Veille données personnelles – Juillet 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Un contrat de licence résolu pour manquements graves à la réglementation en matière de protection des données
[13 mai] Au mois de mai, la cour d’appel de Bordeaux a confirmé la résolution judiciaire d’un contrat de licence d’exploitation d’un site internet en raison de violations substantielles des obligations en matière de protection des données personnelles. Dans cette affaire, le licencié exploitait un site qui collectait et traitait des données sans respecter les règles de sécurité et d’information imposées par le RGPD, notamment l’absence de mentions légales conformes et le défaut de registre des traitements. Le contrat prévoyait expressément l’obligation de respecter la réglementation sur les données personnelles, qualifiée de condition essentielle. Le licencié soutenait que ces manquements étaient mineurs et pouvaient être régularisés, mais la cour a estimé qu’ils étaient suffisamment graves pour justifier la résolution immédiate. Elle a relevé que le défaut de conformité portait atteinte à l’image et à la responsabilité du concédant, qui restait identifié comme responsable conjoint des traitements. Cette décision souligne que le respect des obligations RGPD ne relève pas d’un simple formalisme mais constitue une condition déterminante dans les contrats d’exploitation numérique. L’arrêt s’inscrit dans une tendance jurisprudentielle exigeante, plaçant la conformité des traitements de données au cœur des relations contractuelles dans l’économie numérique.
Source : Cour d'appel de Bordeaux, 4e chambre commerciale, 13 mai 2025, n° 23/02044 | Doctrine
1.2. Impact économique du RGPD en matière de cybersécurité : la CNIL publie son analyse
[5 juin] Alors que la sécurité informatique est considérée comme une décision d’investissement des entreprises, cette dernière ne prend généralement pas en compte l’impact d’un tel investissement sur le reste de la société et les défaillances du marché liées au caractère interdépendant des entreprises et des individus. La CNIL identifie dans son analyse trois externalités que le RGPD permet de palier : externalités affectant les autres entreprises, externalités pour les cybercriminels, et externalités affectant les clients. La conformité au RGPD, qui oblige les acteurs à un certain nombre d’actions et notamment à la déclaration des violations de données permet de lutter contre le sous-investissement en matière de cybersécurité. Ainsi, les notifications de ces violations entraîneraient une diminution de 2,5% à 6,1% d’usurpations d’identités, et le RGPD aurait permis d’éviter entre 90 et 219 millions d’euros de préjudices cyber en France en réparation de ce délit.
Source : Cybersécurité : les bénéfices économiques du RGPD | CNIL
1.3. Enquêtes de mesures de la diversité au travail et recommandations de la CNIL
[10 juin] Si la décision du Conseil constitutionnel du 15 novembre 2007 interdit la collecte de l’appartenance ethno-raciale réelle ou supposée des personnes à l’occasion d’études, les enquêtes de mesure de la diversité au travail sont autorisées dès lors qu’elles s’accompagnent de garanties suffisantes afin d’assurer le respect du droit à la vie privée des participants et ne résultent pas en une discrimination. Les recommandations de la CNIL publiées ce mois-ci mettent en avant l’importance du consentement libre et éclairé des répondants aux fins de collecte de leurs données sensibles, du caractère facultatif de l’enquête et de l’information des personnes concernées. Par ailleurs, la CNIL recommande de privilégier les enquêtes anonymes et de limiter les données collectées avec des questions fermées.
Source : Enquêtes de mesure de la diversité au travail : la CNIL publie ses recommandations | CNIL
1.4. Consultation publique et nouveau projet de recommandation sur les pixels de suivi
[12 juin] Méthode de traçage alternative aux traceurs et cookies, les pixels de suivi sont une image de 1 pixel par 1 pixel contenant un identifiant de l’utilisateur, intégrée dans un site web ou un email et invisible pour l’utilisateur, qui permet de savoir si l’utilisateur tracé a visité le site ou lu l’email concerné. Le projet de recommandation de la CNIL se limite à l’usage de ces pixels dans les courriels, et tend à compléter les lignes directrices et la recommandation sur les cookies et autres traceurs. Il identifie de nombreux acteurs dont le rôle doit être déterminé au regard du traitement réalisé (expéditeur du courriel, prestataire de service d’envoi de courriels, prestataire de services de location de listes de diffusion et d’envoi de courriels, fournisseur de la technologie de traçage, fournisseur de service de messagerie). Une consultation publique et un appel à contributions complémentaires sur les enjeux économiques sont ouverts jusqu’au 24 juillet 2025.
Source : Pixels de suivi : la CNIL lance une consultation publique sur son projet de recommandation | CNIL
1.5. Surveillance algorithmique censurée : le Conseil constitutionnel freine la loi contre le narcotrafic
[12 juin] Le Conseil constitutionnel a partiellement censuré la loi visant à renforcer la lutte contre le narcotrafic. Si l’objectif de sauvegarde de l’ordre public est jugé légitime, le Conseil a estimé que plusieurs moyens techniques retenus portaient une atteinte disproportionnée aux droits fondamentaux, notamment au respect de la vie privée. L’article 15, qui autorisait un traitement algorithmique des données de connexion pour détecter des comportements suspects, a été annulé. Le Conseil a souligné que ce dispositif instaurait une surveillance généralisée et indifférenciée, contraire au principe de proportionnalité garanti par la Constitution. L’article 5, permettant l’accès direct par les services de renseignement à des fichiers administratifs contenant des données fiscales, patrimoniales et bancaires, a également été censuré. En l’absence de garanties suffisantes sur la traçabilité des accès et la suppression des données devenues inutiles, cette mesure portait une atteinte excessive au droit à la vie privée. Cette décision rappelle que l’efficacité de la lutte contre la criminalité ne saurait justifier des outils de surveillance sans encadrement rigoureux des droits des citoyens.
Source : Décision n°2025-885 DC du 12 juin 2025 | Loi visant à sortir la France du piège du narcotrafic
1.6. Droit d’accès du salarié à ses emails : la Cour de cassation en précise les contours
[18 juin] Après mise à pied à titre conservatoire, un directeur associé de la société Publicis Sapient France avait été licencié pour faute le 30 mars 2018, en raison de la commission de faits de harcèlement sexuel ou moral ou d’agissements sexistes ou à connotation sexuelle à l’égard de collaboratrices. Dans le cadre de son action prud’homale, le salarié avait exercé son droit d’accès au sens de l’article 15 du RGPD en vue d’obtenir communication des courriels émis ou reçus par lui dans le cadre de l’exécution de son contrat de travail. L’employeur s’était limité à transmettre divers documents contractuels, de santé et financiers, sans donner suite à la demande de communication des courriels. La Cour de cassation, saisie de cette affaire, rappelle que les courriels émis ou reçus par un salarié grâce à sa messagerie électronique professionnelle sont des données personnelles, auxquelles le salarié a le droit d’accéder. L’employeur est ainsi tenu de fournir tant les métadonnées (horodatage, destinataires) que le contenu de ces courriels, sous réserve de ne pas porter atteinte aux droits et libertés d’autrui. L’abstention de l’employeur a été reconnue comme fautive par la Haute juridiction. Ainsi, un employeur ne peut ignorer les demandes d’accès aux courriels professionnels, et ne peut en refuser la communication qu’en justifiant d’une atteinte aux droits d’autrui comme : le respect du secret des affaires, la protection de droits de propriété intellectuelle ou encore la protection du droit à la vie privée de tiers.
Source : Cour de cassation, Chambre sociale, 18 juin 2025, n°23-19.022
Pour en savoir plus sur l’articulation entre RGPD et droit du travail, consultez nos articles sur le droit d’accès et le droit de la preuve.
1.7. La CNIL clarifie l’usage de l’intérêt légitime pour l’entraînement des modèles d’IA
[19 juin] La CNIL a publié des recommandations sur l’usage de l’intérêt légitime comme base légale pour entraîner des modèles d’intelligence artificielle. Ce document s’appuie sur les travaux engagés depuis avril 2024, incluant une première série de fiches sur la finalité, la minimisation, la conservation des données ou encore les AIPD. Une seconde consultation publique lancée en juin 2024 a permis de recueillir 62 contributions issues d’acteurs publics, privés et académiques. La synthèse publiée porte notamment sur deux fiches : l’une consacrée aux conditions d’usage de l’intérêt légitime dans le développement de systèmes d’IA, l’autre focalisée sur le moissonnage de données en ligne. Elle rappelle que ce fondement juridique impose une mise en balance rigoureuse des intérêts et le respect des droits des personnes concernées. Une fiche spécifique sur la diffusion open source des modèles d’IA est annoncée prochainement. Ces recommandations constituent un cadre pratique pour concilier innovation et conformité au RGPD.
Source : Développement des systèmes d’IA : la CNIL publie ses recommandations sur l’intérêt légitime | CNIL
Pour en savoir plus sur le recours à l’intérêt légitime pour entrainer une IA, consultez notre article sur la récente position de Meta.
1.8. 16 milliards d’identifiants exposés : la CNIL donne les bons réflexes
[20 juin] La CNIL alerte sur la mise en ligne d’une base unique rassemblant 16 milliards d’identifiants et mots de passe issus de précédentes fuites de données selon le média Cybernews. Si cette agrégation ne constitue pas une nouvelle fuite, elle renforce toutefois le risque de piratage de comptes en ligne, notamment par réutilisation de données ou attaques automatisées. La CNIL recommande des mesures simples mais efficaces : vérifier les connexions suspectes, changer immédiatement les mots de passe compromis, privilégier des mots de passe forts, uniques et stockés via gestionnaire, et activer systématiquement l’authentification multifacteur sur les comptes sensibles. Elle met en garde contre l’utilisation de sites tiers proposant de vérifier si l’on est concerné, jugés peu fiables et potentiellement dangereux.
Source : Exposition de 16 milliards d’identifiants et des mots de passe – que faire ? | CNIL
1.9. La CNIL publie deux FAQ pour encadrer l’IA en milieu scolaire
[20 juin] La CNIL a récemment mis en ligne deux FAQ pratiques pour guider l’usage des systèmes d’intelligence artificielle dans les établissements scolaires. L’une s’adresse aux enseignants, pour les aider à intégrer des outils d’IA en classe en toute sécurité : choix d’outils adaptés, protection des données saisies par les élèves, surveillance et correction assistée, tout en soulignant que ces systèmes peuvent produire des erreurs plausibles et doivent être utilisés avec discernement. L’autre s’adresse aux responsables de traitement (chefs d’établissement, académie…) et détaille les obligations RGPD : identification du responsable, rôle du DPO, documentation des traitements, sécurisation des données et information claire des élèves et parents.
Source : La CNIL publie deux FAQ sur l’utilisation des systèmes d’IA dans les établissements scolaires | CNIL
1.10. Audit de la confidentialité des modèles d’IA : Projet PANAME
[26 juin] Alors que l’intelligence artificielle est de plus en plus présente et que l’Union Européenne déploie ses efforts pour encadrer son développement et son utilisation, la CNIL et ses partenaires lancent le projet PANAME (Privacy Auditing of AI Models) en vue de gérer les enjeux de conformité avec le RGPD. Les travaux relatifs aux risques d’atteintes à la confidentialité des modèles d’IA étant principalement académiques et inadapté à des déploiements en environnement industriel, le projet PANAME tend à proposer un outil d’évaluation, tout ou partie en open source. Pendant 18 mois, le PEReN (Pôle d’Expertise de la Régulation Numérique), l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), le Projet IPoP du PEPR (Programmes et Équipements Prioritaires de Recherche) et la CNIL collaboreront pour développer une bibliothèque logicielle destinée à unifier la façon dont la confidentialité des modèles est testée. Le projet PANAME vise à proposer aux acteurs de l’écosystème IA une évaluation technique de confidentialité efficace et à moindre coût.
Sources :
2. UNION EUROPEENNE
2.1. Violation de données et mesures insuffisantes : 3,2 millions d’amende à l’encontre de Carrefour
[4 juin] Entre janvier et septembre 2023, Carrefour a notifié cinq violations de données à l’Autorité espagnole de protection des données (AEPD) ayant impacté 119 000 personnes concernées, toutes liées à un accès illégitime à des comptes clients via credential stuffing, sans pour autant identifier la source initiale des identifiants volés. Alors que Carrefour avait eu connaissance de la première violation en octobre 2022, celle-ci n’a été signalée qu’en janvier 2023. En mai 2023, l’AEPD a lancé une investigation sur ces violations, ayant révélé que Carrefour n’avait pas mis en place les mesures de sécurité appropriées (ex : absence d’authentification multifacteur) et que les personnes concernées n’avaient pas été correctement informées des violations de données, qui présentaient pourtant un risque élevé pour leurs droits et libertés. L’AEPD a prononcé une sanction de 3,2 millions d’euros au total, pour les différents manquements. Cette sanction rappelle l’importance de mettre en place des mesures de sécurité préventives et d’analyser chaque violation de données au regard des risques pour les personnes concernées.
Source : AEPD (Spain) – EXP202305979 | GDPRhub
2.2. Accès aux données de condamnations pénales pour agressions sexuelles sur mineurs et violation du RGPD
[5 juin] En 2021, la Hongrie adoptait une loi relative à la protection des mineurs imposant notamment aux organismes publics de fournir aux « personnes autorisées » (personne adulte qui en fait la demande, parent d’une personne de moins de 18 ans ou qui en assure l’éducation, la garde ou l’entretien) un accès direct aux casiers judiciaires des personnes condamnées pour des infractions sexuelles contre des mineurs. La Commission européenne a tenté, en vain, de solliciter une modification de cette loi qu’elle jugeait comme incompatible avec le droit de l’Union pour violation de l’article 10 du RGPD et de la Charte des droits fondamentaux de l’UE en matière de protection des données. La Hongrie argumentait que la notion de « personne autorisée » était suffisamment précise lorsqu’elle était lue à la lumière du Code civil hongrois, et que les critères d’accès étaient suffisamment limités : la divulgation doit être probablement nécessaire pour assurer la sécurité du mineur concerné, et il doit être excessivement difficile pour la personne autorisée d’accéder aux données par un autre moyen. La Cour de Justice de l’Union Européenne (CJUE) a été saisie de cette affaire, et l’Avocate Générale Ćapeta a conclu que la notion de « personnes autorisées » était trop large et mal définie, même lorsqu’elle était interprétée à la lumière du droit civil national, et que les critères additionnels étaient trop génériques et devaient être évalués par la personne autorisée elle-même, reposant dès lors sur un régime d’auto-déclaration se prêtant à des abus et privant les organismes publics de tout contrôle sur leurs données.
Sources :
2.3. Traitement de données sans base légale : 100.000 euros d’amende à l’encontre de Naturgy
[5 juin] En décembre 2022, une personne concernée était informée par son fournisseur d’électricité de l’interruption des services à la demande du responsable de traitement, la société d’électricité Naturgy. Naturgy argumentait que cette interruption était la conséquence d’un défaut de paiement des factures pour un contrat de fourniture d’électricité qui aurait été signé par la personne concernée via un SMS de confirmation et son adresse IP. La personne concernée argumentait que ledit contrat avait été signé via des informations incorrectes et avait donc refusé de payer les factures à Naturgy. L’autorité espagnole de protection des données (AEPD) a considéré que Naturgy avait traité les données de la personne concernée sans base légale, dès lors qu’il était de sa responsabilité de vérifier que le numéro de téléphone ayant reçu le SMS de confirmation était exact et que Naturgy avait continué à envoyer des factures malgré le fait qu’elle avait été informée par la personne concernée qu’elle n’était pas signataire du contrat. Avec cette sanction, l’AEPD rappelle le caractère central de la base légale lors des traitements de données.
Source : AEPD (Spain) – EXP202304821 | GDPRhub
2.4. Traitement illicite de données d’enfants : 250.000 NOK d’amende
[10 juin] Lors d’une enquête, l’autorité norvégienne de protection des données (Datatilsynet) a constaté la présence de 17 cookies et de pixels Meta et Snap sur un site internet d’assistance aux mineurs victime de maltraitance. La politique de confidentialité du responsable de traitement ne mentionnait initialement pas la présence de ces traceurs, et ses modifications restaient lacunaires dès lors que la base légale du traitement et les catégories de données traitées par les traceurs demeuraient absentes et que les termes employés n’étaient pas aisément compréhensibles par les mineurs. Le contrôle de la Datatilsynet s’est concentré sur les pixels, considérant le traitement illicite dès lors qu’aucune base légale ne pouvait le justifier : le site internet ne recueillait aucun consentement, le suivi commercial ne relève pas d’une mission d’intérêt public et l’intérêt légitime ne pouvait être retenu dès lors que l’objectif déclaré d’examiner une campagne marketing ne l’emportait pas sur les droits et libertés des enfants. La Datatilsynet a infligé une amende de 250.000 NOK (21.600 €) au responsable de traitement, qui a agi avec négligence en partageant les données personnelles d’enfants. Ce dernier a néanmoins coopéré avec l’autorité durant la procédure et a supprimé les pixels avant que la décision ne soit rendue.
Source : Datatilsynet (Norway) – NO – DPA – 24/01055-10 | GDPRhub
2.5. Consultation publique : commentaires du CEPD sur le Digital Services Act et la protection des mineurs en ligne
[25 juin] Le 13 mai 2025, la Commission européenne lançait une consultation publique sur ses lignes directrices sur la protection des mineurs en ligne au titre du Digital Services Act (DSA). Avec cette étape, la Commission tend à créer un environnement en ligne plus sûr pour les enfants, en soutenant les plateformes en ligne accessibles aux mineurs afin de garantir un niveau élevé de confidentialité, de sûreté et de sécurité pour les enfants. Le Comité Européen de la Protection des Données (CEPD) accueille favorablement cette initiative et rappelle que les enfants méritent une protection particulière en ligne, et qu’il est essentiel d’éviter la tromperie ou la manipulation des mineurs, et de mettre en œuvre le principe de privacy by design et by default. Le CEPD note que le DSA et le RGPD poursuivent des objectifs différents mais complémentaires, et que le projet de lignes directrices de la Commission européenne fournit des recommandations claires et pratiques sur les mesures que les fournisseurs de plateforme doivent prendre pour améliorer la sécurité, la sûreté et la vie privée. Dans le cadre de sa stratégie 2024-2027, le CEPD entend fournir des orientations supplémentaires sur le respect de la protection des données des mineurs et sur l'interaction entre le DSA et le RGPD dans ses « Lignes directrices pour les enfants ».
Source : EDPB comments on European Commission’s Guidelines on Art.28 DSA | CEPD
2.6. L’autorité allemande de protection des données exige le retrait de DeepSeek des stores Apple et Google
[27 juin] Meike Kamp, commissaire allemande à la protection des données, a sommé Apple et Google de retirer l’application DeepSeek de leurs boutiques en Allemagne. Elle reproche à la startup chinoise d’avoir illégalement transféré des données personnelles d’utilisateurs allemands vers la Chine, sans garantir un niveau de protection équivalent à celui exigé par le RGPD. Les données en cause comprennent non seulement l’historique des requêtes d’IA et fichiers téléchargés, mais aussi des informations sensibles comme les adresses IP ou les schémas de frappe, potentiellement accessibles aux autorités chinoises. Cette demande s’inscrit dans un mouvement plus large de vigilance européenne : l’Italie a déjà banni DeepSeek de son App Store, les Pays-Bas l’ont exclu des appareils gouvernementaux, et les ÉtatsUnis envisagent l’interdiction pour usage officiel. L’affaire met en lumière l’exigence juridique du RGPD en matière de transferts internationaux de données (chapitre V) et la nécessité, pour toute application impliquant des serveurs hors UE, de démontrer une protection adéquate équivalente à celle de l’Union.
Sources :
3. INTERNATIONAL
3.1. Divulgation de données personnelles sur le dark web : l’autorité de protection des données australienne intente une action à l’encontre de Medibank
[5 juin] Suivant une violation de données résultant d’une cyberattaque chez Medibank et sa filiale, l’autorité de protection des données australienne (OIAC) avait lancé une enquête ayant révélé des manquements à la loi nationale sur la protection des données personnelles (Privacy Act 1988). En conséquence de cette cyberattaque, les informations de millions de clients actuels et passés de Medibank avaient été diffusées sur le dark web. L’OAIC a considéré qu’entre mars 2021 et octobre 2022, Medibank aurait gravement porté atteinte à la vie privée de 9,7 millions de citoyens australiens en ne prenant pas les mesures raisonnables pour protéger leurs données personnelles d’une utilisation abusive et d’un accès ou d’une divulgation non autorisée. L’autorité retient l’exposition d’un grand nombre de personnes à la probabilité d’un préjudice grave, y compris de détresse émotionnelle, et à un risque important de vol d’identité, d’extorsion et de criminalité financière. Dans le cadre de cette procédure, la Cour fédérale pourrait prononcer une amende civile d’un montant maximum de 2.220.000 AUD pour chaque infraction à la section 13G du Privacy Act 1988 (atteinte grave à la vie privée d’un individu).
Source : OAIC takes civil penalty action against Medibank | Office of the Australian Information Commissioner
3.2. Adoption d’un nouveau cadre légal des données personnelles au Royaume-Uni
[19 juin] Le Royaume-Uni a adopté le Data (Use and Access) Act (DUAA), réformant en profondeur le régime de protection des données personnelles. Cette loi ajuste le UK GDPR, le Data Protection Act 2018 et le Privacy and Electronic Communications Regulations, sans les abroger, afin de mieux concilier valorisation économique des données et respect des standards européens. Le texte facilite l’exploitation des données à des fins de recherche, y compris commerciale, et introduit des aménagements en matière d’information des personnes, en permettant de ne pas délivrer de notification lorsque cela représenterait un effort disproportionné, sous réserve de garanties équivalentes. En parallèle, le texte limite les demandes d’accès des personnes concernées à celles jugées raisonnables et proportionnées. En matière de décisions automatisées, le DUAA élargit les possibilités de recours à ces traitements sur la base de l’intérêt légitime, tout en maintenant une protection renforcée pour les données sensibles. La loi crée une nouvelle base juridique dite « intérêts légitimes reconnus » pour certains traitements fréquents et assouplit la divulgation de données entre organismes publics. Elle autorise également, sous conditions, l’usage de cookies sans consentement préalable et facilite la prospection directe par les associations caritatives via un « soft opt-in ».
Source : Data (Use and Access) Act 2025
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
