Blog

TDPSA : Guide des exigences et conformité des sites web

Découvrez une analyse claire des règles du Texas Data Privacy and Security Act, des calendriers d'application et de la gestion correcte des scripts tiers.

Dec 18, 2025 • 16 min read

Juan Combariza Growth Marketer

TDPSA - Texas Data Privacy and Security Act - Exigences et conformité des sites web

En résumé :

Qu'est-ce que le TDPSA ? Le Texas Data Privacy and Security Act (TDPSA) est une loi sur la protection de la vie privée qui accorde aux résidents texans des droits sur leurs données personnelles et oblige les organisations à mettre en place des mesures de sécurité raisonnables tout au long du cycle de vie des données, y compris sur les sites web et les outils tiers.
À qui s'applique le TDPSA ? Le TDPSA s'applique aux organisations qui exercent leurs activités au Texas ou ciblent des résidents texans, traitent ou vendent des données personnelles, et ne sont pas qualifiées de petites entreprises selon les critères de la SBA.
Quelles sont les causes fréquentes de non-conformité au TDPSA ? La plupart des manquements résultent d'organisations qui ne respectent pas correctement les demandes de désinscription des consommateurs, maintiennent des divulgations de confidentialité incomplètes ou obsolètes, manquent de visibilité sur le traitement des données par les scripts tiers, ou n'ont pas mis en place de mesures de sécurité raisonnables.
Pourquoi la surveillance des sites web est-elle essentielle pour la conformité au TDPSA ? Les données personnelles sont souvent collectées, partagées ou exposées dans le navigateur par des scripts web que votre équipe ne contrôle pas entièrement. La surveillance côté client et des traceurs de données tiers est donc indispensable pour prévenir les fuites de données et démontrer la conformité.

Gérer une entreprise aujourd'hui, c'est détenir les clés d'une grande quantité d'informations appartenant à d'autres personnes. Les violations de données n'étant plus rares, les régulateurs rehaussent les exigences en matière de gestion de ces informations. Le Texas Data Privacy and Security Act en est un exemple concret.

De nombreuses entreprises faisaient déjà preuve de prudence, mais le TDPSA rend la protection obligatoire et précise les conséquences en cas de manquement. Il est à noter qu'une grande partie des données sensibles est consultée, traitée ou exposée côté client, via les navigateurs et les scripts tiers qui s'exécutent discrètement sur votre site web. Ce manque de visibilité vous expose à des violations du TDPSA.

Dans cet article, nous expliquons ce qu'est le TDPSA, si votre organisation est concernée, les raisons fréquentes de violations, et pourquoi vous ne pouvez pas ignorer la sécurité côté client pour une conformité totale au TDPSA.

Qu'est-ce que le Texas Data Privacy and Security Act ?

Le Texas Data Privacy and Security Act (TDPSA) est une loi sur la protection de la vie privée des consommateurs qui accorde aux résidents texans des droits spécifiques sur leurs informations personnelles. Elle a été promulguée le 18 juin 2023.

Elle oblige les organisations (responsables du traitement) à limiter la collecte de données à ce qui est strictement nécessaire à un ou plusieurs « objectifs » précis. La loi donne aux Texans le droit de savoir si et comment une entreprise utilise leurs informations personnelles. Ils peuvent également accéder à leurs données, les corriger, les supprimer ou en demander une copie, et choisir de se désinscrire de la publicité ciblée, de la vente de données et du profilage.

Les violations du TDPSA peuvent entraîner des sanctions civiles allant jusqu'à 7 500 $ par violation, et le pouvoir d'application appartient exclusivement au procureur général du Texas.

Le TDPSA s'applique-t-il à mon organisation ?

Critères d'éligibilité au TDPSA (Texas Data Privacy and Security Act) montrant comment déterminer si le TDPSA s'applique à une organisation — Critères d'éligibilité simplifiés au titre du Texas Data Privacy and Security Act (TDPSA)

Le TDPSA s'applique à votre organisation si vous remplissez les trois conditions suivantes :

a. Vous exercez des activités au Texas ou produisez des biens ou services consommés par des résidents du Texas (cela peut inclure des produits/services en ligne atteignant des consommateurs texans).

b. Vous traitez ou vendez des « données personnelles » de ces résidents texans. Ici, les données personnelles désignent toute information liée ou raisonnablement susceptible d'être liée à une personne identifiée ou identifiable. Contrairement au CCPA californien ou au CPA du Colorado, le TDPSA ne prévoit pas de seuil de chiffre d'affaires ou de nombre de consommateurs pour déterminer son applicabilité.

c. Vous n'êtes pas une « petite entreprise » au sens des règles de la Small Business Administration des États-Unis.

Si vous répondez oui aux trois conditions ci-dessus, les principales protections de la vie privée et obligations professionnelles du TDPSA s'appliquent à votre organisation.

Exceptions au TDPSA

Certaines exceptions s'appliquent, indépendamment de ces conditions. Elles concernent notamment :

Les agences d'État et subdivisions politiques, les organisations à but non lucratif, les établissements d'enseignement supérieur (publics ou privés), les institutions financières réglementées par le Gramm-Leach-Bliley Act, les entités de santé couvertes par la HIPAA et leurs partenaires commerciaux, ainsi que certains fournisseurs de services publics et de services réglementés.

Quelles sont les principales exigences du TDPSA ?

Voici quelques-unes des exigences fondamentales imposées aux organisations par le TDPSA :

Divulguer clairement les pratiques relatives aux données personnelles

Le TDPSA vous oblige à expliquer quelles données personnelles sont collectées, pourquoi elles le sont, comment elles sont utilisées et avec qui elles sont partagées.

Vous devez informer clairement vos clients de la manière dont vous utiliserez et traiterez leurs données, dans un langage accessible.

Obtenir un consentement affirmatif pour le traitement des données sensibles

Vous devez recueillir un consentement explicite (opt-in) avant de traiter des données sensibles telles que la géolocalisation précise ou les données biométriques. La loi interdit de s'appuyer sur un consentement implicite, groupé ou dissimulé. En d'autres termes, l'accord de l'utilisateur doit être spécifique et sans ambiguïté.

Répondre aux demandes d'exercice des droits des consommateurs dans les délais impartis

Le TDPSA permet aux consommateurs d'accéder à leurs données, de les corriger, de les supprimer ou d'en obtenir des copies, et de se désinscrire de certains traitements. Les organisations qui reçoivent ces demandes doivent y répondre dans un délai de 45 jours, avec une seule prolongation limitée lorsqu'elle est justifiée.

Permettre la désinscription de la vente de données, de la publicité ciblée et du profilage

Les organisations doivent informer clairement les consommateurs lorsque ces activités ont lieu et fournir un mécanisme de désinscription réel et fonctionnel qui met fin au traitement.

Les mécanismes de désinscription doivent fonctionner pour tous les flux de données, y compris ceux déclenchés côté client. Si des scripts de suivi ou des pixels continuent d'envoyer des données après une désinscription, l'organisation reste en violation du TDPSA.

Gérer et surveiller les fournisseurs et sous-traitants

Les entreprises doivent établir des contrats limitant l'utilisation des données et superviser activement le comportement de leurs fournisseurs. Cela inclut la compréhension des activités de traitement des données que les fournisseurs effectuent lors des sessions des utilisateurs sur le site web.

Le côté client est la nouvelle surface de risque pour la vie privée

Risques côté client pour le TDPSA illustrant comment l'activité côté client peut affecter la conformité au Texas Data Privacy and Security Act — Risques côté client pour le TDPSA, mettant en évidence comment la collecte de données et les scripts côté navigateur peuvent affecter la conformité au Texas Data Privacy and Security Act.

Le côté client est devenu une surface de risque majeure pour la vie privée en matière de violations des lois sur la protection des données telles que le TDPSA. En effet, la plupart des données personnelles sont de plus en plus collectées et transmises via le navigateur de l'utilisateur.

Les scripts tiers représentent un risque pour la conformité au TDPSA

Les scripts tiers s'exécutent dans le navigateur de l'utilisateur, mais restent sous la responsabilité de l'organisation qui les a placés sur le site.

Les organisations modernes font tourner de nombreux scripts, dont la plupart sont installés par différentes équipes à des fins différentes.
Ces scripts s'exécutent souvent sans contrôle, collectant des données personnelles telles que des adresses IP, des identifiants, des saisies de formulaires ou des signaux comportementaux.
Au titre du TDPSA, l'organisation est le « responsable du traitement » car elle décide d'utiliser ces scripts et en tire profit. Même si un fournisseur tiers collecte les données, le responsable du traitement demeure responsable de la façon dont les données personnelles sont « traitées ».
Si des scripts collectent des données au-delà de ce qui est divulgué dans la politique de confidentialité, les organisations risquent de violer les règles de limitation des finalités et de transparence du TDPSA, notamment en matière de « publicité ciblée » ou de « vente de données » non intentionnelles.

Les attaques côté client représentent un risque de violation de données pour le TDPSA

Les attaques côté client surviennent lorsqu'un code malveillant ou compromis s'exécute dans le navigateur. Cela peut se produire via une bibliothèque tierce piratée, une mise à jour de script corrompue ou une balise injectée.
Si une organisation ne surveille pas ou ne contrôle pas ce qui s'exécute côté client, elle peut être dans l'incapacité de démontrer qu'elle a pris des mesures techniques raisonnables pour protéger les données personnelles.
Les violations côté client compliquent également la réponse aux demandes d'exercice des droits des consommateurs.
De plus, si les données divulguées ne peuvent pas être tracées ou supprimées, le responsable du traitement risque de ne pas pouvoir satisfaire à ses obligations d'accès, de suppression ou de désinscription.

Les bannières de cookies suffisent-elles pour la conformité au TDPSA ?

Non, les bannières de cookies seules ne suffisent pas pour la conformité au TDPSA. Une bannière peut recueillir le consentement, mais elle a un contrôle limité sur ce que les scripts font réellement une fois la page chargée.

Les bannières de cookies n'empêchent pas non plus les cookies et scripts « acceptés » de collecter plus de données que nécessaire ou de les envoyer à des destinataires inattendus.

Les CMP et les bannières de cookies sont des éléments précieux d'un dispositif de conformité pour les sites web, mais ils ne répondent pas à eux seuls aux exigences relatives aux mesures de sécurité ou au maintien de la visibilité sur la façon dont les données sont partagées entre différentes juridictions.

Où les manquements à la conformité au TDPSA se produisent-ils généralement ?

Où les manquements à la conformité au TDPSA se produisent sur les sites web et les flux de données au titre du Texas Data Privacy and Security Act — Où les manquements à la conformité au TDPSA se produisent, montrant les points de défaillance courants au titre du Texas Data Privacy and Security Act.

Les manquements à la conformité au TDPSA surviennent généralement lorsque les organisations supposent que la gestion des données est plus simple qu'elle ne l'est en réalité.

Dans une organisation typique, les données personnelles transitent par de nombreux systèmes, équipes et fournisseurs, chaque transfert introduisant un risque. Sans systèmes et processus clairs pour stocker, gérer et couper l'accès à ces données, les organisations s'exposent à des violations du TDPSA.

Voici quelques raisons fréquentes de manquements à la conformité au TDPSA :

1. Traiter des données sensibles sans obtenir le consentement préalable

De nombreuses entreprises collectent ou vendent des données de localisation précises et d'autres informations sensibles, parfois sans le consentement explicite de l'utilisateur.

Avec le TDPSA, l'État du Texas a cherché à mettre fin à cette pratique.

En vertu de la loi, la transparence est primordiale. Si des données sont partagées avec des tiers ou utilisées à des fins qui ne sont pas clairement divulguées, l'organisation ne remplit plus ses obligations, même si l'omission était involontaire.

L'une de ses premières actions d'application, et aussi l'une des plus notables, a été lorsque le procureur général de l'État a poursuivi Allstate et sa filiale Arity pour avoir collecté, utilisé et vendu les données de localisation et de déplacement des téléphones portables de Texans sans autorisations appropriées.

2. Mesures de sécurité insuffisantes

Le TDPSA exige des pratiques de sécurité raisonnables, ce qui inclut la compréhension des points d'exposition des données. De nombreuses organisations concentrent leurs efforts de sécurité sur les serveurs et les bases de données, mais négligent les intégrations, les outils tiers et les éléments de site web qui traitent les données des utilisateurs.

Ces surfaces non surveillées peuvent entraîner une exposition involontaire de données sensibles via du code mal configuré ou des injections malveillantes qui aspirent des PII.

Les actions et recommandations de la FTC concernant les pixels de suivi (comme dans les affaires GoodRx et BetterHelp) montrent que la fuite côté client d'informations de santé ou de localisation déclenche des mesures d'application.

Ce sont également précisément les types de défaillances techniques que le TDPSA considère comme des manquements à la sécurisation et à la limitation appropriées du traitement des données.

3. Manque de transparence sur la vente de données et la publicité ciblée

Le procureur général du Texas Ken Paxton a commenté l'incident Allstate :

« Les données personnelles de millions d'Américains ont été vendues à des compagnies d'assurance à leur insu et sans leur consentement, en violation de la loi. Les Texans méritent mieux et nous demanderons des comptes à toutes ces entreprises. »

Même si vous échangez des données personnelles de consommateurs contre de la valeur — comme des analyses, du ciblage publicitaire ou de l'enrichissement de données — cela compte quand même.

Les régulateurs veulent savoir si les consommateurs comprennent que leur comportement, leur localisation ou d'autres identifiants sont utilisés pour les profiler ou leur diffuser des publicités ciblées. Si une entreprise ne divulgue pas clairement ce traitement et ne propose pas de mécanisme de désinscription, le Texas le considère comme une violation, que l'entreprise estime ou non que la pratique relève du marketing standard.

Un langage vague comme « nous pouvons partager des données avec des partenaires » ne suffira pas. Si de la publicité ciblée ou des ventes de données ont lieu, elles doivent être explicitement divulguées.

4. Non-respect des demandes de désinscription

Les politiques de confidentialité peuvent être trompeuses. De nombreux sites web indiquent aux utilisateurs qu'ils peuvent se désinscrire de la vente de données ou de la publicité ciblée. Cependant, ces désinscriptions peuvent mener à des liens brisés, des formulaires non fonctionnels ou des systèmes qui ignorent les signaux basés sur le navigateur comme le Global Privacy Control.

Les régulateurs ne considèrent pas cela comme un problème technique mineur, mais comme une atteinte aux droits des consommateurs.

L'action d'application contre Sephora en Californie l'illustre clairement.

Sephora indiquait aux utilisateurs qu'ils pouvaient se désinscrire de la vente de données, mais continuait à envoyer des données à des partenaires publicitaires. Les régulateurs ont traité cela comme une violation des droits des consommateurs, obligeant la marque de beauté à payer une pénalité de 1,2 million de dollars.

Le Texas applique également des exigences similaires au titre du TDPSA.

Ressources officielles et liens gouvernementaux sur le TDPSA

Voici les principales ressources officielles où vous pouvez lire la loi et obtenir des orientations faisant autorité sur le Texas Data Privacy and Security Act (TDPSA) :

Procureur général du Texas, Page principale du TDPSA : Il s'agit de la page officielle du Bureau du procureur général expliquant le Texas Data Privacy and Security Act. Elle couvre l'aperçu général des droits, des obligations et des personnes tenues de se conformer.
Texas Business and Commerce Code, Chapitre 541 – Texte législatif complet : Il s'agit du texte officiel de la loi telle que codifiée dans le Texas Business & Commerce Code. Il comprend toutes les définitions, les droits des consommateurs, les obligations des responsables du traitement, les exigences de notification, les règles d'application, et plus encore.

Texas State Law Library, Contexte du TDPSA et liens vers le texte du projet de loi : Cette page propose un résumé de bibliothèque publique et renvoie au texte réel du projet de loi et aux définitions du chapitre 541 du Texas Business and Commerce Code.

Calendrier du TDPSA

18 juin 2023 : Le Texas Data Privacy and Security Act (TDPSA) est promulgué.

1er juillet 2024 : La plupart des dispositions du TDPSA entrent en vigueur. Celles-ci comprennent les obligations fondamentales telles que les devoirs de traitement des données, les avis de confidentialité, les réponses aux droits des consommateurs, les évaluations de la protection des données et les exigences de sécurité.

1er janvier 2025 : Les responsables du traitement doivent reconnaître les méthodes universelles de désinscription permettant aux consommateurs d'utiliser des signaux et outils globaux pour exprimer leurs préférences en matière de confidentialité. Ceux-ci peuvent inclure des paramètres de navigateur, des extensions ou des liens de désinscription au niveau de l'appareil.

Pourquoi le TDPSA a été introduit

Le TDPSA a été introduit pour protéger les données personnelles des résidents texans à une époque où les violations de données sont devenues une réalité quotidienne.

Un rapport du comité de la Chambre des représentants du Texas de novembre 2022 note que la menace posée par les entreprises qui possèdent et échangent des données de consommateurs à leur insu est réelle. Il cite même des entreprises spécifiques qui gèrent mal les données des consommateurs.

Ce rapport analyse les lois sur la protection de la vie privée déjà adoptées par d'autres États américains, comme la Californie et la Virginie, et plaide en faveur d'une législation similaire au Texas.

Dans les propres termes du rapport :

« Le Texas devrait envisager d'adopter une législation qui donne aux consommateurs plus de contrôle sur leurs données. Des dispositions importantes pour une loi solide incluraient le droit des consommateurs de corriger et de supprimer leurs informations. »

Comment cside aide les organisations à atteindre la conformité au TDPSA

cside Privacy Watch aide à combler une lacune majeure en matière de confidentialité que de nombreux outils de sécurité traditionnels manquent : ce qui s'exécute réellement dans le navigateur de l'utilisateur.

Visibilité sur la collecte de données du site web

cside offre une vue claire des scripts qui s'exécutent sur votre site web, des données auxquelles ils accèdent et de l'endroit où ces données sont envoyées. Cela aide les équipes à maintenir des enregistrements précis de la collecte de données et à soutenir des divulgations de confidentialité claires et à jour.

Minimisation des données grâce à une surveillance continue

Au fil du temps, les outils tiers peuvent évoluer et commencer à collecter plus de données que prévu initialement. cside détecte ces changements au fur et à mesure qu'ils se produisent, permettant aux équipes d'identifier les collectes de données inutiles.

Soutien aux mesures de sécurité raisonnables

Le TDPSA exige des organisations qu'elles mettent en œuvre des mesures raisonnables pour protéger les données personnelles. cside surveille les comportements suspects des scripts, les modifications non autorisées et les schémas d'exfiltration de données pour prévenir les fuites de données provenant d'attaques côté client.

Supervision des outils tiers

De nombreux manquements à la conformité trouvent leur origine chez des fournisseurs tiers. cside valide que les scripts tiers se comportent comme prévu dans le cadre de vos attentes en matière de confidentialité.

Documentation et preuves prêtes pour les audits

cside conserve des enregistrements détaillés de l'activité des scripts, des modifications de configuration et du comportement de traitement des données. Ces journaux constituent des preuves défendables sur lesquelles les organisations peuvent s'appuyer lors d'audits ou d'enquêtes réglementaires.

Vous pouvez commencer avec notre offre gratuite permanente ou réserver une démonstration pour en savoir plus sur les exigences côté client des lois étatiques américaines comme le TDPSA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le TDPSA s'applique aux entreprises qui exercent leurs activités au Texas ou qui proposent des produits ou services aux résidents texans et traitent leurs données personnelles. Il exclut les petites entreprises, sauf lorsqu'elles vendent des données personnelles sensibles. Dans ce cas, les exigences en matière de consentement s'appliquent tout de même.

Il n'existe pas d'équivalent exact du RGPD au Texas, mais le TDPSA joue un rôle similaire à l'échelle de l'État. Il accorde des droits à la vie privée aux consommateurs, réglemente les données sensibles et impose des obligations de sécurité et de transparence. L'application du TDPSA relève exclusivement du procureur général du Texas.

La première grande action d'application du TDPSA a été le procès intenté par le Texas contre Allstate et Arity. Ce procès alléguait qu'Allstate avait collecté et vendu des données de localisation sensibles sans notification ni consentement appropriés. Le Texas a également engagé d'importantes actions en matière de protection de la vie privée contre Google pour des pratiques de suivi et d'utilisation des données non divulguées.

Parmi les exigences clés du TDPSA figurent : des divulgations claires sur la vie privée, un consentement explicite pour les données sensibles, des réponses dans les délais aux demandes d'exercice des droits des consommateurs, et des mécanismes de désinscription pour la vente de données et la publicité ciblée. Le TDPSA impose également des mesures de sécurité raisonnables et la responsabilisation des fournisseurs et sous-traitants.

Les violations du Texas Data Privacy and Security Act sont appliquées par le procureur général du Texas. La loi ne permet pas aux consommateurs d'intenter des poursuites privées, conférant au procureur général le pouvoir exclusif d'engager des actions d'application.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.