Rights Act(CPRA) est entré en vigueur le 1er janvier 2023, modifiant certaines parties du California Consumer Privacy Act(CCPA).

Aujourd'hui, les amendements de la CPRA sont entièrement en vigueur, y compris toutes les règles d'application établies par l'Agence californienne de protection de la vie privée (CPPA), l'organisme responsable de l'application de la loi.

Les sites web soumis aux amendements de l'ACPR à la CCPA peuvent suivre les étapes ci-dessous pour s'acquitter de leurs obligations en vertu de la loi.

Table des matières
  1. Liste de contrôle de la conformité à l'ACPR : Étape par étape
  2. FAQ sur les exigences de l'ACPR

Liste de contrôle de la conformité à l'ACPR : Étape par étape

Partie 1 : Réaliser un audit sur la protection de la vie privée

Pour respecter vos obligations au titre de la loi sur la protection des données, telle qu'elle a été modifiée par l'ACPR, commencez par procéder à un audit de la protection de la vie privée afin d'avoir une certitude à ce sujet :

  • Toutes les informations personnelles accumulées par votre entreprise
  • D'où vient-il ?
  • Comment les données sont-elles collectées ?

Par exemple, vous pouvez acquérir des données directement auprès des utilisateurs par le biais de formulaires Internet, en déployant des cookies sur leurs navigateurs, ou à partir de sources accessibles au public.

Si vous ne connaissez pas toutes ces informations, vous ne pouvez pas dire que vous vous conformez pleinement à la loi sur la protection des données, telle qu'elle a été modifiée par l'ACPR, et votre entreprise risque de se voir infliger une amende pour violation de la loi.

Pour réaliser votre propre inventaire de données, envisagez les techniques suivantes :

Partie 2 : Exigences en matière de notification de la protection de la vie privée

Les entreprises doivent respecter des obligations spécifiques en matière de notification de la protection de la vie privée dans le cadre des exigences de l'ACPR.

Pour tenir compte des modifications apportées par l'ACPR, publiez sur votre site web une politique de protection de la vie privée prête pour l'ACPR et comprenant toutes les informations suivantes :

  • Les catégories de données à caractère personnel que vous collectez
  • Les sources à partir desquelles les données ont été collectées.
  • La raison pour laquelle vous collectez, utilisez, vendez ou partagez des données à caractère personnel.
  • Si vous partagez ou vendez des données à caractère personnel à des tiers.
  • Les catégories de tiers ayant accès aux données.
  • La durée pendant laquelle vous avez l'intention de conserver chaque catégorie de données à caractère personnel.
  • Les critères utilisés pour déterminer la durée de conservation des données.
  • Détails sur les droits des consommateurs à demander la suppression de leurs données personnelles.
  • Détails sur les droits des consommateurs à demander la rectification de leurs données personnelles.

Vous ne pouvez collecter, utiliser, conserver et partager des données que d'une manière jugée raisonnablement nécessaire pour atteindre les objectifs que vous indiquez dans votre politique de protection de la vie privée.

Comme la loi l'exige, prévoyez de mettre à jour votre politique de protection de la vie privée au moins une fois tous les 12 mois.

Partie 3 : Obtenir le consentement adéquat des consommateurs pour un traitement spécifique des données

Mettez en place un gestionnaireconsentement aux cookies sur votre site afin d'offrir aux utilisateurs californiens des choix de consentement adéquats pour des types spécifiques de traitement de données, comme l'exige la CCPA/CPRA.

Si vous partagez ou vendez des informations personnelles, appliquez les mesures suivantes :

Si vous souhaitez collecter des informations personnelles sensibles, mettez en œuvre les mesures suivantes :

  • Expliquez que vous souhaitez collecter des informations personnelles sensibles sur une bannière de consentement et permettre aux utilisateurs de se désinscrire.
  • Informer les consommateurs de leur droit de limiter l'utilisation de leurs données sensibles à ce qui est raisonnablement nécessaire à la prestation de services ou à la fourniture de biens.
  • Ajoutez un lien conforme "Limiter l'utilisation de mes informations personnelles sensibles" sur votre site web.
  • Respecter les préférences de consentement définies par l'individu à l'aide de mécanismes universels d'exclusion.

Partie 4 : Obligations contractuelles pour le partage ou la vente de données à caractère personnel

En vertu de la loi sur la protection des données, telle que modifiée par l'ACPR, les entreprises qui partagent ou vendent des informations personnelles établissent et mettent en œuvre des contacts qui répondent aux obligations suivantes :

  • Préciser quelles données personnelles sont partagées ou vendues.
  • Expliquez pendant combien de temps le tiers a accès aux données.
  • Préciser les objectifs spécifiques du partage ou de la vente des données à caractère personnel.
  • Obliger le tiers à se conformer à toutes les obligations applicables pour fournir le même niveau de sécurité que celui exigé par la CCPA/CPRA.
  • Donner à votre entreprise le droit de prendre des mesures raisonnables et appropriées pour aider le tiers à utiliser les données à caractère personnel d'une manière qui soit conforme à toutes les obligations commerciales de la CCPA/CPRA.
  • Exiger du tiers qu'il informe votre entreprise s'il ne peut pas respecter les lignes directrices de l'ACCP/CPRA énoncées dans le contrat.
  • Donner à votre entreprise le droit de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée de données à caractère personnel et y remédier.

Vous devez également veiller à ce que votre entreprise et le tiers signent le contrat.

Partie 5 : Droits des consommateurs et demandes vérifiables des consommateurs

Les entreprises relevant de la CCPA, telle que modifiée par l'ACPR, doivent respecter le droit des consommateurs à demander ce qui suit :

  • Accéder à leurs données personnelles
  • Corriger ou modifier leurs données personnelles
  • Supprimer leurs données personnelles
  • refuser que leurs données soient vendues ou partagées
  • Limiter l'utilisation de leurs données personnelles sensibles

Ces consommateurs ont également le droit de ne pas être discriminés lorsqu'ils agissent dans le cadre de leurs droits en matière de protection de la vie privée.

Par exemple, cela signifie que vous ne pouvez pas :

  • Refuser à un consommateur des biens ou des services.
  • Faire payer des prix ou des taux différents, en laissant entendre qu'il s'agit d'une pénalité.
  • Fournir un niveau différent de service ou de qualité de biens, en laissant entendre qu'il s'agit d'une pénalité.
  • Suggérer que les consommateurs recevront un prix, un taux ou une qualité de biens différents s'ils agissent en fonction de leurs droits.
  • exercer des représailles à l'encontre des employés, des candidats ou des contractants qui exercent leurs droits en matière de protection de la vie privée.

Mais vous pouvez le faire :

  • facturer un prix différent ou une qualité de service différente raisonnablement liée à la valeur fournie par leurs informations personnelles.
  • Proposer aux consommateurs des programmes de fidélisation, de récompense et de club ou des fonctions et des réductions de premier ordre en échange de la communication de leurs informations personnelles.

Pour vous conformer à cette partie de la loi, vous devez fournir aux consommateurs au moins deux méthodes pour faire valoir leurs droits en matière de protection de la vie privée :

  • Affichez sur votre site un formulaire de demande d'accès à la base de données(DSAR).
  • Respecter les mécanismes d'exclusion universelle (UOOM) définis sur les navigateurs des utilisateurs ou par une extension de navigateur, comme Global Privacy Controls (GPC).
  • Lien vers une adresse électronique ou physique spécifique à laquelle ils peuvent envoyer leurs demandes.

Vous devez alors divulguer et fournir gratuitement les informations demandées dans les 45 jours suivant la réception d'une demande vérifiable d'un consommateur.

Partie 6 : Procédures et pratiques de sécurité

La CCPA, telle que modifiée par l'ACPR, exige des entreprises qu'elles mettent en œuvre des mesures et des protocoles de sécurité raisonnables en fonction de la nature et de la quantité des données à caractère personnel collectées.

Bien que la loi ne précise pas les mesures de sécurité que vous devez utiliser, elle vous oblige à protéger vos données contre toute utilisation non autorisée ou illégale :

  • Accès
  • Destruction
  • Utilisation
  • Modification
  • Divulgation

La CPRA donne aux consommateurs californiens des droits plus étendus pour intenter une action privée contre les entreprises qui collectent leurs données en cas de violation ou de compromission de ces données.

Partie 7 : Collecte et traitement des données à caractère personnel des enfants

L'ACPR a introduit des exigences que les entreprises doivent respecter si elles souhaitent collecter et traiter des données relatives aux enfants en vertu de la CCPA :

  • Obtenir un consentement explicite avant de vendre ou de partager les données personnelles d'un mineur de moins de 16 ans.
  • Mettre en place un moyen pour les mineurs ou leurs tuteurs légaux de spécifier que le consommateur a entre 13 et 16 ans ou moins de 13 ans.

FAQ sur les exigences de l'ACPR

Maintenant que vous avez consulté la liste de contrôle de conformité de l'ACPR, passons en revue les questions les plus fréquemment posées au sujet de l'ACPR.

L'ACPR s'applique-t-elle à mon entreprise ?

La CCPA, telle qu'amendée par la CPRA, s'applique à votre entreprise si vous êtes situé en Californie ou si vous répondez à l'un des critères suivants :

  • Vous avez réalisé un chiffre d'affaires annuel brut de 25 millions de dollars au 1er janvier de l'année civile précédente.
  • Chaque année, vous achetez, vendez ou partagez les informations personnelles de 100 000 consommateurs ou ménages californiens ou plus (contre 50 000 avant l'entrée en vigueur des modifications de l'ACPR).
  • Vous tirez 50 % ou plus de votre revenu annuel brut de la vente ou de l'échange d'informations personnelles.

Quand l'ACPR est-elle entrée en vigueur ?

La plupart des exigences légales de l'ACPR sont entrées en vigueur le 1er janvier 2023, mais les règles d'application sont entrées en vigueur le 1er juillet 2023.

À l'origine, les règles d'application devaient porter sur des données collectées jusqu'au 1er janvier 2022, mais l'ACPP n'a pas finalisé ses recommandations à temps.

En conséquence, les tribunaux californiens ont reporté l'application de la loi au 29 mars 2024, mais l'ACPP a fait appel de cette décision.

Le 9 février 2024, il a été annoncé que la Cour d'appel du troisième district de Californie s'était rangée du côté de l'ACPP, ramenant la date d'entrée en vigueur au 1er juillet 2023.

La loi modifiée est désormais entièrement en vigueur et les entreprises doivent s'assurer qu'elles respectent toutes les obligations relatives aux données collectées à partir du 1er juillet 2023.

Comment l'ACPR a-t-elle modifié la LPCC ?

L'ACPR a apporté les principales modifications suivantes à l'ACCP :

  • Elle a élargi le seuil légal de la loi, la rendant plus favorable aux petites entreprises.
  • Il a introduit le concept de partage des informations personnelles.
  • Elle a ajouté la catégorie des informations personnelles sensibles.
  • Elle a introduit de nouveaux droits pour les consommateurs, notamment le droit de refuser le partage de leurs données et de limiter l'utilisation de leurs données personnelles sensibles.
  • Elle a modifié et étendu les obligations des entreprises, notamment en introduisant des exigences en matière de sécurité et des obligations contractuelles.
  • Elle a introduit l'ACPP en tant qu'agence responsable de l'application et de la mise en œuvre de la loi.
  • Elle a supprimé le délai de 30 jours pour remédier aux infractions, permettant à l'ACPP de déterminer au cas par cas si une entreprise bénéficie d'un délai de grâce.

Qui fait respecter l'ACPR ?

La CCPA/CPRA est appliquée par l'Agence californienne de protection de la vie privée (California Privacy Protection Agency ou CPPA), un groupe indépendant créé par les amendements de la CPRA.

Ils élaborent des règles et des lignes directrices en matière d'application et sont également chargés d'informer le public sur les meilleures pratiques en matière de conformité.

La CPPA a remplacé le procureur général de Californie, qui était auparavant chargé de l'application de la CCPA.

Quelles sont les sanctions en cas de violation de l'ACPR ?

Si vous enfreignez la CCPA/CPRA, vous risquez de vous voir infliger les amendes suivantes :

  • 2 500 $ par infraction non intentionnelle
  • 7 500 $ par infraction intentionnelle ou toute infraction impliquant un mineur de moins de 16 ans

Il n'existe pas de délai de grâce ou de remède spécifique pour corriger les infractions à la loi sur la protection des consommateurs et à la loi sur l'accès à l'information. L'ACPP peut vous en accorder un si elle le juge nécessaire.

Les consommateurs peuvent également intenter une action privée contre les entreprises qui enfreignent la CCPA/CPRA si :

  • Leurs données personnelles non cryptées et non expurgées sont compromises ou violées.
  • Leur adresse électronique, associée à un mot de passe ou à d'autres détails permettant d'accéder à un compte, est compromise ou violée.

Le site Termly peut-il contribuer à la mise en conformité avec la loi CCPA/CPRA ?

Besoin d'aide pour répondre aux exigences de la loi californienne sur la protection de la vie privée ? Utilisez le Générateur de politique de confidentialité de Termly pour créer une politique qui vous aidera à vous aligner sur les normes de la CCPA, telles qu'elles ont été modifiées par la CPRA. Soutenu par notre équipe juridique et nos experts en confidentialité des données, le Générateur de politique de confidentialité pose des questions de base sur votre entreprise et élabore une politique unique en fonction de vos réponses.

Nous proposons également une plateforme de gestion du consentement (CMP) configurable pour présenter aux utilisateurs californiens des options de consentement adéquates basées sur les exigences de la CCPA/CPRA. Elle comprend l'accès à un formulaire DSAR que vous pouvez intégrer à votre site pour aider vos utilisateurs à soumettre des demandes vérifiables de la part des consommateurs.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Générer une politique de confidentialité de l'ACPR

Répondez à quelques questions simples pour que votre politique conforme à l'ACPR soit générée en quelques MINUTES !
Générer la politique de confidentialité de l'ACPR

Articles connexes

  1. Termly de deux fonctionnalités de gestion de sites Web en masse - 01
    Termly deux nouvelles fonctionnalités pour la gestion groupée de sites Web
    Articles

    11 février 2026
    Natasha Piirainen
  2. Meilleurs plugins WordPress pour le consentement - Comparaison 2026-01
    Comparatif des 5 meilleurs plugins WordPress pour le consentement 2026
    Comparaisons

    6 février 2026
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Politique-de-confidentialité-pour-les-startups-et-les-entreprises-spécialisées-dans-l'IA-01
    Politique de confidentialité pour les start-ups et les entreprises spécialisées dans l'IA
    Articles

    6 février 2026
    Natasha Piirainen
  4. Cookie-Consent-for-WordPress-01
    consentement aux cookies WordPress
    Ressources

    27 janvier 2026
    Hanna De La Garza
  5. Guide des lois et réglementations relatives à la protection des données pour 2026-01
    Guide des lois et réglementations relatives à la confidentialité des données pour 2026
    Articles

    27 janvier 2026
    Natasha Piirainen
  6. Politique-de-confidentialité-pour-les-publicités-Facebook-01
    Politique de confidentialité pour les publicités Facebook : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  7. Politique-de-confidentialité-pour-React-01
    Politique de confidentialité pour React : comment en créer une
    Articles

    19 décembre 2025
    Natasha Piirainen
  8. Politique-de-confidentialité-pour-Next-js-01
    Politique de confidentialité pour Next.js : comment en créer une
    Articles

    18 décembre 2025
    Natasha Piirainen
  9. 9-Types-de-données-les-plus-fréquemment-collectées-01
    Les 9 types de données les plus couramment collectées et ce que vous devez savoir à leur sujet
    Articles

    16 décembre 2025
    Natasha Piirainen

Explorer d'autres ressources