Blog

VCDPA : Guide des exigences et conformité des sites web

Découvrez une analyse claire des règles du Virginia Consumer Data Protection Act, des délais d'application et de la gestion correcte des scripts tiers.

Jan 22, 2026 • 14 min read

Juan Combariza Growth Marketer

VCDPA - Virginia Consumer Data Protection Act - Exigences et conformité des sites web

En résumé

Qu'est-ce que le VCDPA ? Le Virginia Consumer Data Protection Act est une loi sur la protection de la vie privée qui accorde aux résidents de Virginie certains droits sur leurs informations personnelles. Il est devenu la deuxième loi sur la vie privée au niveau des États aux États-Unis après la Californie et est entré en vigueur le 1er janvier 2023.
À qui s'applique le VCDPA ? Le VCDPA s'applique aux organisations qui exercent des activités en Virginie ou qui ciblent des résidents de Virginie et qui soit (a) contrôlent ou traitent les données personnelles d'au moins 100 000 consommateurs par an, soit (b) contrôlent ou traitent les données d'au moins 25 000 consommateurs tout en tirant plus de 50 % de leur chiffre d'affaires brut de la vente de données personnelles.
Quelles sont les causes courantes de non-conformité au VCDPA ? La plupart des manquements résultent du traitement de données sensibles sans consentement explicite, du non-respect des délais de réponse aux demandes d'exercice des droits des consommateurs, ou de divulgations de confidentialité insuffisantes. Le manque de visibilité sur le comportement des scripts tiers sur les sites web peut également entraîner des violations.
Comment rendre mon site web conforme au VCDPA ? Maintenez une politique de confidentialité à jour, obtenez le consentement avant de traiter des données personnelles, honorez les demandes relatives aux données et surveillez les sous-traitants tiers sur votre site web avec un outil comme cside.

Les entreprises ont besoin de données pour se développer. Malheureusement, cela conduit à ce que des données sensibles de consommateurs soient traitées sans leur consentement. Ce phénomène est plus souvent dû à des erreurs de configuration techniques qu'à des intentions contraires à l'éthique de la part des entreprises.

Les gouvernements du monde entier en prennent note et adoptent des lois pour rendre la collecte de données claire et transparente. Comme plusieurs États américains, la Virginie a également élaboré une loi sur la vie privée conçue pour être favorable aux entreprises tout en protégeant les consommateurs.

Avec l'objectif simple de donner aux individus le contrôle de leurs données, le Virginia Consumer Data Protection Act est important pour toute organisation exerçant des activités dans cet État. Cet article explique ce qu'est le Virginia Data Protection Act, ses principales exigences, et pourquoi vous ne pouvez pas ignorer la sécurité côté client pour être véritablement conforme.

Qu'est-ce que le Virginia Consumer Data Protection Act ?

Le Virginia Consumer Data Protection Act (VCDPA) est une loi sur la vie privée au niveau d'un État américain qui accorde aux résidents de Virginie un certain nombre de droits sur leurs informations personnelles. Le gouverneur Ralph Northam l'a promulguée le 2 mars 2021 et elle est entrée en vigueur le 1er janvier 2023.

Elle repose sur le principe que si vous n'avez pas de raison spécifique et déclarée de détenir des données, vous ne devriez pas les détenir du tout.

Les résidents de Virginie disposent désormais de droits spécifiques et opposables sur leur empreinte numérique :

Le droit de contrôle : Les consommateurs peuvent accéder à leurs données personnelles, les corriger ou les supprimer à tout moment
Le droit de retrait : Les entreprises doivent fournir un mécanisme simple permettant aux utilisateurs de s'opposer au traitement. Ce droit d'opposition couvre la publicité ciblée, la vente de données et le profilage automatique

En vertu du VCDPA, les organisations doivent obtenir un consentement explicite pour collecter des données de santé, religieuses, biométriques et de géolocalisation précise ; un consentement explicite et affirmatif est requis par défaut.

Les citoyens individuels ne disposent pas d'un droit d'action privé en vertu du VCDPA. Le procureur général de Virginie détient l'autorité pour appliquer les sanctions. Les pénalités peuvent atteindre 7 500 $ par violation.

Le VCDPA s'applique-t-il à mon entreprise ? (Auto-évaluation)

Critères d'éligibilité - VCDPA - Virginia Consumer Data Protection Act - Le VCDPA s'applique-t-il à mon organisation

Le VCDPA s'applique à votre organisation si vous remplissez les critères suivants :

Vous exercez des activités en Virginie ou produisez des produits ou services ciblant des résidents de Virginie.
Vous atteignez l'un des deux seuils de traitement de données : (a) contrôler ou traiter les données personnelles d'au moins 100 000 consommateurs au cours d'une année civile, ou (b) contrôler ou traiter les données personnelles d'au moins 25 000 consommateurs et tirer plus de 50 % de votre chiffre d'affaires brut de la vente de données personnelles.

Contrairement au CCPA californien, le VCDPA ne prévoit pas de seuil basé uniquement sur le chiffre d'affaires. Le chiffre d'affaires annuel brut d'une entreprise ne détermine pas à lui seul l'applicabilité. Les seuils portent entièrement sur le volume de traitement des données et sur les revenus tirés spécifiquement de la vente de données.

consommateur désigne une personne résidant en Virginie agissant dans un contexte individuel ou familial.
données personnelles désigne toute information liée ou raisonnablement susceptible d'être liée à une personne physique identifiée ou identifiable. Cela exclut les données dépersonnalisées et les informations accessibles au public.

Exemptions au VCDPA

Certaines entités sont entièrement exemptées des exigences du VCDPA.

Les agences d'État, les subdivisions politiques et les organes du gouvernement de Virginie
Les institutions financières soumises au Gramm-Leach-Bliley Act
Les entités couvertes et les associés commerciaux régis par HIPAA
Les organisations à but non lucratif (y compris les organisations politiques selon les amendements récents)
Les établissements d'enseignement supérieur

Quelles sont les principales exigences du VCDPA ?

Fournir des avis de confidentialité clairs

Les responsables du traitement (organisations) doivent afficher un avis de confidentialité raisonnablement accessible. Cet avis doit indiquer les catégories de données personnelles traitées, les finalités du traitement, la manière dont les consommateurs peuvent exercer leurs droits, les catégories de données partagées avec des tiers et les catégories de ces tiers.

Si un responsable du traitement vend des données personnelles ou les traite à des fins de publicité ciblée, cela doit être clairement divulgué, accompagné d'instructions sur la façon dont les consommateurs peuvent s'y opposer.

Obtenir le consentement avant de traiter des données sensibles

Le VCDPA interdit le traitement de données sensibles sans obtenir le consentement explicite du consommateur. Le « consentement implicite » ne satisfait pas à cette exigence.

Pour les données collectées auprès d'enfants de moins de 13 ans, les responsables du traitement doivent se conformer aux exigences fédérales du Children's Online Privacy Protection Act (COPPA). Les amendements au VCDPA entrés en vigueur le 1er janvier 2025 ont ajouté des restrictions supplémentaires sur le traitement des données des enfants à des fins de publicité ciblée, de profilage et d'autres finalités sans le consentement parental.

Répondre aux demandes d'exercice des droits des consommateurs dans un délai de 45 jours

Après qu'un consommateur a soumis une demande d'exercice de ses droits, les responsables du traitement doivent y répondre dans un délai de 45 jours. Une prolongation de 45 jours est autorisée lorsque cela est raisonnablement nécessaire en raison de la complexité technique ou d'un nombre élevé de demandes, mais le consommateur doit en être informé dans le délai initial.

Les réponses doivent être gratuites jusqu'à deux fois par an par consommateur. Si un responsable du traitement refuse une demande, il doit en expliquer les raisons et fournir des instructions pour faire appel. Les appels doivent être tranchés dans un délai de 60 jours. Si un appel est rejeté, le responsable du traitement doit fournir un moyen permettant au consommateur de contacter le procureur général.

Permettre l'opposition à la vente, à la publicité ciblée et au profilage

Les consommateurs ont le droit de s'opposer au traitement à des fins de publicité ciblée, à la vente de données personnelles et au profilage produisant des effets juridiques ou d'une importance similaire.

Les responsables du traitement doivent fournir un mécanisme fonctionnel pour honorer ces demandes. L'organisation reste en infraction si des scripts de suivi ou des pixels continuent de transmettre des données après qu'un consommateur s'est opposé au traitement.

Établir des contrats avec les sous-traitants

Les responsables du traitement doivent disposer de contrats écrits avec tout sous-traitant gérant des données en leur nom. Cela inclut les sous-traitants de données de sites web tels que les chatbots, les outils d'analyse ou de marketing. Les accords doivent préciser la nature et la finalité du traitement, le type de données concernées, la durée du traitement ainsi que les droits et obligations des deux parties.

La plupart des grands fournisseurs (comme Meta, Google Ads, Cloudflare) proposent des DPA standardisés disponibles sur leur site web.

Risques cachés de violation de la vie privée sur les sites web au regard du VCDPA

Risques de violation de la vie privée sur les sites web pour le VCDPA - cside

La surface de risque la plus négligée en matière de conformité au VCDPA est votre site web. Les sites modernes chargent un mélange de code développé en interne et de code provenant de fournisseurs tiers (scripts tiers). Ces scripts tiers en chargent d'autres à leur tour (sous-traitants). Chacun de ces scripts ajoute un risque de sécurité et de confidentialité à votre site web. Par des erreurs de configuration ou des injections de code malveillant, ils compromettent les données personnelles.

Les scripts tiers constituent un risque de conformité au VCDPA

Les pixels marketing, les outils d'analyse et les widgets sociaux sont courants sur la plupart des sites web commerciaux. Chaque script peut collecter des adresses IP, des identifiants d'appareils, des comportements de navigation et des saisies de formulaires.

En vertu du VCDPA, l'organisation qui déploie ces scripts est le responsable du traitement.

Vous enfreignez la conformité si ces scripts collectent plus de données que ce qui est divulgué dans votre avis de confidentialité. S'ils continuent à collecter des données après qu'un consommateur s'est opposé au traitement, vous êtes également en infraction. La plupart des organisations n'ont aucun moyen de savoir si leurs scripts se comportent comme prévu.

Les injections JavaScript constituent un risque de violation de données au regard du VCDPA

Au-delà de la conformité, le code côté client présente des risques de sécurité. Par exemple :

Des scripts malveillants ou compromis peuvent extraire des données personnelles directement depuis le navigateur
Une mise à jour de bibliothèque empoisonnée ou une balise injectée peut exposer les informations des consommateurs sans être détectée par les contrôles de sécurité côté serveur.

Le VCDPA exige que les responsables du traitement maintiennent des pratiques de sécurité raisonnables. Une organisation qui déploie du code tiers non surveillé et subit une violation côté client aura du mal à démontrer qu'elle a pris les précautions appropriées.

Les bannières de cookies seules ne peuvent pas garantir la conformité au VCDPA

Les plateformes de gestion du consentement sont importantes pour la conformité à la vie privée des sites web, mais ne constituent qu'une partie de la solution. Une bannière de cookies collecte les préférences de consentement, mais sa capacité d'application reste limitée.

Les CMP peuvent dysfonctionner si elles ne sont pas correctement intégrées à Google Tag Manager ou à d'autres outils d'analyse. De plus, les CMP ne sont pas conçues pour se protéger contre les attaques côté client, où des scripts tiers « de confiance » sont détournés et contournent entièrement les paramètres de consentement.

Manquements courants à la conformité au VCDPA

Où se produisent les manquements à la conformité au VCDPA - Virginia Consumer Data Protection Act

Traitement de données sensibles sans consentement

La violation la plus directe se produit lorsque des organisations traitent des données sensibles sans consentement explicite. Cela inclut les données de géolocalisation, les informations relatives à la santé, les identifiants biométriques et les données provenant d'enfants identifiés comme tels. De nombreux sites web collectent ces informations via des scripts sans se rendre compte des implications en matière de consentement.

Par exemple, un site web de santé utilisant un pixel Meta peut transmettre par inadvertance des informations sur les pages de pathologies visitées par un utilisateur. Ces données comportementales sont considérées comme des informations de santé sensibles nécessitant un consentement explicite avant de pouvoir être « partagées ».

Avis de confidentialité ne correspondant pas aux pratiques réelles

Les responsables du traitement doivent s'assurer que leurs divulgations de confidentialité décrivent avec précision les données collectées, les raisons de cette collecte et les destinataires. Ces pratiques peuvent s'écarter de ce que stipule l'avis de confidentialité lorsque des scripts tiers changent ou que de nouvelles balises sont ajoutées par les équipes marketing.

La violation vous est incontestablement imputable si un script sur votre site partage des données avec une partie non divulguée.

Mécanismes d'opposition qui ne fonctionnent pas

Les avis de confidentialité peuvent promettre aux consommateurs le droit de s'opposer au partage de données, pour finalement échouer lorsqu'une vraie demande de consommateur arrive.

L'action coercitive du procureur général de Californie contre Sephora a illustré ce risque. L'entreprise indiquait que les utilisateurs pouvaient s'opposer à la vente de leurs données, mais continuait à envoyer des données à des partenaires publicitaires. Les régulateurs ont considéré cela comme un refus des droits des consommateurs. La même logique d'application s'applique en vertu du VCDPA.

Analyses d'impact sur la protection des données manquantes ou insuffisantes

Les organisations qui traitent des données personnelles à des fins de publicité ciblée, vendent des données ou gèrent des informations sensibles doivent documenter des analyses d'impact sur la protection des données. De nombreuses organisations ignorent cette exigence ou produisent des analyses qui n'évaluent pas les risques de manière significative.

Le procureur général peut demander ces documents lors d'une enquête. Une organisation incapable de produire des analyses adéquates aura du mal à démontrer sa conformité.

Non-respect des délais de réponse

Les demandes d'exercice des droits des consommateurs doivent recevoir une réponse dans un délai de 45 jours et les appels doivent être résolus dans un délai de 60 jours. Les organisations ne disposant pas de systèmes efficaces de réception et de traitement des demandes risquent de ne pas respecter ces délais. Un schéma de demandes traitées tardivement ou ignorées signale une non-conformité systémique.

Ressources officielles sur le VCDPA et liens gouvernementaux

Procureur général de Virginie, résumé du VCDPA : Le résumé officiel du Bureau du procureur général expliquant les droits des consommateurs, les obligations des entreprises et les procédures d'application
Code de Virginie, Chapitre 53 : Le texte complet de la loi incluant toutes les définitions, les droits des consommateurs, les obligations des responsables du traitement et les règles d'application
Ligne d'assistance aux consommateurs de Virginie : 1-800-552-9963 (en Virginie) ou (804) 786-2042 (région de Richmond et hors Virginie). Heures d'ouverture : 8h30 à 17h00, du lundi au vendredi

Chronologie du VCDPA

2 mars 2021 : Le gouverneur Ralph Northam a promulgué le Virginia Consumer Data Protection Act
1er janvier 2023 : Le VCDPA est entré en vigueur. L'application par le procureur général de Virginie a débuté. Les exigences relatives aux analyses d'impact sur la protection des données sont devenues applicables aux nouvelles activités de traitement
1er janvier 2025 : Les amendements concernant les données des enfants sont entrés en vigueur et ont rendu obligatoire le consentement parental avant de traiter les données personnelles d'enfants identifiés comme tels à des fins de publicité ciblée, de profilage et d'autres finalités spécifiées

1er janvier 2026 : Des amendements supplémentaires relatifs aux limites de temps sur les réseaux sociaux pour les mineurs de moins de 16 ans entrent en vigueur

Comment cside aide les organisations à atteindre la conformité au VCDPA

cside Privacy Watch détecte les violations cachées de la vie privée sur les sites web en surveillant les signaux au niveau du navigateur, que les outils de conformité traditionnels ignorent. cside offre une vue claire des scripts qui opèrent sur votre site web, des données auxquelles ils accèdent et de la destination de ces données. Cela vous permet de vérifier que les pratiques réelles de collecte de données correspondent à vos divulgations de confidentialité.

Le code tiers sur votre site web change fréquemment. cside signale les modifications des outils tiers au fur et à mesure qu'elles se produisent et vous permet d'identifier les collectes de données inutiles avant qu'elles ne créent un risque de conformité.
cside surveille les comportements suspects des scripts indiquant qu'une attaque côté client cible les données des visiteurs de votre site web
Les exigences côté client en matière de transparence, de limitation des finalités et de mesures de sécurité sont automatisées grâce à des tableaux de bord et des preuves automatisées.

Vous pouvez commencer avec le plan gratuit de cside ou réserver une démonstration pour en savoir plus sur la satisfaction des exigences côté client des lois sur la vie privée des États comme le VCDPA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le VCDPA peut également s'appliquer aux petites entreprises, pas seulement aux grandes. L'applicabilité dépend du volume de données personnelles de résidents de Virginie que vous traitez, et les entreprises qui vendent des données personnelles sont plus susceptibles d'entrer dans le champ d'application de la loi.

Une bannière de cookies peut aider, mais elle n'est pas suffisante à elle seule. Ce qui compte, c'est que votre site web respecte réellement les choix des utilisateurs et protège les données personnelles. Bien que le VCDPA n'exige un consentement explicite que pour les données sensibles, toute donnée personnelle exposée via des failles côté client peut tout de même constituer une violation de la vie privée.

Oui. En vertu du VCDPA, l'entreprise exploitant le site web est responsable de la conformité, même si le script d'un fournisseur tiers est à l'origine de la collecte ou du partage de données ayant causé la violation.

Non. Le consentement explicite n'est requis que pour les données sensibles, telles que les données de localisation précise, les informations de santé ou les données relatives aux enfants. Cependant, de nombreux sites web collectent involontairement des données sensibles via des scripts d'analyse ou de marketing, ce qui peut tout de même déclencher des obligations de conformité.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec fond de pixels bleus et trois coches : pourquoi les règles de vélocité ratent les agents de test de cartes IA, les signaux navigateur qui les révèlent et comment bloquer le paiement avant le checkout

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Une fenêtre de navigateur se dissolvant en un flux de particules de lumière bleue sur fond sombre

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jetons de session traversant une frontière de sécurité du navigateur vers des signaux d'empreinte du terminal

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.