Conformité données personnelles au-delà du RGPD : CCPA, LGPD, POPIA et cadres mondiaux
Guide complet sur la conformité données personnelles à l'échelle mondiale : RGPD, CCPA, LGPD, POPIA, PIPL, DPDPA. Comparatif des lois, sanctions, droits des personnes et obligations documentaires.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa protection des données personnelles n'est plus une obligation purement européenne. Au 1er janvier 2026, 137 pays disposaient d'une législation nationale sur la protection des données, selon le rapport de la Conférence des Nations Unies sur le commerce et le développement (CNUCED). Pour les entreprises françaises qui traitent des données de clients brésiliens, sud-africains, californiens ou chinois, la conformité au Règlement (UE) 2016/679 n'est qu'un point de départ.
Ce guide compare les huit cadres réglementaires les plus importants, identifie les points de convergence et les divergences majeures, et propose un cadre opérationnel pour les entreprises exposées à plusieurs juridictions simultanément.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire.
Tableau comparatif : RGPD, CCPA, LGPD, POPIA et PIPL
Les cinq grandes lois de protection des données présentent des similarités structurelles mais diffèrent sur des points essentiels : champ d'application territorial, droits reconnus aux individus, montant des amendes et autorité de contrôle.
| Loi | Juridiction | Entrée en vigueur | Champ d'application | Principaux droits | Amendes maximales | Autorité de contrôle |
|---|---|---|---|---|---|---|
| RGPD (Règlement 2016/679) | Union européenne | 25 mai 2018 | Toute organisation traitant des données de résidents UE, quel que soit le lieu d'établissement | Accès, rectification, effacement, portabilité, opposition, limitation | 20 millions EUR ou 4 % du CA mondial | CNIL (France), EDPB |
| CCPA/CPRA (Cal. Civ. Code § 1798.100) | Californie (États-Unis) | Jan. 2020, amendé jan. 2023 (CPRA) | Entreprises CA > 25 M$ CA, ou > 100 000 consommateurs, ou > 50 % revenus de la vente de données | Savoir, supprimer, refuser la vente, ne pas être discriminé, corriger | Jusqu'à 7 500 $ par violation intentionnelle | California Privacy Protection Agency (CPPA) |
| LGPD (Lei 13.709/2018) | Brésil | Sept. 2020, sanctions depuis août 2021 | Toute organisation traitant des données de personnes situées au Brésil, ou dont les données ont été collectées au Brésil | Accès, correction, anonymisation, portabilité, effacement, information sur le partage | 2 % du CA brésilien, plafonné à 50 millions BRL par infraction | ANPD (Autoridade Nacional de Proteção de Dados) |
| POPIA (Act 4 of 2013) | Afrique du Sud | 1er juillet 2021 | Toute organisation traitant des informations personnelles de sujets en Afrique du Sud | Notification, accès, correction, effacement, objection | Jusqu'à 10 millions ZAR + emprisonnement jusqu'à 10 ans | Information Regulator (South Africa) |
| PIPL (loi chinoise) | Chine | 1er novembre 2021 | Organisations traitant des données de personnes en Chine, y compris les entreprises étrangères | Savoir, copie, correction, suppression, refus de la prise de décision automatisée | Jusqu'à 50 millions CNY ou 5 % du CA en Chine | CAC (Cyberspace Administration of China) |
Les amendes ne sont plus théoriques. En 2025, Meta a écopé d'une amende de 1,2 milliard EUR de la part de la DPC irlandaise pour transfert illicite de données vers les États-Unis (source : EDPB, mai 2023), et l'ANPD brésilienne a publié ses premières décisions de sanction formelles fin 2023. La plateforme CheckFile a traité plus de 2,4 millions de documents dans 32 juridictions, avec un taux de conformité aux audits de 99,2 %, ce qui témoigne de l'importance d'une infrastructure de traitement documentaire conforme par conception.
RGPD : le socle de référence français (Règlement 2016/679)
Le RGPD reste le cadre le plus complet et le plus influent. Il s'applique à toute organisation qui traite des données de résidents de l'UE, indépendamment de son lieu d'établissement — ce que l'on appelle l'effet extraterritorial prévu par l'article 3.
En France, la CNIL est l'autorité de contrôle nationale. Elle a prononcé, en 2024, plus de 45 sanctions pour des montants cumulés dépassant 100 millions EUR. Les manquements les plus fréquents concernent l'absence de base légale (article 6), les durées de conservation excessives (article 5.1.e) et les transferts hors UE sans garanties adéquates (chapitre V, articles 44 à 49).
La Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) complète le RGPD en droit national français. Elle intègre les dérogations prévues par le Règlement et précise les obligations spécifiques à certains secteurs, notamment les établissements de crédit soumis aux exigences de l'ACPR (Autorité de contrôle prudentiel et de résolution) en matière de conservation des données clients.
Dans le secteur financier français, l'ACPR exige que les données collectées dans le cadre du KYC soient conservées cinq ans après la fin de la relation d'affaires (article L561-12 du Code monétaire et financier), ce qui implique une articulation précise entre les durées de conservation RGPD et les obligations sectorielles AML.
Pour une analyse détaillée du RGPD appliqué à la gestion documentaire, consultez notre guide RGPD et gestion documentaire.
CCPA/CPRA : la loi californienne et son rayonnement international
Le California Consumer Privacy Act (CCPA), entré en vigueur en janvier 2020 et substantiellement renforcé par le California Privacy Rights Act (CPRA) en janvier 2023, s'applique aux entreprises qui font affaire avec des résidents californiens et remplissent au moins l'un de ces critères : chiffre d'affaires annuel supérieur à 25 millions USD, traitement des données de plus de 100 000 consommateurs, ou réalisation de plus de 50 % du chiffre d'affaires par la vente de données personnelles.
Le CPRA a introduit une catégorie de "données personnelles sensibles" (sensitive personal information, Cal. Civ. Code § 1798.121) incluant les données biométriques, le numéro de sécurité sociale, les informations de géolocalisation précise, les données de santé et les communications privées. Les consommateurs peuvent demander à limiter l'utilisation de ces données à la finalité principale du service.
Contrairement au RGPD, le CCPA/CPRA s'articule autour d'un droit de refus (opt-out) plutôt que d'un consentement préalable (opt-in). Les entreprises doivent afficher un lien "Do Not Sell or Share My Personal Information" sur leur site, conformément à la section 1798.135 du Code civil californien. L'autorité de contrôle, la California Privacy Protection Agency (CPPA), peut infliger des amendes allant jusqu'à 7 500 USD par violation intentionnelle.
Les entreprises françaises exportant vers les États-Unis ou disposant de filiales californiennes doivent cartographier les flux de données croisés entre leur conformité RGPD et les exigences CCPA/CPRA. Un registre des traitements RGPD bien tenu constitue une base solide pour alimenter les obligations de transparence CCPA.
LGPD : la loi brésilienne et les obligations pour les entreprises françaises
La Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) est entrée en vigueur en septembre 2020. Les sanctions sont effectives depuis août 2021. Elle s'applique à tout traitement de données réalisé sur le territoire brésilien, à destination de personnes situées au Brésil, ou dont les données ont été collectées au Brésil — quel que soit le siège de l'entreprise.
L'LGPD définit dix bases légales pour le traitement des données (article 7), dont le consentement, l'obligation légale, l'intérêt légitime et l'exécution d'un contrat. Le consentement, en vertu de l'article 8, doit être "libre, éclairé, préalable et sans équivoque". L'ANPD (Autoridade Nacional de Proteção de Dados) est l'autorité de contrôle. Elle peut imposer des amendes allant jusqu'à 2 % du chiffre d'affaires au Brésil de l'entité, plafonnées à 50 millions BRL par infraction.
Les entreprises françaises actives en Amérique latine doivent porter une attention particulière aux transferts internationaux. L'LGPD (articles 33 à 36) exige que les transferts vers des pays tiers soient fondés sur une décision d'adéquation de l'ANPD, des clauses contractuelles types, ou un consentement spécifique. À ce jour, la Commission européenne et l'ANPD n'ont pas encore conclu de décision d'adéquation mutuelle, bien que des discussions soient en cours.
POPIA : la loi sud-africaine et les transferts africains
Le Protection of Personal Information Act (POPIA, Act 4 of 2013) est devenu pleinement exécutoire le 1er juillet 2021 en Afrique du Sud. L'Information Regulator est l'autorité compétente. Les sanctions atteignent jusqu'à 10 millions ZAR et des peines d'emprisonnement pouvant aller jusqu'à 10 ans peuvent être prononcées pour certaines infractions graves (section 107 du POPIA).
Le POPIA introduit le concept d'"operateur" (opérateur de traitement sous-traitant) et de "responsable" (responsible party), proche de la distinction sous-traitant/responsable de traitement du RGPD. Les responsables doivent nommer un "information officer" enregistré auprès du régulateur.
Parmi les huit "conditions de traitement licite" du POPIA (sections 11 à 25), la plus fréquemment citée est la nécessité de traitement pour exécuter un contrat ou satisfaire une obligation légale. Les données de santé, les opinions politiques, les données biométriques et les informations relatives à des mineurs bénéficient d'une protection renforcée (section 26 à 32).
Pour les entreprises françaises opérant sur le continent africain — notamment dans les secteurs bancaire, assurance ou télécommunications — le POPIA constitue la référence pour l'Afrique australe, aux côtés de cadres similaires au Kenya (Data Protection Act 2019) et au Nigeria (NDPR 2019).
PIPL, DPDPA, UK GDPR et APPI : autres cadres majeurs
Chine — PIPL (loi effective depuis le 1er novembre 2021)
La Personal Information Protection Law chinoise s'applique à tout traitement de données de personnes situées en Chine, y compris par des entreprises étrangères. Elle exige un consentement distinct pour chaque finalité de traitement, impose une évaluation d'impact sur la protection des données (EIPD) pour les traitements à risque élevé, et soumet les transferts transfrontaliers à une certification de sécurité par le CAC ou à la conclusion de contrats types. Les amendes atteignent jusqu'à 50 millions CNY ou 5 % du chiffre d'affaires annuel en Chine.
Inde — DPDPA 2023 (notifié le 11 août 2023)
Le Digital Personal Data Protection Act 2023 indien a été notifié en août 2023. Les règles d'application, encore en cours de finalisation au premier trimestre 2026, détermineront les modalités précises de consentement, de transfert et de sanctions. Le texte prévoit des amendes pouvant atteindre 250 crores INR (environ 27 millions EUR) pour les violations les plus graves. Il s'applique au traitement de données numériques de personnes situées en Inde.
Royaume-Uni — UK GDPR + Data Protection Act 2018
Depuis le Brexit, le UK GDPR (RGPD tel qu'incorporé en droit britannique) s'applique de façon autonome. L'ICO (Information Commissioner's Office) est l'autorité de contrôle. Les amendes peuvent atteindre 17,5 millions GBP ou 4 % du chiffre d'affaires mondial. La décision d'adéquation UE-Royaume-Uni, renouvelée en 2025, facilite les transferts depuis la France vers le Royaume-Uni, mais les flux inverses nécessitent les garanties du chapitre V du RGPD.
Japon — APPI (révisée, effective depuis avril 2022)
La Act on the Protection of Personal Information japonaise révisée, en vigueur depuis avril 2022, a introduit de nouvelles obligations de notification des violations, des droits de portabilité renforcés et des restrictions sur les transferts vers des tiers. La Personal Information Protection Commission (PPC) dispose d'un pouvoir de sanction pénale (jusqu'à 100 millions JPY pour les personnes morales).
Convergences et divergences : ce qui change vraiment selon la juridiction
Malgré des différences importantes, les grandes lois de protection des données convergent sur cinq principes fondamentaux : la licéité du traitement, la minimisation des données, la transparence envers les personnes concernées, la sécurité des données et la limitation des transferts internationaux.
Les divergences les plus opérationnellement significatives concernent trois points.
Premièrement, le modèle de consentement : le RGPD exige en principe un opt-in positif pour les données sensibles, tandis que le CCPA/CPRA privilégie un opt-out pour la vente des données. La LGPD et la PIPL se rapprochent du modèle opt-in du RGPD.
Deuxièmement, le champ d'application territorial : le RGPD s'applique dès qu'une organisation cible des résidents de l'UE, indépendamment de son établissement. La LGPD adopte une logique similaire. Le POPIA s'applique aux "responsible parties" domiciliées ou opérant en Afrique du Sud. Le CCPA cible les entreprises faisant affaire en Californie.
Troisièmement, les obligations de localisation : la PIPL impose dans certains cas une localisation des données en Chine, en particulier pour les opérateurs d'infrastructures critiques. Aucune obligation équivalente n'existe sous le RGPD, bien que des États membres de l'UE aient introduit des restrictions sectorielles.
La gestion de ces divergences nécessite une cartographie précise des flux documentaires. La plateforme CheckFile, qui atteint un taux de réduction du temps de traitement de 83 % pour ses clients entreprise, permet d'automatiser les vérifications de conformité documentaire tout en maintenant une piste d'audit exploitable par les régulateurs de chaque juridiction.
Pour une approche structurée de la vérification de conformité documentaire multi-juridictionnelle, consultez notre guide de vérification des documents.
Obligations documentaires croisées : KYC, AML et données personnelles
Le recoupement entre les obligations de lutte contre le blanchiment de capitaux (LCB-FT / AML) et les réglementations sur les données personnelles crée des tensions pratiques. Les délais de conservation LCB-FT imposent de conserver les données clients cinq ans après la fin de la relation (directive (UE) 2015/849 et son successeur, le paquet AML 2021-2024), alors que le RGPD exige de supprimer les données dès qu'elles ne sont plus nécessaires.
Cette tension est résolue par le principe de base légale. La conservation pour obligation légale (article 6.1.c du RGPD) prime sur le droit à l'effacement (article 17.3.b), mais uniquement pour la durée strictement nécessaire à l'obligation légale. Au-delà de cinq ans, la base légale LCB-FT ne justifie plus la conservation des données, qui doit alors être purgée conformément au principe de limitation de la conservation.
Dans le secteur financier, l'ACPR attend des établissements qu'ils documentent cette articulation dans leur politique de conservation des données. La même logique s'applique sous la LGPD (article 16, sur la conservation pour obligations légales), le POPIA (section 14, sur la destruction des données) et le UK GDPR (principe de limitation de la conservation, article 5.1.e).
Notre guide KYC complet pour les entreprises détaille les obligations documentaires spécifiques au secteur financier.
Transferts internationaux de données : cadres applicables en mars 2026
Les transferts de données personnelles hors de l'EEE sont encadrés par le chapitre V du RGPD (articles 44 à 49). Les mécanismes disponibles au premier trimestre 2026 sont les suivants :
- Décisions d'adéquation : la Commission européenne a reconnu adéquats les cadres de protection des pays suivants (liste non exhaustive) : Royaume-Uni (2025), États-Unis (Data Privacy Framework, adopté en juillet 2023 par la décision d'adéquation), Japon, Nouvelle-Zélande, Canada (secteur privé), Corée du Sud.
- Clauses contractuelles types (CCT) : les nouvelles CCT adoptées par la Commission en juin 2021 (décision 2021/914/UE) sont applicables pour les transferts vers les pays sans décision d'adéquation, dont le Brésil, l'Afrique du Sud, la Chine et l'Inde.
- Règles d'entreprise contraignantes (BCR) : utilisées par les groupes multinationaux pour encadrer les transferts intra-groupe.
- Dérogations de l'article 49 : consentement explicite, exécution d'un contrat, motifs importants d'intérêt public — à utiliser de façon exceptionnelle uniquement.
L'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) a établi l'obligation d'évaluer le niveau de protection dans le pays de destination avant tout transfert, même sur la base de CCT. Cette obligation d'évaluation du transfert (Transfer Impact Assessment, TIA) s'applique à chaque flux et doit être documentée dans le registre des traitements.
Construire un programme de conformité multi-juridictionnel
Un programme de conformité efficace pour les entreprises exposées à plusieurs réglementations repose sur quatre piliers.
Cartographie des données et flux documentaires. Identifier quels types de données sont collectés, de quels résidents (UE, Brésil, Californie, etc.), par quel canal, conservés où, et transférés vers qui. Cette cartographie est la base commune aux obligations de registre des traitements (RGPD, article 30), de cartographie LGPD, et de conformité CCPA/CPRA.
Politique de conservation unifiée. Définir des durées de conservation qui satisfont simultanément les obligations les plus contraignantes dans chaque juridiction. En pratique, cela signifie souvent aligner sur la durée la plus longue imposée par une obligation légale, puis programmer la purge à l'échéance.
Mécanismes de transfert documentés. Pour chaque flux de données vers un pays tiers, identifier le mécanisme applicable (décision d'adéquation, CCT, BCR) et le documenter dans le registre des traitements.
Piste d'audit exploitable. Les régulateurs de toutes les juridictions exigent la capacité à démontrer la conformité. Une solution de vérification documentaire qui horodate chaque traitement, enregistre les consentements et génère des rapports d'audit répond simultanément aux exigences de l'article 5.2 du RGPD (accountability), de l'article 48 de la LGPD, et des obligations de documentation CCPA/CPRA.
Pour les organisations souhaitant auditer leur niveau de conformité actuel, notre checklist d'audit de conformité fournit un cadre pratique par régulation.
FAQ — Protection des données à l'échelle mondiale
Le RGPD s'applique-t-il à une entreprise française qui traite uniquement des données de clients brésiliens ?
Oui, dès lors que ces clients sont également résidents de l'UE, ou que l'entreprise cible le marché européen. En revanche, pour les clients exclusivement brésiliens sans lien avec l'UE, c'est la LGPD qui s'applique. Une entreprise française traitant des données de résidents brésiliens depuis son siège en France est soumise aux deux réglementations simultanément si les personnes concernées sont des résidents brésiliens contactés dans le cadre d'une offre de services ciblant le Brésil.
Quelles sont les sanctions encourues en cas de violation simultanée du RGPD et du CCPA/CPRA ?
Les sanctions s'appliquent de façon indépendante par chaque autorité compétente dans sa juridiction. Une violation de données touchant à la fois des résidents de l'UE et des résidents californiens peut donner lieu à une sanction de la CNIL (jusqu'à 20 millions EUR ou 4 % du CA mondial) et à une action de la California Privacy Protection Agency (jusqu'à 7 500 USD par violation intentionnelle), sans compensation entre les deux procédures.
La désignation d'un DPO (délégué à la protection des données) est-elle obligatoire sous la LGPD et le POPIA ?
Sous la LGPD (article 41), toute organisation qui traite des données doit désigner un "encarregado" (équivalent du DPO). Sous le POPIA (section 55), les "responsible parties" doivent enregistrer un "information officer" auprès de l'Information Regulator. Ces obligations sont similaires à celle du RGPD (article 37), mais avec des conditions d'application différentes — le RGPD ne l'exige que pour certaines catégories d'organisations ou de traitements.
Comment gérer les droits à l'effacement lorsqu'ils s'appliquent dans plusieurs juridictions ?
Le droit à l'effacement existe sous différentes formes dans toutes les grandes réglementations : article 17 du RGPD, article 28 de la LGPD, section 24 du POPIA, article 47 de la PIPL. La clé est de distinguer les données soumises à une obligation de conservation légale (LCB-FT, fiscalité, droit du travail) — pour lesquelles le droit à l'effacement est limité — des données dont la conservation repose uniquement sur l'intérêt légitime ou le consentement, qui peuvent être effacées à la demande.
Qu'est-ce qu'une évaluation d'impact sur la protection des données (EIPD/DPIA) et quand est-elle obligatoire ?
Sous le RGPD (article 35), une EIPD est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, notamment les traitements à grande échelle de données sensibles, la surveillance systématique, ou les prises de décision automatisées. La LGPD (article 38), la PIPL (article 55) et le DPDPA indien prévoient des obligations similaires. Une EIPD documentée constitue également une pièce maîtresse en cas de contrôle réglementaire.