Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
[29 avril] En 2024, la CNIL a intensifié ses actions avec 87 sanctions prononcées, totalisant plus de 55 millions d'euros d'amendes, et 331 mesures correctrices, illustrant une vigilance accrue face aux manquements au RGPD. Son engagement s'est également manifesté dans l'accompagnement des acteurs de l'intelligence artificielle, via des initiatives telles que le « bac à sable » dédié aux services publics ou encore la rédaction de fiches pratiques, recommandations et questions-réponses.
Source : Rapport annuel : le bilan et les actions marquantes de la CNIL en 2024 | CNIL
[30 avril] La Cour de cassation a rendu public un rapport intitulé « Cour de cassation et intelligence artificielle : préparer la Cour de demain », fruit d'un groupe de travail pluridisciplinaire mandaté en mai 2024. Ce rapport identifie des cas d'usage de l'IA adaptés aux besoins spécifiques de la Cour, tels que la pseudonymisation des décisions, l'aide à la recherche jurisprudentielle, l'analyse des écritures et l'assistance à la rédaction. Il exclut explicitement les outils d'aide à la décision, dans l’objectif de préserver l'indépendance du juge. Chaque cas d'usage a été évalué selon cinq critères : éthique, juridique, fonctionnel, technique et économique. Le rapport insiste sur la nécessité d'une gouvernance rigoureuse, proposant la création d'un comité interne de supervision pour assurer un déploiement transparent et respectueux des droits fondamentaux.
Source : Intelligence artificielle : remise du rapport sur l’IA | Cour de cassation
[30 avril] Face à une recrudescence de fuites de données en 2024, la CNIL alerte sur les failles de sécurité récurrentes : usurpation d'identifiants, détection tardive des intrusions et mesures insuffisantes chez les sous-traitants. Elle rappelle que le RGPD impose aux responsables de traitement et à leurs sous-traitants de garantir un niveau de sécurité adapté, notamment via des mesures techniques et organisationnelles appropriées. La CNIL précise que « traiter un très grand nombre de données personnelles, implique de mettre en œuvre des mesures de sécurité renforcées ». Sont ainsi concernés, d’après l’autorité, les bases de données « clients » et les CRM. Elle met également en avant des mesures « essentielles » : authentification multi-facteur, journalisation et limitation des flux de données, sensibilisation régulière des utilisateurs en fonction de leurs profils et encadrement de la sécurité des données avec les sous-traitants.
Source : La CNIL donne ses consignes pour renforcer la sécurité des grandes bases de données | CNIL
[6 mai] La CNIL rappelle que les caméras dites « augmentées », intégrant de l’intelligence artificielle pour analyser le comportement des clients en caisse (détection d’oubli de scan, fraude, etc.), ne peuvent être utilisées que sous des conditions strictes. Ces dispositifs ne doivent en aucun cas permettre l’identification des personnes en temps réel ou la reconnaissance faciale. Les individus doivent être informés de façon visible et compréhensible. La CNIL liste les garanties devant être mises en place par les enseignes, telles que la réduction de la durée de conservation des données et du périmètre de la caméra, l’exclusion de toute conséquence automatique pour les clients.
Source : Caméras augmentées aux caisses automatiques : quels sont vos droits ? | CNIL
Pour en savoir plus sur le cadre juridique et règlementaire des caméras intelligentes dans l’espace public, consultez notre article à ce sujet.
[7 mai] La dernière version de la doctrine gouvernementale « Cloud au centre », impose aux ministères un niveau de sécurité poussé en matière d’hébergement, les obligeant à s’assurer que les applications utilisées pour le traitement des données sensibles sont conformes aux exigences de protection contre tout accès non autorisé par des autorités publiques d’un Etat tiers, et notamment américaines. Ce niveau d’exigence se retrouve dans les offres ayant obtenu le visa SecNumCloud, délivré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) à l’issue d’une procédure rigoureuse attestant du plus haut niveau de sécurisation des données hébergées dans un cloud. A partir du 31 mai 2025, les centrales d’achat de biens et de services courants des ministères (CBCM) devront obtenir l'avis préalable de la Direction interministérielle du numérique (Dinum) pour tout achat de service cloud, sauf dérogation spécifique. Cette mesure s’inscrit dans le cadre de la loi SREN du 21 mai 2024, visant à renforcer la souveraineté numérique de l’État.
[7 et 9 mai] Le 7 mai 2025, la cour d'appel de Paris a condamné la société Forseti, éditrice de la plateforme Doctrine.fr, pour concurrence déloyale envers cinq éditeurs juridiques traditionnels (Dalloz, Lexbase, LexisNexis, Lextenso et Lamy Liaisons). Entre 2016 et 2019, Forseti a collecté de manière illicite des centaines de milliers de décisions de justice sans autorisation des greffes, s'octroyant un avantage concurrentiel indu. La société devra verser entre 40 000 € et 50 000 € à chacun des plaignants et afficher la décision sur son site pendant 60 jours. Deux jours plus tard, un ancien salarié de Doctrine a été condamné à 18 mois de prison avec sursis et 15 000 € d'amende pour avoir frauduleusement extrait 52 000 jugements du tribunal judiciaire de Poitiers en 2018, en usurpant l'identité d'un assistant de justice et en utilisant les identifiants d'une greffière. A noter que Doctrine a indiqué avoir « immédiatement mis à pied » ce collaborateur dès qu’elle a eu connaissance des accusations portées contre lui.
Sources :
[15 mai] La CNIL a sanctionné la société CALOGA d’une amende de 80 000 € pour avoir mené des campagnes de prospection commerciale électronique sans consentement valide et pour avoir transmis des données personnelles à des partenaires sans base légale appropriée. CALOGA, spécialisée dans l’acquisition de données auprès de courtiers en données, utilisait des informations collectées via des formulaires en ligne trompeurs (jeux-concours, tests de produits) ne permettant pas un consentement libre et éclairé. La CNIL a estimé que les garanties contractuelles et les contrôles effectués par CALOGA étaient insuffisants pour s’assurer de la validité du consentement des personnes concernées. Par ailleurs, la société ne permettait pas aux utilisateurs de se désinscrire facilement de toutes ses bases de données, rendant le retrait du consentement plus complexe que son octroi. Elle conservait également les données des prospects pendant une durée excessive, prolongeant la conservation à chaque ouverture de courriel, même involontaire.
Source : Courtiers en données : sanction de 80 000 euros à l’encontre de la société CALOGA | CNIL
[15 mai] Alors que le secteur de l’éducation suppose le traitement de nombreuses données personnelles, tant lors des inscriptions scolaires que via l’utilisation des environnements numériques de travail, la CNIL a constaté que, ces cinq dernières années, le nombre de notifications de violations de données (environ 30 par an) ne correspondait pas à la réalité quotidienne des établissements scolaires. Afin d’accompagner les acteurs de ces établissements (DPO, directeurs d’école, chefs d’établissement et personnel administratif), la CNIL a publié deux guides visant à identifier ce qui constitue une violation de données, et détailler les actions à entreprendre en cas de violation. A travers cinq situations types, la CNIL espère ainsi rétablir l’équilibre entre violations et notifications.
Source : Education nationale : la CNIL publie deux guides pratiques sur les violations de données | CNIL
[19 mai] La CNIL enrichit son MOOC « Atelier RGPD », gratuit et accessible à tous, d’un sixième module entièrement dédié aux traitements des données RH, couvrant environ vingt heures d’auto-formation. Ce module, conçu par des juristes de la CNIL, guide pas à pas la gestion des données professionnelles, du recrutement à la fin de contrat, en passant par la gestion du personnel, l’équipement, le dialogue social et l’exercice des droits des salariés.
Pour en savoir plus sur la gestion du droit d’accès des salariés, consultez notre article sur le sujet.
[19 mai] A compter du 2 juin 2025, Vincent Villette succèdera à Louis Dutheillet de Lamothe, en qualité de secrétaire général de la CNIL. Actuel directeur financier et juridique du Centre National du Cinéma et de l’image (CNC), Vincent Villette a également été nommé responsable du Centre de recherches et de diffusion juridiques du Conseil d’État en 2018, où il encadre les travaux de production, d’analyse et de valorisation de la jurisprudence de cette juridiction, et rapporteur public auprès de la 1ère chambre de la section du contentieux en 2020.
[21 mai] La CNIL a prononcé à l’encontre de la société SOLOCAL MARKETING SERVICES une amende de 900 000 euros, ainsi qu’une injonction de cesser de pro céder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable, assortie d'une astreinte de 10 000 euros par jour de retard à l'issue d'un délai de 9 mois. La société SOLOCAL achetait des données de prospects auprès de courtiers dont les formulaires de collecte de données revêtent une apparence trompeuse ne permettant pas de recueillir un consentement libre et univoque. La société ne pouvant démontrer le consentement valide des prospects avant de mener ses campagnes de prospection, la CNIL a considéré que la société avait manqué à ses obligations en matière de recueil et de preuve du consentement à recevoir de la prospection par voie électronique.
Sources : Délibération SAN-2025-001 du 15 mai 2025, CNIL
[22 mai] Depuis janvier 2025, la CNIL a rendu dix décisions de sanctions dans le cadre de sa procédure simplifiée, six d’entre elles concernant la surveillance des salariés. Entre vidéosurveillance et géolocalisation des véhicules des salariés, la CNIL a relevé de nombreux manquements au principe de minimisation des données et a dû rappeler l’interdiction d’une surveillance systématique des salariés, ou encore l’interdiction de conserver au-delà du nécessaire des images vidéo ou données de géolocalisation. La CNIL a également sanctionné des manquements à la sécurité des données, ou encore à la notification et communication aux personnes concernées d’une violation de données.
[23 mai] L’octroi de crédit implique la mise en œuvre de traitements de données personnelles complexes, notamment à l’occasion de l’évaluation de la capacité de remboursement du demandeur qui est aujourd’hui souvent partiellement ou totalement automatisée. Afin d’accroître la transparence et la conformité des traitements de données dans ce secteur, la CNIL propose aujourd’hui un projet de référentiel à destination des organismes autorisés à accorder des prêts (crédits immobiliers et crédits à la consommation). Ce référentiel vise à renforcer la transparence et la conformité des traitements de données personnelles utilisés pour évaluer la capacité de remboursement des demandeurs de crédit. Le référentiel, élaboré en concertation avec les acteurs du secteur financier via le « club conformité » de la CNIL, propose des recommandations concrètes sur la collecte de données pertinentes, l’utilisation d’outils de scoring, la minimisation des données, la transparence des traitements et la durée de conservation des informations.
La consultation est ouverte à tous les acteurs concernés jusqu’au 18 juillet 2025. Les contributions permettront d’affiner le référentiel avant son adoption définitive, offrant ainsi un cadre clair pour les organismes financiers tout en garantissant le respect des droits des personnes concernées.
Source : Octroi de crédit : la CNIL lance une consultation publique sur son projet de référentiel | CNIL
[29 avril] Dans un avis du 17 avril 2024, le Comité Européen de Protection des Données (CEPD) considérait que le modèle « Consent or Pay » des grandes plateformes en ligne ne satisfaisait pas à l’exigence d’un consentement libre, spécifique, éclairé et univoque au sens du RGPD. Pour le CEPD, se contenter d’offrir aux utilisateurs un choix binaire entre donner son consentement au traitement de leurs données à des fins de publicité ciblée ou verser une rémunération pour pouvoir bénéficier du service sans recevoir de publicité personnalisée est insuffisant. Le CEPD recommande alors aux grandes plateformes en ligne de mettre en place une option alternative. A la suite à cet avis, Meta a saisi le Tribunal de l’Union Européenne (TUE), sollicitant son annulation et le versement de dommages et intérêts pour les préjudices subis en réaction à cet avis. L'action de Meta a été rejetée, le TUE considérant que l’avis du CEPD ne revêtait pas d’effets juridiques à l’égard des tiers et ne constituait dès lors pas un acte attaquable par Meta. En parallèle, la Commission européenne prononçait à l’encontre de Meta une amende de 200 millions d’euros pour violation du Digital Market Act (DMA) par ce même modèle « Consent or Pay ».
Sources :
[30 avril] Alors que le délai pour la présentation des déclarations annuelles de patrimoine des juges, des procureurs et des magistrats instructeurs était prescrit, l’inspection du Conseil supérieur de la magistrature bulgare a demandé au tribunal de district de Sofia de lever le secret bancaire de plusieurs juges et procureurs, ainsi que de leurs familles. La juridiction s’interrogeant sur l’articulation des dispositions de droit bulgare et le RGPD a saisi la Cour de Justice de l’Union Européenne (CJUE) d’une question préjudicielle. Les juges européens ont considéré qu’une juridiction nationale n’agit pas en tant que responsable de traitement ou autorité de contrôle lorsqu’elle autorise la divulgation de données à caractère personnel à une instance judiciaire compétente pour contrôler les activités des juges, des magistrats et des procureurs. La CJUE va même plus loin et considère par ailleurs que la juridiction nationale n’est pas tenue de garantir la sécurité des données dans le cadre d’une telle divulgation.
Sources :
[2 mai] L’autorité irlandaise de protection des données (la Data Protection Commission (DPC)) a prononcé une amende de 530 millions d’euros pour avoir transféré les données personnelles d’utilisateurs européens vers la Chine, en violation de l’article 46 du RGPD. L’enquête de la DPC a révélé un niveau insuffisant de protection par la législation chinoise, l’impossibilité pour TikTok de démontrer la mise en place de garanties adéquates ainsi qu’un manque de transparence des utilisateurs concernant le transfert de leurs données. TikTok a désormais 6 mois pour mettre ses traitements en conformité, faute de quoi ses transferts vers la Chine seront suspendus.
[5 mai] L’Autorité espagnole de protection des données (AEPD) a infligé une amende de 1,6 million d’euros à ING Bank Espagne pour avoir exigé, sans base légale valable, l’accès aux données d’un prospect afin de vérifier l’origine de ses fonds en vue de l’ouverture d’un compte bancaire. Comme fondement à ce traitement, la banque invoquait une obligation légale en matière de lutte contre le blanchiment. L’enquête de l’AEPD a révélé que la règlementation invoquée n’imposait une obligation de vérifier les informations soumises que lorsqu’un risque élevé était identifié, ce qui n’était pas le cas de la personne concernée. Cette décision rappelle l’importance du choix de la base légale de tout traitement de donnés.
Source : AEDP (Spain) – EXP202213634 | GDRPhub
[5 mai] Le Conseil d’État a décidé de surseoir à statuer sur le recours de Canal+ contre une sanction de 600 000 € infligée par la CNIL pour prospection commerciale illicite. En cause : l'utilisation par Canal+ de données personnelles collectées par des fournisseurs d’accès à Internet (FAI), sur la base d’un consentement donné à ces derniers pour un usage par des « partenaires » non clairement identifiés. Le cœur du litige porte sur la validité d’un tel consentement au regard du RGPD et de l’article L. 34-5 du Code des postes et des communications électroniques. La CNIL estime que Canal+ aurait dû obtenir un consentement spécifique et éclairé avant d’utiliser ces données à des fins de prospection. Le Conseil d’État a saisi la Cour de justice de l’UE (CJUE) de deux questions préjudicielles :
La réponse de la CJUE pourrait fortement impacter les pratiques actuelles d’emailing.
Source : Décision n° 490202 - Conseil d'État
[6 mai] Le Comité européen de la protection des données (CEPD) a approuvé deux avis majeurs. Le premier concerne l’Office européen des brevets (OEB), dont le cadre de protection des données est jugé conforme au RGPD. Cette reconnaissance, une première pour une organisation internationale, permettra, des transferts de données sans mesures supplémentaires. Le second avis porte sur la prolongation de six mois des décisions d’adéquation pour le Royaume-Uni, jusqu’au 27 décembre 2025, en raison de réformes législatives en cours. Le CEPD souligne le caractère exceptionnel de cette extension et insiste sur la nécessité d’une évaluation continue du niveau de protection des données outre-Manche.
Sources :
[8 mai] Le Comité européen de la protection des données (CEPD) a formé un recours contre le Parlement et le Conseil de l'Union européenne, contestant la légalité des articles 74a et 74b du règlement Europol modifié en 2022. Ces dispositions autorisent rétroactivement Europol à conserver et traiter des ensembles massifs de données personnelles, y compris ceux collectés sans catégorisation préalable, remettant en cause une décision du CEPD du 3 janvier 2022 qui imposait leur suppression. En septembre 2023, le Tribunal de l'Union européenne a jugé le recours irrecevable, estimant que le CEPD ne disposait pas de la qualité pour agir en vertu de l'article 263 TFUE, n'étant pas directement et individuellement concerné. Le CEPD a fait appel de cette décision devant la Cour de justice de l'Union européenne (CJUE), arguant que l'absence de voie de recours porterait atteinte à son indépendance institutionnelle garantie par l'article 8(3) de la Charte des droits fondamentaux de l'UE. L'avocat général, dans ses conclusions du 8 mai 2025, a estimé que le CEPD était directement affecté par les dispositions contestées et devrait donc être autorisé à les contester. Il a recommandé à la CJUE de déclarer le recours recevable et de renvoyer l'affaire au Tribunal pour un examen au fond. Cette affaire soulève des questions fondamentales sur l'équilibre institutionnel au sein de l'UE et sur la capacité des autorités de protection des données à contester des actes législatifs affectant leurs prérogatives.
Sources :
[8 mai] Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont adressé une lettre conjointe à la Commission européenne concernant une proposition de modification ciblée de l'article 30(5) du RGPD. Cette initiative vise à simplifier l'obligation de tenue des registres des activités de traitement pour les organisations de moins de 750 employés dont le chiffre d’affaires annuel net ne dépasse pas 150 millions d’euros. Cette proposition s'inscrit dans une démarche visant à alléger les charges administratives des PME tout en assurant une protection adéquate des données personnelles. Une consultation formelle est prévue après la publication de la proposition législative. A noter qu’à ce jour, les organisations qui ne dépassent pas les seuils fixés par la réglementation sont tout de même tenues d’avoir un registre en cas de traitement non occasionnel, à haut risque ou portant sur des données sensibles.
[14 mai] La Cour des marchés belge a confirmé l’amende de 250 000 € infligée à l’IAB Europe pour des manquements au RGPD liés à son Transparency & Consent Framework (TCF), un standard largement utilisé pour la gestion du consentement dans la publicité en ligne. La Cour a reconnu que la « TC String », qui encode les préférences des utilisateurs, constitue une donnée personnelle, et que l’IAB Europe agit en tant que responsable du traitement pour cette partie du dispositif. En revanche, la Cour a limité la responsabilité de l’IAB Europe aux seules opérations liées à la création et à l’utilisation des TC Strings, excluant les traitements ultérieurs effectués via le protocole OpenRTB. Cette décision devrait guider l’IAB Europe dans la mise en conformité du système TCF.
Source : Publicité numérique : La justice belge clarifie le cadre du Transparency & Consent Framework
[14 mai] L'organisation de défense des droits numériques NOYB a annoncé avoir adressé une lettre de mise en demeure à Meta. Elle exige l'arrêt immédiat de l'utilisation des données personnelles des utilisateurs européens de Facebook et Instagram pour l'entraînement de ses systèmes d'intelligence artificielle, prévue à partir du 27 mai. Meta justifie cette pratique par un « intérêt légitime », optant pour un système d'opt-out plutôt que de solliciter un consentement explicite (opt-in). NOYB conteste cette base juridique, soulignant que les utilisateurs n'ont pas été informés de manière adéquate et que leurs droits, tels que l'accès, la rectification ou l'effacement des données, pourraient être compromis une fois les données intégrées aux modèles d'IA. L'organisation envisage de recourir à la directive européenne sur les recours collectifs pour engager une action en justice à l'échelle de l'UE, avec des dommages potentiels s'élevant à plusieurs milliards d'euros.
Pour plus d’information sur le fondement légal de l’entraînement par Meta, de son modèle d’intelligence artificielle Meta AI sur les données personnelles, veuillez consulter notre article.
[23 mai] En avril, Meta annonçait son intention d’exploiter, à compter du 27 mai 2025, les données personnelles issues des profils publics de ses utilisateurs pour former son intelligence artificielle, MetaAI, sous réserve que les personnes concernées ne s’y soient pas opposés. En réaction, l’organisation allemande de défense des droits des consommateurs a saisi en référé le Tribunal supérieur de Cologne, sollicitant l’interdiction d’un tel traitement. Après examen préliminaire, la juridiction allemande a estimé que le traitement était licite au sens de l’article 6§1, f) du RGPD, dès lors qu’il reposait sur l’intérêt légitime de Meta d’utiliser les données pour l’entraînement de systèmes d’intelligence artificielle. Le traitement de grandes quantités de données, y compris sensibles, provenant de tiers et de personnes mineurs, ne suffisent pas, aux yeux des juges allemands, à écarter la licéité du traitement. La demande d’injonction provisoire visant à interdire le traitement visé a donc été rejetée.
Source : OLG Köln – PM 10/2025 | GDPRhub
Pour plus d’information sur le fondement légal de l’entraînement par Meta de son modèle d’intelligence artificielle, Meta AI sur les données personnelles, veuillez consulter notre article.
[7 mai] L’équipe de renseignement sur les menaces de Google (GTIG), a publié un rapport le 7 mai 2025 sur le malware LOSTKEYS, attribué au groupe de cybercriminels « Coldriver », soutenu par le gouvernement russe. Ce logiciel malveillant qui fonctionne sur la base de fausses vérifications CAPTCHA cible généralement des personnalités importantes telles que des conseillers de forces armées, des ONG, think tanks et journalistes, notamment liés à l’Ukraine. Le GTIG mentionne l’utilisation à trois reprises, en janvier, mars et avril 2025, de ce malware capable de voler des fichiers à partir d'une liste codée en dur d'extensions et de répertoires et d'envoyer des informations système et des processus en cours d'exécution à l'attaquant. L’Union Européenne a sanctionné deux membres de Coldriver en juin 2023 d’une interdiction d’entrer dans le territoire de l’Union, assortie d’un gel de leurs avoirs et d’une interdiction pour les ressortissants européens de leur mettre des fonds à disposition. Aux États-Unis, une récompense pouvant aller jusqu’à 10 millions de dollars est offerte pour quiconque possèderait des informations sur Coldriver.
Sources :
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein