Aller au contenu principal
NUKOE

RGPD, CCPA et DPDPA : qui domine la protection des données en 2026 ?

• 12 min •
Comparaison des trois grands régimes de protection des données en 2026.

Le 11 août 2026, l’Inde promulguait le Digital Personal Data Protection Act (DPDPA), marquant un tournant dans son approche de la vie privée numérique. Moins d’un an plus tard, en janvier 2026, les cabinets Cleary Gottlieb publiaient une analyse comparative détaillée entre ce nouveau texte, le RGPD européen et les lois américaines, dont le CCPA californien. Aujourd’hui, en mai 2026, ces trois régimes coexistent et influencent les stratégies de conformité des entreprises opérant à l’international. Mais comment se comparent-ils réellement ? Et surtout, quels pièges éviter pour les professionnels du numérique ?

1. Champ d’application : qui est concerné ?

Le RGPD s’applique à toute entité traitant des données de résidents européens, quel que soit son lieu d’établissement. Le CCPA, lui, cible les entreprises réalisant un certain chiffre d’affaires ou traitant un volume significatif de données de Californiens. Le DPDPA, quant à lui, s’applique au traitement de données personnelles numériques sur le territoire indien, y compris par des entités étrangères si les données concernent des résidents indiens.

Selon une analyse de Cleary Cyberwatch (janvier 2026), le DPDPA couvre également les données collectées hors ligne puis numérisées, ce qui élargit son périmètre par rapport au CCPA. En revanche, il exclut les traitements à des fins personnels ou domestiques, comme le RGPD.

2. Consentement et finalités : des divergences marquées

Le RGPD exige un consentement explicite, libre, spécifique et révocable. Le CCPA, lui, repose davantage sur le droit de refus (opt-out) pour la vente de données, tandis que le DPDPA impose un consentement préalable pour tout traitement, sauf exceptions limitées.

Un article paru sur IGI Global en 2026 souligne que le DPDPA, à l’instar du RGPD, exige un consentement « libre, spécifique, éclairé et sans équivoque », mais introduit une notion supplémentaire : le consentement doit être donné par un « acte positif clair ». Les auteurs critiquent toutefois l’absence de précisions sur le mécanisme de retrait du consentement, un point pourtant central dans le RGPD.

3. Droits des personnes : qui protège le mieux ?

Le RGPD offre un catalogue de droits étendu : accès, rectification, effacement, limitation, portabilité, opposition. Le CCPA se concentre sur le droit d’accès, de suppression et de refus de vente. Le DPDPA, selon une comparaison publiée par Nyusta en octobre 2026, reprend la plupart des droits du RGPD, mais en supprime certains comme la portabilité et le profilage automatisé. Une lacune notable, relevée par une étude de l’IEEE (2026), est l’absence de dispositions claires sur les décisions automatisées et le profilage, pourtant cruciaux à l’ère de l’IA.

4. Sanctions et application : le coût de la non-conformité

Le RGPD peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu). Le CCPA prévoit des sanctions civiles de 2 500 $ par violation involontaire et 7 500 $ par violation intentionnelle. Le DPDPA, lui, fixe des amendes pouvant atteindre 250 crores INR (environ 30 millions d’euros) par infraction. Selon Global Privacy Blog (décembre 2026), ce montant est comparable au plafond du RGPD, mais le DPDPA ne prévoit pas de pourcentage du chiffre d’affaires, ce qui peut pénaliser davantage les petites entreprises.

5. Pièges à éviter pour les professionnels

Erreur n°1 : Penser que le CCPA et le RGPD sont interchangeables. Le CCPA n’exige pas de consentement préalable pour la collecte, contrairement au RGPD. Une entreprise qui transpose mécaniquement ses procédures RGPD en Californie risque de se heurter à des obligations différentes.

Erreur n°2 : Ignorer les spécificités du DPDPA en matière de consentement parental. Le DPDPA exige un consentement vérifiable du parent ou tuteur pour le traitement des données des enfants (moins de 18 ans). Aucun autre régime n’impose un seuil aussi élevé.

Erreur n°3 : Négliger les obligations de notification des violations. Le RGPD impose une notification sous 72 heures, le CCPA sous 30 jours, et le DPDPA sous 72 heures également. Mais les critères de notification diffèrent : le DPDPA exige de notifier toute violation susceptible de causer un préjudice, ce qui est plus large que le RGPD.

6. Signaux d’alerte à surveiller

  • Absence de point de contact unique : Contrairement au RGPD avec le lead supervisory authority, le DPDPA ne prévoit pas de mécanisme de guichet unique. Une entreprise opérant dans plusieurs États indiens doit se conformer à chaque autorité locale.
  • Délais de mise en conformité : Le DPDPA est entré en vigueur en 2026, mais ses règles d’application sont encore en cours d’élaboration. Selon DLA Piper (2026), l’Inde n’a pas encore désigné son autorité de protection des données, ce qui crée une incertitude juridique.
  • Exemptions gouvernementales : Le DPDPA autorise le gouvernement à exempter certains traitements pour des motifs de sécurité nationale, une disposition absente du RGPD et du CCPA. Cela peut affaiblir la protection des citoyens.

7. Vers une convergence ?

Malgré leurs différences, ces trois lois partagent des principes communs : transparence, limitation des finalités, minimisation des données. Un article de l’USC Gould School of Law (sans date) souligne que le RGPD a servi de modèle au DPDPA, mais que ce dernier a adapté certaines dispositions au contexte indien, notamment en matière de souveraineté des données.

En pratique, les entreprises multinationales doivent adopter une approche granulaire : cartographier les flux de données, identifier les régimes applicables, et mettre en place des politiques modulables. Le cabinet Varonis rappelle que la conformité n’est pas un exercice unique, mais un processus continu.

Pour aller plus loin