Suivi des législations américaines sur la confidentialité
Mise à jour au 15/05/2025
Remarque : Faites défiler horizontalement pour voir plus de colonnes.
| État | Droits des consommateurs | Obligations des entreprises | Présentée | Adoptée | Projet & Lien | Nom | Date d’entrée en vigueur |
|---|---|---|---|---|---|---|---|
| Californie | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (données sensibles) • Droit à la portabilité • Droit de refuser la vente • Droit de s’opposer à la prise de décision automatisée • Droit d’action privé (limité à certaines violations uniquement) | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | CCPA | California Consumer Privacy Act | 1er janvier 2020 |
| Colorado | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 190 | Colorado Privacy Act | 1er juillet 2023 |
| Connecticut | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 6 | Connecticut Data Privacy Act | 1er juillet 2023 |
| Delaware | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Âge requis pour l’opt-in par défaut (17 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | HB 154 | Delaware Personal Data Privacy Act | 1er janvier 2025 |
| Indiana | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 5 | Indiana Consumer Data Protection Act | 1er janvier 2026 |
| Iowa | • Droit d’accès • Droit à l’effacement • Droit à la portabilité • Droit de refuser la vente | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SF 262 | Iowa Consumer Data Protection Act | 1er janvier 2025 |
| Kentucky | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | HB 15 | Kentucky Consumer Data Protection Act | 1er janvier 2026 |
| Maryland | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 541 | Maryland Online Data Privacy Act | 1er octobre 2025 |
| Minnesota | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | HF 2309 | Minnesota Consumer Data Privacy Act | 31 juillet 2025 |
| Montana | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 384 | Montana Consumer Data Privacy Act | 1er octobre 2024 |
| Nebraska | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | LB 1074 | Nebraska Data Privacy Act | 1er janvier 2025 |
| New Hampshire | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 255 | 1er janvier 2025 | |
| New Jersey | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 332 | 15 janvier 2025 | |
| Oregon | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 619 | Oregon Consumer Privacy Act | 1er juillet 2024 |
| Rhode Island | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | H 7787 | Rhode Island Data Transparency and Privacy Protection Act | 1er janvier 2026 |
| Tennessee | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | HB 1181 | Tennessee Information Protection Act | 1er juillet 2025 |
| Texas | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | HB 4 | Texas Data Privacy and Security Act | 1er juillet 2024 |
| Utah | • Droit d’accès • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 227 | Utah Consumer Privacy Act | 31 décembre 2023 |
| Virginie | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | X | SB 1392 | Virginia Consumer Data Protection Act | 1er janvier 2023 |
| Alabama | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | HB283 | |||
| Arkansas | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Opt-in par défaut (données sensibles) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | SB258 | Arkansas Digital Responsibility, Safety, and Trust Act | ||
| Illinois | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (données sensibles) • Droit à la portabilité • Droit de refuser la vente | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | SB0052 / HB3041 | Illinois Privacy Rights Act, Illinois Data Privacy and Protection Act | ||
| Maine | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | LD1088 / LD1224 | Maine Consumer Data Privacy Act, Maine Consumer Privacy Act | ||
| Massachusetts | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée • Droit d’action privé | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | H78 / S29 / S45 / H104 / S301 / S33 / H80 | Massachusetts Consumer Data Privacy Act, Massachusetts Data Privacy Protection Act, Massachusetts Information Privacy and Security Act, Internet Bill of Rights, Massachusetts Data Privacy Act, Comprehensive Massachusetts Consumer Data Privacy Act | ||
| Michigan | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (consentement préalable requis) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées • Droit d’action privé | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | SB 659 | Michigan Personal Data Privacy Act | ||
| New York | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée • Droit d’action privé | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | A974 / S3044 / A4947 / A5827 | New York Data Protection Act, New York Privacy Act, American Data Privacy and Protection Act | ||
| Caroline du Nord | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | H462 / SB757 | North Carolina Personal Data Privacy Act, North Carolina Consumer Privacy Act | ||
| Ohio | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | HB 345 | Ohio Personal Privacy Act | ||
| Oklahoma | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Âge requis pour l’opt-in par défaut (13 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | HB1012 / SB546 | Oklahoma Computer Data Privacy Act | ||
| Pennsylvanie | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à certaines décisions automatisées | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | HB78 / SB112 | Consumer Data Protection Act | ||
| Caroline du Sud | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer au traitement à des fins de profilage/publicité ciblée • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée • Droit d’action privé (limité à certaines violations uniquement) | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | H3401 | |||
| Vermont | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée • Droit d’action privé limité à certaines violations uniquement | • Âge requis pour l’opt-in par défaut (16 ans) • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | SB112 / S0071 / S0093 | Vermont Data Privacy and Online Surveillance Act | ||
| Wisconsin | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de s’opposer à certains traitements (profilage/ciblage) • Droit à la portabilité • Droit de refuser la vente • Droit d’opt-in pour le traitement des données sensibles • Droit de s’opposer à la prise de décision automatisée | • Opt-in par défaut • Obligation d’information/transparence • Évaluations des risques • Interdiction de discrimination (exercice des droits) • Limitation de la finalité/du traitement | X | SB166 |
Ressources complémentaires
- Page Web Lois sur la protection des données par État
- Page Web Solutions sécurisées pour les gouvernements : transfert de fichiers chiffré et messagerie électronique
- Page Web Solutions pour les gouvernements locaux, provinciaux et d’État
- Études de cas Études de cas sur le Réseau de données privé
- Page Web Conformité RGPD : protection des données et partage de fichiers RGPD
- Rapport Résumé exécutif – Rapport 2022 sur la confidentialité et la conformité des communications de contenu sensible
Foire aux questions
Les différents États américains ont adopté leurs propres lois pour répondre aux besoins et préoccupations spécifiques de leurs résidents en matière de confidentialité et de protection des données. En l’absence d’une loi fédérale sur la protection des données, chaque État a pris l’initiative de garantir les droits de confidentialité de ses citoyens, de réglementer les pratiques de gestion des données et de fixer des normes pour les entreprises opérant sur son territoire. Ces lois obligent les entreprises à être transparentes sur leurs pratiques et permettent aux consommateurs de contrôler l’utilisation de leurs données personnelles.
Les États-Unis ne disposent pas actuellement d’une loi nationale sur la protection des données personnelles équivalente au RGPD de l’UE. Le pays applique plutôt une approche sectorielle, avec des règles différentes selon les secteurs ou les types de données, comme la Health Insurance Portability and Accountability Act (HIPAA) pour les données de santé ou le Gramm-Leach-Bliley Act (GLBA) pour les données financières. En l’absence de loi nationale, des États comme la Californie, le Texas, le Colorado, la Floride et d’autres ont adopté leurs propres lois pour protéger la vie privée de leurs citoyens.
Les exigences de conformité varient selon les États et les lois, mais en règle générale, toute entreprise qui collecte, stocke, traite ou partage les données personnelles d’un citoyen peut être tenue de respecter la législation de l’État concerné, même si l’entreprise est enregistrée ailleurs. Dans certains États, certaines règles ne s’appliquent qu’aux grandes entreprises ou à celles qui traitent un certain volume de données ou un nombre déterminé de consommateurs.
Les droits accordés aux citoyens varient fortement selon l’État et la loi. Parmi les droits les plus courants figurent : le droit de savoir quelles données personnelles une entreprise collecte à leur sujet, le droit de demander la suppression de leurs données, le droit de s’opposer à la vente de leurs informations personnelles et le droit de ne pas subir de discrimination pour avoir exercé leurs droits en matière de confidentialité. Les modalités précises dépendent de la législation de chaque État.
La California Consumer Privacy Act (CCPA) et le Règlement Général sur la Protection des Données (RGPD) visent tous deux à protéger les données personnelles, mais présentent plusieurs différences :
- Périmètre : La CCPA s’applique aux entreprises opérant en Californie et collectant les données personnelles de résidents californiens, tandis que le RGPD concerne toutes les organisations opérant dans l’UE ou traitant les données de citoyens européens, quel que soit leur pays d’implantation.
- Droits : Les deux textes permettent aux personnes d’accéder à leurs données et de demander leur suppression, mais le RGPD prévoit aussi des droits comme la rectification (correction des données inexactes) et l’opposition (refus du traitement des données), ce que la CCPA ne prévoit pas explicitement.
- Sanctions : Le RGPD prévoit des sanctions plus strictes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Les sanctions de la CCPA peuvent atteindre 7 500 $ par violation intentionnelle.
- Consentement : Le RGPD exige un consentement explicite et éclairé avant toute collecte de données personnelles, tandis que la CCPA ne requiert pas d’accord préalable mais permet aux citoyens de s’opposer à la vente de leurs données, empêchant ainsi leur commercialisation par les organisations.
RESSOURCES EN VEDETTE
Maîtriser les réglementations NIS-2, DORA et autres – Mettre en place une stratégie gagnante de mise en conformité 
Maîtriser les réglementations NIS-2, DORA et autres – Mettre en place une stratégie gagnante de mise en conformité
Analyse de la multiplication des outils de communication de contenu 