Blog

Le RGPD s'applique-t-il à mon entreprise américaine ? (Auto-évaluation en 3 étapes)

Le RGPD peut s'appliquer à votre site web même si vous êtes basé aux États-Unis. Utilisez cette checklist en 3 étapes pour savoir si vous êtes exposé et quelles sont les sanctions financières potentielles.

Jan 08, 2026 • 15 min read

Juan Combariza Growth Marketer

Does-gdpr-apply-to-u-s-companies-self-assessment

En bref

Le RGPD s'applique à toute entreprise qui cible intentionnellement des résidents de l'UE ou surveille leur comportement en ligne. Par ailleurs, un « établissement dans l'UE » — comme un employé ou un bureau installé de façon permanente dans l'UE — peut déclencher l'applicabilité du RGPD.
Bien que le RGPD s'applique à un plus grand nombre d'entreprises que beaucoup ne le pensent, les autorités européennes disposent d'un pouvoir limité pour sanctionner directement les entreprises purement américaines ou non établies dans l'UE. Dans ces cas, les régulateurs envoient des avertissements ou des recommandations correctives plutôt que des amendes.
Les lois américaines sur la protection de la vie privée (comme le CCPA) adoptent des exigences similaires au RGPD en matière de sécurité des violations de données, de transferts transfrontaliers et de responsabilité des entreprises liée au traitement des données par des scripts tiers.
L'utilisation d'outils d'analyse, de cartes de chaleur ou de pixels publicitaires qui suivent les visiteurs européens en ligne est considérée comme une surveillance et peut déclencher des obligations de conformité au RGPD.

Checklist d'auto-évaluation - Le RGPD s'applique-t-il à mon site web ?

Des visiteurs du monde entier accèdent à votre site web, ce qui rend difficile de savoir quelles lois sur la protection de la vie privée vous concernent et lesquelles comportent un risque réel de sanctions financières. L'applicabilité du RGPD ne dépend pas du lieu où vous êtes immatriculé. Ce qui compte, c'est de savoir si vous traitez des données personnelles de citoyens européens et ce que vous en faites.

Chaque site web traite des données personnelles de manière pas toujours évidente. Pensez aux formulaires qui collectent des noms et des adresses e-mail, ou aux scripts tiers qui envoient des données à des serveurs dont vous n'avez pas connaissance. Chacun représente un risque de non-conformité au RGPD s'il implique des données de résidents de l'UE.

Cet article propose une checklist claire pour vous aider à déterminer si vous êtes concerné par le RGPD.

Le RGPD s'applique-t-il à mon site web ? (Critères d'éligibilité)

Le champ d'application territorial du RGPD est défini par l'article 3 du règlement. Il repose sur deux critères principaux :

L'établissement
Le ciblage

Il suffit que l'un de ces critères soit rempli. Si c'est le cas, le RGPD s'applique. Toutefois, il ne s'applique qu'aux activités de traitement spécifiques qui l'ont déclenché. Le règlement ne prend pas le contrôle de l'ensemble de votre organisation, uniquement du traitement des données concerné.

Auto-évaluation en 3 étapes — Applicabilité du RGPD

Étape 1 : Êtes-vous établi dans l'UE ?

Vous disposez d'un établissement dans l'UE si vous exercez votre activité via tout arrangement stable dans un État membre (cela ne nécessite pas de bureau formel). Le seuil pour une présence dans l'UE est assez bas ; même un seul employé ou agent dans l'UE peut suffire s'il agit de manière stable.

Vous avez probablement un établissement dans l'UE si vous disposez :

D'une succursale, d'une filiale ou d'un siège social enregistré dans un État membre
D'un employé, d'un représentant commercial ou d'un agent travaillant régulièrement dans l'UE
D'activités génératrices de revenus dans l'UE liées à votre traitement de données

Si le traitement des données de votre site web est lié à ces activités dans l'UE, le RGPD s'applique. Sinon, passez à l'étape 2.

Étape 2 : Ciblez-vous intentionnellement des utilisateurs de l'UE ?

Le RGPD s'applique si votre site web propose des biens ou des services à des personnes situées dans l'UE. L'offre doit être intentionnelle, et non accidentelle. Le simple fait que des utilisateurs européens accèdent à votre site ne suffit pas à déclencher l'applicabilité.

Selon les lignes directrices du Comité européen de la protection des données (CEPD), ces éléments sont des signes de ciblage intentionnel :

Mentionner l'UE ou des États membres spécifiques en référence aux biens ou services proposés
Payer pour de la publicité sur les moteurs de recherche ciblant des audiences européennes
Utiliser des domaines de premier niveau européens (.de, .fr, .eu) plutôt que le domaine de votre pays d'origine
Proposer la livraison de biens vers des États membres de l'UE
Afficher des prix en euros avec une fonctionnalité de commande
Mentionner des clients ou des témoignages basés dans l'UE

Si vous ne ciblez pas des utilisateurs de l'UE, passez à l'étape 3.

Étape 3 : Surveillez-vous le comportement des visiteurs européens ?

Le RGPD s'applique si vous suivez ou profilez des personnes situées dans l'UE. Le considérant 24 définit la surveillance comme :

« le suivi de personnes physiques sur internet, y compris le profilage visant à analyser ou prédire leurs préférences, comportements et attitudes. »

Ces activités sont généralement considérées comme de la surveillance :

Le reciblage publicitaire et la publicité comportementale
La collecte de cookies, d'empreintes numériques ou d'identifiants liés à des individus
Les outils d'enregistrement de session et les cartes de chaleur associés à des utilisateurs spécifiques
Le suivi de localisation à des fins de personnalisation ou de marketing

Notez que les données statistiques purement agrégées et anonymisées, sans lien avec des utilisateurs individuels, ne constituent généralement pas une surveillance. Les outils d'analyse « compatibles RGPD » sont conçus pour utiliser des données ne nécessitant pas de consentement.

Le RGPD s'applique à vous si votre site web effectue l'une des activités ci-dessus pour des visiteurs situés dans l'UE, même si vous n'avez jamais eu l'intention de faire des affaires en Europe.

Le RGPD s'applique-t-il aux entreprises américaines ?

Oui. Le RGPD peut tout à fait s'appliquer aux entreprises américaines. La localisation de votre entreprise ne détermine pas l'applicabilité du RGPD.

Si votre entreprise traite des données personnelles de citoyens européens — que ce soit dans le cadre de biens ou de services, qu'elle emploie des résidents de l'UE ou surveille le comportement en ligne de citoyens européens — votre organisation est soumise au RGPD.

Ce qui compte, ce n'est pas votre lieu d'établissement, mais :

Qui visite votre site ? [Des personnes situées dans l'UE utilisent-elles votre site web ?]
Comment votre site traite leurs données [Collectez-vous des informations personnelles, suivez-vous leur comportement ou leur proposez-vous des biens et des services ?]

Vous n'avez pas besoin de bureaux, d'employés ou d'une quelconque présence physique en Europe pour que le RGPD s'applique à votre entreprise. Ni la taille de votre entreprise ni le volume de données que vous traitez n'entrent en ligne de compte.

Déclencheurs courants du RGPD pour les sites web américains

Avoir des visiteurs européens et suivre leur comportement suffit à entrer dans le champ d'application du RGPD. Le suivi comportemental inclut tous ces outils populaires. Vous pouvez également avoir des traceurs de données cachés non autorisés, tels que des scripts tiers qui collectent des données de manière excessive, accidentellement ou avec une intention malveillante. Vous pouvez surveiller l'ensemble des collecteurs de données tiers sur votre site web grâce à un outil de conformité côté client.

Exemples de traitements de données sur un site web pouvant déclencher l'applicabilité du RGPD

  <thead>
    <tr>
      <th>Catégorie</th>
      <th>Exemples</th>
      <th>Pourquoi le RGPD s'applique</th>
    </tr>
  </thead>

  <tbody>
    <tr class="section-row">
      <td colspan="3">SUIVI CÔTÉ CLIENT</td>
    </tr>

    <tr>
      <td><strong>Analyse web</strong></td>
      <td>Google Analytics, Adobe Analytics</td>
      <td>Cookies et suivi des visiteurs européens</td>
    </tr>
    <tr>
      <td><strong>Pixels publicitaires</strong></td>
      <td>Meta Pixel, Google Ads, etc.</td>
      <td>Surveillance du comportement des utilisateurs à des fins de reciblage</td>
    </tr>
    <tr>
      <td><strong>Enregistrement de session</strong></td>
      <td>Hotjar, FullStory, Mouseflow</td>
      <td>Enregistre le comportement et les interactions des utilisateurs européens</td>
    </tr>
    <tr>
      <td><strong>Formulaires de capture de leads</strong></td>
      <td>HubSpot, Mailchimp</td>
      <td>Collecte des données personnelles auprès des visiteurs européens</td>
    </tr>
    <tr>
      <td><strong>Services intégrés</strong></td>
      <td>YouTube, Google Maps, widgets sociaux</td>
      <td>Le traitement par des tiers implique une coresponsabilité</td>
    </tr>

    <tr class="section-row">
      <td colspan="3">TRAITEMENT CÔTÉ SERVEUR</td>
    </tr>

    <tr>
      <td><strong>Bases de données clients</strong></td>
      <td>PostgreSQL, CRM, stockage cloud</td>
      <td>Stockage des dossiers clients et données personnelles de résidents européens</td>
    </tr>
    <tr>
      <td><strong>E-commerce</strong></td>
      <td>Shopify, WooCommerce</td>
      <td>Traitement des achats et paiements de clients européens</td>
    </tr>
    <tr>
      <td><strong>E-mail marketing</strong></td>
      <td>Mailchimp, SendGrid</td>
      <td>Envoi d'e-mails à des abonnés situés dans l'UE</td>
    </tr>
  </tbody>
</table>

Les sanctions du RGPD peuvent-elles être appliquées aux entreprises purement américaines ?

Pas directement, sauf si vous avez un lien avec l'UE tel que décrit plus haut dans cet article.

Les autorités européennes ont-elles compétence sur les entreprises américaines ?

Les autorités de protection des données de l'UE n'ont pas juridiction aux États-Unis. Ces organismes de régulation s'appuient donc sur d'autres juridictions pour faire appliquer leurs amendes contre des entités situées hors de l'UE.

Voici un exemple de régulateurs européens s'en prenant à une entreprise américaine :

L'ICO britannique a adressé un avertissement au Washington Post concernant la manière dont il obtenait le consentement pour les cookies. L'ICO a toutefois noté qu'il ne pouvait pas faire grand-chose si le Washington Post décidait de ne pas modifier ses pratiques.

Application du RGPD pour les entreprises américaines

Pour les entreprises sans aucune présence dans l'UE, l'application réglementaire est rare. Elle se limite généralement à des demandes d'information, des mises en demeure et des interdictions réglementaires. Les régulateurs peuvent également rendre publique la non-conformité, ce qui peut nuire à la réputation des entreprises concernées.

La pression d'application augmente avec tout lien avec l'UE

Les régulateurs du RGPD gagnent en pouvoir d'action si vous avez :

Des clients ou des revenus dans l'UE
Des employés ou des prestataires dans l'UE
Des infrastructures ou des fournisseurs basés dans l'UE
Des comptes bancaires ou des actifs dans l'UE
Un site web orienté vers l'UE ou une offre localisée

L'application devient alors effective. Les restrictions commerciales peuvent inclure des injonctions de cesser certaines activités de traitement de données ou de suspendre les services aux clients européens jusqu'à ce que la conformité soit atteinte. Les régulateurs peuvent en substance vous contraindre à cesser de servir des clients européens.

Les entreprises multinationales sont les plus durement touchées par les sanctions du RGPD

L'application du RGPD contre les entreprises américaines varie selon les États membres de l'UE. Les pays d'Europe occidentale tels que le Royaume-Uni, la France et l'Irlande ont été particulièrement actifs dans l'imposition de sanctions RGPD et dans l'ouverture d'enquêtes contre des entreprises américaines.

Les amendes RGPD les plus importantes ont toutes ciblé des entreprises disposant d'une présence significative dans l'UE :

Exemples d'amendes RGPD notables et du lien avec l'UE ayant déclenché les poursuites

  <thead>
    <tr>
      <th>Entreprise</th>
      <th>Amende</th>
      <th>Lien avec l'UE</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td><strong>Meta</strong></td>
      <td>1,2 milliard €</td>
      <td>Meta transférait régulièrement les données d'utilisateurs européens vers les États-Unis sans les protections requises</td>
    </tr>
    <tr>
      <td><strong>Amazon</strong></td>
      <td>746 millions €</td>
      <td>Siège social au Luxembourg</td>
    </tr>
    <tr>
      <td><strong>Google</strong></td>
      <td>90 millions €</td>
      <td>Les autorités françaises de protection des données ont estimé que les formulaires de consentement globaux et les cases pré-cochées ne constituaient pas un consentement valide</td>
    </tr>
    <tr>
      <td><strong>Marriott</strong></td>
      <td>18,4 millions £</td>
      <td>La violation a compromis les mots de passe et les données de carte bancaire de millions de résidents européens</td>
    </tr>
  </tbody>
</table>

Pour une entreprise purement américaine, sans présence dans l'UE, sans clients européens et sans intention d'entrer sur le marché européen, le risque d'application directe est faible. Mais cette catégorie est étroite, et elle se réduit à mesure que les entreprises se mondialisent et que d'autres pressions (abordées ci-dessous) rendent de toute façon la conformité de type RGPD nécessaire.

Les entreprises purement américaines doivent-elles se préoccuper du RGPD ?

Oui. Voici pourquoi.

Les lois sur la protection de la vie privée se multiplient à travers les États américains.

Les lois américaines sur la protection de la vie privée ont pris de l'ampleur, avec de nouvelles lois introduites, adoptées et entrant en vigueur chaque année. C'est seulement en 2018 que le California Consumer Privacy Act est devenu la première loi américaine globale sur la protection de la vie privée à être adoptée. Depuis lors, de nombreux États ont adopté leurs propres lois, dont l'application débute en 2026.

Année	États ayant adopté des lois
2018	Californie (CCPA)
2021	Virginie, Colorado
2022	Utah, Connecticut
2023	Delaware, Indiana, Iowa, Montana, Oregon, Tennessee, Texas
2024	New Hampshire, New Jersey, Kentucky, Maryland, Minnesota, Nebraska, Rhode Island

À la date de publication de cet article, 20 États américains ont adopté des lois globales sur la protection des données des consommateurs.

Ces lois réglementent la manière dont les entreprises peuvent collecter des données, ce qu'elles doivent divulguer, comment les utilisateurs peuvent s'y opposer, et les mesures de sécurité à mettre en place.

Les lois américaines sur la protection de la vie privée s'inspirent directement du RGPD

Les lois du Colorado, du Connecticut, du Delaware, de l'Oregon, de l'Indiana, de l'Iowa, du Tennessee, de la Virginie et de l'Utah reprennent la terminologie du Règlement général sur la protection des données (RGPD) de l'Union européenne et s'appliquent aux « responsables du traitement » et aux « sous-traitants ».

L'approche la plus répandue dans les lois américaines sur la protection de la vie privée reflète celle du RGPD, qui exige qu'une évaluation contienne, au minimum, les risques et les avantages du traitement pour les personnes concernées.

Si vous concevez votre site web pour qu'il soit conforme au RGPD, vous êtes déjà en grande partie conforme aux lois américaines des États. L'inverse est également vrai. Ignorer les exigences de type RGPD signifie que vous violez probablement aussi les lois nationales.

Les sites web doivent désormais respecter les signaux d'opposition universels

De nombreux États américains exigent désormais que les sites web détectent et respectent les signaux de confidentialité émis par les navigateurs, en particulier le Global Privacy Control (GPC).

Depuis le 1er juillet 2025, dix États américains exigent que les sites web respectent les signaux UOOM. Ces États incluent la Californie, le Colorado, le Connecticut, le Delaware, le Montana, le Nebraska, le New Hampshire, le New Jersey, l'Oregon, le Minnesota, le Maryland et le Texas.

La Californie, le Colorado et le Connecticut ont annoncé une enquête conjointe ciblant les entreprises qui ne respectent pas les demandes d'opposition via le GPC.

En pratique, cela signifie que :

Si le navigateur d'un visiteur envoie un signal GPC, votre site web doit le traiter comme une demande d'opposition valide
Le procureur général de Californie a pris position selon laquelle les demandes d'opposition via le Global Privacy Control doivent être honorées par les entreprises concernées comme une demande valide du consommateur de cesser la vente ou le partage de ses informations personnelles.
Le non-respect de ces signaux fait déjà l'objet de poursuites (la première action publique d'application du CCPA en Californie contre Sephora citait le non-respect du GPC)

Si votre site web n'est pas techniquement en mesure de détecter et de répondre à ces signaux, vous n'êtes pas en conformité, même si vous n'avez jamais eu l'intention de faire des affaires en dehors de votre État.

Réduisez les violations de la vie privée liées aux scripts tiers avec Privacy Watch

Tout au long de cet article, nous avons souligné que, que les utilisateurs acceptent ou refusent les cookies, des scripts mal configurés ou malveillants peuvent tout de même divulguer leurs informations personnelles.

Les bannières de consentement aux cookies gèrent les préférences. Elles n'imposent pas de comportement. Et en vertu du RGPD, vous êtes responsable de ce que fait chaque script présent sur votre site web.

PrivacyWatch est l'outil de conformité à la vie privée côté client de cside, qui surveille les scripts tiers pour vous alerter des violations potentielles ou des failles de sécurité pouvant mener à des violations de données.

cside propose des rapports de conformité automatisés pour les réglementations RGPD, CCPA et HIPAA, avec des pistes d'audit détaillées prouvant votre conformité lors des inspections réglementaires.

Avec cside PrivacyWatch, vous pouvez :

Voir quelles données sont accédées par les scripts et où elles sont envoyées
Surveiller l'accès aux données et les injections pour bloquer le suivi non autorisé
Identifier les modifications apportées au code tiers sur votre site qui changent la façon dont votre site traite les données
Démontrer que des mesures de confidentialité et de sécurité côté client sont en place pour se conformer aux articles 32, 25 et 28 du RGPD
Obtenir des tableaux de bord automatisés spécifiques à chaque réglementation pour le RGPD, le CCPA et d'autres lois américaines au niveau des États
Collecter des preuves que vous pouvez produire lors d'inspections réglementaires ou d'audits

Planifiez une démonstration avec cside dès maintenant pour découvrir comment vous protéger contre les violations du RGPD.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Oui. Le RGPD peut s'appliquer aux entreprises américaines si elles proposent des biens ou des services à des personnes situées dans l'UE, ou si elles surveillent le comportement d'utilisateurs européens via des outils d'analyse, des cookies, des pixels de suivi ou des technologies similaires sur leur site web.

Ne pas vendre de produits en Europe n'exonère pas automatiquement votre entreprise. Le RGPD s'applique aux entreprises américaines qui rendent des biens ou des services accessibles à des personnes situées dans l'UE ou l'EEE, même sans contrepartie financière, ou qui surveillent le comportement d'utilisateurs situés dans l'UE ou l'EEE.

Cela dépend de l'intention et de la surveillance du comportement. Le RGPD ne s'applique généralement pas aux accès purement accidentels de la part d'utilisateurs européens, mais il peut s'appliquer si vous ciblez intentionnellement des utilisateurs de l'UE ou si vous surveillez activement leur comportement via des technologies de suivi ou d'analyse.

Oui. Le RGPD ne prévoit pas de seuil de taille ou de chiffre d'affaires pour son applicabilité. Toutefois, en vertu de l'article 30(5), les organisations de moins de 250 employés peuvent être exemptées de certaines obligations de tenue de registres, selon leurs activités de traitement.

Google Analytics n'est pas conforme au RGPD par défaut. Les opérateurs de sites web doivent configurer l'outil de manière appropriée et utiliser les fonctionnalités de confidentialité disponibles pour aligner son déploiement sur les exigences du RGPD.

Non. L'applicabilité du RGPD est déterminée par la localisation de la personne concernée, et non par sa nationalité. Si un citoyen européen se trouve aux États-Unis au moment du traitement des données, le RGPD ne s'applique généralement pas.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

Illustration du stack de sécurité avec inférence sur appareil

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

Couverture sombre cside avec des points sur les outils de détection des agents IA

4 outils pour détecter les agents IA sur votre site web (prévention de la fraude)

Comparaison de cside, HUMAN Security, DataDome et Cloudflare pour la détection des agents IA. Découvrez comment chaque outil gère la prévention de la fraude, les tarifs et l'implémentation.

Couverture sombre cside avec des points sur le blocage des bots de test de carte par IA

Bots de test de carte pilotés par des agents IA | Comment les arrêter

Les agents de test de cartes par IA utilisent de vrais navigateurs pour valider des identifiants volés à grande échelle. Apprenez à les détecter et à les bloquer avant le paiement.

Couverture sombre cside avec des points sur les usages et le blocage des navigateurs furtifs

Qu'est-ce que les navigateurs furtifs (ou « anti-détection ») et quand les bloquer

Les navigateurs furtifs contournent la détection des bots. Les navigateurs anti-détection falsifient les empreintes. Découvrez les signaux qui révèlent les deux, même lorsqu'ils ressemblent à des humains.