Oregon · OCDPAhébergement WordPress avec plugin OCDPA intégré à la plateforme.
l'Oregon est la seule loi d'État américaine sur la vie privée qui couvre les associations à but non lucratif de la même façon que les entreprises commerciales. le MU-plugin de conformité Yovale les traite à l'identique — signaux d'opt-out pour la vente, la publicité ciblée et le profilage, opt-in pour les données sensibles, Universal Opt-Out Mechanism honoré depuis le 1er janvier 2026, workflow de réponse en 45 jours et canal d'appel. vous ne l'installez pas. vous ne le mettez pas à jour. vous ne le payez pas. c'est ainsi que chaque site Yovale est livré, sur chaque offre. la même plateforme gère aussi CCPA, VCDPA, CPA, CTDPA, TDPSA et MCDPA — une seule stack, chaque loi d'État américain sur la vie privée.
En vertu de l'OCDPA, vous pouvez refuser la vente de données personnelles, la publicité ciblée et le profilage. Vous pouvez également accéder, corriger, supprimer ou exporter les données que nous détenons sur vous — y compris la liste des tiers spécifiques à qui nous les avons communiquées.
six obligations que vous devez remplir.
l'Oregon Consumer Data Privacy Act est entré en vigueur le 1er juillet 2024 pour les responsables de traitement commerciaux et le 1er juillet 2025 pour les associations à but non lucratif — faisant de l'Oregon le premier État américain à étendre un régime général de protection des consommateurs aux organismes sans but lucratif. il s'applique aux responsables qui traitent les données personnelles de 100 000 résidents de l'Oregon ou plus, ou de 25 000 ou plus lorsque 25% ou plus du chiffre d'affaires provient de la vente de données personnelles. l'application revient au Oregon Attorney General, avec des sanctions civiles jusqu'à $7,500 par violation. la période de remise en conformité de 30 jours s'est éteinte le 1er janvier 2026.
- 01
opt-out pour la vente, la publicité ciblée, le profilage
les résidents de l'Oregon peuvent refuser la vente de données personnelles, la publicité ciblée et le profilage produisant des effets juridiques ou similairement significatifs. le mécanisme doit être clair, visible et exempt de dark patterns.
- 02
Universal Opt-Out Mechanism (UOOM/GPC)
depuis le 1er janvier 2026, les responsables de traitement doivent honorer les signaux navigateur tels que Global Privacy Control comme un opt-out valide pour la vente et la publicité ciblée. l'Oregon a été la dernière loi d'État à rendre l'UOOM obligatoire, clôturant une vague initiée par la Californie.
- 03
OPT-IN pour les données sensibles
vous ne pouvez pas traiter de données sensibles sans consentement explicite. les données sensibles couvrent l'origine raciale ou ethnique, l'origine nationale, la religion, l'état de santé mentale ou physique, la vie sexuelle, l'orientation sexuelle, le statut transgenre ou non-binaire, la nationalité ou le statut d'immigration, le statut de victime d'infraction, les données génétiques ou biométriques, la géolocalisation précise et les données d'un enfant connu.
- 04
applicabilité aux associations
à la différence de toutes les autres lois d'État américaines sur la vie privée, l'OCDPA s'applique aux associations à but non lucratif aux mêmes conditions qu'aux entreprises, avec contrôle de seuil effectif au 1er juillet 2025. si votre fondation, votre musée, votre groupe de plaidoyer ou votre association de membres dépasse 100 000 résidents de l'Oregon, vous êtes dans le champ.
- 05
droits du consommateur : accès, rectification, suppression, portabilité, liste de destinataires
les résidents de l'Oregon peuvent demander l'accès aux données personnelles que vous détenez, obtenir les noms des tiers spécifiques à qui vous les avez communiquées, en corriger les inexactitudes, en obtenir la suppression et recevoir une copie portable. vous répondez dans un délai de 45 jours, prorogeable une fois de 45 jours. le droit à la liste de destinataires spécifiques est propre à l'Oregon.
- 06
procédure d'appel
lorsque vous refusez une demande, vous devez offrir au consommateur un moyen clair de faire appel et répondre à l'appel dans les 45 jours. en cas de rejet de l'appel, vous fournissez une explication écrite et un lien pour déposer une plainte auprès du Oregon Attorney General.
intégré à la plateforme. pas un plugin que vous installez.
Yovale livre la conformité OCDPA sous forme de must-use plugin signé — partie intégrante de l'hébergement, pas quelque chose que vous installez depuis le répertoire WordPress. il est figé en version, récupéré depuis R2 avec vérification SHA-256, puis déposé dans un répertoire mu-plugins monté par site lors du provisionnement. les mises à jour passent par le même canal que les mises à jour de votre hébergement. associations et entreprises commerciales obtiennent la même configuration — pas de tarif distinct, pas d'exception, pas de case à cocher à mémoriser.
consentement Oregon-conscient et UOOM
les visiteurs de l'Oregon voient des contrôles d'opt-out OCDPA pour la vente, la publicité ciblée et le profilage, ainsi que des invites d'opt-in avant tout traitement d'une catégorie de données sensibles. les signaux GPC du navigateur sont honorés automatiquement à l'edge — aucun clic de bandeau n'est nécessaire pour fixer l'état. les visiteurs de l'EU voient toujours l'opt-in GDPR, ceux de Californie le CCPA. une plateforme, chaque réglementation.
portail privacy avec liste de destinataires
/.well-known/privacy sur chaque site Yovale. les résidents de l'Oregon peuvent soumettre leurs demandes d'accès, de rectification, de suppression et de portabilité, et demander la liste des tiers spécifiques à qui leurs données ont été communiquées. chaque demande apparaît dans l'onglet Conformité de votre dashboard avec un compteur SLA de 45 jours.
journal d'audit de chaque signal
chaque opt-out — clic sur le bandeau, en-tête UOOM/GPC, soumission au portail — est inscrit dans une base d'audit dédiée avec horodatage, région déduite de l'IP et signal d'origine. exportable en JSON ou CSV depuis le dashboard. survit aux mises à jour de plugin, aux changements de thème et aux migrations d'hébergeur.
DPA signé — association et entreprise au même titre
contrat responsable-sous-traitant pré-signé conforme à l'OCDPA. liste chaque sous-traitant (Cloudflare, Anexia, R2), les limites de finalité, la confidentialité, la suppression en fin de service et l'assistance aux demandes des consommateurs. même document pour une 501(c)(3) de Portland et un e-commerce de Bend — Yovale ne traite pas les catégories différemment.
pourquoi l'infrastructure bat un plugin.
plugin OCDPA WordPress typique
- ajoute 200 à 500 ms à chaque chargement de page (JS du bandeau, géo-lookup, parsing GPC, écritures en base)
- stocke les signaux d'opt-out dans wp_options — lent, non typé, casse avec l'object caching
- se met à jour via wp-admin — vous le maintenez, vous le cassez, vous déboguez les conflits
- coûte $49 à $149/an par site et gère rarement la configuration associative
- casse quand vous changez d'hébergeur ; historique d'opt-out, logs UOOM et dossiers d'appel perdus
l'approche intégrée de Yovale
- 0 ms de latence — l'état d'opt-out et l'en-tête GPC calculés à l'edge worker, mis en cache dans le CDN
- journal d'audit dans une base dédiée, interrogeable, ne bloque jamais le rendu de la page
- les mises à jour passent par la plateforme — vous ne les voyez pas, vous ne les cassez pas
- inclus dans chaque offre ($149 / $249 / $499 par an), même configuration pour associations et entreprises
- vous suit pour toujours — l'historique d'opt-out, UOOM et d'appel vous appartient et reste exportable
14 réglementations. un switch chacune. tout est automatique.
- Opt-out pour la vente, la publicité ciblée, le profilage
- UOOM/GPC honoré depuis le 1er janvier 2026
- Opt-in pour les données sensibles
- Réponse en 45 jours, appel en 45 jours
- Couvre les associations depuis le 1er juillet 2025
OCDPA + Yovale, les réponses.
l'OCDPA s'applique-t-il à mon association ?
oui, si elle traite les données personnelles de 100 000 résidents de l'Oregon ou plus sur une année civile, ou de 25 000 ou plus dès lors que 25% ou plus du chiffre d'affaires brut provient de la vente de données personnelles. l'Oregon est le premier État américain où les obligations générales de protection des consommateurs s'appliquent explicitement aux organismes 501(c) aux mêmes conditions qu'aux entreprises — cette partie est entrée en vigueur le 1er juillet 2025. Yovale traite les deux catégories à l'identique : même MU-plugin, même dashboard, même DPA, même journal d'audit.
qu'est-ce que l'Universal Opt-Out Mechanism et depuis quand est-il obligatoire ?
depuis le 1er janvier 2026, les responsables de traitement de l'Oregon doivent honorer les signaux d'opt-out au niveau du navigateur — en pratique l'en-tête Global Privacy Control (GPC) — comme un opt-out valide pour la vente de données personnelles et la publicité ciblée. l'Oregon a été la dernière loi d'État à rendre l'UOOM obligatoire, clôturant une vague lancée par la CPRA californienne. Yovale lit l'en-tête GPC à l'edge worker Cloudflare et applique l'opt-out avant que l'analytics, les pixels publicitaires ou les tags tiers ne se déclenchent — sans clic sur le bandeau.
comment l'OCDPA se compare-t-il au VCDPA, CPA, CTDPA et CCPA ?
tous offrent un opt-out pour la vente et la publicité ciblée, ainsi que les droits d'accès, de rectification, de suppression et de portabilité. l'OCDPA est unique sur trois points : il couvre explicitement les associations, il permet au consommateur d'obtenir la liste des tiers spécifiques à qui ses données ont été communiquées (et pas seulement les catégories), et il utilise le seuil de revenus plus bas à 25% qui s'aligne sur le Colorado et le Connecticut plutôt que sur les 50% de la Virginie. comme le Colorado et le Connecticut, l'opt-in pour les données sensibles est obligatoire et l'UOOM aussi. Yovale couvre l'ensemble depuis une seule plateforme.
existe-t-il encore une période de remise en conformité ?
non. la période de remise en conformité de 30 jours s'est éteinte le 1er janvier 2026. avant cette date, le Oregon Attorney General devait notifier un responsable de traitement et lui laisser 30 jours pour corriger une violation avant d'engager une action. à compter du 1er janvier 2026, le AG peut passer directement à l'action exécutoire, avec des sanctions civiles jusqu'à $7,500 par violation. c'est l'une des raisons pour lesquelles la conformité Yovale est activée par défaut et non en opt-in — il n'y a plus de fenêtre de tolérance pour la rajouter plus tard.
qu'est-ce qu'une donnée sensible au sens de l'Oregon ?
les données sensibles au sens de l'OCDPA couvrent l'origine raciale ou ethnique, l'origine nationale, la religion, l'état ou le diagnostic de santé mentale ou physique, la vie sexuelle, l'orientation sexuelle, le statut transgenre ou non-binaire, la nationalité ou le statut d'immigration, le statut de victime d'une infraction, les données génétiques ou biométriques traitées pour identifier une personne de manière unique, la géolocalisation précise et les données personnelles d'un enfant connu. la liste de l'Oregon est plus large que la plupart des lois d'État — le statut transgenre ou non-binaire et le statut de victime y sont nommés explicitement. le MU-plugin de Yovale bloque tout plugin ou script touchant une catégorie sensible tant que le consommateur n'a pas activement opté in.
que se passe-t-il si je refuse une demande ?
la plateforme envoie au consommateur une notification de refus avec un lien d'appel en un clic. l'appel ouvre un cas distinct avec son propre SLA de 45 jours dans votre dashboard Conformité, la décision d'origine étant jointe. si vous refusez aussi l'appel, Yovale joint automatiquement un lien pour que le consommateur dépose une plainte auprès du Oregon Attorney General, comme l'exige l'OCDPA.
déployez un site WordPress conforme à l'OCDPA en 60 secondes.
chaque site Yovale est prêt pour l'OCDPA dès le moment où vous déployez — association ou entreprise, la configuration est identique. aucun plugin à installer. aucun contrat sous-traitant à courir après. aucun parseur UOOM à câbler. démarrez l'essai Growth et consultez votre premier dashboard de conformité.