Blog

CTDPA : Guide des exigences et conformité des scripts tiers

Découvrez une analyse claire des règles du Connecticut Data Privacy Act, des calendriers d'application et de la gestion correcte des scripts tiers.

Nov 25, 2025 • 15 min read

Juan Combariza Growth Marketer

connecticut-data-privacy-act-guide-and-third-party-script-compliance

Dans ce blog :

Le CTDPA s'applique-t-il à mon organisation ?
Où surviennent les manquements au CTDPA
Comment garantir la conformité des scripts tiers au CTDPA
Calendriers du CTDPA

Il existe un fossé grandissant entre ce que les entreprises pensent faire pour protéger les données des utilisateurs et ce que des lois sur la vie privée comme le CTDPA (Connecticut Data Privacy Act) attendent réellement. Le navigateur est l'endroit où les données personnelles sont de plus en plus collectées, mais c'est aussi là où presque personne ne surveille. C'est précisément ce fossé que les régulateurs ont dans leur ligne de mire.

Sans surveillance, des scripts mal configurés ou malveillants peuvent accéder à des champs sensibles, contourner les choix de consentement ou transmettre des données sans les avoir déclarées. Si on leur posait la question « Les scripts tiers sur votre site se comportent-ils comme le stipule votre politique de confidentialité ? », la plupart des organisations seraient incapables de fournir une réponse étayée par des preuves.

Cet article passe en revue les exigences du CTDPA et montre comment mettre la couche navigateur en conformité avant qu'une violation ne se produise.

Le CTDPA s'applique-t-il à mon organisation ?

simplified-criteria-checklist-does-ctdpa-apply-to-my-organization — Liste de contrôle simplifiée : Le CTDPA s'applique-t-il à mon organisation ?

Le CTDPA suit le modèle d'applicabilité « style Virginie/Colorado ». Il s'applique en fonction du volume de données personnelles traitées. Voici les 2 principaux critères que vous pouvez utiliser comme liste de contrôle simple. TOUS ces points doivent être vrais pour que votre entreprise soit soumise aux règles du CTDPA.

1. Critère CTDPA : Vous exercez une activité commerciale au Connecticut OU ciblez des résidents du CT

Cela inclut les entreprises qui :

Vendent à des consommateurs du Connecticut, font du marketing ou de la publicité auprès de résidents du CT, exploitent un site web ou une application destinée aux clients du CT, ont des utilisateurs, abonnés ou clients au CT.

Cela s'applique même si l'entreprise n'est pas physiquement établie au Connecticut. « Cibler » ne requiert pas une démarche intentionnelle. Si des résidents du Connecticut peuvent accéder à votre site, recevoir vos publicités ou choisir de s'inscrire, vous pouvez tout de même être considéré comme exerçant une activité commerciale dans cet État.

2. Critère CTDPA : Vous traitez un volume significatif de données de résidents du Connecticut

Le CTDPA s'applique si, au cours de l'année civile précédente, vous avez traité :

2 A) Les données personnelles de 100 000 résidents du Connecticut ou plus

OU

2 B) Les données personnelles de 25 000 résidents ou plus ET vous tirez 25 % ou plus de vos revenus de la vente de données personnelles

Détaillons davantage ces seuils :

2 A) (Développé) Les données personnelles de 100 000 résidents du Connecticut ou plus

Données personnelles = toute donnée liée ou pouvant être liée à un individu (adresses IP incluses). Cela est important car un visiteur n'a pas besoin de remplir un formulaire ou de « fournir » explicitement des informations pour être couvert par le CTDPA. La plupart des outils d'analyse, de publicité et de suivi collectent automatiquement des identifiants basés sur l'IP.

Cette limite exclut :

Les données personnelles traitées uniquement pour finaliser une transaction de paiement

2 B) (Développé) : Les données personnelles de 25 000 résidents ou plus ET vous tirez 25 % ou plus de vos revenus de la vente de données personnelles

Cela concerne principalement :

Les courtiers en données, les revendeurs de leads, ainsi que les applications ou sites web grand public qui monétisent les informations personnelles

Qui est exclu des exigences du CTDPA :

Les organismes gouvernementaux, les organisations à but non lucratif (exemptées), les établissements d'enseignement supérieur, les données déjà réglementées par le FCRA, le FERPA ou des cadres similaires

Toutefois : même les organisations exemptées doivent respecter des pratiques de « sécurité raisonnable ». L'exposition de données côté client peut toujours engager la responsabilité au titre d'autres obligations comme la norme PCI DSS.

Qu'est-ce que le Connecticut Data Privacy Act ?

Le Connecticut Data Privacy Act (CTDPA) est une loi sur la vie privée adoptée au niveau de l'État pour donner aux résidents un meilleur contrôle sur la façon dont les entreprises collectent, utilisent et partagent leurs données personnelles. Comme le RGPD et le CCPA, l'objectif du CTDPA est de donner aux consommateurs un contrôle réel sur leurs données personnelles. La loi impose des obligations aux organisations qui collectent, utilisent ou partagent des données personnelles.

La surface de risque pour la vie privée côté client

client-side-privacy-compliance-risk-breakdown-cside-1 — Analyse des facteurs de risque liés à la confidentialité et à la conformité côté client

Les lois modernes sur la vie privée comme le CTDPA s'appliquent à l'ensemble du cycle de vie des données, mais la zone à plus haut risque est le site web lui-même. C'est la couche où les utilisateurs interagissent pour la première fois avec votre entreprise et où les données personnelles sont initialement collectées — que ce soit via des saisies de formulaires ou automatiquement par des scripts tiers que vous ne contrôlez pas entièrement.

Malheureusement, le côté client (le code que votre entreprise sert aux utilisateurs lorsqu'ils interagissent avec votre site web) est la couche la moins sécurisée de la plupart des dispositifs de défense des entreprises. Les serveurs sont verrouillés, les employés sont formés aux processus de gestion des données, mais le code qui s'exécute dans le navigateur de l'utilisateur n'est pas surveillé.

Les scripts tiers représentent un risque pour la conformité en matière de vie privée :

Les éléments du site web interagissent avec les données des utilisateurs, et la plupart des équipes n'ont aucune gouvernance sur :

Les scripts de suivi marketing qui se déclenchent avant le consentement
Les pixels qui collectent des adresses IP et des identifiants sans option de désinscription
Les widgets de chat qui traitent des documents et des données de compte
Les outils de tests A/B qui collectent des métadonnées de session
Les outils marketing qui déduisent la géolocalisation à partir des signaux de l'appareil

Les attaques côté client représentent un risque de violation de données personnelles :

Toutes les violations de données ne résultent pas d'une intrusion dans le système. De plus en plus souvent, la compromission se produit dans le navigateur : des attaquants injectent quelques lignes de code malveillant dans un script de confiance sur votre site.

Soudainement, des identifiants de connexion, des scans de pièces d'identité et des numéros de carte bancaire sont collectés directement depuis des pages comme les tunnels de paiement, les formulaires d'inscription, les chatbots ou les processus KYC.

Un exemple bien connu de ce type d'attaque est la violation de données de British Airways en 2018, qui a entraîné une amende de 20 millions de livres sterling. Nous couvrons cet incident en détail, ainsi que les exemples les plus récents, dans notre analyse approfondie des plus grandes attaques Magecart.

Une plateforme de sécurité côté client détecte et prévient ces attaques.

Les bannières de cookies suffisent-elles à la conformité CTDPA ?

Les bannières de cookies recueillent les préférences des utilisateurs, mais elles ne les appliquent pas toujours pleinement. En pratique, les bannières présentent plusieurs lacunes :

Des intégrations incorrectes ou incomplètes entre les bannières de cookies et les gestionnaires de balises comme Google Tag Manager
Des bannières qui bloquent accidentellement des scripts essentiels tels que les formulaires ou les outils de support en ligne
Des scripts mal configurés ou malveillants qui ignorent les choix de consentement des utilisateurs

Certains fournisseurs de bannières de cookies tentent de résoudre ces problèmes, mais les mauvaises configurations restent fréquentes. Et même lorsqu'elles sont correctement mises en œuvre, les bannières de cookies ne sont pas conçues pour prévenir les attaques côté client. Cette lacune conduit à un manque de « mesures de sécurité raisonnables », qui est l'allégation la plus fréquemment citée dans les poursuites judiciaires en matière de vie privée sous des lois similaires comme le CCPA.

Où surviennent les manquements à la conformité CTDPA

where-ctdpa-compliance-failures-happen-infographic — Infographie : Les manquements courants à la conformité CTDPA mis en évidence

1. Non-respect des droits des consommateurs (accès/suppression/désinscription)

La désinscription est censée mettre fin à tout traitement des données personnelles de l'utilisateur. En pratique, le choix de l'utilisateur doit être respecté à travers plusieurs couches :

Scripts côté client, outils d'analyse, services de rejeu de session, gestionnaires de balises et plateformes publicitaires

Côté client, cela se dégrade souvent. Les entreprises pensent avoir respecté la désinscription, mais :

L'utilisateur se désinscrit via une bannière de cookies, mais les scripts continuent de se déclencher
Les outils d'analyse de type « session replay » continuent de capturer des informations sensibles
Les « cookies » sont bloqués, mais les scripts continuent de s'exécuter
Les gestionnaires de balises contournent les paramètres de consentement aux cookies

Respecter les droits du CTDPA exige de s'assurer que les scripts côté client cessent effectivement de collecter ou de partager des données. Cela n'est possible qu'avec des outils capables d'observer et d'appliquer le comportement des scripts directement dans le navigateur.

2. Collecte non surveillée

L'une des plus grandes lacunes en matière de conformité survient lorsque les organisations ne savent pas réellement quelles données sont collectées sur leur site web. Les scripts vont et viennent tandis que les fournisseurs mettent à jour leur code sans préavis. La plupart des organisations seraient incapables de lister tous les scripts actuellement actifs sur leur site, et encore moins d'expliquer à quoi ils accèdent.

3. Absence de « mesures de sécurité raisonnables »

pie-chart-ccpa-court-cases-privacy-compliance-cside — Graphique circulaire montrant la répartition des affaires judiciaires en matière de conformité à la vie privée déclenchant des actions

Source : CCPA Litigation Tracker, Perkins Coie

Selon le CCPA Litigation Tracker de Perkins Coie, qui analyse chaque affaire judiciaire publiquement déposée sous le CCPA (un cadre de confidentialité similaire en vigueur depuis bien plus longtemps), la grande majorité des poursuites découle d'un seul problème :

« une allégation de manquement à la mise en œuvre de mesures de sécurité raisonnables ayant entraîné une violation de données »

Le côté client est devenu la surface d'attaque la plus exposée, de grandes organisations ayant subi des violations dues à des scripts malveillants (voir : les attaques contre Ticketmaster et British Airways). Dans bon nombre de ces incidents, les entreprises pensaient être « couvertes » par des outils de conformité qui ne gèrent que des bannières ou des politiques, et non la sécurité réelle du navigateur.

Une véritable protection côté client doit détecter et prévenir des attaques telles que :

Le formjacking, le détournement de session et le e-skimming

Ces attaques collectent les données des consommateurs directement depuis le navigateur, ce qui signifie que les attaquants n'ont jamais besoin de pénétrer dans votre environnement interne.

4. Déclarations de confidentialité inexactes ou incomplètes

Le CTDPA exige que les organisations divulguent clairement quelles données personnelles elles collectent, pourquoi elles les collectent et quels tiers reçoivent ces informations.

En pratique, de nombreuses déclarations de confidentialité sont incomplètes simplement parce que les équipes n'ont pas une visibilité complète sur chaque script, formulaire ou outil externe opérant sur leur site web.

Réaliser un inventaire des scripts (par exemple via un scan de crawl gratuit) peut aider à établir une image de référence des scripts devant être déclarés.

Principales exigences du CTDPA (Connecticut Data Privacy Act)

Droits des consommateurs

Les organisations doivent donner aux utilisateurs la possibilité de :

Se désinscrire
Accéder à leurs données personnelles
Corriger les inexactitudes dans leurs données personnelles
Supprimer leurs données personnelles
Demander une copie portable de leurs données

Avis de confidentialité et transparence

Les organisations doivent fournir un avis de confidentialité clair expliquant quelles données personnelles sont collectées, pourquoi elles le sont et comment les utilisateurs peuvent exercer leurs droits. Cette liste doit également indiquer quels tiers reçoivent leurs informations. Les déclarations doivent être tenues à jour lorsque les pratiques en matière de données changent.

Consentement pour les données sensibles

Le CTDPA exige un consentement opt-in affirmatif avant de traiter des données personnelles sensibles, notamment : les informations de santé, les identifiants biométriques, la géolocalisation précise ou les données relatives aux mineurs.

Minimisation des données

En vertu du CTDPA, les entreprises doivent limiter la collecte de données personnelles à ce qui est réellement nécessaire pour la finalité déclarée. Elles ne peuvent pas recueillir des informations excessives, ni utiliser les données à des fins nouvelles ou sans rapport sans obtenir un nouveau consentement.

Pour une liste exhaustive des exigences, consultez notre section de ressources officielles qui vous orientera vers la documentation officielle sur la loi sur la vie privée.

Ressources officielles et liens gouvernementaux

Connecticut Data Privacy Act (Bureau du Procureur général) :

https://portal.ct.gov/ag/sections/privacy/the-connecticut-data-privacy-act

Il s'agit de la page CTDPA publiée par le Procureur général du Connecticut, l'autorité d'application principale de la loi. Elle fournit des orientations officielles, des mises à jour et des ressources émises par l'État.

Projet de loi officiel du Sénat – Loi publique n° 22-15 (2022)

https://www.cga.ct.gov/2022/act/pa/pdf/2022PA-00015-R00SB-00006-PA.pdf#:~:text=(NEW)%20(Effective%20July%201%2C%202023)%20The%20provisions,revenue%20from%20the%20sale%20of%20personal%20data.

Il s'agit du texte intégral du Connecticut Data Privacy Act tel qu'adopté par la législature de l'État en 2022.

Calendriers du CTDPA

Le CTDPA a été déployé par phases, avec des obligations supplémentaires ajoutées au fil du temps par voie d'amendements. Voici les dates clés dont la plupart des équipes doivent être conscientes (pour une vue complète et toujours à jour, consultez la section Ressources officielles).

10 mai 2022 – Le CTDPA est signé en tant que loi. Le Connecticut adopte sa loi globale sur la vie privée sous la forme du Senate Bill 6 / Public Act 22-15.
1er juillet 2023 – La loi entre en vigueur. Les responsables du traitement et les sous-traitants qui atteignent les seuils sont tenus de se conformer à partir de cette date, le Procureur général du Connecticut étant l'autorité d'application.
1er juillet 2023 – 31 décembre 2024 – Fenêtre d'application avec « droit de remédiation ». Durant cette période, le Procureur général doit accorder aux entreprises un délai de 60 jours pour remédier à une violation avant d'engager des poursuites, si une remédiation est possible.
1er octobre 2023 – 1er octobre 2024 – Entrée en vigueur progressive des amendements relatifs à la santé et aux mineurs. De nouvelles dispositions concernant les données de santé des consommateurs, les applications de rencontres et les services en ligne utilisés par des mineurs entrent en vigueur à plusieurs dates fin 2023 et en 2024.
1er janvier 2025 – Signaux d'opt-out universels (ex. : GPC) pris en compte. Les consommateurs du Connecticut peuvent envoyer des signaux de préférence d'opt-out au niveau du navigateur (comme le Global Privacy Control), et les responsables du traitement soumis au CTDPA sont tenus de les respecter.
1er juillet 2025 – Les évaluations de protection des données s'appliquent aux nouveaux traitements à haut risque. Les exigences d'évaluation s'attachent aux activités de traitement créées ou générées à partir de cette date.
31 décembre 2025 – Expiration du droit légal de remédiation. Après cette date, le Procureur général n'est plus tenu d'offrir un délai de remédiation de 60 jours, bien qu'il puisse toujours le faire à sa discrétion.
1er juillet 2026 et au-delà – Entrée en vigueur d'amendements supplémentaires. Les amendements adoptés en 2025 (SB 1295) introduisent d'autres modifications, notamment des seuils mis à jour et des exigences d'évaluation d'impact, la plupart des changements prenant effet à partir de mi-2026.

Comment cside aide les organisations à atteindre la conformité CTDPA

Transparence sur les flux de données côté client

cside révèle quels scripts collectent des données personnelles, ce qu'ils collectent et où ces données sont envoyées. Les équipes chargées de la vie privée obtiennent la visibilité nécessaire pour publier des déclarations précises.

Minimisation des données au niveau des scripts

La plupart des sites web collectent plus de données qu'ils ne le souhaitent, simplement parce que les scripts évoluent au fil du temps. cside signale lorsqu'un script commence à collecter plus d'informations qu'il ne le devrait, aidant les équipes à maintenir une collecte strictement délimitée.

Mesures de sécurité raisonnables

cside détecte les scripts malveillants ou altérés, les modifications suspectes du code côté client et les comportements de skimming de données au niveau du navigateur. Cela soutient l'exigence du CTDPA de mettre en œuvre des mesures de sécurité raisonnables et prévient les violations de données potentielles.

Validation du comportement des tiers

La surveillance en temps réel garantit que les sous-traitants tiers respectent vos obligations en matière de vie privée au lieu de les enfreindre involontairement à votre place.

Journaux d'audit et preuves disponibles

cside fournit un tableau de bord et des journaux historiques détaillés montrant l'activité des scripts ainsi que les mesures de traitement des données. Cela donne aux équipes chargées de la vie privée les preuves forensiques dont elles ont besoin pour démontrer leur conformité au CTDPA lors d'audits ou d'enquêtes.

FAQ

Le CTDPA s'applique-t-il aux entreprises situées en dehors du Connecticut ?

Oui. Le CTDPA s'applique à toute organisation qui traite les données de résidents du Connecticut et qui atteint les seuils de volume, quel que soit le lieu où l'entreprise est physiquement établie.

Les bannières de cookies suffisent-elles à satisfaire aux exigences de consentement du CTDPA ?

Dans la plupart des cas, non. Les bannières de cookies recueillent les préférences et gèrent les cookies, mais le CTDPA exige une application au niveau des scripts ainsi que des mesures de sécurité raisonnables capables de prévenir les attaques exposant des données personnelles.

Qu'est-ce qui constitue des « mesures de sécurité raisonnables » au sens du CTDPA ?

Les organisations doivent protéger les données personnelles contre tout accès non autorisé, y compris les risques côté client tels que les scripts mal configurés, les outils tiers non surveillés et les attaques de skimming.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Oui. Le CTDPA s'applique à toute organisation qui traite les données de résidents du Connecticut et qui atteint les seuils de volume, quel que soit le lieu où l'entreprise est physiquement établie.

Dans la plupart des cas, non. Les bannières de cookies recueillent les préférences et gèrent les cookies, mais le CTDPA exige une application au niveau des scripts ainsi que des mesures de sécurité raisonnables capables de prévenir les attaques exposant des données personnelles.

Les organisations doivent protéger les données personnelles contre tout accès non autorisé, y compris les risques côté client tels que les scripts mal configurés, les outils tiers non surveillés et les attaques de skimming.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.