Ce que le Delete Act fait réellement

Le Delete Act est un ajout structurel au régime d'enregistrement des courtiers en données existant en Californie, en vigueur depuis 2020. Là où le cadre original exigeait simplement des courtiers qu'ils s'enregistrent annuellement auprès de l'État et divulguent leurs catégories d'informations personnelles, le Delete Act ajoute un mécanisme de suppression centralisé avec des délais stricts, des obligations d'audit et des sanctions en cas de non-conformité.

Le registre de suppression centralisé

Le registre est une plateforme gérée par la CPPA où les consommateurs californiens soumettent une seule demande de suppression qui se propage automatiquement à chaque courtier en données enregistré. Les courtiers doivent vérifier le registre au moins tous les quarante-cinq jours, identifier toute nouvelle demande correspondant à des personnes dans leurs ensembles de données, et supprimer les enregistrements correspondants dans le délai spécifié par la réglementation. Les consommateurs n'ont pas besoin de savoir quels courtiers détiennent leurs données — le registre gère la diffusion.

Qui est considéré comme courtier en données

La loi définit un courtier en données comme une entreprise qui collecte et vend sciemment des informations personnelles sur un consommateur avec lequel elle n'a pas de relation directe. La définition est plus étroite qu'il n'y paraît — les éditeurs propriétaires qui vendent leur propre audience ne sont pas des courtiers ; les sous-traitants qui traitent des données pour le compte d'un responsable de traitement ne sont pas des courtiers — mais elle englobe les fournisseurs de graphes d'identité, les plateformes publicitaires multi-contextes, les services de recherche de personnes, et une large partie de la couche d'extension d'audience par laquelle les éditeurs acheminent les données programmatiques.

Enregistrement et liste publique

Chaque courtier concerné doit s'enregistrer annuellement, payer des frais et figurer sur une liste publique tenue par la CPPA. D'ici 2026, cette liste est le point de référence pratique pour les éditeurs qui auditent leurs flux de données en aval : tout prestataire figurant sur la liste est un courtier en données aux fins du Delete Act, et les obligations contractuelles de l'éditeur envers ce prestataire doivent refléter la réalité de la propagation des suppressions.

Le balayage quarante-cinq jours et ses conséquences opérationnelles

La règle opérationnelle centrale est la cadence du balayage de suppression. Tous les quarante-cinq jours, chaque courtier enregistré doit vérifier le registre et supprimer chaque enregistrement correspondant. Cette cadence crée un nouveau type d'attrition d'identité que les éditeurs doivent anticiper.

Comment les audiences se dégradent sous l'effet du balayage

Une audience construite à partir d'un enrichissement par courtiers en données va se réduire selon un cycle d'environ six semaines à mesure que les consommateurs californiens qui ont émis des demandes de suppression se propagent à travers le réseau de courtiers. Les éditeurs qui gèrent des mesures US reposant sur la résolution d'identité — ciblage d'audience programmatique, fenêtres d'attribution dépendant d'identifiants inter-sites, modélisation lookalike utilisant des graines fournies par les courtiers — verront les tailles d'audience en Californie dériver vers le bas selon un schéma en dents de scie : chaque balayage retire une tranche, puis les visiteurs incrementaux remplissent à nouveau jusqu'au prochain balayage.

La réidentification est interdite

La loi interdit explicitement aux courtiers de réidentifier un consommateur qui a été supprimé, même si le courtier obtient par la suite les mêmes données d'une source différente. Cette interdiction ferme la faille évidente et signifie que les éditeurs ne peuvent pas s'appuyer sur leurs propres données propriétaires pour réintégrer des consommateurs supprimés dans des audiences acheminées par des courtiers. La suppression est censée être durable, et le programme d'audit du régulateur est conçu pour détecter les schémas de réidentification.

Les données propriétaires de l'éditeur sont hors de portée du balayage

Les données propriétaires de l'éditeur — utilisateurs inscrits, abonnés à la newsletter, membres du programme de fidélité — ne sont pas soumises au balayage du Delete Act, car l'éditeur n'est pas un courtier en données pour ces enregistrements. L'éditeur reste soumis aux droits de suppression du CCPA et du CPRA, qui sont distincts. Les deux régimes peuvent interagir : une suppression en vertu du Delete Act au niveau du courtier peut toujours laisser intact l'enregistrement propriétaire de l'éditeur, et l'éditeur doit continuer à honorer la demande de suppression distincte du CCPA du consommateur par l'intermédiaire de son propre canal de réception.

Le signal Global Privacy Control dans le nouveau monde

Le Delete Act se croise avec l'en-tête Global Privacy Control (GPC) que les navigateurs et les extensions de confidentialité envoient pour indiquer que l'utilisateur a défini une préférence d'opt-out universel. Les réglementations de la CPPA confirment que les éditeurs et les courtiers doivent honorer le GPC en tant qu'opt-out valide du CCPA, et le registre centralisé du Delete Act ajoute un chemin parallèle pour le même résultat.

Deux signaux, un même résultat

Un consommateur californien a deux façons de quitter l'écosystème de données commerciales : envoyer l'en-tête GPC depuis chaque navigateur qu'il utilise, ou soumettre une seule demande au registre du Delete Act. Les deux chemins produisent des résultats équivalents pour la plupart des cas d'usage, mais diffèrent par leur portée. Le GPC régit la vente et le partage en cours sur chaque site visité par le consommateur. Le registre supprime les enregistrements existants détenus par les courtiers. Les éditeurs doivent traiter les deux comme des signaux faisant autorité, et le CMP doit être configuré pour reconnaître l'un ou l'autre.

Le rôle du CMP dans la mise en avant des deux chemins

Le CMP conforme pour les audiences californiennes en 2026 affiche le statut d'honoration du GPC (le visiteur a le GPC activé, l'opt-out est actif), le lien d'opt-out propre à l'éditeur (le consommateur peut refuser la vente et le partage sur ce site en particulier), et un renvoi clair vers le registre de la CPPA pour les consommateurs souhaitant obtenir une suppression auprès des courtiers. L'architecture n'est pas techniquement exigeante — trois contrôles dans l'interface de consentement plutôt qu'un — mais la formulation est importante et l'application par la CPPA a été active sur les chemins d'opt-out trompeurs ou enfouis.

Ce que les éditeurs doivent faire

Le Delete Act est une réglementation ciblant les courtiers, pas les éditeurs, mais les conséquences opérationnelles pour les éditeurs sont réelles et nécessitent des changements spécifiques dans l'architecture de consentement et de données.

Auditer la stack prestataires par rapport au registre des courtiers

Chaque prestataire de la stack publicitaire et analytique de l'éditeur doit être recoupé avec la liste publique de courtiers de la CPPA. Les prestataires figurant sur la liste sont soumis au régime du Delete Act, et les contrats de l'éditeur avec ces prestataires doivent refléter la propagation des suppressions, la conservation des journaux d'audit et la cadence de balayage de quarante-cinq jours. La plupart des principaux prestataires de résolution d'identité et plusieurs grands SSP figurent désormais sur la liste ; l'audit n'est pas douloureux mais doit avoir lieu au moins une fois par an.

Mettre à jour l'avis de confidentialité et l'interface de consentement

L'avis de confidentialité de l'éditeur devrait expliquer le chemin du registre du Delete Act aux côtés du droit de suppression existant du CCPA, avec un lien direct vers le registre de la CPPA. L'interface de consentement devrait exposer le statut d'honoration du GPC lorsque le visiteur a l'en-tête activé, et les contrôles d'opt-out devraient être présentés avec la même mise en avant que les contrôles d'acceptation — les décisions d'application du Procureur général au cours de 2024 et 2025 ont rendu explicite le test du dark pattern.

Anticiper la courbe en dents de scie de l'audience

Les équipes de mesure et de ciblage d'audience doivent savoir que les métriques d'audience en Californie vont suivre une courbe en dents de scie de six semaines pilotée par la cadence du balayage. Les tableaux de bord et les modèles de rythme d'enchères doivent être calibrés sur ce schéma plutôt que de traiter chaque creux comme une anomalie. Les éditeurs effectuant une attribution rigoureuse devraient également modéliser le chemin de suppression par les courtiers comme une source d'attrition distincte afin que les chiffres post-balayage puissent être rapprochés clairement.

Les erreurs courantes du Delete Act qui déclenchent des constats

La première vague d'application de la CPPA en vertu du Delete Act au cours de 2025 a produit un schéma clair de constats du côté des éditeurs. L'avis de confidentialité de l'éditeur décrit le chemin d'opt-out du CCPA mais ne mentionne jamais le registre du Delete Act. La bannière de consentement honore le GPC pour la vente et le partage mais ne propage pas le signal au canal de réception des suppressions propriétaires de l'éditeur. L'éditeur contracte avec un courtier enregistré et ne met jamais à jour le contrat pour refléter les obligations de propagation des suppressions du Delete Act. Le CMP sert un panneau de gestion des préférences qui enterre l'opt-out à trois clics de profondeur derrière un bouton plus sombre que le tout-accepter. Chacun de ces points est une correction documentaire ou UX plutôt qu'un changement architectural profond — mais chacun est aussi exactement ce avec quoi la CPPA ouvre une enquête.

Conclusion

Le Delete Act donne aux consommateurs californiens un bouton unique qui les fait quitter l'écosystème de données commerciales, et d'ici 2026 le registre est opérationnel, la liste des courtiers est publique et le programme d'application est actif. Pour les éditeurs, les implications sont réelles mais délimitées : le Delete Act n'exige pas de l'éditeur qu'il fasse quoi que ce soit de spectaculaire, mais il exige de l'éditeur qu'il sache quels prestataires en aval sont des courtiers, qu'il mette à jour l'avis de confidentialité et l'interface de consentement pour exposer le nouveau chemin, qu'il honore le GPC de manière cohérente, et qu'il planifie la courbe en dents de scie de l'audience que le balayage de quarante-cinq jours produit. Rien de tout cela n'est techniquement difficile. Tout est opérationnellement précis. Les éditeurs qui ont effectué un audit propre en 2024 et 2025 exécutent maintenant une architecture établie ; les éditeurs qui ont traité le Delete Act comme un problème de courtier en données qui ne les concernait pas passent 2026 à rédiger des lettres de réponse et à réviser leurs avis de confidentialité sous la pression des délais du régulateur.