Veille données personnelles – Février 2026

Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !

‍

Pour la recevoir, merci de bien vouloir remplir ce formulaire.

‍

‍

1. FRANCE

‍

1.1. Fiche Pratique : la CNIL publie une version anglaise de ses fiches pour un IA conforme au RGPD  

[9 janvier] La CNIL a finalisé et mis en ligne une version anglaise de ses « AI how-to sheets », destinées à guider les professionnels dans le développement de systèmes d’intelligence artificielle conformes au RGPD. Ces fiches fournissent un cadre pratique couvrant l’ensemble du cycle de vie d’un projet d’intelligence artificielle impliquant des données personnelles, de la définition du régime juridique applicable à la mise en œuvre de principes de protection des données dès la conception.  

Source : AI how-to sheets | CNIL

1.2. Mesures de sécurité insuffisantes : la CNIL sanctionne Free d’une amende de 42 millions d’euros  

[13 janvier] La CNIL a sanctionné les sociétés Free Mobile et Free d’amendes respectives de 27 millions d’euros et 15 millions d’euros pour des manquements graves aux obligations de sécurité des données personnelles. Cette décision fait suite à une cyberattaque d’octobre 2024 ayant permis l’accès non autorisé à des données personnelles concernant 24 millions de contrats. La formation restreinte de la CNIL a considéré que les mesures de sécurité mises en place étaient inadéquates au regard des risques encourus, en violation de l’article 32 du RGPD. A noter que la CNIL ne sanctionne pas la violation en elle-même mais le fait que celle-ci ait été rendue possible ou facilitée par l’absence ou l’insuffisance des mesures de sécurité. L’autorité a aussi relevé des lacunes dans l’obligation de communiquer auprès des personnes concernées par la violation de données et, pour Free Mobile, une conservation excessive de données au regard des principes de minimisation et de durée limitée. La décision inclut une injonction de renforcer définitivement la sécurité des traitements et d’achever les mesures correctrices sous des délais précis.  

Source : Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE et FREE | CNIL

1.3. Outils de conformité : la CNIL cartographie les certifications et codes de conduite disponibles en Europe

[14 janvier] La CNIL a publié deux cartes interactives recensant les outils de conformité liés au RGPD disponibles dans les États membres de l’Union européenne, à savoir les certifications et les codes de conduite approuvés par les autorités nationales ou le Comité européen de protection des données. Ces cartes ont pour objectif de permettre aux organisations d’identifier les certifications et codes de conduite existants selon leur domaine d’activité ou leur pays, et d’envisager plus facilement leur propre démarche de conformité.

‍

Source : Certifications et codes de conduite : la CNIL cartographie le déploiement des outils RGPD en Europe | CNIL

1.4. Consentement multi-terminaux : la CNIL publie des conditions pour un consentement unique aux cookies

[16 janvier] La CNIL a publié des recommandations sur le recueil du « consentement multi-terminaux », qui permet à un utilisateur connecté à un compte d’exprimer en une seule fois ses choix relatifs aux cookies et autres traceurs pour tous ses appareils (ordinateur, mobile, tablette, TV connectée). Ce consentement unique ne doit pas restreindre l’exercice des droits prévus par le RGPD, lesquels doivent pouvoir être exercés avec la même simplicité et produire les mêmes effets sur l’ensemble des appareils. En outre, la CNIL rappelle que le consentement multi-terminaux ne doit pas faire obstacle à l’information préalable des personnes concernées. La CNIL recommande aussi la mise en place d’un bandeau d’information temporaire lors de connexions ultérieures pour rappeler si des choix associés au compte de l’utilisateur ont été précédemment enregistrés.

‍

Source : Cookies et autres traceurs : à quelles conditions peut-on consentir en une fois pour plusieurs appareils ? | CNIL

Pour plus d’information sur cette décision, consultez notre article.  

1.5. Publicité ciblée : la CNIL sanctionne la transmission de données d’un réseau social à des partenaires

[22 janvier] La CNIL a sanctionné un réseau social pour avoir transmis des données personnelles des membres de son programme de fidélité à des fins publicitaires, sans base légale valable et sans information suffisamment claire. La CNIL rappelle qu’un paramétrage complexe ou une information noyée dans des conditions générales ne constitue pas un consentement éclairé au sens du RGPD : les utilisateurs doivent comprendre concrètement quelles données sont transmises, à qui et pour quoi faire. Elle souligne aussi que, lorsqu’il s’agit de publicité personnalisée, le consentement doit être réel, libre et aussi simple à refuser qu’à accepter, faute de quoi le traitement devient illicite. Cette décision illustre la vigilance accrue de la CNIL sur les pratiques de monétisation des données.

‍

Source : Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une sanction de 3,5 millions d’euros | CNIL

1.6. Marketing et RGPD : la CNIL lance une concertation sur la preuve du consentement

[22 janvier] Dans le secteur du marketing, où de nombreux traitements de données reposent sur le consentement des personnes, la CNIL a ouvert une concertation publique pour élaborer une recommandation sur la preuve du consentement exigée par le RGPD. Le RGPD impose en effet que le consentement soit libre, spécifique, éclairé et univoque, et que les acteurs puissent justifier juridiquement qu’il a été valablement recueilli avant tout traitement de données à des fins commerciales.

Cette concertation vise à rassembler les professionnels du marketing, les éditeurs de technologies de gestion du consentement et la société civile pour identifier les pratiques existantes et les difficultés opérationnelles liées à la preuve du consentement.

‍

Source : Marketing : la CNIL ouvre une concertation sur la preuve du consentement | CNIL

1.7. Réseaux sociaux : un projet de loi controversé pour interdire les réseaux sociaux aux moins de 15 ans

[26 janvier] Un projet de loi déposé à l’Assemblée nationale vise à interdire l’accès aux réseaux sociaux aux mineurs de moins de 15 ans, dans le but de mieux protéger leur santé mentale et leur sécurité numérique. Initialement présenté comme une interdiction générale, le texte a été modifié pour s’adapter au droit européen, notamment au Digital Services Act, qui encadre la régulation des plateformes numériques. Le 26 janvier, une première étape a été franchie avec l’adoption en première lecture, par l’Assemblée Nationale, du principe d’interdiction pour les moins de 15 ans, marquant un durcissement du dispositif. Plutôt que d’exiger une interdiction absolue et uniforme, le texte prévoit d’interdire certaines plateformes « susceptibles de nuire à l’épanouissement des mineurs », définies par décret après avis de l’ARCOM. Les autres réseaux seraient accessibles sous autorisation parentale, ce qui atténue l’effet d’une interdiction stricte tout en maintenant un cadre de contrôle.  

‍

Sources :  

• Réseaux sociaux : Vers une interdiction pour les moins de 15 ans en France, un chantier explosif pour l’exécutif

• Réseaux sociaux interdits aux moins de 15 ans : l'Assemblée nationale vote le principe

1.8. Violation de données : la CNIL prononce une sanction de 5 millions d’euros contre France Travail  

[29 janvier] La CNIL a sanctionné France Travail d’une amende de 5 millions d’euros à la suite d’une violation de données personnelles. L’autorité reproche à l’organisme des mesures de sécurité insuffisantes au regard des risques, alors que le RGPD impose aux responsables de traitement de garantir la confidentialité et l’intégrité des données qu’ils traitent. La décision rappelle en outre qu’une cyberattaque ou une fuite ne constitue pas, en soi, une excuse : la conformité s’apprécie aussi au travers de la prévention, de la maîtrise des accès et de l’organisation de la sécurité. Elle confirme également que les acteurs publics sont soumis aux mêmes exigences que les entreprises privées et peuvent être sanctionnés lorsque la protection des données n’est pas assurée de manière effective.

‍

Source : Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL | CNIL

1.9. Transferts de données : la CNIL et le commissaire canadien à la vie privée renforcent leur coopération

[30 janvier] La CNIL et le Commissaire à la protection de la vie privée du Canada (OPC) ont consolidé leurs liens de coopération pour renforcer l’application des législations respectives en matière de protection des données personnelles. Cet accord vise à faciliter l’échange d’informations et de bonnes pratiques entre les deux autorités, notamment sur les sujets émergents comme l’intelligence artificielle, la cybersécurité et les transferts internationaux de données. La coopération formalisée permettra d’accroître l’efficacité des enquêtes conjointes, en particulier lorsqu’une même violation touche des personnes situées de part et d’autre de l’Atlantique, dans un contexte juridique où les cadres nationaux présentent des exigences comparables. Cette initiative illustre une tendance à l’harmonisation pratique entre régulateurs internationaux, notamment pour faire face aux défis posés par le traitement transfrontalier de données et les technologies innovantes.

‍

Source : Le Commissaire à la protection de la vie privée du Canada et la CNIL ont signé une déclaration de coopération | CNIL

‍

‍

2. UNION EUROPEENNE

‍

2.1. Accord UE-États-Unis : un accès aux données biométriques des citoyens européens en contrepartie du maintien du visa-waiver

[6 janvier] Des pays de l’Union européenne se préparent à autoriser l’accès des autorités américaines aux bases de données biométriques nationales contenant des empreintes digitales et des scans faciaux de leurs citoyens, dans le cadre du programme dit « Enhanced Border Security Partnerships » (EBSP), condition imposée par les États-Unis pour maintenir la gratuité des visas pour les ressortissants européens. Cette initiative découle d’une demande formulée en 2022 par Washington, que l’UE est prête à satisfaire en 2026 si un accord-cadre est conclu sur les règles de fonctionnement et de partage de ces données sensibles, sous l’égide de la Commission européenne. L’accès envisageable inclut des données biométriques (empreintes, reconnaissance faciale), considérées comme sensibles, stockées dans les systèmes nationaux, au-delà du système d’entrée/sortie biométrique récemment déployé au niveau européen. Cette perspective suscite des inquiétudes juridiques notamment au regard de la protection des données, car ces transferts vers un pays tiers doivent respecter les normes du RGPD et nécessitent des garanties appropriées pour encadrer l’usage et la sécurité et les droits des personnes concernées. L’accord attendu devrait définir les catégories de données transférées, les finalités précises, les limites d’accès, ainsi que des garanties de protection équivalentes à celles requises dans l’UE, afin de préserver les droits fondamentaux des personnes concernées.

‍

Source : EU countries gear up to let US tap their citizens’ biometrics | Euractiv

2.2. Amendes RGPD : la machine à sanctions irlandaise bloquée par les procédures

[13 janvier] L’Usine Digitale est revenue sur le paradoxe de la régulation irlandaise : en l’espace de 6 ans, la Data Protection Commission (l’autorité de protection des données irlandaise) a prononcé plus de 4 milliards d’euros d’amendes sur le fondement du RGPD, visant surtout de grandes entreprises technologiques. Cependant, moins de 1 % de ces montants aurait été effectivement encaissé à ce jour, en raison de contestations judiciaires quasi systématiques. Le cadre juridique irlandais suspend en effet le recouvrement tant que les sanctions ne sont pas définitivement validées par les tribunaux. Cette situation prolonge considérablement les délais, certains dossiers étant en outre liés à des questions pendantes devant la Cour de justice de l’Union européenne. La DPC a néanmoins rappelé que les amendes restent dues tant qu’elles ne sont pas annulées.

‍

Source : RGPD : L’Irlande sanctionne à coups de milliards, mais encaisse au compte-gouttes

2.3. Transferts vers les États-Unis : l’EDPB met à jour sa FAQ « Data Privacy Framework » pour les entreprises

[15 janvier] L’EDPB a publié une version mise à jour de sa FAQ à destination des entreprises sur le EU-US Data Privacy Framework (DPF), le mécanisme permettant de transférer des données personnelles vers des organisations américaines certifiées. Ce document rappelle que le DPF peut servir de base juridique de transfert, mais uniquement si le destinataire figure bien sur la liste officielle des entités certifiées et si le périmètre de la certification couvre les données concernées, et que, lorsque le DPF n’est pas applicable, les entreprises doivent recourir à d’autres outils (comme des clauses contractuelles types) et vérifier le niveau de protection offert. La FAQ insiste aussi sur le fait que les obligations RGPD continuent de s’appliquer (information des personnes concernées, encadrement contractuel des sous-traitants, minimisation des données). Enfin, elle fournit des réponses opérationnelles pour sécuriser les pratiques, notamment sur la manière de documenter les transferts et de réagir en cas de changement de statut du destinataire américain. Parallèlement, l’EDPB a publié un modèle de formulaire de plainte (version 2.0) destiné à faciliter le dépôt de réclamations auprès des autorités de protection des données lorsqu’une entreprise certifiée DPF ne respecte pas les principes du cadre.

‍

Sources :

• EU-U.S. Data Privacy Framework F.A.Q. for European businesses - version 2.0 | European Data Protection Board

• EU-US Data Privacy Framework Template Complaint Form for Submitting Complaints to EU DPAs related to the Data Privacy Framework Principles - version 2.0 | European Data Protection Board

2.4. Digital Omnibus & IA : les autorités européennes alertent contre une simplification au détriment des droits  

[21 janvier] L’European Data Protection Board (EDPB) et l’European Data Protection Supervisor (EDPS) ont adopté une opinion conjointe sur la proposition de la Commission européenne visant à simplifier la mise en œuvre des règles harmonisées de l’AI Act via le « Digital Omnibus on AI ». Ils soutiennent l’objectif général d’alléger certaines obligations pratiques pour les opérateurs, tout en insistant pour que cette simplification ne sape pas la protection des droits fondamentaux, notamment la vie privée et la protection des données. L’opinion rappelle notamment que l’usage de données « sensibles » pour détecter et corriger les biais d’un système d’IA ne doit être autorisé que lorsqu’il est strictement indispensable. Or, la proposition envisagerait d’abaisser ce niveau d’exigence (simple « nécessité »), ce que les autorités recommandent de corriger pour éviter une utilisation trop large de ces données. En outre, elles appellent à clarifier et renforcer l’implication des autorités de protection des données dans les dispositifs comme les « regulatory sandboxes » européens pour garantir la conformité au RGPD lors d’essais d’IA. Enfin, bien que l’EDPB et l’EDPS reconnaissent certaines raisons objectives possibles pour retarder l’application de règles pour les systèmes à haut risque, les deux autorités recommandent de ne pas compromettre des obligations essentielles telles que celles portant sur la transparence, afin de préserver un haut niveau de protection juridique dans un contexte d’évolution rapide des technologies d’intelligence artificielle.

‍

Source : EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) | European Data Protection Board

2.5. Transferts de données UE–Brésil : la Commission adopte une décision d’adéquation  

[27 janvier] La Commission européenne et le Brésil ont adopté des décisions d’adéquation réciproques, reconnaissant que le niveau de protection des données personnelles au Brésil est essentiellement équivalent à celui de l’Union européenne. Cette décision s’inscrit dans une dynamique de coopération stratégique renforcée entre l’UE et le Brésil, favorisant l’innovation numérique et la confiance juridique pour les entreprises et les autorités publiques impliquées dans les transferts internationaux de données.

‍

Source : EU-Brazil data adequacy agreement

‍

‍

3. INTERNATIONAL

‍

3.1. CCPA : la Californie durcit les règles de protection des données

[1^er janvier] La Californie fait évoluer en profondeur le cadre du California Consumer Privacy Act (CCPA) avec l’entrée en vigueur de nouvelles dispositions à compter du 1^er janvier 2026. Celles-ci renforcent les exigences pesant sur les entreprises, notamment via la mise en place progressive d’audits de cybersécurité et d’évaluations des risques pour certains traitements. Elles introduisent également un encadrement plus strict des technologies de décision automatisée, afin d’améliorer la transparence et le contrôle par les consommateurs. Le dispositif précise aussi les modalités de prise en compte du droit d’opposition à la vente ou au partage des données. En outre, les obligations de réponse aux demandes des personnes sont clarifiées, avec une exigence d’accès étendue lorsque les données sont conservées sur une période longue. Certaines mesures s’appliqueront de façon échelonnée, afin de laisser aux organisations le temps d’adapter leurs processus et leur gouvernance.

‍

Source : CCPA - Effective January 1, 2026

3.2. UK GDPR : l’ICO publie une version enrichie de ses orientations sur les transferts internationaux

[15 janvier] L’Information Commissioner’s Office (ICO) a publié une version mise à jour de ses lignes directrices relatives aux transferts internationaux de données personnelles en vertu du UK GDPR. Cette mise à jour vise à clarifier et simplifier les règles applicables pour aider les organisations à comprendre quand elles effectuent un « transfert restreint » et comment s’y conformer. Un test en trois étapes y est introduit pour déterminer si un échange de données avec une entité étrangère relève du régime des transferts internationaux. Les nouvelles orientations précisent également les rôles et responsabilités respectifs des responsables de traitement et des sous-traitants dans ces situations complexes. Pour les organisations moins familières avec ces règles, l’ICO ajoute un guide succinct, des FAQ et un glossaire, facilitant l’accès au contenu.  

‍

Source : Updated guidance on international transfers published | ICO

3.3. Royaume-Uni : l’ICO sanctionne deux entreprises pour des communications marketing non sollicitées

[20 janvier] L’Information Commissioner’s Office (ICO) a infligé un total de 225 000 £ d’amendes à deux sociétés pour avoir envoyé des millions de messages publicitaires non sollicités, en violation des règles britanniques sur le marketing électronique (PECR). Allay Claims Ltd a écopé de 120 000 £ pour avoir envoyé plus de 4 millions de SMS promotionnels sans consentement valide ni respect des conditions du « soft opt-in ». ZMLUK Limited a quant à elle été sanctionnée pour environ 67 millions d’e-mails marketing envoyés sans consentement éclairé, en se fondant sur des données tierces où les destinataires n’avaient pas de choix explicite. Ces sanctions ont été l’occasion pour l’ICO de rappeler qu’il ne suffit pas de se prévaloir d’un consentement générique ou de l’affichage d’une liste de partenaires pour légitimer l’envoi de messages marketing directs.  

‍

Source : Fines of £225,000 for nuisance marketing messages | ICO

‍

Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein