⚡ Points Clés

Le Delete Act de Californie (SB 362) crée un mécanisme de suppression centralisé : les résidents californiens soumettent une seule demande à la CPPA et tous les courtiers en données enregistrés doivent l’honorer dans les 45 jours. Le 1er août 2026 est la date limite opérationnelle — tout courtier en données non inscrit d’ici là fait face à des amendes de 200 $/jour et à une publication publique de non-conformité. Trois catégories de courtiers sous-reconnus : fournisseurs de données d’entraînement IA, DSP/DMP publicitaires programmatiques, et services de recherche de personnes. L’avis de janvier 2026 de la CPPA a confirmé que les anciennes inscriptions ne se transfèrent pas — réinscription obligatoire sous SB 362. L’avis de mars 2026 a confirmé que le délai de 45 jours commence à la transmission par la CPPA, nécessitant une surveillance API en temps réel.

En résumé: Si votre entreprise agrège, enrichit ou cède sous licence des données consommateurs incluant des résidents californiens — y compris des ensembles de données d’entraînement IA — effectuez immédiatement une auto-évaluation. Si vous vous qualifiez comme courtier en données, inscrivez-vous auprès de la CPPA avant le 1er août. L’inscription est simple ; le travail d’ingénierie pour construire un flux de suppression est le chantier le plus long.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l’Algérie
Moyen
Toute entreprise algérienne d’analyse de données, plateforme de technologie publicitaire ou fournisseur de données d’entraînement pour l’IA qui traite des données de résidents californiens est potentiellement un courtier en données au sens de SB 362. La communauté tech algérienne active comprend des entreprises vendant des services d’enrichissement de données, des données de ciblage d’audience et des analyses consommateurs — si ces données touchent des résidents californiens, l’obligation d’inscription au Delete Act s’applique quel que soit le lieu d’incorporation.
Infrastructure prête ?
Partiel
L’implémentation de la connexion API de la CPPA et de la piste d’audit de suppression est un projet d’ingénierie de 4 à 8 semaines pour une entreprise disposant d’une architecture de données propre. Les entreprises dont les données sont fragmentées font face à des délais plus longs.
Compétences disponibles ?
Partiel
L’expertise en droit de la vie privée californien est disponible via les cabinets internationaux. La mise en œuvre technique (intégration API avec le flux de suppression de la CPPA, résolution d’identité pour la correspondance des suppressions) est un travail d’ingénierie standard disponible aux tarifs de développement logiciel algériens.
Calendrier d’action
Immédiat
Le 1er août est la date limite absolue pour le mécanisme de suppression. L’inscription est requise depuis le 1er janvier 2024 — les entreprises non encore inscrites sont déjà en infraction.
Parties prenantes clés
Entreprises d’analyse de données, plateformes de technologie publicitaire, fournisseurs de données d’entraînement pour l’IA, courtiers en données marketing, DSI, conseils juridiques, DPO
Type de décision
Tactique
Conformité avec le droit californien existant. La question stratégique est de savoir si l’on continue à opérer sur les données de résidents californiens ou si l’on se retire de ce marché. La plupart des entreprises choisiront la conformité.

En bref: Les entreprises algériennes de données qui agrègent, enrichissent ou cèdent sous licence des données consommateurs doivent effectuer immédiatement une auto-évaluation : votre base de données contient-elle des enregistrements appartenant à des résidents californiens ? Si oui, vous êtes un courtier en données au sens de SB 362 et devez vous inscrire auprès de la CPPA avant le 1er août. Le processus d’inscription lui-même est simple — le travail technique de construction d’un flux de suppression est le chantier le plus long.

Ce que le Delete Act Comble que le CCPA Avait Laissé Ouvert

Le CCPA californien (et son successeur, le CPRA) avait accordé aux résidents californiens le droit de demander la suppression de leurs données personnelles auprès des entreprises avec lesquelles ils avaient une relation directe. La lacune que le Delete Act comble concerne l’écosystème des courtiers en données — des entreprises qui collectent et échangent des données personnelles en dehors de toute relation directe avec le consommateur. Une personne qui achète un matelas en ligne peut voir son nom, son adresse, son historique d’achat, une estimation de ses revenus et son profil de style de vie être vendus à un courtier en données, licenciés à un deuxième courtier, enrichis avec un historique de localisation par un troisième, et conditionnés en audience marketing par un quatrième — sans que le consommateur sache jamais lesquelles de ces entités détiennent ses données ni comment demander leur suppression.

Le mécanisme de demande individuelle du CCPA a échoué face aux courtiers en données parce qu’il exigeait que les consommateurs sachent quels courtiers détiennent leurs données, identifient chacun individuellement, soumettent des demandes de suppression séparées à des centaines d’entreprises, vérifient chaque demande via un processus distinct de vérification d’identité, et recommencent annuellement à mesure que les données se réagrègent. Le Delete Act remplace cette chasse individuelle par une désinscription centralisée : les résidents californiens soumettent une demande de suppression unique via le mécanisme de la CPPA, et tous les courtiers enregistrés doivent l’honorer dans les 45 jours.

L’échéance du 1er août 2026 est la date à laquelle le mécanisme de suppression centralisé de la CPPA doit être opérationnel et les courtiers en données doivent honorer les demandes qui y transitent. L’obligation d’inscription — qui crée le registre rendant ce mécanisme fonctionnel — est en vigueur depuis le 1er janvier 2024. Les courtiers non encore inscrits sont déjà en infraction.

Publicité

Qui est Courtier en Données au Sens de SB 362

Le Delete Act définit un courtier en données comme toute entreprise qui collecte et vend ou cède sous licence à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’entretient pas de relation directe. L’expression clé est « n’entretient pas de relation directe » — la définition du courtier en données capture l’écosystème en aval, pas les détenteurs de données de première partie.

1. S’inscrire auprès de la CPPA avant le 1er Août 2026 — ou Faire Face à des Amendes de 200 $/Jour par Courtier

Chaque courtier en données opérant sur des données de résidents californiens doit s’inscrire annuellement auprès de la CPPA et payer les frais d’inscription (500 dollars pour les entreprises de moins de 5 salariés ; des paliers plus élevés pour les entreprises plus importantes). L’inscription exige de divulguer : l’identité et les coordonnées de l’entreprise, les catégories d’informations personnelles vendues ou licenciées, une description des pratiques de collecte de données, et si le courtier traite des données de mineurs.

La structure de 200 dollars par jour et par courtier en données est distincte des amendes basées sur le chiffre d’affaires du CCPA. Un courtier qui ne s’inscrit pas pendant 90 jours encourt 18 000 dollars d’amendes avant même qu’une action en justice ne soit engagée — et la CPPA a signalé qu’elle poursuivra une application agressive après la date limite du mécanisme du 1er août. Le défaut d’inscription est une violation en soi : la CPPA n’a pas besoin de prouver un préjudice aux consommateurs, seulement que le courtier a opéré sans inscription.

Trois catégories d’entreprises qui ne se sont peut-être pas identifiées comme courtiers en données mais qui peuvent relever du champ d’application :

Fournisseurs de données d’entraînement pour l’IA : Si votre entreprise agrège des données personnelles (profils de médias sociaux, ensembles de données de comportement des consommateurs, bases de données démographiques) et cède ces données sous licence à des tiers pour l’entraînement de modèles d’IA, vous êtes probablement un courtier en données au sens de SB 362. La CPPA a adopté une vision large de la « vente ou cession sous licence » qui inclut la cession à des fins d’entraînement de modèles.

Infrastructure publicitaire programmatique : Les plateformes de gestion des données (DMP) et les plateformes côté demande (DSP) qui traitent les données de résidents californiens et les rendent disponibles pour le ciblage d’audience, même lorsque la transaction finale se fait avec un annonceur plutôt qu’avec un consommateur, opèrent dans l’écosystème des courtiers en données. Les orientations de la CPPA de janvier 2025 couvrent explicitement les « fournisseurs de segments d’audience ».

Services de recherche de personnes et de vérification des antécédents : Toute plateforme qui agrège le nom, l’adresse, le téléphone, les antécédents professionnels et les données de relations à partir de dossiers publics et cède l’accès à des particuliers ou des entreprises est sans aucun doute un courtier en données. Ces services sont les plus exposés au Delete Act — leur modèle économique entier consiste à vendre des informations personnelles sur des individus avec lesquels ils n’ont aucune relation directe.

2. Honorer les Demandes de Suppression via le Mécanisme de la CPPA dans les 45 Jours

À partir du 1er août 2026, lorsqu’un résident californien soumet une demande de suppression via le mécanisme centralisé de la CPPA, chaque courtier en données enregistré doit supprimer les informations personnelles de ce consommateur dans les 45 jours. L’obligation de suppression couvre les informations personnelles détenues directement par le courtier et les informations personnelles transférées à des prestataires de services au cours des 12 mois précédents.

Les exigences de mise en œuvre technique ne sont pas négligeables. Les courtiers doivent implémenter une connexion API au système de demande de suppression de la CPPA, construire une logique de résolution d’identité pour faire correspondre les demandes de suppression entrantes aux enregistrements corrects dans leurs bases de données, maintenir des pistes d’audit de suppression pour démontrer la conformité, et re-supprimer les données du même consommateur annuellement en cas de réagrégation.

Pour les fournisseurs de données d’entraînement pour l’IA, l’obligation de suppression croise une question technique difficile : peut-on supprimer les données d’un consommateur d’un modèle entraîné ? Les orientations actuelles de la CPPA considèrent que la suppression s’applique à l’ensemble de données d’entraînement et aux profils dérivés, mais pas aux poids du modèle eux-mêmes — cette interprétation n’est pas définitive.

3. Mettre en Œuvre des Garanties Anti-Réidentification et la Re-Suppression Annuelle

Le Delete Act comprend une disposition anti-contournement ciblant la pratique courante des courtiers en données de réagréger les données supprimées à partir d’autres sources. Si les données d’un consommateur sont supprimées suite à une demande de suppression, le courtier en données ne peut pas réacquérir et traiter les données de ce même consommateur auprès d’un autre courtier ou agrégateur de données pendant au moins 90 jours. La re-suppression annuelle est requise : le mécanisme de la CPPA permet aux consommateurs de faire des demandes de suppression permanentes, et les courtiers doivent honorer ces demandes persistantes à chaque renouvellement d’inscription annuel.

La Réalité de l’Application au 1er Août : Ce que Signale la CPPA

La CPPA a annoncé en mars 2026 qu’elle publierait le premier registre public des courtiers en données le 1er août 2026 — la même date à laquelle le mécanisme de suppression devient opérationnel. Les entreprises non inscrites au 1er août figureront sur une liste publique de « courtiers non conformes » que la CPPA entend mettre à jour mensuellement. Ce mécanisme de divulgation publique crée un risque de réputation au-delà de la structure des amendes de 200 $/jour.

Deux avis d’application de la CPPA du début 2026 sont significatifs pour la planification de la conformité :

Avis de janvier 2026 : La CPPA a confirmé que les courtiers en données inscrits sous l’ancien régime (California Civil Code § 1798.99.80) doivent se réinscrire sous SB 362 — les inscriptions ne sont pas automatiquement transférées. Les courtiers qui supposaient que leur inscription de 2023 ou 2024 était valable ont tort et doivent vérifier immédiatement leur statut d’inscription SB 362.

Avis de mars 2026 : La CPPA a confirmé que le délai de suppression de 45 jours commence à partir de la date à laquelle le mécanisme de la CPPA transmet la demande au courtier enregistré, et non à partir de la date à laquelle le consommateur soumet la demande. Les courtiers doivent donc disposer d’une surveillance API en temps réel ou quasi réel du flux de suppressions de la CPPA, et non d’un processus par lots hebdomadaire ou mensuel.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Le Delete Act s’applique-t-il à une entreprise qui fournit des logiciels d’analyse mais ne vend pas de données — elle les traite uniquement pour le compte de ses clients ?

Non. Si votre entreprise agit exclusivement comme prestataire de services traitant des données pour le compte de clients (en tant que responsable du traitement des données, selon la terminologie du RGPD) et ne revend ni ne cède indépendamment ces données à des tiers, vous n’êtes pas un courtier en données au sens de SB 362. La définition du courtier en données exige que l’entreprise vende ou cède sous licence des informations personnelles à des tiers, pas seulement les traite sous contrat. Cependant, si votre plateforme d’analyse revend également des données d’audience agrégées, des insights dérivés ou des ensembles de données comportementales anonymisées à d’autres parties comme ligne de produits séparée, cette activité secondaire peut se qualifier comme courtage de données.

Que signifie concrètement « supprimer » des données d’un ensemble de données d’entraînement pour l’IA en vertu du droit californien ?

Les orientations actuelles de la CPPA (janvier 2026) exigent la suppression de : (a) les fichiers originaux de l’ensemble de données d’entraînement, (b) les ensembles de données d’ajustement fin dérivés des données d’entraînement qui conservent des enregistrements au niveau individuel, et (c) les profils consommateurs dérivés de et identifiables à l’individu. Cela n’exige PAS actuellement de supprimer les poids du modèle entraîné eux-mêmes, au motif que les poids du modèle sont une transformation mathématique plutôt qu’une copie des données originales. Cette interprétation est susceptible d’être contestée en justice.

Si un courtier en données s’inscrit sous SB 362 mais qu’une demande de suppression d’un consommateur porte sur des données licenciées à trois acheteurs en aval avant la demande — qui est responsable de la suppression chez les acheteurs en aval ?

Le courtier en données d’origine est responsable de notifier tous les acheteurs en aval connus pour qu’ils suppriment les données du consommateur. SB 362 oblige les courtiers à conserver des enregistrements de tous les tiers auxquels des données consommateurs ont été transférées au cours des 12 mois précédents. À la réception d’une demande de suppression, le courtier doit notifier chaque acheteur en aval dans les 5 jours ouvrables. L’acheteur en aval dispose alors de son propre délai de suppression de 45 jours.

Sources et lectures complémentaires