Ce que le Delete Act Comble que le CCPA Avait Laissé Ouvert
Le CCPA californien (et son successeur, le CPRA) avait accordé aux résidents californiens le droit de demander la suppression de leurs données personnelles auprès des entreprises avec lesquelles ils avaient une relation directe. La lacune que le Delete Act comble concerne l’écosystème des courtiers en données — des entreprises qui collectent et échangent des données personnelles en dehors de toute relation directe avec le consommateur. Une personne qui achète un matelas en ligne peut voir son nom, son adresse, son historique d’achat, une estimation de ses revenus et son profil de style de vie être vendus à un courtier en données, licenciés à un deuxième courtier, enrichis avec un historique de localisation par un troisième, et conditionnés en audience marketing par un quatrième — sans que le consommateur sache jamais lesquelles de ces entités détiennent ses données ni comment demander leur suppression.
Le mécanisme de demande individuelle du CCPA a échoué face aux courtiers en données parce qu’il exigeait que les consommateurs sachent quels courtiers détiennent leurs données, identifient chacun individuellement, soumettent des demandes de suppression séparées à des centaines d’entreprises, vérifient chaque demande via un processus distinct de vérification d’identité, et recommencent annuellement à mesure que les données se réagrègent. Le Delete Act remplace cette chasse individuelle par une désinscription centralisée : les résidents californiens soumettent une demande de suppression unique via le mécanisme de la CPPA, et tous les courtiers enregistrés doivent l’honorer dans les 45 jours.
L’échéance du 1er août 2026 est la date à laquelle le mécanisme de suppression centralisé de la CPPA doit être opérationnel et les courtiers en données doivent honorer les demandes qui y transitent. L’obligation d’inscription — qui crée le registre rendant ce mécanisme fonctionnel — est en vigueur depuis le 1er janvier 2024. Les courtiers non encore inscrits sont déjà en infraction.
Publicité
Qui est Courtier en Données au Sens de SB 362
Le Delete Act définit un courtier en données comme toute entreprise qui collecte et vend ou cède sous licence à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’entretient pas de relation directe. L’expression clé est « n’entretient pas de relation directe » — la définition du courtier en données capture l’écosystème en aval, pas les détenteurs de données de première partie.
1. S’inscrire auprès de la CPPA avant le 1er Août 2026 — ou Faire Face à des Amendes de 200 $/Jour par Courtier
Chaque courtier en données opérant sur des données de résidents californiens doit s’inscrire annuellement auprès de la CPPA et payer les frais d’inscription (500 dollars pour les entreprises de moins de 5 salariés ; des paliers plus élevés pour les entreprises plus importantes). L’inscription exige de divulguer : l’identité et les coordonnées de l’entreprise, les catégories d’informations personnelles vendues ou licenciées, une description des pratiques de collecte de données, et si le courtier traite des données de mineurs.
La structure de 200 dollars par jour et par courtier en données est distincte des amendes basées sur le chiffre d’affaires du CCPA. Un courtier qui ne s’inscrit pas pendant 90 jours encourt 18 000 dollars d’amendes avant même qu’une action en justice ne soit engagée — et la CPPA a signalé qu’elle poursuivra une application agressive après la date limite du mécanisme du 1er août. Le défaut d’inscription est une violation en soi : la CPPA n’a pas besoin de prouver un préjudice aux consommateurs, seulement que le courtier a opéré sans inscription.
Trois catégories d’entreprises qui ne se sont peut-être pas identifiées comme courtiers en données mais qui peuvent relever du champ d’application :
Fournisseurs de données d’entraînement pour l’IA : Si votre entreprise agrège des données personnelles (profils de médias sociaux, ensembles de données de comportement des consommateurs, bases de données démographiques) et cède ces données sous licence à des tiers pour l’entraînement de modèles d’IA, vous êtes probablement un courtier en données au sens de SB 362. La CPPA a adopté une vision large de la « vente ou cession sous licence » qui inclut la cession à des fins d’entraînement de modèles.
Infrastructure publicitaire programmatique : Les plateformes de gestion des données (DMP) et les plateformes côté demande (DSP) qui traitent les données de résidents californiens et les rendent disponibles pour le ciblage d’audience, même lorsque la transaction finale se fait avec un annonceur plutôt qu’avec un consommateur, opèrent dans l’écosystème des courtiers en données. Les orientations de la CPPA de janvier 2025 couvrent explicitement les « fournisseurs de segments d’audience ».
Services de recherche de personnes et de vérification des antécédents : Toute plateforme qui agrège le nom, l’adresse, le téléphone, les antécédents professionnels et les données de relations à partir de dossiers publics et cède l’accès à des particuliers ou des entreprises est sans aucun doute un courtier en données. Ces services sont les plus exposés au Delete Act — leur modèle économique entier consiste à vendre des informations personnelles sur des individus avec lesquels ils n’ont aucune relation directe.
2. Honorer les Demandes de Suppression via le Mécanisme de la CPPA dans les 45 Jours
À partir du 1er août 2026, lorsqu’un résident californien soumet une demande de suppression via le mécanisme centralisé de la CPPA, chaque courtier en données enregistré doit supprimer les informations personnelles de ce consommateur dans les 45 jours. L’obligation de suppression couvre les informations personnelles détenues directement par le courtier et les informations personnelles transférées à des prestataires de services au cours des 12 mois précédents.
Les exigences de mise en œuvre technique ne sont pas négligeables. Les courtiers doivent implémenter une connexion API au système de demande de suppression de la CPPA, construire une logique de résolution d’identité pour faire correspondre les demandes de suppression entrantes aux enregistrements corrects dans leurs bases de données, maintenir des pistes d’audit de suppression pour démontrer la conformité, et re-supprimer les données du même consommateur annuellement en cas de réagrégation.
Pour les fournisseurs de données d’entraînement pour l’IA, l’obligation de suppression croise une question technique difficile : peut-on supprimer les données d’un consommateur d’un modèle entraîné ? Les orientations actuelles de la CPPA considèrent que la suppression s’applique à l’ensemble de données d’entraînement et aux profils dérivés, mais pas aux poids du modèle eux-mêmes — cette interprétation n’est pas définitive.
3. Mettre en Œuvre des Garanties Anti-Réidentification et la Re-Suppression Annuelle
Le Delete Act comprend une disposition anti-contournement ciblant la pratique courante des courtiers en données de réagréger les données supprimées à partir d’autres sources. Si les données d’un consommateur sont supprimées suite à une demande de suppression, le courtier en données ne peut pas réacquérir et traiter les données de ce même consommateur auprès d’un autre courtier ou agrégateur de données pendant au moins 90 jours. La re-suppression annuelle est requise : le mécanisme de la CPPA permet aux consommateurs de faire des demandes de suppression permanentes, et les courtiers doivent honorer ces demandes persistantes à chaque renouvellement d’inscription annuel.
La Réalité de l’Application au 1er Août : Ce que Signale la CPPA
La CPPA a annoncé en mars 2026 qu’elle publierait le premier registre public des courtiers en données le 1er août 2026 — la même date à laquelle le mécanisme de suppression devient opérationnel. Les entreprises non inscrites au 1er août figureront sur une liste publique de « courtiers non conformes » que la CPPA entend mettre à jour mensuellement. Ce mécanisme de divulgation publique crée un risque de réputation au-delà de la structure des amendes de 200 $/jour.
Deux avis d’application de la CPPA du début 2026 sont significatifs pour la planification de la conformité :
Avis de janvier 2026 : La CPPA a confirmé que les courtiers en données inscrits sous l’ancien régime (California Civil Code § 1798.99.80) doivent se réinscrire sous SB 362 — les inscriptions ne sont pas automatiquement transférées. Les courtiers qui supposaient que leur inscription de 2023 ou 2024 était valable ont tort et doivent vérifier immédiatement leur statut d’inscription SB 362.
Avis de mars 2026 : La CPPA a confirmé que le délai de suppression de 45 jours commence à partir de la date à laquelle le mécanisme de la CPPA transmet la demande au courtier enregistré, et non à partir de la date à laquelle le consommateur soumet la demande. Les courtiers doivent donc disposer d’une surveillance API en temps réel ou quasi réel du flux de suppressions de la CPPA, et non d’un processus par lots hebdomadaire ou mensuel.
Questions Fréquemment Posées
Le Delete Act s’applique-t-il à une entreprise qui fournit des logiciels d’analyse mais ne vend pas de données — elle les traite uniquement pour le compte de ses clients ?
Non. Si votre entreprise agit exclusivement comme prestataire de services traitant des données pour le compte de clients (en tant que responsable du traitement des données, selon la terminologie du RGPD) et ne revend ni ne cède indépendamment ces données à des tiers, vous n’êtes pas un courtier en données au sens de SB 362. La définition du courtier en données exige que l’entreprise vende ou cède sous licence des informations personnelles à des tiers, pas seulement les traite sous contrat. Cependant, si votre plateforme d’analyse revend également des données d’audience agrégées, des insights dérivés ou des ensembles de données comportementales anonymisées à d’autres parties comme ligne de produits séparée, cette activité secondaire peut se qualifier comme courtage de données.
Que signifie concrètement « supprimer » des données d’un ensemble de données d’entraînement pour l’IA en vertu du droit californien ?
Les orientations actuelles de la CPPA (janvier 2026) exigent la suppression de : (a) les fichiers originaux de l’ensemble de données d’entraînement, (b) les ensembles de données d’ajustement fin dérivés des données d’entraînement qui conservent des enregistrements au niveau individuel, et (c) les profils consommateurs dérivés de et identifiables à l’individu. Cela n’exige PAS actuellement de supprimer les poids du modèle entraîné eux-mêmes, au motif que les poids du modèle sont une transformation mathématique plutôt qu’une copie des données originales. Cette interprétation est susceptible d’être contestée en justice.
Si un courtier en données s’inscrit sous SB 362 mais qu’une demande de suppression d’un consommateur porte sur des données licenciées à trois acheteurs en aval avant la demande — qui est responsable de la suppression chez les acheteurs en aval ?
Le courtier en données d’origine est responsable de notifier tous les acheteurs en aval connus pour qu’ils suppriment les données du consommateur. SB 362 oblige les courtiers à conserver des enregistrements de tous les tiers auxquels des données consommateurs ont été transférées au cours des 12 mois précédents. À la réception d’une demande de suppression, le courtier doit notifier chaque acheteur en aval dans les 5 jours ouvrables. L’acheteur en aval dispose alors de son propre délai de suppression de 45 jours.
—
Sources et lectures complémentaires
- California Delete Act (SB 362) — California Legislative Information
- Avis d’application de la CPPA sur le registre des courtiers en données (mars 2026) — California Privacy Protection Agency
- Calendrier de mise en œuvre et portail d’inscription du Delete Act — CPPA
- Guide de conformité au Delete Act pour les fournisseurs de données d’entraînement IA — Future of Privacy Forum
- Interaction entre le CPRA et le Delete Act — IAPP
