Veille données personnelles – Décembre 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Le Conseil d'État confirme l’amende de 8 millions d’euros infligée à Apple pour publicité ciblée illégale
[15 octobre] Le Conseil d’État a rejeté le recours d’Apple visant à annuler la sanction prononcée par la CNIL en décembre 2022. La CNIL avait infligé une amende de 8 millions d’euros pour avoir procédé à des opérations de lecture et d’écriture de données sur les appareils d’utilisateurs, dans un but de publicité ciblée, sans consentement préalable. Le Conseil d’État a confirmé la compétence de la CNIL : les traitements concernés, bien que pilotés par une société étrangère, étaient liés à des établissements situés en France, ce qui entre dans le champ d’application de la loi nationale. Il a également jugé que la procédure de sanction était régulière, les droits de la défense respectés, et que le manquement était caractérisé. En conséquence, l’amende a été confirmée comme étant « effective, proportionnée et dissuasive », conformément aux critères du RGPD.
Source : France, Conseil d'État, 10ème - 9ème chambres réunies, 15 octobre 2025, 473833
1.2. LinkedIn entraîne son IA avec les données de ses utilisateurs
[3 novembre] Depuis le 3 novembre 2025, LinkedIn utilise, par défaut et sans consentement explicite, une large partie des données de ses utilisateurs européens (profil, publications, likes, commentaires, localisation, historique d’activité) pour alimenter ses modèles d’intelligence artificielle. LinkedIn justifie ce traitement en se fondant sur son « intérêt légitime » au sens du RGPD, qui est une base légale soumise à un test d’équilibre entre ses intérêts et les droits des utilisateurs. LinkedIn a toutefois exclu les messages privés et les informations relatives aux salaires. Sur le plan juridique, cela pose des questions : le recours à l’intérêt légitime nécessite une justification solide ; sans consentement explicite, l’équilibre des intérêts est fragile, ce qui pourrait exposer LinkedIn à des contestations. Afin de rétablie l’équilibre, les utilisateurs disposent d’un droit d’opt‑out : il suffit de décocher l’option « Utiliser mes données pour entraîner des modèles d’IA de création de contenu » dans les paramètres de confidentialité pour refuser une telle utilisation de leurs données.
Pour plus d’information sur le recours à l’intérêt légitime pour entrainer une IA, consultez notre article.
1.3. La CNIL lance une enquête sur le rôle du DPO à l’heure de l’IA
[5 novembre] En coopération avec le ministère du Travail, l’AFCDP et l’Afpa, la CNIL lance une enquête afin de mesurer l’impact de l’IA sur les pratiques, compétences et responsabilités des DPO. L’objectif est d’identifier comment les modes de gouvernance de l’IA intègrent le rôle du DPO, et de déterminer ses besoins en formation ou en outillage. En parallèle, l’entrée en vigueur progressive de l’AI Act nécessite d’intégrer le DPO dès le début des réflexions en matière de traitements de données personnelles mis en œuvre par les systèmes d’intelligence artificielle. Les conclusions, attendues au premier semestre 2026, serviront à orienter les recommandations de la CNIL pour encadrer l’usage de l’IA.
Pour plus d’information sur la conformité au RGPD des traitements de données impliquant l’IA, consultez notre article.
1.4. La CNIL publie une cartographie des entrepôts de données de santé en France
[5 novembre] La CNIL (via son Laboratoire d’innovation numérique, le “LINC”) a publié une cartographie nationale des Entrepôts de données de santé (EDS), recensant les bases de données de santé destinées à la recherche, au pilotage ou à l’évaluation. Cette carte recense 125 EDS (en déploiement ou en fonctionnement) portés par 102 acteurs publics, privés ou associatifs, et permet de visualiser leur localisation, statut juridique, gestionnaire, nature de l’entrepôt et date de mise en conformité. L’objectif de la publication de cette cartographie est double : accroître la transparence sur l’usage des données de santé et offrir aux chercheurs un outil pour identifier des bases pertinentes pour leurs travaux.
Source : Explorez la cartographie des entrepôts de données de santé en France | CNIL
Pour plus d’informations sur le traitement des données de santé, consultez nos deux articles (1 et 2) sur la collecte des données de santé et la réglementation encadrant leur traitement.
1.5. Nouvelle vague de cyberattaques en France : le cas de la Fédération Française de Tir
[7 novembre] La Fédération Française de Tir a annoncé qu’une intrusion informatique survenue entre le 18 et le 20 octobre 2025 a conduit à la violation des données personnelles de ses licenciés (nom, prénom, date et lieu de naissance, adresse postale, e‑mail, téléphone et numéro de licence). Aucune donnée sensible (médicale, bancaire, ou relative à la détention d’armes) ne serait concernée. Conformément au RGPD, la fédération a informé individuellement les personnes concernées, saisi la CNIL et déposé plainte. Une enquête est ouverte par le parquet et la brigade spécialisée en cybercriminalité. Le principal risque identifié est celui d’attaques de phishing et d’escroqueries utilisant les données exposées. L’organisme conseille à ses licenciés d’être vigilants face aux appels, SMS ou mails suspects.
[22 novembre] Un récent panorama des incidents de cybersécurité en France fait état de plusieurs fuites massives de données personnelles affectant des organisations variées : opérateurs logistiques, services publics, santé, etc. Parmi les victimes figurent Eurofiber France, Colis Privé, Urssaf et des laboratoires médicaux, pour lesquels des noms, adresses, numéros de sécurité sociale ou informations sensibles ont été compromis. Ces incidents démontrent l’ampleur et la diversité des cibles, allant des prestataires de services aux institutions publiques, ce qui suggère un affaiblissement généralisé de la chaîne de sécurité informatique en France. Pour les organisations concernées, il s’agit d’un rappel brutal de l’importance de la gouvernance des données et de la responsabilité partagée entre donneurs d’ordres et sous‑traitants.
Source : Cyberattaques en France : les dernières fuites de données et entreprises touchées
1.6. Monétisation des données personnelles : les résultats du sondage de la CNIL
[17 novembre] S’appuyant sur un sondage mené en décembre 2024 auprès de 2 082 Français, la CNIL a questionné la volonté des Français de vendre leurs données personnelles. Selon elle, 65 % des répondants se disent prêts à monétiser leurs données ; parmi eux, la valorisation la plus souvent évoquée se situe entre 10 et 30 € par mois, tandis que 14 % en demandent plus de 200 €. Toutefois, 35 % refusent catégoriquement toute monétisation, quel que soit le montant. La CNIL rappelle qu’aucun cadre légal actuel ne permet de céder « la propriété » de ses données personnelles : seules des formes limitées « d’usage » peuvent éventuellement être consenties, tout en conservant les droits fondamentaux (accès, rectification, suppression). La monétisation, même consentie, doit respecter les exigences du droit applicable (notamment celles du RGPD).
Source : Monétisation des données personnelles : combien valent nos données ? | CNIL
1.7. IA souveraine : partenariat entre Thales et Dassault Aviation
[25 novembre] Le 25 novembre dernier, Thales et Dassault Aviation annonçaient la conclusion d’un partenariat stratégique pour le développement d’une IA maîtrisée et supervisée pour l’aéronautique de défense. Cette collaboration vise à couvrir l’ensemble des fonctions nécessaires à la conduite d’opérations aériennes modernes, telles que l’observation et l’exploitation des données multi-capteurs, l’analyse de la situation opérationnelle en temps réel, l’aide algorithmique à la prise de décision ou encore la planification tactique. Si ce partenariat marque une ouverture des systèmes de défense à l’IA, les entreprises insistent sur la supervision humaine et la traçabilité des décisions.
Sources :
1.8. Orange Business migre 70% de son infrastructure IT vers le cloud souverain Bleu
[25 novembre] Bleu, cloud souverain né de l’alliance entre Orange et Capgemini, vise à proposer les services de Microsoft 365 et Microsoft Azure dans un environnement ultra-sécurisé, en cours de qualification SecNumCloud auprès de l’ANSSI. Orange Business annonce avoir mené une analyse approfondie de plus de 400 applications avant d’opter pour une stratégie de cloud hybride en migrant ses applications critiques vers Cloud Avenue, sa solution de cloud privé, et le reste de son infrastructure vers Bleu. Cette migration illustre une stratégie de modernisation des systèmes cloud tout en favorisant et renforçant la sécurité, la souveraineté et la conformité des données.
Sources :
1.9. Sites et applications de rencontres : la CNIL adresse des recommandations aux utilisateurs
[26 novembre] La CNIL a souhaité rappeler que les sites et applications de rencontres collectent souvent de nombreuses données personnelles (photos, goûts, âge, orientation, localisation, etc.) susceptibles de révéler l’intimité de ses utilisateurs incluant notamment des données sensibles. Pour limiter les risques, l’autorité de contrôle recommande notamment d’utiliser un pseudonyme plutôt qu’un vrai nom et d’adopter un mot de passe robuste et unique. Selon la CNIL, il convient également de vérifier les conditions générales d’utilisation du site : elles doivent mentionner les droits des utilisateurs (droits d’accès, de rectification, de suppression) et indiquer clairement si et comment les données sont partagées avec des tiers. Enfin, la CNIL alerte sur les dangers liés à la publication de données sensibles ou de photos intimes : en cas de piratage ou de fuite, ces informations peuvent être utilisées à des fins malveillantes.
Source : Sites et applications de rencontres : comment protéger votre intimité ? | CNIL
1.10. La CNIL alerte sur l’ampleur réelle des dommages liés à la cybercriminalité
[26 novembre] Dans un article dédié, la CNIL alerte sur l’ampleur des risques que représentent les attaques informatiques pour les données personnelles et la vie quotidienne des individus. Un sondage mené en décembre 2024 auprès de plus de 2 000 Français révèle que 41 % ont déjà subi un usage frauduleux de leurs données, et que 21 % ont perdu de l’argent avec un préjudice moyen de 740 €. Les formes de violation sont diverses : fraude d’identité, démarchage non sollicité, divulgation d’informations confidentielles, chantage ou harcèlement. Au-delà du préjudice financier, un impact psychologique (stress, anxiété) est fréquent, et beaucoup renoncent à utiliser des services numériques par perte de confiance. La CNIL souligne que ce climat de défiance affaiblit l’économie numérique et freine la confiance dans les services en ligne. Aussi, l’autorité de contrôle recommande la mise en place de mesures techniques et organisationnelles adaptées, conformément aux obligations du RGPD et à la sensibilisation des citoyens et des professionnels pour améliorer la résilience face à la cybercriminalité.
Source : Cybercriminalité : risques et conséquences pour les données personnelles | CNIL
1.11. Cookies sans consentement : la CNIL sanctionne l’éditeur de VanityFair.fr
[27 novembre] Un contrôle de la CNIL a révélé que le site VanityFair.fr déposait des cookies non essentiels sur les terminaux d’utilisateurs français sans leur consentement préalable, en contradiction avec les exigences de l’article 82 de la loi « Informatique et Libertés », transposant la directive e-Privacy. La société n’avait pas respecté l’obligation d’obtenir un consentement libre, éclairé et spécifique avant toute lecture ou écriture de traceurs. Par ailleurs, l’autorité a jugé que l’information fournie aux utilisateurs n’était pas suffisamment claire ni complète quant à la finalité des cookies et aux tiers susceptibles d’y avoir recours, ce qui compromet la validité du consentement.
2. UNION EUROPEENNE
2.1. Publicité personnalisée : une information conforme et un consentement valide sont obligatoires
[4 novembre] L’autorité de contrôle autrichienne s’est exprimée sur la nécessité d’un consentement valide en matière de publicité personnalisée. L’opérateur d’un programme de fidélité recueillait, lors de l’inscription des consommateurs, leur consentement à l’utilisation de leurs données à des fins de profilage, et avait effectué sur cette base des analyses automatisées du comportement d’achat des consommateurs afin de personnaliser la publicité. A l’issue d’une enquête, l’autorité de protection des données autrichienne avait conclu à l’invalidité du consentement, qui était associé à l’inscription et à l’acceptation des conditions générales et de la politique de confidentialité. La Cour administrative autrichienne a confirmé cette décision, la présentation visuelle du site internet de l’opérateur ne rendant pas le consentement clair ou distinct, et les personnes concernées ne pouvant pas raisonnablement comprendre qu’elles consentaient au profilage. Cette décision rappelle les règles en matière de consentement, et l’importance de distinguer les informations relatives aux traitements de données personnelles des informations commerciales.
Source : VwGH – Ro 2023/04/0045 | GDPRHub
2.2. Brésil-UE : vers l’acceptation du Brésil comme pays « adéquat » pour les transferts de données
[4 novembre] Le Comité européen de la protection des données (CEPD) a adopté à l’unanimité un avis favorable au projet de décision d’adéquation de la Commission européenne pour le Brésil, au titre du RGPD. Cet avis reconnaît que le cadre juridique brésilien offre des garanties globalement équivalentes à celles exigées en Europe. En pratique, cette décision faciliterait les transferts de données personnelles de l’Union européenne vers le Brésil sans nécessiter de garanties supplémentaires. Toutefois, le CEPD attire l’attention sur quelques points nécessitant vigilance : l’obligation de réaliser des analyses d’impact quand le traitement le mérite, la transparence autour du secret commercial, l’encadrement des transferts ultérieurs et l’accès des autorités publiques aux données concernées.
2.3. Documents types et conformité au RGPD : le CEPD ouvre une consultation pour comprendre les attentes des acteurs européens
[5 novembre] Le CEPD a lancé une consultation publique intitulée « Help make GDPR compliance easy for organisations » afin de recueillir les besoins des acteurs (entreprises, DPO, associations…) en matière de documents types pour assurer la conformité au RGPD. L’objectif est de créer des modèles opérationnels (notice d’information, registre des traitements, évaluation d’impact, notification de violation, etc.), directement utilisables, pour alléger la charge documentaire des organisations. Parmi les premiers modèles prévus figurent les formulaires d’analyses d’impact (DPIA) et de notification de violation de données. Cette initiative s’inscrit dans la démarche entérinée par la Déclaration d'Helsinki : rendre le RGPD plus accessible, en particulier aux petites et moyennes organisations. En proposant des outils standardisés, le CEPD souhaite faciliter l’harmonisation des pratiques dans l’Union européenne et offrir aux organisations une meilleure sécurité juridique. La consultation s’est clôturée le 3 décembre 2025.
2.4. Absence de responsabilité du représentant européen pour les manquements du responsable de traitement international
[7 novembre] Dans une affaire portant sur le traitement de données personnelles par une application exploitée par la société chinoise Ninebot (Beijing) Tech. Co Ltd pour l’activation d’une trottinette électrique, un consommateur avait engagé une action contre Segway Europe B.V., identifié comme représentant européen du responsable de traitement dans la politique de confidentialité. Saisie du litige, la Cour d’appel de Vienne rappelle que le représentant désigné en application de l’article 27 du RGPD n'a vocation qu’à servir de point de contact pour les autorités compétentes et les personnes concernées. A ce titre, il ne dispose d’aucun pouvoir pour recevoir des actes de procédure, tels qu’une assignation, au nom et pour le compte du responsable de traitement, sauf disposition contraire du droit national.
Source : OLG Wien – 11 R 75/25y | GDPRHub
2.5. La protection de la sécurité publique peut primer sur une demande d’accès
[11 novembre] Blessée à l’occasion d’un saut en parachute, une personne concernée sollicitait de l’Association Royale Néerlandaise de l’Aviation la transmission du rapport d’incident relatif à sa blessure, au titre de son droit d’accès. Le responsable de traitement avait refusé de faire droit à la demande, au motif que les informations étaient couvertes par la confidentialité. Le Tribunal néerlandais saisi de l’affaire a confirmé le refus opposé par le responsable de traitement, pour des raisons de protection de la sécurité publique, en application d’une réglementation nationale sur la sécurité aérienne. Par cette décision, la juridiction néerlandaise précise que les intérêts publics peuvent l’emporter sur les intérêts personnels et le droit d’accès d’une personne concernée.
Source : Rb. Zeeland-West-Brabant – C/02/437570 / HA RK 25-163 (E) | GDPRHub
2.6. Prospection directe pour des produits ou services analogues : des précisions par la CJUE
[13 novembre] Dans une affaire récente, la CJUE s’est prononcée sur les pratiques d’Inteligo Media SA, éditeur de publication d’actualités en ligne qui informe le public des évolutions législatives en Roumanie. Devant les juridictions roumaines, puis devant la CJUE, la question se posait de la licéité de l’envoi, sans consentement, d’une newsletter aux utilisateurs ayant créé un compte gratuit sur la plateforme de Inteligo Media. La CJUE a jugé que l’adresse e-mail de l’utilisateur avait été collectée dans le cadre de la vente d’un produit ou service puisqu’il avait créé un compte sur la plateforme de l’éditeur lui permettant d’accéder gratuitement à un certain nombre d’articles et de recevoir, sans frais, une lettre d’information quotidienne. A ce titre, l’envoi de la newsletter est une prospection directe pour des produits ou services analogues au sens de la directive e-Privacy, sans qu’il soit nécessaire de recueillir le consentement exigé par le RGPD. Cette décision illustre la distinction des règles applicables en matière de prospection commerciale.
2.7. Plaintes & coopération transfrontalière: l’UE adopte des nouvelles dispositions pour accélérer leur traitement
[17 novembre] Le Conseil de l'Union européenne a adopté un nouveau cadre destiné à fluidifier la gestion des plaintes transfrontalières en matière de protection des données personnelles. Dorénavant, les critères de recevabilité d’une plainte seront harmonisés dans toute l’Union, quel que soit l’État membre où elle est déposée. Le texte renforce les droits des plaignants et des entités concernées : chacun aura le droit d’être entendu et de prendre connaissance des conclusions provisoires avant décision finale. Pour les cas simples, une procédure de coopération simplifiée pourra être utilisée, évitant des démarches administratives lourdes.
2.8. Digital Omnibus : la Commission européenne présente un projet de simplification de la réglementation européenne
[19 novembre] La Commission européenne a présenté un vaste « paquet numérique » destiné à alléger les obligations administratives des entreprises et à stimuler l’innovation dans l’UE. Ce dispositif comprend un « Digital Omnibus » visant à simplifier et harmoniser les règles relatives à l’intelligence artificielle, à la cybersécurité, aux données et à la protection de la vie privée, tout en maintenant un haut niveau de garanties pour les droits fondamentaux. La réforme prévoit notamment d’adapter les obligations imposées aux petites et moyennes entreprises, comme l’allégement des exigences de documentation technique et l’ouverture des « bacs à sable » réglementaires. Pour la cybersécurité, un guichet unique sera créé pour signaler tout incident, simplifiant les obligations qui relevaient jusqu’à présent de plusieurs régimes (cyber-risques, protection des données, etc.). Le Digital Omnibus apporte également des modifications au RGPD, en ouvrant notamment des possibilités de traitement des données personnelles à des fins de développement et d’exploitation des systèmes et modèles d’IA.
Source : Simpler EU digital rules and new digital wallets to save billions for businesses
Pour plus d’information sur les changements apportés au RGPD par le Digital Omnibus, consultez notre article.
2.9. Data Act : la Commission publie des modèles de clauses pour sécuriser le partage et l’usage des données
[19 novembre] La Commission européenne a rendu publics des modèles de clauses contractuelles non contraignantes destinés à encadrer l’accès, le partage et les services cloud dans le cadre du Data Act. Ces « clauses types » prévoient des scénarios variés : transfert des données depuis le détenteur vers un utilisateur, partage ultérieur vers un tiers, ou utilisation via des services cloud, avec des garanties techniques et contractuelles. Ces modèles visent à offrir un référentiel pour la rédaction de contrats compatibles avec les principes de non-discrimination, d’équité et de transparence exigés par le Data Act.
2.10. Données biométriques et génétiques : la CJUE encadre la marge de manœuvre des États en matière pénale
[20 novembre] Dans un arrêt récent, la CJUE a précisé dans quelles conditions les États membres peuvent collecter et conserver des données biométriques et génétiques dans le cadre de procédures pénales. L’affaire portait sur un fonctionnaire tchèque dont les empreintes, photos et données ADN avaient été prélevées malgré son refus, puis effacées avant que la police ne conteste cette décision. La Cour a jugé qu’une collecte généralisée de données pour toute personne poursuivie ou soupçonnée n’est pas interdite, mais qu’elle doit rester strictement proportionnée aux objectifs de sécurité poursuivis et respecter les garanties applicables aux données sensibles. Elle a également admis que l’absence de durée maximale de conservation peut être conforme au droit européen, à condition que la loi impose des contrôles réguliers visant à vérifier la nécessité du maintien de ces données.
Source : C-57/23, CJUE, 20 novembre 2025
3. INTERNATIONAL
3.1. Cyberattaque de SitusAMC : Wall Street s’inquiète pour le secteur du financement immobilier
[22 novembre] SitusAMC, qui se présente comme le fournisseur leader de solutions en matière de conseil en investissement, d’externalisation, de gestion des talents et de technologies est un prestataire clé du secteur du financement immobilier aux Etats-Unis. Le 22 novembre 2025, SitusAMC a été la cible d’une cyberattaque ayant entraîné un accès non autorisé aux systèmes informatiques de la société. Des documents comptables et des contrats auraient été exposés à l’occasion de cet incident. Si le FBI, chargé d’investiguer l’attaque, indique n’avoir constaté aucun impact opérationnel sur les services bancaires, les acteurs de Wall Street s’inquiètent de l’exposition possible des données d’emprunteurs, et de leur éventuelle utilisation pour des campagnes de phishing ciblées. Face à la sensibilité des données financières, les autorités de supervision américaines s’appliquent à renforcer depuis plusieurs années les obligations de sécurité des prestataires critiques des institutions financières.
Sources :
3.2. Google Cloud et l’OTAN : accord de plusieurs millions de dollars pour un cloud souverain
[24 novembre] L’Agence de communication et d’information de l’OTAN a signé un contrat de plusieurs millions de dollars avec Google Cloud pour le déploiement de l’infrastructure Google Distributed Cloud (GDC) air-gapped, une solution de cloud souverain totalement isolée d’Internet et des clouds publics. Ce type d’infrastructure, qui réduit significativement le risque de cyberattaques, permet à l’OTAN de moderniser ses capacités opérationnelles et de gérer des charges de travail classifiées, tout en conservant la maîtrise complète de ses flux de données et de ses systèmes. En outre, l’OTAN compte intégrer l’IA et des outils analytiques à cette infrastructure cloud, afin de détecter plus rapidement les menaces et d’optimiser la prise de décision en cas d’incident.
Sources :
3.3. OpenAI victime d’une fuite de données
[27 novembre] OpenAI a confirmé qu’une fuite de données a touché l’un de ses fournisseurs d’analyse, Mixpanel, entraînant l’exfiltration d’un jeu de données comprenant certaines informations de clients de l’API. Selon l’entreprise, aucun utilisateur de l’application grand public ChatGPT n’est concerné : la fuite concerne uniquement des utilisateurs de l’API, à savoir des développeurs ou entreprises intégrant les technologies d’OpenAI dans leurs propres applications. OpenAI assure avoir supprimé Mixpanel de ses services de production, procédé à un audit des données exposées et collaboré avec ses partenaires pour déterminer l’étendue de l’incident, tout en informant les personnes concernées.
Source : OpenAI confirme une fuite de données sur ChatGPT : tout ce que nous savons | Euronews
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
