Pryvii
Tous les articles
Regulatory Updates
21 février 2026

Le Connecticut abaisse le seuil de la loi sur la confidentialité à 35 000 : votre site est désormais concerné

À compter de la mi-2026, la loi sur la confidentialité du Connecticut élargit considérablement son champ d'application, le faisant passer de 100 000 à 35 000 clients, et impose de nouvelles restrictions sur la vente de données de mineurs. Les sites Web de moindre envergure qui pensaient être exemptés devront désormais se conformer à la loi.

Partager:

Le Connecticut abaisse le seuil de la loi sur la confidentialité à 35 000 : votre site est désormais concerné

Imaginez que vous gérez un petit site de commerce électronique desservant un public de niche dans le Nord-Est, convaincu que votre base d'utilisateurs inférieure à 100 000 vous maintient hors de portée des lois étatiques sur la confidentialité. Maintenant, imaginez le 1er juillet 2026 : ce même site tombe soudainement sous le coup de la loi sur la protection des données du Connecticut (CDPA) révisée parce que vous avez atteint 35 000 résidents du Connecticut — ou même traité un seul élément de données sensibles. Ce n'est pas un scénario hypothétique lointain ; c'est la nouvelle réalité pour des milliers d'entreprises, car le projet de loi 1295 du Sénat réduit drastiquement les seuils d'applicabilité et durcit les règles sur les données des mineurs.1 2 3

Ces changements, signés en loi le 24 juin 2025, élargissent considérablement le champ d'application de la CDPA, englobant des sites Web, des applications et des services en ligne plus modestes qui passaient auparavant sous les radars.1 4 Si vos activités concernent des consommateurs du Connecticut — même indirectement — il est temps d'auditer votre conformité. Cet article détaille les principaux changements, ceux qu'ils affectent et les étapes pratiques pour se préparer avant que l'application ne s'intensifie.

Qu'est-ce qui a changé ? Une analyse des mises à jour clés du projet de loi 1295 du Sénat

La législature du Connecticut a adopté le projet de loi 1295 du Sénat pour combler les lacunes de la CDPA originale, effectif le 1er juillet 2026 (certaines règles de profilage entrant en vigueur le 1er août).1 2 La modification la plus perturbatrice ? L'abaissement de la barre pour ceux qui doivent se conformer.

Seuils d'applicabilité réduits

Précédemment, la CDPA ciblait les acteurs plus importants :

  • Les entreprises traitant les données personnelles de 100 000 consommateurs ou plus du Connecticut (à l'exclusion des données de paiement uniquement), ou
  • Celles traitant les données de 25 000 consommateurs ou plus et tirant >25 % de leur chiffre d'affaires de la vente de données.2 5

À compter du 1er juillet 2026 :

  • Le seuil passe à 35 000 consommateurs du Connecticut — sans lien avec le chiffre d'affaires.1 2 3 4 5 6
  • Seuil zéro si vous traitez des données sensibles (par exemple, géolocalisation précise, informations de santé, identifiants de connexion financiers).2 3 5
  • Seuil zéro si vous vendez des données personnelles de résidents du Connecticut.2 4 5

Les données de transaction de paiement restent exemptées des décomptes, mais tout le reste — comme les cookies de suivi ou les profils d'utilisateurs — est pris en compte.5 6 Cela englobe les magasins familiaux, les outils SaaS locaux et les sites d'affiliation qui échappaient aux anciennes règles.3

Catégories de données sensibles élargies

Les données sensibles déclenchent désormais la conformité quelle que soit leur quantité. Les nouvelles additions comprennent :

  • Les handicaps ou traitements de santé mentale
  • Le statut non binaire ou transgenre
  • Les données génétiques/biométriques dérivées
  • Les données neuronales
  • Les numéros de compte financier, les détails de carte ou les informations d'identification (avec informations d'accès)7

Le traitement des données sensibles nécessite un consentement, et il doit être "raisonnablement nécessaire et proportionné" aux objectifs déclarés — plus strict que l'ancien standard "adéquat et pertinent".1 5 La vente de données sensibles exige un consentement distinct.4

Protections renforcées pour les mineurs

Plus de marge de manœuvre ici :

  • Interdiction totale de vendre des données personnelles de mineurs de moins de 18 ans (contre 16 ans auparavant ; pas d'exception de consentement pour les 13-17 ans).3 4 5
  • Publicité ciblée interdite aux mineurs, avec ou sans consentement.3 5
  • Interdiction des conceptions qui "accrochent" les mineurs (par exemple, défilement infini augmentant l'engagement).5
  • Règles de profilage plus strictes pour les mineurs, plus des évaluations d'impact obligatoires.5

Ces mesures font écho aux lois sur la confidentialité des enfants comme COPPA mais s'intègrent directement dans les obligations de la CDPA.

Autres ajustements clés

  • Les droits de profilage s'étendent : les consommateurs peuvent se désinscrire de tout profilage lié à des décisions automatisées ayant des "effets juridiques ou similaires" — y compris les décisions de tiers.5
  • Les avis de confidentialité doivent divulguer : les catégories de vente de données, le traitement de la publicité ciblée, l'utilisation de la formation LLM, les acheteurs tiers et la date de dernière mise à jour. Les changements matériels nécessitent des options de retrait du consentement.4
  • Les désinscriptions universelles sont reconnues à partir de janvier 2026 (par exemple, Global Privacy Control).3
  • Pas de période de correction pour les violations post-changements — application directe.2

Cela concerne-t-il votre site Web ou votre entreprise ?

Si vous "exercez une activité dans le Connecticut ou produisez des produits/services ciblant ses résidents", vous êtes dans le champ d'application.2 Le ciblage comprend le marketing localisé, l'expédition spécifique à l'État ou la personnalisation basée sur l'IP — commun pour les sites de commerce électronique.

Liste de contrôle d'auto-évaluation rapide :

  • Suivez-vous >35 000 utilisateurs du CT via des cookies, des journaux ou des formulaires ? (Oui = conformité.)
  • Traitez-vous des données sensibles (par exemple, des quiz de santé, des services de localisation) ? (Oui = conformité.)
  • Vendez-vous des données (par exemple, à des réseaux publicitaires) ? Même un seul enregistrement CT déclenche cela.2 4
  • Servez-vous des mineurs (sciemment ou via des lacunes de contrôle d'âge) ? De nouvelles interdictions s'appliquent universellement.5

Les petits sites avec 40 000 utilisateurs à l'échelle nationale pourraient traiter 5 000 utilisateurs du CT uniquement — désormais au-delà de la limite. Les organisations à but non lucratif, les outils B2B et les processeurs de paiement ne sont pas automatiquement exemptés ; vérifiez les seuils en excluant les paiements.5 6

Comparer aux pairs :

Loi étatiqueAncien seuilNouveau/Dernier seuilDéclencheur de données sensibles ?
Connecticut (CDPA)100k consommateurs35k consommateurs (2026)Oui, toute quantité 1 2
Californie (CCPA/CPRA)100k consommateurs ou 50k appareilsPas de changementPartiel (désinscription pour les données sensibles)
Colorado (CPA)100k consommateursPas de changementOui, mais barres plus élevées
Virginie (VCDPA)100k consommateursPas de changementLimité

La baisse du CT est l'une des plus fortes, rivalisant avec les extensions du Montana ou de l'Oregon.3

Étapes concrètes : se conformer avant le 1er juillet 2026

Ne paniquez pas — de nombreuses mises à jour s'alignent sur les meilleures pratiques du RGPD/CCPA. Commencez maintenant pour un déploiement en douceur.

1. Auditez vos flux de données (2-4 semaines)

  • Cartographiez le traitement des données personnelles : qui, quoi, où ? Utilisez des outils comme des diagrammes de flux de données.
  • Comptez les consommateurs du CT : examinez les analyses (GA4, journaux de serveur) pour le trafic spécifique à l'État. Excluez les paiements purs.2
  • Signalez les données sensibles/mineurs : scannez les formulaires, les traceurs pour les contenus de santé, de localisation ou destinés aux enfants.7

Astuce pro : Si vous êtes en dessous de 35k mais que vous vendez des données, vous êtes concerné — auditez les pixels publicitaires (par exemple, Facebook Pixel "vend" souvent via le partage).4

2. Mettez à jour les politiques et les avis (1-2 semaines)

  • Révisez la politique de confidentialité avec les divulgations du projet de loi 1295 du Sénat : catégories de vente, traitement de la publicité, utilisation de LLM, dates de mise à jour.4
  • Ajoutez des interdictions pour les mineurs et un retrait de consentement pour les changements.
  • Déployez des bannières de cookies honorant GPC/désinscriptions universelles.3

Exemple de langage de divulgation :

"Nous vendons des données personnelles à des réseaux publicitaires pour une publicité ciblée. Dernière mise à jour : [Date]."

3. Mettez en œuvre les droits et contrôles des consommateurs

  • Créez/améliorez les portails pour l'accès, la suppression, la désinscription (profilage, ventes, publicités ciblées).
  • Pour les données sensibles : mettez en place des commutateurs de consentement granulaires.
  • Mineurs : Contrôles d'âge + audits de conception pour éviter les accroches d'engagement.5

Plan de déploiement numéroté :

  1. Intégrez des boutons de désinscription sur l'ensemble du site (par exemple, "Ne pas vendre/cibler").
  2. Testez les blocs de profilage pour les décisions automatisées.
  3. Formez les équipes sur la collecte "proportionnée" — réduisez les traceurs inutiles.1

4. Effectuez les évaluations requises

  • Évaluations de protection des données pour le traitement à haut risque (ventes, profilage, données sensibles).5
  • Évaluations d'impact pour les mineurs/profilage (à partir d'août 2026).2 5
  • Documentez tout — les responsables de l'application aiment les pistes d'audit.

5. Vérification technique et des fournisseurs

  • Scannez les tiers : vendent-ils des données du CT ? Mettez à jour les DPA.
  • Consentement aux cookies : assurez-vous qu'il couvre les nouvelles catégories sensibles ; des outils comme OneTrust aident.
  • Surveillez la propagation des données neuronales/génétiques (par exemple, les applications de fitness IA).7

Prévoyez 3-6 mois si vous partez de zéro. Opérateurs multi-États : harmonisez avec le CCPA (droits similaires) mais notez la barre plus basse du CT.3

Pièges potentiels et risques d'application

Pas de période de correction signifie des amendes dès le premier jour — jusqu'à 7 500 $ par violation via l'AG du CT.2 Les premiers acteurs comme l'Utah ont vu des règlements rapides ; attendez-vous à ce que le CT suive.

Surveillez :

  • Sous-estimation des utilisateurs du CT : le géorepérage IP manque les VPN ; utilisez une correspondance probabiliste.
  • Pièges de la technologie publicitaire : "Vendre" inclut le partage pour les publicités — problème courant avec Pixel.4
  • Chevauchements mondiaux : si vous êtes conforme au RGPD (traitement des données sensibles Art. 9), vous êtes en avance ; alignez les consentements.5

Points clés à retenir

  • Effondrement du seuil : 100k → 35k consommateurs du CT ; zéro pour les données sensibles/ventes.1 2
  • Mineurs verrouillés : pas de ventes/publicités aux moins de 18 ans, jamais.3 4
  • Agissez maintenant : auditez les données, mettez à jour les avis, construisez des désinscriptions — le 1er juillet approche.
  • Petits sites : c'est votre réveil. La conformité vaut mieux que les amendes.

Avec des étapes proactives, vous transformez cela en un élément de confiance. Restez vigilant — les lois sur la confidentialité évoluent rapidement.3

Sources

Footnotes

  1. shb.com

  2. measuredcollective.com

  3. bakerdonelson.com

  4. mwe.com

  5. hunton.com

  6. cga.ct.gov

  7. mvalaw.com

Partager:

Articles similaires

Regulatory Updates

Date limite de la partie 2 de la HIPAA non respectée : Que se passe-t-il maintenant pour vos dossiers SUD

La date limite du 16 février 2026 pour la conformité à la partie 2 de la HIPAA est passée. Cet article explique ce que les sites Web de soins de santé et les entités couvertes doivent faire immédiatement s'ils n'ont pas mis à jour leur avis de confidentialité pour les dossiers de troubles liés à l'usage de substances (SUD), y compris les étapes de correction et les risques de pénalités.

Regulatory Updates

La loi DROP de Californie entre en vigueur le 1er août : Automatisation des demandes de suppression

La nouvelle loi californienne sur la suppression des courtiers de données exige un traitement automatisé des demandes de suppression des consommateurs tous les 45 jours à compter d'août 2026, avec des pénalités de 200 $ par jour et par demande non traitée. Les propriétaires de sites web traitant du trafic californien doivent comprendre les exigences de propagation des fournisseurs dès maintenant.

Regulatory Updates

Le cadre de transfert de données UE-États-Unis : à quoi ressemble la conformité en 2026

Alors que le dernier accord de transfert de données UE-États-Unis fait l'objet d'un examen et d'une éventuelle invalidation, expliquez comment les propriétaires de sites Web peuvent se préparer à l'incertitude et assurer des flux de données transfrontaliers légitimes.

Restez conforme avec Pryvii

Analysez votre site web pour détecter les problèmes de conformité en matière de confidentialité selon 17 réglementations incluant GDPR, CCPA et UK GDPR.