IA et loi californienne (CCPA/CPRA) : ce que les entreprises doivent savoir
Oui, mais pas avec des données brutes : le CCPA/CPRA protège les données sensibles d'un Californien. Anonymisez-les avant tout prompt IA.
Voici la réponse courte. Le CCPA vous laisse utiliser l'IA, mais pas avec les données brutes d'un Californien. Le California Consumer Privacy Act (CCPA), amendé par le California Privacy Rights Act (CPRA), donne des droits forts aux consommateurs. Ils peuvent savoir, supprimer, corriger, et s'opposer à la vente ou au partage de leurs données. Ils peuvent aussi limiter l'usage de leurs Sensitive Personal Information (données personnelles sensibles). Coller ces données dans une IA grand public est un traitement. Si le fournisseur les réutilise, cela peut ressembler à une vente ou à un usage secondaire non autorisé. La parade est simple. Anonymisez les identifiants californiens avant tout prompt IA.
Ce que le CCPA et le CPRA donnent aux consommateurs californiens
Gardons les couches claires. Le CCPA est la loi de base. Le CPRA est l'initiative de 2020 qui l'a amendée. Le CPRA a ajouté de nouveaux droits et une nouvelle catégorie de données. Il a aussi créé un régulateur dédié, la CPPA (California Privacy Protection Agency). Ensemble, ils donnent aux résidents californiens un vrai contrôle sur leurs données.
Les droits clés sont simples à lister. Le consommateur peut demander ce qu'une entreprise collecte sur lui. Il peut demander à le supprimer ou à le corriger. Il peut s'opposer à la vente ou au partage de ses données. Et il peut limiter l'usage de ses Sensitive Personal Information.
Les Sensitive Personal Information, ou SPI, sont une catégorie définie par le CPRA. Elles couvrent les identifiants les plus utiles aux fraudeurs. Voici ce qu'elles incluent.
- Numéro de sécurité sociale, permis de conduire et pièce d'identité d'État.
- Coordonnées de compte financier associées à des identifiants d'accès.
- Géolocalisation précise.
- Origine raciale ou ethnique, convictions religieuses, et appartenance syndicale.
- Données génétiques et biométriques, et informations de santé.
- Le contenu du courrier, des e-mails et des SMS, quand l'entreprise n'en est pas le destinataire.
Coller des données dans une IA, c'est un traitement
Pensez à ce qui se passe quand vous collez. Vous copiez les données d'un Californien dans une IA grand public. Sous le CCPA, c'est un traitement de données. Ces données ne cessent pas d'être personnelles parce qu'un chatbot les manipule.
Le risque dépend des conditions du fournisseur. Certains fournisseurs d'IA peuvent réutiliser vos saisies, par exemple pour entraîner leurs propres modèles. Cette réutilisation peut équivaloir à une vente ou à un partage sous le CCPA. Elle peut aussi compter comme un usage secondaire non autorisé. Les bons contrats sont le mécanisme qui l'empêche. Des clauses de prestataire ou de sous-traitant évitent qu'un fournisseur compte comme un acheteur. Vous devez aussi honorer les oppositions et donner l'information requise à la collecte.
La CPPA et les nouvelles règles sur l'IA
La Californie n'attend pas. La CPPA (California Privacy Protection Agency) applique la loi aux côtés du California Attorney General. Elle a aussi un pouvoir réglementaire. En 2025, elle a finalisé un nouveau paquet de règles.
Le calendrier compte, le voici. Le conseil de la CPPA a adopté le paquet le 24 juillet 2025. L'Office of Administrative Law a approuvé les règles. Elles ont été déposées le 22 septembre 2025 et sont entrées en vigueur le 1er janvier 2026. Le paquet couvre la technologie de décision automatisée, les analyses de risque et les audits de cybersécurité.
Mais la date d'entrée en vigueur n'est pas la date de mise en conformité. Les échéances de fond sont échelonnées, et surtout à venir. Ces règles portent aussi des seuils de taille et de chiffre d'affaires. Elles visent donc certaines entreprises éligibles, pas tout le monde. La CPPA a fixé un calendrier qui commence ainsi.
- 1Les entreprises qui utilisent la décision automatisée pour des décisions importantes doivent se conformer à partir du 1er janvier 2027.
- 2Les obligations d'analyse de risque démarrent en 2026, la première documentation étant due à la CPPA au 1er avril 2028.
- 3Les certifications d'audit de cybersécurité sont échelonnées selon le chiffre d'affaires, la première au 1er avril 2028 pour les plus grandes entreprises.
Un thème traverse les règles ADMT. Quand une entreprise utilise la décision automatisée pour des décisions importantes, elle doit en informer les consommateurs concernés. Elle doit aussi leur permettre de s'y opposer et d'accéder aux informations sur cet usage.
La désidentification sort les données du champ
Voici le levier concret. Le CCPA ne s'applique pas aux données correctement désidentifiées ou agrégées. Supprimez le lien vers une personne réelle, et la définition de donnée personnelle ne colle plus. C'est pourquoi anonymiser avant le prompt est si utile. Cela réduit votre risque et peut sortir la donnée de la loi.
Un mot est décisif ici : correctement. La désidentification n'est pas une exemption magique. La loi attend des mesures raisonnables et l'engagement de ne pas réidentifier. Bien faite, elle reste votre meilleure carte. L'IA raisonne sur un cas qu'elle ne peut jamais relier à un consommateur nommé.
| Vous pensez | La réalité |
|---|---|
| « Une IA qui voit un numéro de sécu, ce n'est rien » | Le numéro de sécurité sociale est une Sensitive Personal Information, avec des limites renforcées |
| « Coller dans un chatbot n'est pas un traitement » | Sous le CCPA, c'est bien un traitement comme un autre |
| « Le fournisseur ne peut pas être une vente » | La réutilisation pour l'entraînement peut équivaloir à une vente sans le bon contrat |
| « Une donnée désidentifiée compte encore » | Correctement désidentifiée, elle sort des données personnelles du CCPA |
La méthode est donc directe. Gardez vos questions d'ordre général. Quand vous devez inclure un vrai cas, désidentifiez-le d'abord. Remplacez chaque identifiant californien par un jeton. L'IA travaille sur la structure, jamais sur la valeur brute. Vous restaurez les vraies valeurs ensuite, sur votre machine.
C'est exactement le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles — numéros de sécu, permis et numéros de compte, géolocalisation, éléments de santé. Il les remplace par des jetons réversibles avant tout envoi. La détection et le mapping restent dans votre navigateur. Seul un texte désidentifié atteint le modèle. L'IA n'y voit que des jetons, jamais les identifiants réels d'un Californien. Vous obtenez l'aide, et vous gardez la donnée du bon côté du CCPA.
Questions fréquentes
- Que demande la loi californienne (CCPA/CPRA) quand vous utilisez l'IA avec des données de consommateurs ?
- Elle demande de traiter ces données comme protégées. Le CCPA, amendé par le CPRA, donne aux consommateurs californiens des droits : savoir, supprimer, corriger, et s'opposer à la vente ou au partage. Il leur permet aussi de limiter l'usage des Sensitive Personal Information. Coller ces données dans une IA grand public est un traitement. Il vous faut de bons contrats, honorer les oppositions et informer à la collecte. Désidentifier les données avant le prompt réduit le risque et peut les sortir du champ.
- Mettre un numéro de sécurité sociale dans ChatGPT, est-ce un problème CCPA ?
- Cela peut l'être. Le numéro de sécurité sociale est une Sensitive Personal Information sous le CPRA. Le coller dans une IA grand public est un traitement. Si le fournisseur le réutilise, cela peut compter comme une vente, un partage ou un usage secondaire non autorisé. Le geste sûr est de le remplacer par un jeton avant l'envoi.
- Désidentifier les données les sort-il vraiment du CCPA ?
- Oui, quand c'est bien fait. Le CCPA ne s'applique pas aux données correctement désidentifiées ou agrégées. Mais « correctement » compte : la loi attend des mesures raisonnables et l'engagement de ne pas réidentifier. Anonymiser les identifiants californiens avant un prompt IA réduit le risque et peut sortir la donnée de la définition de donnée personnelle.
Sources et références
- California Consumer Privacy Act (CCPA) : aperçu, droits des consommateurs et Sensitive Personal Information — California Office of the Attorney General
- Réglementation de la CPPA : décision automatisée (ADMT), analyses de risque et audits de cybersécurité — California Privacy Protection Agency (CPPA)
- California Privacy Protection Agency : le régulateur créé par le CPRA — California Privacy Protection Agency (CPPA)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt