La protection des données dans les monde : En 2026, 144 pays dans le monde disposent d’une législation nationale sur la protection des données personnelles, couvrant environ 82 % de la population mondiale (soit 6,64 milliards de personnes). Par ailleurs, 9 % des pays sont en cours de rédaction de leur législation. Cette dynamique s’est considérablement accélérée depuis l’entrée en vigueur du RGPD européen en 2018, qui a servi de modèle à de nombreuses juridictions dans le monde.
Le « Brussels Effect », la tendance des pays du monde entier à calquer leur législation sur le modèle européen – continue de façonner le paysage réglementaire mondial, bien que certaines voix s’élèvent pour souligner les coûts de conformité associés. La Commission européenne a proposé en novembre 2025 un paquet « Digital Omnibus » visant à simplifier certaines réglementations, y compris le RGPD, afin de réduire les charges de conformité tout en préservant la protection des droits fondamentaux.
Principales législations par région
| Région | Législation clé | Date d’effet | Caractéristiques principales |
| Europe (UE) | RGPD (Règlement 2016/679) | 25 mai 2018 | Référence mondiale. Consentement explicite, droit à l’effacement, portabilité, DPO obligatoire, amendes jusqu’à 4 % du CA mondial. |
| Europe (UE) | EU Data Act | 12 sept. 2025 | Accès aux données générées par les objets connectés, portabilité cloud, partage équitable des données. |
| Europe (UE) | EU AI Act | Progressif 2025-2027 | Première loi mondiale sur l’IA. Classification par risques, transparence, protection des données dans les systèmes IA. |
| Europe (UE) | DORA | 17 janv. 2025 | Résilience opérationnelle numérique du secteur financier, cybersécurité. |
| Royaume-Uni | UK Data Protection Act 2018 / UK GDPR | 2018 (post-Brexit) | Calqué sur le RGPD avec adaptations nationales. ICO comme autorité de contrôle. |
| États-Unis | Pas de loi fédérale complète | – | Approche fragmentée : lois sectorielles (HIPAA, COPPA, GLBA, FERPA, FCRA) + 20 lois d’États. |
| Brésil | LGPD | Août 2020 | Très inspirée du RGPD. Autorité ANPD. Consentement, droits des titulaires, DPO. |
| Chine | PIPL | 1er nov. 2021 | Consentement, minimisation, localisation des données obligatoire. Amendes jusqu’à 5 % du CA. |
| Inde | DPDPA | 2025 (progressif) | Consentement vérifiable, concept de « consent manager ». Pas de base légitime « intérêt légitime ». |
| Japon | APPI (amendé) | Avril 2022 | Droits des individus renforcés, transferts internationaux encadrés. |
| Corée du Sud | PIPA (amendé) | Mars 2024 | Renforcement des sanctions, nouveaux droits pour les personnes concernées. |
| Canada | PIPEDA / Projet C-27 | 2000 / en cours | Loi fédérale existante, projet de réforme pour alignement sur standards modernes. |
| Australie | Privacy Act (amendé 2024) | Déc. 2024 | Renforcement des pouvoirs de l’OAIC, protection enfants, décisions automatisées. |
| Afrique | Cameroun, Éthiopie, Malawi, Gambie (2024-2025) | 2024-2025 | Nouvelles lois inspirées du RGPD. Transferts internationaux encadrés. |
| Amérique latine | Pérou, Paraguay, Colombie, Chili, Argentine | 2025 et au-delà | Mise à jour ou adoption de lois avec notification de violations, DPO, portabilité. |
| Asie du Sud-Est | Indonésie, Malaisie, Vietnam, Thaïlande | Progressif | Maturation des cadres existants, alignement progressif sur standards internationaux. |
Ce panorama montre une convergence mondiale vers des standards inspirés du RGPD, avec cependant des différences significatives dans les approches nationales, particulièrement aux États-Unis où l’absence de loi fédérale complète crée un paysage fragmenté unique au monde.
COMPARATIF DÉTAILLÉ ÉTATS-UNIS / EUROPE
Tableau comparatif structurel – Europe / US général / État US le plus restrictif
Ce tableau permet de mesurer l’écart considérable entre le niveau de protection fédéral américain (quasi inexistant) et celui de l’État le plus restrictif sur chaque critère. L’État de référence varie selon le critère : Californie (CPRA), Maryland (MODPA) ou Minnesota (MCDPA) se disputent le titre selon les domaines.
| Critère | Europe (RGPD) | US – Niveau fédéral | État US le + restrictif |
| Cadre législatif | Loi unique harmonisée (RGPD + lois nationales). | Aucune loi fédérale complète. Patchwork sectoriel. | 🇺🇸 CA (CPRA) : Loi la plus complète du pays avec agence dédiée (CPPA), rulemaking, et quasi-équivalence au RGPD sur la structure. |
| Autorité de contrôle | DPA nationales coordonnées via EDPB (CNIL, BfDI…). | FTC (général) + AG de chaque État. Pas d’autorité dédiée. | 🇺🇸 CA : Seul État doté d’une agence dédiée (CPPA) avec pouvoir d’audits, enquetes et sanctions autonomes. |
| Base légale du traitement | 6 bases légales (consentement, contrat, intérêt légitime…). | Aucune exigence de base légale. Système opt-out par défaut. | 🇺🇸 MD (MODPA) : Impose une minimisation stricte qui limite de facto les bases de collecte. Pas de concept « intérêt légitime » mais quasi-obligation de justifier la nécessité. |
| Consentement | Opt-in explicite, spécifique, éclairé, libre. Cases précochées interdites. | Opt-out majoritaire. Opt-in uniquement enfants (COPPA). | 🇺🇸 CA (CPRA) + NJ : Opt-in obligatoire pour données sensibles, mineurs 13-16 ans. NJ étend l’opt-in à toutes les données sensibles sans exception. Écart avec le fédéral : immense. |
| Droit à l’effacement | Droit complet (art. 17), exceptions limitées. | Aucun droit fédéral général. | 🇺🇸 CA (CPRA) : Droit de suppression le plus abouti. Obligation de répercuter la demande aux sous-traitants. Exceptions plus larges que le RGPD (liberté d’expression). |
| Portabilité des données | Droit garanti (art. 20). Format interopérable. | Aucun droit fédéral. | 🇺🇸 CA (CPRA) : Seul État avec un vrai droit à la portabilité dans un format structuré et lisible par machine. Se rapproche du RGPD. |
| DPO / Responsable privacy | DPO obligatoire dans certains cas (art. 37 RGPD). | Aucune obligation fédérale. | 🇺🇸 MN (MCDPA) : Seul État exigeant un « Chief Privacy Officer » + inventaire documentaire formel + politiques écrites de conformité. Très proche du modèle RGPD. |
| Notification de violation | 72 heures (art. 33 RGPD). | Variable, 30 à 90 jours. Pas de délai fédéral uniforme. | 🇺🇸 CO : Délai de 30 jours, parmi les plus courts. CA : notification rapide exigée + droit d’action privée en cas de breach. L’écart avec le RGPD (72h) reste important. |
| Transferts internationaux | Très encadrés (adéquation, CCT, BCR, DPF). | Aucune restriction générale sur les transferts sortants. | Aucun État n’encadre les transferts internationaux. Écart maximal avec l’Europe : c’est le point de divergence le plus profond entre les deux systèmes. |
| Sanctions | 20 M€ ou 4 % du CA mondial. | FTC non plafonné. États : 7 500 à 25 000 $/violation. | 🇺🇸 TX (TDPSA) : 25 000 $/violation, le plus élevé par violation. CA : 7 988 $/violation mais avec un volume potentiel massif (amende Todd Snyder : 350 000 $ en 2025). Reste très inférieur au RGPD en valeur absolue. |
| Droit d’action privée | Art. 82 RGPD : réparation matérielle et morale. Actions collectives. | Limité. Enforcement principalement par AG. | 🇺🇸 CA (CPRA) : Seul État offrant un droit d’action privée en cas de data breach (100-750 $/consommateur). Ce droit n’existe nulle part ailleurs aux US. |
| DPIA / PIA | AIPD obligatoire pour traitements à risque élevé (art. 35). | Aucune obligation fédérale. | 🇺🇸 NJ + MN : PIA les plus exigeants. NJ impose un renouvellement du consentement si 24 mois d’inactivité, des inventaires détaillés et des DPA renforcés. Se rapproche de l’AIPD européenne. |
| Profilage / Décisions automatisées | Art. 22 : droit de ne pas être soumis à une décision exclusivement automatisée. | Aucun droit fédéral. | 🇺🇸 CT + MN : Droit de contester les résultats du profilage, d’obtenir la logique et de demander une réévaluation. CT l’étend aux décisions de logement. Innovation unique aux US. |
| Minimisation des données | Principe fondamental (art. 5). Seules les données nécessaires. | Aucune obligation fédérale générale. | 🇺🇸 MD (MODPA) : Minimisation la plus stricte du pays. Interdit la collecte au-delà du strict nécessaire. S’approche très fortement du principe de minimisation du RGPD. |
| Opt-out universel (GPC) | Pas d’équivalent technique (consentement géré via CMP/cookies). | Aucune obligation fédérale. | 🇺🇸 CA, CO, CT, TX, MT, OR, NJ, MD, MN, VA : Obligation de reconnaître le signal GPC. Innovation américaine n’existant PAS en Europe. Avance des US sur ce point. |
| Données d’entraînement IA / LLM | Encadré par le RGPD + EU AI Act. Transparence exigée. | Aucune obligation fédérale spécifique. | 🇺🇸 CT (amendé 2025) : Seul État exigeant la divulgation de l’utilisation de données pour l’entraînement de LLM. CO : loi IA adoptée en 2024. Reste très en retrait vs. EU AI Act. |
➡ Constat clé : L’écart entre le niveau fédéral américain et l’État le plus restrictif est souvent aussi grand que l’écart entre les US et l’Europe. Sur certains points (GPC, droit d’action privée), l’État le plus avancé dépasse même le RGPD. Mais sur les transferts internationaux et la structure globale, aucun État ne s’approche du modèle européen.
Ce qui est possible aux US et pas en Europe
| Pratique | Aux États-Unis | En Europe (RGPD) |
| Collecte de données sans consentement préalable | Autorisé dans la majorité des cas. Le consommateur doit activement opt-out. | Interdit sans base légale. Consentement ou autre fondement requis avant toute collecte. |
| Vente de données personnelles | Autorisée. Le consommateur peut s’y opposer (opt-out) dans les États dotés de lois. | Très restricté. Nécessite un consentement explicite et une base légale solide. |
| Data brokers / Courtiers en données | Activité répandöue et légale. CA impose un enregistrement obligatoire en 2025. | Soumis au RGPD : transparence, base légale, droits des personnes. Activité très contrainte. |
| Publicité ciblée par défaut | Autorisée par défaut. Opt-out possible dans certains États. | Nécessite un consentement préalable (cookies + données). ePrivacy Directive + RGPD. |
| Accès gouvernemental aux données (surveillance) | Large accès via FISA, NSLs, CLOUD Act. Loi EO 14086 apporte des garde-fous. | Accès encadré par la CEDH et le droit de l’UE. Proportionnalité exigée. |
| Partage de données entre entreprises d’un même groupe | Généralement libre sauf dans certains secteurs réglementés. | Chaque entité du groupe est un responsable de traitement distinct. BCR nécessaires pour transferts intra-groupe hors UE. |
| Conservation illimitée de données | Pas d’obligation générale de limitation de durée (sauf secteurs spécifiques). | Principe de limitation de conservation (art. 5 RGPD). Durées à définir et respecter. |
| Pas de notification systématique pour cookies | Pas d’obligation fédérale de consentement cookies. Pratiques libres. | Consentement obligatoire avant dépôt de cookies (sauf cookies strictement nécessaires). Directive ePrivacy. |
Ce qui est possible en Europe et pas aux US
| Pratique / Droit | En Europe (RGPD) | Aux États-Unis |
| Portabilité universelle des données | Droit garanti à tout résident UE. Format interopérable obligatoire. | Disponible uniquement en Californie et quelques États. Pas de standard national. |
| Droit à l’oubli complet | Droit à l’effacement y compris dans les moteurs de recherche (arrêt Google Spain). | Pas d’équivalent. Le 1er amendement protège la liberté d’expression contre la suppression forcée. |
| Refus des décisions entièrement automatisées | Droit de ne pas être soumis à une décision exclusivement automatisée produisant des effets juridiques. | Pas de droit fédéral. Quelques États (MN, CT) offrent un droit de contester le profilage. |
| Réparation pour préjudice moral | Art. 82 RGPD : droit à réparation pour dommages matériels ET moraux. | Dommages moraux rarement indemnisés. Focus sur les dommages économiques démontrés. |
| Blocage des transferts vers pays tiers non adéquats | Transferts interdits sauf garanties adéquates. Permet de bloquer les flux vers des pays jugés insuffisants. | Aucune restriction générale sur les transferts sortants de données. |
| Obligation de Privacy by Design | Art. 25 RGPD : protection des données dès la conception et par défaut. | Pas d’obligation légale générale (recommandé par la FTC). |
| Registre des traitements obligatoire | Art. 30 RGPD : tenue d’un registre des activités de traitement obligatoire. | Pas d’obligation générale. Minnesota impose un inventaire des données. |
COMPARATIF DES LOIS D’ÉTATS AMÉRICAINS
3.1 Les 20 États dotés de lois complètes
En février 2026, vingt États américains ont adopté des lois complètes de protection des données des consommateurs. L’évolution a été exponentielle : Californie seule en 2018, puis 2 États supplémentaires en 2021, 2 en 2022, 7 en 2023, et 7 en 2024. Huit de ces lois sont devenues applicables en 2025 (Delaware, Iowa, Minnesota, Nebraska, New Hampshire, New Jersey, Tennessee, Maryland).
| État / Loi | Date d’effet | Seuils d’applicabilité | Opt-out vente | Opt-out pub ciblée | PIA / DPIA | Opt-out universel (GPC) | Sanction max/violation |
| Californie (CCPA/CPRA) | 01/01/2020 | > 25 M$ CA ou 100K conso. | Oui | Oui | Oui | Oui | 7 988 $ |
| Virginie (VCDPA) | 01/01/2023 | 100K conso. ou 25K + 50% CA vente | Oui | Oui | Oui | Oui (amendé) | 7 500 $ |
| Colorado (CPA) | 01/07/2023 | 100K conso. ou 25K + vente | Oui | Oui | Oui | Oui | 20 000 $ |
| Connecticut (CTDPA) | 01/07/2023 | 100K conso. ou 25K + 25% CA | Oui | Oui | Oui | Oui (amendé) | 5 000 $ |
| Utah (UCPA) | 31/12/2023 | 25 M$ CA + 100K conso. | Oui | Oui | Non | Non | 7 500 $ |
| Texas (TDPSA) | 01/07/2024 | Pas de seuil de CA | Oui | Oui | Oui | Oui (amendé) | 25 000 $ |
| Oregon (OCPA) | 01/07/2024 | 100K conso. ou 25K + vente | Oui | Oui | Oui | Oui (amendé) | 7 500 $ |
| Montana (MTCDPA) | 01/10/2024 | 50K conso. ou 25K + vente | Oui | Oui | Oui | Oui (amendé) | 7 500 $ |
| Delaware (DPDPA) | 01/01/2025 | 35K conso. ou 10K + 20% CA | Oui | Oui | Oui | Non | 10 000 $ |
| Iowa (ICDPA) | 01/01/2025 | 100K conso. ou 25K + 50% CA | Oui | Oui | Non | Non | 7 500 $ |
| Nebraska (NDPA) | 01/01/2025 | Pas de seuil (hors PME) | Oui | Oui | Oui | Non | 7 500 $ |
| New Hampshire (NHPA) | 01/01/2025 | 35K conso. ou 10K + 25% CA | Oui | Oui | Oui | Non | 10 000 $ |
| New Jersey (NJDPA) | 15/01/2025 | 100K conso. ou 25K + vente | Oui | Oui | Oui | Oui | 10-20K $ |
| Tennessee (TIPA) | 01/07/2025 | 25 M$ CA + 175K conso. | Oui | Oui | Oui | Non | 7 500 $ |
| Minnesota (MCDPA) | 31/07/2025 | 100K conso. | Oui | Oui | Oui | Oui | 7 500 $ |
| Maryland (MODPA) | 01/10/2025 | 35K conso. ou 10K + 20% CA | Oui | Oui | Oui | Oui | 10 000 $ |
| Kentucky (KCDPA) | 01/01/2026 | 100K conso. ou 25K + vente | Oui | Oui | Oui | Non | 7 500 $ |
| Indiana (INCDPA) | 01/01/2026 | 100K conso. ou 25K + 50% CA | Oui | Oui | Oui | Non | 7 500 $ |
| Rhode Island (RIDPA) | 01/01/2026 | Non précisé | Oui | Oui | Oui | Non | N/A |
États sans loi complète : quelles conséquences ?
Environ 30 États américains n’ont toujours pas adopté de loi complète de protection des données des consommateurs. Cela ne signifie pas l’absence totale de protection : les lois sectorielles fédérales s’appliquent, et la plupart des États disposent de lois de notification de violations de données (48 États sur 50). Cependant, les différences pratiques sont significatives.
| Critère | États avec loi complète (20 États) | États sans loi complète (~30 États) |
| Droits des consommateurs | Droit d’accès, de rectification, de suppression, de portabilité, d’opt-out. | Aucun droit général. Seules les protections sectorielles s’appliquent (santé, finance, enfants). |
| Contrôle sur la vente de données | Possibilité de s’opposer à la vente de ses données. | Pas de droit de s’opposer à la vente. Les data brokers opèrent librement. |
| Publicité ciblée | Droit de s’opposer au tracking et à la publicité ciblée. | Aucune restriction. Le tracking et la publicité ciblée sont libres. |
| Notification de violations | Oui + obligations complémentaires (PIA, registres, transparence). | Oui (48/50 États ont des lois de notification) mais pas d’obligations complémentaires. |
| Obligations de transparence | Politique de confidentialité détaillée, divulgation des catégories collectées et des destinataires. | Pas d’obligation générale de transparence sur les pratiques de collecte. |
| Données sensibles | Consentement opt-in généralement requis pour les données sensibles. | HIPAA pour la santé, GLBA pour la finance, COPPA pour les enfants. Sinon, pas de protection spécifique. |
| Enforcement | Attorney General + dans certains cas agence dédiée (CA : CPPA). Amendes spécifiques. | FTC pour les pratiques déloyales. AG des États pour la protection des consommateurs (pouvoir limité). |
| Impact pour une entreprise européenne | Obligations de conformité similaires à celles du RGPD (ajustements nécessaires). | Attention : l’absence de loi ne signifie pas absence de risque. Les lois sectorielles et la FTC peuvent intervenir. |
