FlowConsent

CCPA vs RGPD : les différences concrètes pour les cookies

9 mars 2026 · FlowConsent

TL;DR

Le RGPD et le CCPA sont les deux cadres réglementaires majeurs qui encadrent la gestion des cookies sur les sites web, mais ils fonctionnent de manière fondamentalement différente. Le RGPD (Europe) impose un consentement explicite avant le dépôt de tout cookie non essentiel (opt-in). Le CCPA/CPRA (Californie) autorise le dépôt de cookies par défaut, mais exige un mécanisme d'opt-out pour la vente ou le partage de données personnelles. Un site qui cible des utilisateurs dans les deux zones doit gérer les deux logiques simultanément, ce qui nécessite une CMP capable de différencier les règles par géolocalisation.

Pourquoi ce comparatif est indispensable

Le RGPD part du principe que rien ne doit être collecté sans accord préalable. Le CCPA part du principe que la collecte est autorisée, mais que l'utilisateur doit pouvoir s'y opposer. Cette distinction a des conséquences directes sur la configuration de votre bannière cookies, le blocage des scripts, et l'architecture de votre CMP.

RGPD et CCPA : deux cadres, deux philosophies

Le RGPD en résumé

Le RGPD est en vigueur depuis mai 2018 dans l'Union européenne. Il définit les données personnelles de manière large : adresses IP, identifiants de cookies, données de navigation. Tout cookie non strictement nécessaire nécessite un consentement préalable, libre, éclairé, spécifique et univoque. C'est le modèle opt-in.

Le CCPA/CPRA en résumé

Le CCPA est en vigueur depuis janvier 2020, renforcé par le CPRA depuis janvier 2023. Il s'applique aux entreprises dépassant certains seuils (25 M$ de CA, 100 000 résidents, ou 50 % de revenus issus de la vente de données). Le CCPA suit un modèle opt-out : les cookies peuvent être déposés dès le chargement, mais l'utilisateur doit pouvoir s'opposer via un lien Do Not Sell or Share et via le signal GPC.

Les différences concrètes pour les cookies

Sous le RGPD, si votre site charge Google Analytics ou un pixel publicitaire avant que l'utilisateur n'ait cliqué Accepter, vous êtes en infraction. Sous le CCPA, ces scripts peuvent se charger immédiatement, mais l'utilisateur doit pouvoir empêcher la vente ou le partage de ses données via un opt-out accessible.

Ce que ça change concrètement pour votre site

Si vous ciblez uniquement l'Europe

Bloquez tous les scripts non essentiels avant le consentement. Votre bandeau cookies doit proposer un choix granulaire avec un bouton Refuser aussi visible que le bouton Accepter. Les preuves de consentement doivent être stockées.

Si vous ciblez uniquement la Californie

Vous pouvez charger vos scripts de tracking dès le chargement. Affichez un lien Do Not Sell or Share accessible depuis toutes les pages. Votre site doit respecter le signal GPC.

Si vous ciblez les deux zones

Votre CMP doit détecter la localisation du visiteur et appliquer les règles correspondantes. Pour choisir une CMP qui gère les deux réglementations, vérifiez qu'elle supporte la géolocalisation, le GPC et le Consent Mode v2.

Les cookies concernés par chaque réglementation

Les deux réglementations ne ciblent pas exactement les mêmes types de cookies. Les cookies strictement nécessaires sont exemptés dans les deux cas. Les cookies analytics nécessitent un opt-in sous le RGPD. Les cookies publicitaires sont concernés par les deux réglementations.

Erreurs fréquentes (et comment les éviter)

Appliquer les mêmes règles partout. Appliquer le RGPD à tous les visiteurs réduit inutilement le taux de consentement en Californie. Appliquer le CCPA à tous les visiteurs n'est pas conforme au RGPD.

Ignorer le signal GPC. Le CCPA/CPRA impose le respect du Global Privacy Control. En 2025, Tractor Supply a été sanctionné de 1,35 million de dollars, notamment pour ne pas avoir respecté le GPC.

Confondre Do Not Sell et Reject All. Le lien Do Not Sell du CCPA cible spécifiquement la vente et le partage de données, pas tous les cookies.

Oublier le Consent Mode v2. Si vous utilisez Google Analytics et ciblez l'EEE, le Consent Mode v2 est obligatoire depuis mars 2024. Ce paramètre est distinct des exigences CCPA.

Négliger la documentation. Le RGPD exige une documentation complète. Le CCPA exige une politique de confidentialité à jour et un avis de collecte. Les deux demandent une mise à jour annuelle.

Comment configurer votre CMP pour les deux réglementations

Géolocalisation pour identifier la localisation du visiteur. Bannière adaptée par zone. Blocage conditionnel des scripts. Stockage des preuves de consentement. Utilisez un scanner de cookies pour vérifier que votre configuration CMP fonctionne correctement.

Checklist conformité CCPA + RGPD pour les cookies

  1. Identifier la localisation de vos visiteurs et les réglementations applicables.
  2. Configurer votre CMP avec des règles différenciées par géolocalisation.
  3. Bloquer les scripts non essentiels avant consentement pour les visiteurs européens.
  4. Afficher un lien Do Not Sell or Share pour les visiteurs californiens.
  5. Configurer le respect du signal GPC.
  6. Stocker les preuves de consentement pour les visiteurs UE.
  7. Mettre à jour votre politique de confidentialité avec les mentions RGPD et CCPA.
  8. Configurer le Consent Mode v2 pour les visiteurs EEE.
  9. Scanner votre site pour vérifier le blocage et l'opt-out.
  10. Planifier une revue annuelle de votre configuration CMP.

FAQ

Quelle est la principale différence entre le CCPA et le RGPD pour les cookies ? Le RGPD exige un consentement opt-in avant de déposer des cookies non essentiels. Le CCPA autorise le dépôt par défaut mais impose un mécanisme d'opt-out si les données sont vendues ou partagées.

Ai-je besoin d'un bandeau cookies pour le CCPA ? Le CCPA n'impose pas de bannière au sens du RGPD. Il exige un lien Do Not Sell or Share accessible sur toutes les pages, et le respect du GPC.

Est-ce que le CCPA s'applique à mon site européen ? Le CCPA s'applique si votre site collecte des données de résidents californiens et que votre entreprise dépasse l'un des trois seuils (25 M$ de CA, 100 000 résidents, ou 50 % de revenus de vente de données).

Puis-je appliquer les règles RGPD à tous les visiteurs pour simplifier ? Oui, c'est techniquement conforme. Cependant, cela réduit votre taux de consentement en Californie et peut impacter vos données marketing. La meilleure approche est d'adapter par zone.

Quelles sanctions risque-t-on pour le CCPA ? Le CCPA prévoit des amendes de 2 663 $ à 7 988 $ par violation, cumulables par utilisateur. Sephora a payé 1,2 million de dollars en 2022, Tractor Supply 1,35 million en 2025.

Le Consent Mode v2 couvre-t-il le CCPA ? Le Consent Mode v2 est conçu pour le RGPD et le DMA, pas pour le CCPA. Pour la conformité CCPA, configurez séparément le GPC et le mécanisme Do Not Sell dans votre CMP.

Conclusion et prochaine étape

Le RGPD et le CCPA imposent des obligations différentes : opt-in en Europe, opt-out en Californie. Un site qui reçoit du trafic des deux zones doit gérer les deux logiques. Commencez par un scan de votre site pour identifier tous les cookies et traceurs actifs.

Questions fréquentes

  • Quelle est la principale différence entre le CCPA et le RGPD pour les cookies ?

    Le RGPD exige un consentement opt-in avant de déposer des cookies non essentiels. Le CCPA autorise le dépôt de cookies par défaut, mais impose un mécanisme d'opt-out si les données sont vendues ou partagées avec des tiers. La logique est inversée : le RGPD bloque avant consentement, le CCPA permet puis offre un refus.

  • Ai-je besoin d'un bandeau cookies pour le CCPA ?

    Le CCPA n'impose pas de bannière cookies au sens du RGPD. En revanche, il exige un lien Do Not Sell or Share My Personal Information accessible sur toutes les pages, et le respect du signal GPC. En pratique, beaucoup de sites utilisent un bandeau cookies avec un onglet Do Not Sell pour couvrir les deux réglementations.

  • Est-ce que le CCPA s'applique à mon site européen ?

    Le CCPA s'applique si votre site collecte des données personnelles de résidents californiens et que votre entreprise dépasse l'un des trois seuils (25 M$ de CA, 100 000 résidents, ou 50 % de revenus issus de la vente de données). Si votre site reçoit du trafic californien significatif, il est probable que le CCPA s'applique.

  • Puis-je appliquer les règles RGPD à tous les visiteurs pour simplifier ?

    Oui, c'est techniquement conforme aux deux réglementations. Cependant, cela réduit votre taux de consentement en Californie (où l'opt-in n'est pas requis) et peut impacter vos données analytics et publicitaires. La meilleure approche est d'adapter les règles par zone géographique.

  • Quelles sanctions risque-t-on en cas de non-conformité au CCPA ?

    Le CCPA prévoit des amendes de 2 663 $ à 7 988 $ par violation (montants ajustés en 2025). Ces amendes sont cumulables par utilisateur affecté. Sephora a payé 1,2 million de dollars en 2022, et Tractor Supply 1,35 million de dollars en 2025.

  • Le Consent Mode v2 de Google couvre-t-il le CCPA ?

    Le Consent Mode v2 est conçu pour transmettre les signaux de consentement à Google dans le cadre du RGPD et du DMA. Il n'est pas spécifiquement prévu pour le CCPA. Pour la conformité CCPA, vous devez configurer séparément le respect du GPC et le mécanisme Do Not Sell dans votre CMP.

Articles recommandes