Pryvii
Tous les articles
Regulatory Updates
18 février 2026

La loi DROP de Californie entre en vigueur le 1er août : Automatisation des demandes de suppression

La nouvelle loi californienne sur la suppression des courtiers de données exige un traitement automatisé des demandes de suppression des consommateurs tous les 45 jours à compter d'août 2026, avec des pénalités de 200 $ par jour et par demande non traitée. Les propriétaires de sites web traitant du trafic californien doivent comprendre les exigences de propagation des fournisseurs dès maintenant.

Partager:

La loi DROP de Californie entre en vigueur le 1er août : Automatisation des demandes de suppression

Imaginez un résident californien frustré par la circulation incessante de ses données personnelles auprès des courtiers de données - profils construits à partir de ses habitudes d'achat en ligne, de son historique de navigation et de ses intérêts déduits. Avec une seule demande via la nouvelle Plateforme de demande de suppression et de désinscription (DROP) de l'État, il peut exiger la suppression de ses données auprès de centaines de courtiers à la fois. À compter du 1er août 2026, les courtiers de données devront automatiser ce processus tous les 45 jours sous peine de lourdes pénalités, ce qui modifiera la façon dont les entreprises traitent les données des consommateurs.1 2

Ce n'est pas seulement une question californienne. Si votre site web dessert des utilisateurs californiens et implique la collecte, le partage ou la vente de données - même indirectement - vous pourriez être affecté. La Loi sur la suppression (SB 362), promulguée en octobre 2023, impose ce système centralisé pour responsabiliser les consommateurs tout en imposant des exigences opérationnelles strictes aux courtiers de données.3 2 Avec DROP opérationnel pour les demandes des consommateurs depuis le 1er janvier 2026, et les obligations de traitement qui entrent bientôt en vigueur, il est temps d'évaluer votre conformité.4 5

Qu'est-ce que la Loi sur la suppression et DROP ?

La Loi sur la suppression s'appuie sur le registre californien des courtiers de données de 2019 en introduisant DROP, une plateforme unique en son genre administrée par l'Agence de protection de la vie privée de Californie (CalPrivacy). Elle permet aux consommateurs de soumettre une demande vérifiable unique pour supprimer leurs informations personnelles de tous les courtiers de données enregistrés, ainsi que de se désinscrire de futures ventes ou partages.1 6 7

Calendrier clé :

  • Janvier 2024 et suivants : Enregistrement annuel des courtiers de données auprès de CalPrivacy, y compris des frais pour financer le registre et DROP.6 3
  • 1er janvier 2026 : DROP ouvre aux soumissions des consommateurs ; les courtiers de données créent des comptes et terminent leur enregistrement avant le 31 janvier.4 5 2
  • Printemps 2026 : Intégration de l'API disponible pour un accès automatisé.4
  • 1er août 2026 : Les courtiers de données doivent récupérer et traiter les demandes tous les 45 jours.1 4 5
  • Janvier 2028 : Début des audits indépendants triennaux.3

DROP utilise des identificateurs standardisés et un algorithme de hachage spécifié pour faire correspondre les demandes aux enregistrements, garantissant des suppressions précises.1 4 Les réglementations finalisées en 2026 exigent que les courtiers de données dirigent les prestataires de services, les entrepreneurs et les affiliés pour supprimer les données également.1

Cela fait écho aux tendances plus larges en matière de confidentialité, comme le droit à la suppression du CCPA (Code civil § 1798.105), mais le met à l'échelle via l'automatisation pour les courtiers de données.1

Qui est considéré comme un courtier de données ?

La Californie définit un courtier de données de manière large : toute entité qui "collecte sciemment et vend à des tiers les informations personnelles d'un consommateur avec lequel l'entreprise n'a pas de relation directe."4 5 Cela inclut les agrégateurs, les enrichisseurs et les revendeurs de données collectées en dehors des interactions directes avec les consommateurs, telles que celles provenant de sources publiques ou d'achats auprès de tiers.4 7

  • Les sites web ou applications qui vendent ou partagent des données d'utilisateurs pour le profilage, la publicité ou l'enrichissement - même si ce n'est pas votre activité principale - peuvent être qualifiés.4 5
  • Des exemptions s'appliquent aux données gouvernementales publiques, aux rapports de crédit couverts par la FCRA, aux données de santé HIPAA et aux entreprises déjà conformes en vertu de ces lois.7
  • Si vous partagez des données en aval (par exemple, avec des fournisseurs d'analyse), vérifiez si cela déclenche le statut de courtier.4

Propriétaires de sites web : Le trafic provenant d'utilisateurs californiens ne vous qualifie pas automatiquement de courtier, mais si vous traitez des informations personnelles (par exemple, e-mails, adresses IP, données de comportement) et les vendez/partagez, enregistrez-vous maintenant. Les entreprises non californiennes sont dans le champ d'application si elles ciblent ou traitent des données californiennes.4 5

Exigences de conformité essentielles à compter du 1er août 2026

À partir du 1er août, les courtiers de données doivent vérifier DROP au moins tous les 45 jours via le site web de CalPrivacy ou l'API.1 4 5 Voici le processus étape par étape :

  1. Configuration du compte : Enregistrez un compte DROP sécurisé, sélectionnez les listes de suppression des consommateurs pertinentes (en évitant les doublons) et maintenez les contrôles d'accès. Informez immédiatement CalPrivacy en cas de failles.1
  2. Récupération des demandes : Téléchargez les listes correspondant à vos identificateurs de données (par exemple, e-mails hachés, noms).1 4
  3. Correspondance et suppression : Utilisez le hachage standardisé pour confirmer les correspondances. Supprimez toutes les informations personnelles associées, y compris les inférences, de vos systèmes, prestataires de services et entrepreneurs. Dirigez-les pour qu'ils se conforment.1 4 5
  4. Calendrier : Finalisez dans les 90 jours suivant la récupération. Aucun contact avec les consommateurs pour vérification - interdit en vertu de la section 7616.1 5
  5. Tenue des dossiers : Documentez les déterminations, maintenez les listes de suppression et conservez les enregistrements. Signalez le statut via DROP.4 5
  6. En cours : Mettez à jour les détails du compte, supprimez les données fournies par DROP si vous quittez le statut de courtier (dans les 30 jours suivant l'enregistrement/l'audit) et désactivez le compte.1

L'automatisation est clé : les vérifications manuelles risquent de manquer le cycle de 45 jours. L'intégration de l'API, disponible depuis le printemps 2026, permet des extractions, des correspondances et une propagation programmatiques.4

Les pénalités sont sévères : 200 $ par demande manquée par jour. Une seule demande négligée pourrait s'accumuler rapidement.1

Propagation auprès des fournisseurs : Le défi caché pour les sites web

Les courtiers de données s'appuient souvent sur des fournisseurs pour le stockage, l'analyse ou la commercialisation. DROP exige la propagation des suppressions à tous les prestataires de services et entrepreneurs détenant les données.1 4 Cela reflète les obligations des processeurs du RGPD (article 28) et les règles des prestataires de services du CCPA (Code civil § 1798.140(v)).1

Conseils pratiques pour la conformité :

  • Cartographiez votre écosystème : Inventoriez tous les fournisseurs touchant les données personnelles californiennes. Classez-les comme prestataires de services (utilisation limitée) vs ceux permettant les ventes/partages.4
  • Mises à jour des contrats : Modifiez les accords pour imposer la conformité à DROP, les API de suppression automatisées et les droits d'audit. Incluez l'indemnisation pour les pénalités.1
  • Mise en œuvre technique :
    • Intégrez l'API DROP pour l'ingestion des demandes.
    • Construisez des flux de travail de suppression internes : Correspondance de hachage → Analyse des données → Propagation via les API des fournisseurs.
    • Utilisez des listes de suppression pour bloquer la ré-acquisition.
  • Tests : Utilisez le bac à sable de CalPrivacy pour les essais d'API avant le 1er août.5
  • Exceptions : Ne supprimez pas si les données sont des informations gouvernementales publiques ou exemptées en vertu d'autres lois (par exemple, dossiers financiers).7

Pour les sites web : Si vous n'êtes pas un courtier mais utilisez des courtiers de données (par exemple, pour le ciblage publicitaire), assurez-vous que vos contrats exigent la conformité à DROP pour éviter une responsabilité indirecte.

Étapes concrètes pour les propriétaires de sites web et les entreprises

Avec six mois avant l'application (à compter de février 2026), priorisez ces étapes :

  • Auto-évaluation (maintenant) : Examinez les flux de données par rapport aux définitions de la Loi sur la suppression. Utilisez le registre de CalPrivacy pour vérifier les pairs.5 2
  • Enregistrement si nécessaire (janvier 2026) : Processus annuel basé sur des frais ; incluez des divulgations renforcées conformément aux amendements de SB 361.6 2
  • Construire l'automatisation :
    ÉtapeActionCalendrier
    1. Création de compteVia le site de CalPrivacy1er-31 janvier 20264
    2. Configuration de l'APIIntégrez le bac à sablePrintemps 20264 5
    3. Pipeline de suppressionHachage, analyse, propagationTestez avant juillet 2026
    4. Première vérificationRécupération/traitement1er août 20261
  • Préparation à l'audit : Planifiez les audits de 2028 ; documentez tout.3
  • Formation des équipes : Éduquez les équipes juridiques, d'ingénierie et opérationnelles sur les interdictions (par exemple, aucun contact avec les consommateurs).1
  • Suivi des mises à jour : Les réglementations ont évolué par rapport aux propositions de 2024 ; surveillez CalPrivacy pour les clarifications.3 2

Comparez avec d'autres lois :

LoiMécanisme de suppressionFréquence/Automatisation
CCPA §1798.105Demandes individuelles45-90 jours, manuel1
RGPD Art. 17Droit à l'effacementPrompt, propagation auprès des processeurs
DROP (Loi sur la suppression)Centralisé, automatiséTous les 45 jours1 4

Cette automatisation réduit la friction pour les consommateurs mais exige des piles technologiques robustes.

Défis et risques potentiels

  • Échelle : Les courtiers à volume élevé sont confrontés à des milliers de demandes ; les processus manuels ne seront pas à la hauteur.4
  • Précision de la correspondance : Les erreurs de hachage pourraient entraîner des suppressions excessives ou insuffisantes, invitant des amendes ou des poursuites judiciaires.1
  • Résistance des fournisseurs : Les partenaires non conformes vous exposent à une responsabilité.1
  • Application : Les actions récentes de la CPPA signalent une surveillance agressive ; les audits commencent en 2028.6 3

Les entreprises qui quittent le statut de courtier doivent notifier dans les 45 jours et purger les données.1

Points clés à retenir

  • 1er août 2026, c'est le lancement : Automatisez les vérifications DROP tous les 45 jours ou risquez des amendes de 200 $ par jour et par demande.1 5
  • Champ d'application large : Tout vendeur/partageur de données californiennes peut être qualifié de courtier - évaluez maintenant.4 5
  • L'automatisation l'emporte : L'intégration de l'API et la propagation auprès des fournisseurs sont non négociables pour l'efficacité.4
  • Planifiez à l'avance : Auto-auditez, mettez à jour les contrats, testez les pipelines et documentez pour les audits.5
  • Pouvoir des consommateurs : DROP simplifie les suppressions, s'alignant sur le CCPA/RGPD mais de manière unique et centralisée.7 2

La conformité n'est pas facultative - c'est un avantage concurrentiel dans une Californie axée sur la confidentialité. Restez vigilant à mesure que CalPrivacy affine la mise en œuvre.1 2

Sources

Footnotes

  1. troutmanprivacy.com

  2. privacy.ca.gov

  3. en.wikipedia.org

  4. onetrust.com

  5. clarkhill.com

  6. bairdholm.com

  7. bytebacklaw.com

Partager:

Articles similaires

Regulatory Updates

Date limite de la partie 2 de la HIPAA non respectée : Que se passe-t-il maintenant pour vos dossiers SUD

La date limite du 16 février 2026 pour la conformité à la partie 2 de la HIPAA est passée. Cet article explique ce que les sites Web de soins de santé et les entités couvertes doivent faire immédiatement s'ils n'ont pas mis à jour leur avis de confidentialité pour les dossiers de troubles liés à l'usage de substances (SUD), y compris les étapes de correction et les risques de pénalités.

Regulatory Updates

Le Connecticut abaisse le seuil de la loi sur la confidentialité à 35 000 : votre site est désormais concerné

À compter de la mi-2026, la loi sur la confidentialité du Connecticut élargit considérablement son champ d'application, le faisant passer de 100 000 à 35 000 clients, et impose de nouvelles restrictions sur la vente de données de mineurs. Les sites Web de moindre envergure qui pensaient être exemptés devront désormais se conformer à la loi.

Regulatory Updates

Le cadre de transfert de données UE-États-Unis : à quoi ressemble la conformité en 2026

Alors que le dernier accord de transfert de données UE-États-Unis fait l'objet d'un examen et d'une éventuelle invalidation, expliquez comment les propriétaires de sites Web peuvent se préparer à l'incertitude et assurer des flux de données transfrontaliers légitimes.

Restez conforme avec Pryvii

Analysez votre site web pour détecter les problèmes de conformité en matière de confidentialité selon 17 réglementations incluant GDPR, CCPA et UK GDPR.