Global Privacy Control est désormais un signal d'opposition contraignant dans dix États

Un navigateur peut désormais indiquer à ton serveur, dans un seul en-tête HTTP, que le visiteur s'est opposé à la vente ou au partage de ses données — et dans dix États américains, tu es légalement tenu d'obéir. Le signal s'appelle Global Privacy Control (GPC), et après une année d'actions de mise en application, il a cessé d'être une courtoisie pour devenir une obligation que les développeuses et développeurs doivent implémenter dans le code.

La plupart des équipes n'ont jamais écrit une ligne de gestion du GPC. Cet écart est maintenant une cible de contrôle.

Ce qu'est réellement le signal

Le GPC, ce sont deux surfaces décrivant une seule préférence. Sur le réseau, c'est un en-tête de requête HTTP :

Sec-GPC: 1

La spécification du W3C n'autorise qu'une seule valeur : le caractère littéral 1. L'en-tête est envoyé à chaque requête que fait le navigateur tant que le GPC est activé : chargements de page, appels d'API, récupérations d'images et de scripts. Il n'existe pas de Sec-GPC: 0 ; l'absence de l'en-tête signifie aucun signal, et non un consentement.

En JavaScript, la même préférence est exposée sur navigator :

const optedOut = navigator.globalPrivacyControl === true

Cette propriété renvoie true quand le GPC est actif, false quand il est pris en charge mais désactivé, et undefined dans les navigateurs qui n'implémentent pas la spécification. La détection de l'en-tête côté serveur et la lecture de la propriété côté client ne sont pas interchangeables : l'en-tête arrive avant l'exécution du moindre JavaScript, donc tout ce qui collecte des données à l'edge doit lire l'en-tête.

Pourquoi c'est devenu contraignant

Les mécanismes d'opposition universelle sont passés de facultatifs à obligatoires au fil d'une vague de lois d'États. La Californie (CPRA), le Colorado, le Connecticut, le Delaware, le Montana, le Nebraska, le New Hampshire, le New Jersey, l'Oregon et le Texas exigent désormais des entreprises concernées qu'elles respectent un signal de préférence d'opposition approuvé, et chacun de ces régulateurs a désigné le GPC comme valide. À la mi-2025, cela fait dix États avec une obligation légale en vigueur.

La mise en application a suivi les règles. En septembre 2025, la California Privacy Protection Agency, le procureur général du Colorado et le procureur général du Connecticut ont annoncé un contrôle d'enquête conjoint visant spécifiquement les entreprises qui ignoraient les signaux d'opposition — et ont pointé du doigt les sites affichant une confirmation d'apparence conforme tout en continuant à traiter des données en arrière-plan.

En février 2026, le procureur général de Californie a conclu un accord de 2,75 millions de dollars avec The Walt Disney Company pour des défaillances systématiques dans le respect des demandes d'opposition, le plus important accord sous la CCPA à ce jour. L'accord antérieur de 1,2 million avec Sephora avait établi le GPC comme signal valide ; Disney a établi que l'ignorer à grande échelle coûte cher.

La trajectoire est fixée. L'Opt Me Out Act (AB 566) de Californie, signé en octobre 2025, exige que les navigateurs eux-mêmes intègrent un contrôle de signal d'opposition d'ici le 1er janvier 2027. Le trafic GPC ne fera que croître à partir de là.

Ce que son respect exige

Pour une pile analytique ou publicitaire qui vend ou partage des données, l'implémentation représente un vrai travail. Tu dois détecter l'en-tête à l'edge avant que le moindre traçage ne se déclenche, supprimer le partage de données pour cette requête et — en vertu des réglementations CCPA en vigueur depuis le 1er janvier 2026 — être en mesure de démontrer que le signal a été traité, et pas seulement reçu.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

La partie difficile, ce n'est pas le if. C'est d'auditer chaque tag, pixel et script de conversion de la page, de confirmer que chacun s'arrête et de produire des preuves sur demande. Un site typique charge des tiers pertinents pour l'opposition qu'il ne contrôle pas entièrement — exactement la surface que le contrôle multi-États a sondée.

Pourquoi l'analytique sans cookies échappe à la question

Le GPC est une opposition à la vente ou au partage d'informations personnelles à des fins de publicité ciblée. L'obligation ne s'applique que si tu fais quelque chose auquel le visiteur peut s'opposer.

Un traceur privacy-first ne vend ni ne partage de données, ne construit pas de profils inter-sites et ne stocke aucun identifiant personnel au départ. Il n'y a pas de place de marché publicitaire en aval ni de tiers à supprimer. Le hash quotidien de visiteur est construit précisément pour qu'aucun identifiant stable n'existe et ne puisse être partagé :

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

L'IP et le User-Agent sont lus uniquement en mémoire, utilisés pour calculer le hash, puis écartés. L'entrée de date fait tourner le hash chaque jour, de sorte qu'il n'y a aucune identité inter-sessions à vendre, même en principe. L'endpoint /collect reçoit une requête, en dérive un comptage agrégé et ne conserve rien qui remonte à une personne.

Cela ne te dispense pas de lire Sec-GPC par bonne foi : respecter un signal sur lequel tu n'as techniquement aucune donnée sur laquelle agir est peu coûteux et témoigne d'une intention. Mais cela signifie que la partie coûteuse de la conformité au GPC — celle que Disney a mal gérée — ne s'applique jamais. Il n'y a aucune vente de données à arrêter parce que l'architecture n'a jamais produit de données vendables.

Le schéma commun aux deux régimes

Le modèle européen du consentement-avant-traçage et le modèle américain de l'opposition-sur-signal paraissent opposés, et sur le plan procédural ils le sont. Mais ils convergent vers le même fait technique : les deux régimes encadrent la création et la circulation d'un identifiant persistant lié à une personne. Le RGPD exige un consentement avant que tu n'en établisses un ; la loi d'État permet à un navigateur d'en révoquer la vente après coup.

Un système qui ne forge jamais d'identifiant inter-sessions répond aux deux questions de la même façon. Le bandeau de consentement n'a rien à conditionner, et le signal d'opposition n'a rien à faire appliquer — parce que l'objet réglementé n'a jamais été construit.