Veille données personnelles – Mai 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Recommandations de la CNIL : cybersécurité et authentification multifacteur
[1er avril] Face à une augmentation des menaces cyber, la CNIL publie de nouvelles recommandations destinées à accompagner les responsables de traitements, sous-traitants, DPO, RSSI et fournisseurs de solutions d’authentification multifacteur (MFA). A l’aide d’encadrés explicatifs et d’exemples pratiques, la CNIL guide ces acteurs dans la mise en œuvre de solutions adaptées aux besoins de la protection des données personnelles, dans le respect des principes clés du RGPD. Ces recommandations visent notamment à éclairer les responsables de traitement sur les opportunités de recours à la MFA, et sur les modalités et conditions les plus adaptées, tout en accordant une importance particulière au respect d’exigences techniques minimales.
1.2. Bilan 2024 : la CNIL renforce la régulation des traitements de données de santé
[7 avril] En 2024, la CNIL a reçu 619 demandes d’autorisation pour des traitements de données de santé, dont 472 pour des projets de recherches, marquant une hausse de 20% par rapport à 2023. Parmi celles-ci, 397 ont été accordées, 174 ont été classées sans suite et 3 ont fait l’objet d’un refus. La CNIL souligne une amélioration de la qualité des dossiers reçus et une réduction des délais d’instruction. Elle précise à ce titre que les dossiers classés sans suite concernent principalement des demandes incomplètes, ou ne nécessitant pas d’autorisation spécifique ou de formalités préalables. Les motifs de refus, quant à eux, portent principalement sur les mesures de sécurité des données, telles que la pseudonymisation ou le respect du principe de minimisation. Afin d’améliorer les démarches et de renforcer les dossiers déposés, la CNIL prévoit de mettre en ligne un nouveau formulaire de demande d’autorisation d’ici mi-2025.
Source : Demandes d’autorisation en santé : bilan pour l’année 2024 de l’action de la CNIL | CNIL
1.3. Applications mobiles : la CNIL actualise ses recommandations pour renforcer la protection des données personnelles
[8 avril] La CNIL a publié une version mise à jour de ses recommandations relatives aux applications mobiles publiées en septembre 2024. Sans en changer le fond, cette révision vise à corriger des omissions ou incohérences et à répondre aux demandes de clarifications formulées par les acteurs concernés. Ces recommandations ont pour objet de clarifier et encadrer le rôle des acteurs de l’écosystème mobile (éditeurs, développeurs, fournisseurs de SDK, etc.), d’améliorer l’information des utilisateurs sur l’utilisation de leurs données et d’insister sur l’importance pour les applications d’obtenir d’un consentement éclairé et non contraint pour traiter des données non nécessaires à leur fonctionnement. Dans un souci de transparence, la CNIL publie également la version annotée de cette mise à jour.
1.4. Le CEPD émet des recommandations sur le projet de certification Lexing proposé par la CNIL
[8 avril] Le Comité européen de la protection des données (CEPD) a publié l'Opinion 3/2025 concernant le projet de décision de la CNIL sur les critères de la certification nationale « Lexing certification RGPD » portés par le cabinet Lexing. Le CEPD formule plusieurs recommandations visant à renforcer la conformité des critères avec le RGPD, notamment sur la clarté des références aux articles pertinents, la définition de l'anonymisation, la prise en compte des exigences spécifiques pour le consentement des mineurs et l'intégration des principes de protection des données dès la conception. La CNIL devra tenir compte de ces recommandations avant d'approuver définitivement le schéma de certification.
1.5. Enregistrement des sessions de navigation : lancement d’une concertation pour encadrer les pratiques
[9 avril] Les outils de rejeu de sessions permettent de reconstituer le parcours complet d’un utilisateur sur un site web ou une application mobile via l’enregistrement de ses interactions (mouvements de souris, interactions tactiles, clics, etc.), entraînant la collecte d’un volume important de données de navigation et la déduction d’informations sur la vie privée d’un grand nombre d’utilisateurs. Face aux risques élevés que ces outils sont susceptibles d’entraîner pour les droits et libertés des internautes, la CNIL a décidé de lancer une concertation avec les acteurs concernés et la société civile afin de mieux appréhender les enjeux juridiques, techniques, éthiques et sociétaux des outils de rejeu de session. A l’issue de cette concertation, la CNIL prévoit la publication de recommandations pratiques destinées aux fournisseurs d’outils de rejeu de session et aux éditeurs de sites web et d’applications mobiles au second trimestre 2025.
1.6. Incendie d’OVH : la force majeure écartée pour un éditeur SaaS
[11 avril] Le tribunal judiciaire de Versailles a condamné un éditeur SaaS à indemniser un client pour perte de données suite à l'incendie du datacenter OVH à Strasbourg en 2021. L'éditeur invoquait la force majeure, mais le tribunal a rejeté cet argument, estimant que la perte d'un datacenter est un risque prévisible, surtout lorsque des engagements contractuels de redondance sont pris. L’éditeur indiquait en effet dans son contrat que « l’ensemble des données est redondé sur un minimum de 2 serveurs, chacun opéré par un hébergeur distinct (OVH et Gandi) » et n’a pas contesté ne pas avoir eu de deuxième hébergeur, comme l’a souligné le tribunal.
Source : Incendie OVH : un éditeur SaaS débouté sur le cas de force majeure - Le Monde Informatique
1.7. Bilan du « bac à sable » 2023-2024 : la CNIL guide l’innovation IA des services publics
[11 avril] Programme d’accompagnement personnalisé dédié aux projets d’intelligence artificielle (IA) appliqué à des services publics, le « bac à sable » 2023-2024 de la CNIL s’est inscrit dans sa volonté de soutenir le développement d’une IA respectueuse des droits des personnes. Par l’accompagnement des projets « Conseils Personnalisés » de France Travail, « Ekonom’IA » de Nantes Métropole et « PIV-IA » de la RATP, la CNIL s’est intéressée à de nombreux sujets, dont elle fait la synthèse dans ses recommandations aux lauréats. Dans cette synthèse, la CNIL aborde notamment les questions d’intervention humaine significative pour éviter les décisions individuelles automatisées, d’anonymisation et de pseudonymisation des données, ou encore de garanties à mettre en place pour empêcher la survenance de biais discriminatoires.
Pour en savoir plus sur l’usage des caméras augmentées dans l’espace public, consultez notre article ici.
1.8. La CNIL dévoile sa stratégie européenne et internationale pour 2025-2028
[14 avril] En sus de son plan stratégique pour 2025-2028, dévoilé en janvier 2025, la CNIL cherche à renforcer et à coordonner son action en prenant en compte les orientations du Comité européen de la protection des données (CEPD). A cette fin, la CNIL adopte une stratégie européenne et internationale lui permettant de clarifier sa position auprès des parties prenantes et de donner des orientations sur des sujets structurants à échelle supranationale. Cette stratégie s’oriente autour de trois axes : fluidifier la coopération européenne, promouvoir des standards internationaux élevés de protection des données, et consolider son réseau d’influence en portant un modèle de protection des données centré sur l’équilibre entre innovation et protection des personnes.
Source : La CNIL publie sa stratégie européenne et internationale pour 2025-2028 | CNIL
1.9. Bac à sable » 2024-2025 : la CNIL accompagne 6 projets de la silver économie
[18 avril] Après avoir publié ses recommandations dans le cadre du « bac à sable » 2023-2024, la CNIL annonce les lauréats pour la quatrième édition de cette action visant à accompagner les porteurs de projets innovants. Pendant 6 mois, la CNIL accompagnera « O2 » destiné à accompagner les séniors dans leur maintien à domicile, « OSO-AI » visant à détecter automatiquement les sons critiques dans les établissements médico-sociaux via l’IA et la reconnaissance sonore, et « Neural Vision (MISSIA) » une application mobile permettant à la famille de suivre au quotidien son parent et d’être alertée en cas de situations dangereuses ou inhabituelles. La CNIL apportera également un soutien juridique et technique à trois projets supplémentaires (« CDIET », « DIWALL » et « SONAID »). Les enseignements issus de ce « bac à sable » nourriront la mise à jour du plan d’action de la CNIL en lien avec la silver économie, notamment via l’actualisation du Pack de Conformité publié en novembre 2017.
1.10. Consentement multi-terminaux : la CNIL lance une consultation sur sa nouvelle recommandation
[24 avril] En réaction à l’interaction des utilisateurs avec les sites internet et applications via divers appareils (ordinateur, smartphone, tablette, etc.), la CNIL s’est intéressée à la question du dépôt de cookies sur tous les terminaux d’un même utilisateur par le recueil d’un consentement unique. La CNIL a ainsi établi un projet de recommandation sur l’application automatique des choix d’un utilisateur en matière de traceurs sur tous les appareils connectés à son compte. Ce document vise à proposer des recommandations pratiques et concrètes sur les modalités de recueil valide du consentement multi-terminaux, et complète la recommandation antérieure de la CNIL relative à l’usage des cookies et autres traceurs. La consultation prendra fin le 5 juin 2025.
2. UNION EUROPEENNE
2.1. Vers une simplification du RGPD : l’UE envisage un allègement réglementaire
[3 avril] La Commission européenne prévoit de proposer, dans les prochaines semaines, une révision du RGPD afin d’en réduire la complexité, notamment pour les PME. Cette initiative, portée par Ursula von der Leyen, vise à alléger les obligations administratives jugées trop lourdes, sans compromettre la protection des données personnelles. Des voix critiques, comme celle de l’ancien Premier Ministre italienne Mario Draghi, estiment que la rigidité actuelle du RGPD freine l’innovation et la compétitivité européenne face aux États-Unis et à la Chine. Ce projet de revue risque de déclencher une nouvelle bataille de lobbying entre les géants de la technologie et les défenseurs de la vie privée.
Source : Europe’s GDPR privacy law is headed for red tape bonfire within ‘weeks’ – POLITICO
2.2. La CJUE précise la licéité du traitement des données personnelles des représentants de personnes morales
[3 avril] Dans un arrêt récent, la Cour de justice de l'Union européenne a confirmé que les données personnelles des représentants de personnes morales, telles que les noms et coordonnées, sont protégées par le RGPD. Le traitement de ces données est licite lorsqu'il est nécessaire à l'exécution d'un contrat ou à la poursuite d'un intérêt légitime, à condition que les droits et libertés des personnes concernées soient respectés. Cette décision clarifie les obligations des entreprises en matière de traitement des données de leurs interlocuteurs professionnels.
2.3. Le CEPD publie un cadre de gestion des risques pour les modèles d’IA générative
[10 avril] Le Comité européen de la protection des données (CEPD) a publié un rapport détaillant une méthodologie de gestion des risques pour les modèles de langage de grande taille (LLM). Ce document propose des mesures concrètes pour atténuer les risques liés à la vie privée, notamment la mémorisation involontaire de données personnelles. Des cas d’usage illustrent l’application de ce cadre dans des contextes variés tels que les assistants virtuels, le suivi pédagogique et la gestion de voyages. Ce rapport vise à guider les autorités de protection des données et les développeurs dans le respect du RGPD lors de la conception et du déploiement de systèmes d’IA générative.
Source : AI Privacy Risks & Mitigations – Large Language Models (LLMs) | EDPB
2.4. L’autorité espagnole inflige une amende de 500.000€ à un prestataire de santé pour avoir recouru à un sous-traitant ultérieur sans autorisation du responsable de traitement
[10 avril] L’autorité de la protection des données espagnole (AEPD) a prononcé une amende de 500.000€ à l’encontre de Marina Salud, prestataire de services de santé publique dans la région d’Alicante, pour manquement aux exigences de l’article 28(2) du RGPD en matière de sous-traitance ultérieure. Un audit du responsable de traitement, avait révélé l’utilisation par Marina Salud, de trois sous-traitants ultérieurs non autorisés. Le responsable du traitement s’était vu opposer un refus de communication du contrat conclu avec le tiers et avait réitéré ses instructions et son interdiction de recourir à des sous-traitants ultérieurs sans autorisation. Malgré l’existence d’une autorisation générale de recours à un sous-traitant ultérieur, l’accord de sous-traitance en place exigeait tout de même un accord du responsable de traitement. L’AEPD a conclu à une infraction grave par nature et à la violation des exigences du RGPD.
Source : AEPD (Spain) – EXP202307719 | GDPRhub
2.5. X visé par une enquête de l’autorité irlandaise de protection des données pour non-respect du RGPD
[11 avril] L’autorité irlandaise de protection des données (DPC) a lancé une enquête concernant le traitement de données personnelles des utilisateurs européens par X Internet Unlimited Company (XIUC), la filiale européenne de X (anciennement Twitter). L’enquête porte sur l’utilisation de données contenues dans les publications publiques des utilisateurs, à des fins d’entraînement du modèle d’IA générative Grok, développé par xIA et utilisé par X pour alimenter son chatbot. Alors que X avait accepté en septembre 2024 de cesser l’entraînement de ses systèmes d’IA avant que les utilisateurs européens n’aient pu s’y opposer, les pratiques auraient continué. L’enquête de la DPC qui vise à examiner la conformité de ces traitements avec le RGPD, notamment avec les principes de licéité et de transparence, illustre les tensions croissantes entre l’Union Européenne et les Géants du Web.
Sources :
2.6. Blockchain et RGPD : le CEPD publie des lignes directrices pour encadrer le traitement des données personnelles
[14 avril] Le Comité européen de la protection des données a adopté le 14 avril 2025 des lignes directrices sur le traitement des données personnelles via les technologies blockchain. Système de base de données distribuée et cohérente, les blockchains peuvent notamment prendre en charge le traitement et le transfert sécurisés de données, en garantissant leur intégrité et leur traçabilité. Face au développement de ces technologies, les recommandations du CEPD clarifient les rôles et responsabilités des différents acteurs et insistent sur l'importance d'intégrer des mesures techniques et organisationnelles dès la conception (privacy by design), de réaliser une analyse d'impact (AIPD) en cas de risque élevé, et d'éviter le stockage direct de données personnelles sur la blockchain. Le CEDP met également l'accent sur le respect des droits des personnes, notamment en matière de transparence, de rectification et d'effacement. Une consultation publique sur ces recommandations est ouverte jusqu'au 9 juin 2025.
Sources :
2.7. Conflit d’intérêts d’un directeur général exerçant les fonctions de délégué à la protection des données
[15 avril] En Croatie, une enquête de l’autorité nationale de protection des données (AZOP) a infligé une amende de 12.000€ suite à la désignation d’un directeur général en qualité de Délégué à la Protection des Données (DPO). L’AZOP a constaté que ce rôle était l’un des plus important au sein de la société, dès lors que le directeur général peut conclure tous les contrats et entreprendre toutes les actions en justice, au nom et pour le compte de la société, et la représenter devant les organes administratifs, institutions publiques et tribunaux. Ainsi, l’AZOP a conclu à la caractérisation d’un conflit d’intérêts entre les fonctions de DPO et de directeur général, ce dernier pouvant inévitablement influencer la détermination de la finalité et des moyens de traitements de données personnelles réalisés par la société. Il en résulte une violation de l’article 38(6) du RGPD. De plus, la société n’avait pas publié les coordonnées du DPO sur son site internet officiel. Cette décision souligne l’importance de garantir l’indépendance du DPO et la transparence des informations le concernant.
Source : AZOP (Croatia) – UP/I-034-01/24-01/33 | GDPRhub
2.8. Sanctions historiques à l’encontre d’Apple et Meta : premières décisions de non-conformité au DMA
[23 avril] La Commission européenne a infligé des amendes de 500 millions d'euros à Apple et de 200 millions d'euros à Meta pour non-respect du Digital Markets Act. Apple est sanctionnée pour avoir entravé la liberté des développeurs d'applications à orienter les utilisateurs vers des offres externes à l'App Store. Meta, quant à elle, est pénalisée pour son modèle publicitaire « Consent or Pay », jugé non conforme car il ne proposait pas d'alternative équivalente sans utilisation excessive des données personnelles. Les deux entreprises doivent se conformer aux décisions sous 60 jours, sous peine de sanctions supplémentaires.
Source : Commission finds Apple and Meta in breach of the Digital Markets Act | European Commission
3. INTERNATIONAL
3.1. Cyberattaque chez DPP Law : amende de 60.000£ pour manquements à la sécurité des données
[16 avril] Le cabinet d’avocats DPP Law a été condamné par l’autorité britannique de protection des données (ICO) à une amende de 60.000£ à la suite d’une cyberattaque survenue en juin 2022. Par une tentative de force brute, les attaquants ont exploité un compte administrateur peu utilisé et dépourvu de d’authentification multifactorielle (MFA) pour s’emparer de 32 Go de données sensibles. DPP Law n’a eu connaissance de cette attaque qu’après une alerte de la National Crime Agency l’informant que des informations relatives à ses clients avaient été publiées sur le dark web. Le cabinet n'ayant pas considéré cette perte d’accès aux données comme une violation de données personnelles n'a signalé l’incident à l’ICO que 43 jours après en avoir pris connaissance. Dans sa décision, l’ICO retient que DPP Law n’avait pas mis en place les mesures appropriées pour garantir la sécurité des informations personnelles détenues par voie électronique. Cette sanction rappelle aux entités traitant des données sensibles l’importance de mesures de cybersécurité proactives et d’une notification rapide des violations.
Source : Law firm fined £60,000 following cyber attack | Information Commissioner’s Office
3.2. Meta va entraîner ses IA avec les données des utilisateurs européens : la CNIL explique comment s’y opposer
[25 avril] À partir de fin mai 2025, Meta prévoit d’utiliser les publications publiques (textes, photos, commentaires) des utilisateurs européens de Facebook et Instagram pour entraîner ses systèmes d’intelligence artificielle, comme Meta-AI et Llama. La CNIL explique dans un article dédié que les utilisateurs peuvent s’y opposer via un formulaire en ligne, sans avoir à motiver leur demande. Ce projet, initialement suspendu en 2024 suite à des discussions avec l’autorité irlandaise de protection des données, soulève des questions juridiques concernant la base légale du traitement et la transparence envers les utilisateurs.
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
