Veille données personnelles – Mai 2026
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Vers une interdiction des réseaux sociaux aux mineurs de moins de 15 ans
[1er avril 2026]
La proposition de loi visant à protéger les mineurs des risques liés aux réseaux sociaux, déposée par la députée Laure Miller (Ensemble pour la République), a été adoptée par l’Assemblée nationale en première lecture le 26 janvier 2026, puis par le Sénat avec modifications le 31 mars 2026. Le texte est actuellement en deuxième lecture à l’Assemblée nationale. Il prévoit d’interdire l’accès aux réseaux sociaux susceptibles de nuire à l’épanouissement des mineurs de moins de 15 ans (« liste noire » à déterminer par arrêté), avec une exception pour les services accessibles avec l’accord d’un représentant légal. Les plateformes auront l’obligation de déployer des systèmes de vérification d’âge, sous le contrôle de l’Arcom. L'encadrement de l'accès aux réseaux sociaux entrera en vigueur le 1er septembre 2026.
Cette volonté de protéger les mineurs semble avoir pris un élan à l’international : la Turquie réfléchit également de son côté à réguler les réseaux sociaux.
1.2. Le plan de contrôle 2026 de la CNIL : recrutement, répertoire électoral et fédérations sportives
[3 avril 2026]
La CNIL a dévoilé le 3 avril 2026 ses trois thématiques prioritaires de contrôle pour l’année 2026: le recrutement, le répertoire électoral unique (REU) et les fédérations sportives.
- S’agissant du recrutement, les contrôles cibleront prioritairement les grandes entreprises et cabinets de recrutement afin de vérifier la conformité au RGPD en matière de prise de décision automatisée, d’information des candidats et de durées de conservation des données.
- S’agissant du REU, géré par l’INSEE, les vérifications porteront sur la licité des usages et l’absence de détournement de finalité.
- Enfin, pour les fédérations sportives, l’essor des inscriptions post-JO 2024 justifie un contrôle sur la pertinence des données collectées, leur durée de conservation et la sécurité des systèmes, ce secteur traitant des données sensibles concernant de nombreux mineurs.
-
Source : Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives | CNIL
1.3. Le programme de travail 2026 de la CNIL : l’IA, le consentement et la cybersécurité
[7 avril 2026]
Le 7 avril 2026, la CNIL a présenté son programme de travail pour l’année, détaillant les chantiers prévus pour accompagner la mise en conformité des professionnels. Parmi les priorités figurent le consentement « multipropriétés » (« cross-domain » en anglais), permettant un accord unique valable sur plusieurs sites d’un même groupe, et la finalisation de guides sur l’IA au travail et dans la santé (biais algorithmiques, garanties pour les personnes). La CNIL lancera également des travaux sur l’analyse automatique des communications vocales (centres d’appels, visioconférence) et publiera des recommandations en matière de cybersécurité (vote électronique, messageries, vérification d’identité à distance).
Ce programme, à caractère indicatif, s’inscrit dans la préparation de la CNIL à ses futures attributions d’autorité de surveillance de marché au titre du Règlement sur l’IA.
Source : Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 | CNIL
1.4. ANSSI : Publication de la feuille de route de sécurité numérique de l’État 2026-2027
[9 avril 2026]
Le 9 avril 2026, l'ANSSI a rendu publique la feuille de route des efforts prioritaires en matière de sécurité numérique de l'État pour 2026-2027. Cette décision de publication, inhabituelle pour ce type de document, s'inscrit dans un contexte de menace élevée et de situation géopolitique dégradée, et vise à renforcer la portée des mesures imposées aux ministères. La feuille de route tire les leçons des multiples incidents et fuites de données qui ont affecté les systèmes d'information de l'État en 2025, révélant des fragilités persistantes.
Elle poursuit trois objectifs principaux : renforcer la résilience des infrastructures ministérielles, préparer la mise en conformité des administrations à la directive NIS 2 (transposition en cours), et amorcer la transition vers la cryptographie post-quantique, avec des inventaires dès 2026-2027 et une mise en œuvre visée à horizon 2030. Le suivi opérationnel sera assuré mensuellement par le Comité interministériel de suivi de la sécurité numérique (CINUS), sous l'égide de l'ANSSI.
1.5. Le Cloud privé pour les données sensibles de l’État
[14 avril 2026]
Pris en application de la loi SREN, le décret n° 2026-272 du 14 avril 2026 encadre le recours au cloud privé par les administrations et certains groupements d'intérêt public intervenant dans des secteurs sensibles (santé, données sociales, prévention de la radicalisation). Au-delà de la seule localisation des données, le texte impose une maîtrise globale des risques, notamment contre les accès extraterritoriaux non autorisés, en renvoyant à un référentiel technique de l'ANSSI dont le respect conditionnera la conformité des prestataires. Un régime dérogatoire temporaire permet de poursuivre certains projets en cours. Ce décret consacre une doctrine de « cloud souverain sous conditions » : il ne prohibe pas les prestataires privés mais soumet leur recours à un contrôle renforcé, répondant aux attentes issues de la loi SREN, avec deux ans d’attente.
Sources :
Pour plus d’information sur ce décret, consultez notre article.
1.6. Pixels de suivi dans les e-mails : la CNIL exige le consentement
[14 avril 2026]
Le 14 avril 2026, la CNIL a publié la version définitive de sa recommandation sur les pixels de suivi dans les courriers électroniques (délibération n° 2026-042 du 12 mars 2026). Ces images invisibles, intégrées dans les e-mails, permettent de tracer l’ouverture d’un message à l’insu du destinataire. La CNIL les soumet désormais au même régime que les cookies : toute utilisation à des fins de marketing, personnalisation ou profilage exige un consentement préalable, libre et éclairé. Une exemption encadrée est prévue pour la mesure de la « délivrabilité » des messages transactionnels. Les professionnels disposent d’un délai de trois mois pour informer leurs bases existantes du recours à cette technologie et leur offrir la possibilité de s’y opposer. Les contrôles de la CNIL sont attendus à compter de mi-juillet 2026.
Source : Pixels de suivi dans les courriers électroniques : vous devez être mieux informés | CNIL
1.7. Question prioritaire de constitutionnalité sur le cumul de sanctions CNIL/ARCEP
[17 avril 2026]
Par un arrêt du 17 avril 2026 (n° 501268), le Conseil d'État a renvoyé au Conseil constitutionnel une QPC portant sur l'article L. 34-5 du Code des postes et des communications électroniques. Cette question a été soulevée par Orange SA à l'occasion d'un recours contre une sanction de 50 millions d'euros infligée par la CNIL pour envoi de sollicitations commerciales sans consentement valable. La société soutenait que la combinaison des pouvoirs de sanction de la CNIL et de l'ARCEP permettait un cumul de poursuites pour les mêmes faits, en méconnaissance du principe « non bis in idem ». Le Conseil d'État a jugé la question sérieuse et nouvelle, l'article L. 34-5 n'ayant jamais été déclaré conforme à la Constitution, et l'a transmise au Conseil constitutionnel. Cette décision de transmettre la question au Conseil constitutionnel met en lumière une tension structurelle du droit du numérique : la superposition des compétences de la CNIL et de l'ARCEP pour un même fait générateur crée un risque de double sanction. Nous attendons la décision du Conseil constitutionnel sur ce point.
Sources :
1.8. Health Data Hub/ Plateforme des données de santé : Scaleway succède à Microsoft Azure pour l’hébergement des données de santé
[23 avril 2026]
Le 23 avril 2026, le ministère de la Santé a annoncé que Scaleway (filiale d'Iliad) avait été sélectionné pour héberger les données de santé du Health Data Hub - dorénavant la « Plateforme des données de santé ». Cette décision met fin à sept ans de stockage des données de santé sur Microsoft Azure, choix contesté au nom de la souveraineté numérique. Retenu parmi plusieurs candidats (dont Cloud Temple, Docaposte, OVH, Atos, S3NS) sur la base de 350 exigences techniques, Scaleway a été jugé le plus adapté en matière de sécurité, de scalabilité et de résilience, bien que n’ayant pas encore obtenu la qualification SecNumCloud. La migration complète du Système national des données de santé (SNDS) est prévue entre fin 2026 et début 2027, et devrait débloquer plusieurs programmes de recherche jusqu'alors suspendus. Cette décision concrétise l'obligation issue de la loi SREN imposant au Health Data Hub de recourir à un hébergeur souverain.
Source : Scaleway devient l'hébergeur du Health Data Hub | Le Monde Informatique
1.9. Cyberattaques en série : Éducation nationale, ANTS, Fédération française de basket-ball
[Avril 2026]
Le mois d’avril 2026 marque une série noire pour la sécurité des systèmes d’information français avec plusieurs cyberattaques notables :
- Le ministère de l’Éducation nationale a signalé deux incidents : une première fuite affectant 243 000 agents puis une seconde touchant près de 3,5 millions d’élèves mineurs via EduConnect.
- L’Agence nationale des titres sécurisés (ANTS) a subi une intrusion le 15 avril touchant potentiellement plusieurs millions d’usagers (noms, prénoms, dates de naissance, adresses électroniques) ; le ministère de l’Intérieur a saisi la CNIL et le parquet de Paris.
- La Fédération française de basket-ball (FFBB) a vu les données de près de 2,7 millions de personnes (licenciés et parents, dont de nombreux mineurs) exfiltrées et mises en vente.
-
Ces incidents révèlent la vulnérabilité croissante des systèmes publics face à l’usurpation d’identifiants.
Sources :
2. UNION EUROPÉENNE
2.1. La Cour de justice de l’Union Européenne pose des limites au droit d’accès
[19 mars 2026]
Par un arrêt du 19 mars 2026 (aff. C-526/24, Brillen Rottler), la Cour de justice de l'Union européenne pose, pour la première fois, une limite explicite à l'exercice du droit d'accès aux données personnelles prévu à l'article 15 du Règlement Général sur la Protection des Données (RGPD). Les faits sont révélateurs d'un phénomène bien connu des praticiens : un particulier inscrit à la newsletter d'un opticien allemand, formule rapidement une demande d'accès à ses données, puis réclame une indemnisation sur le fondement de l'article 82 du RGPD après le refus de l'entreprise. Celle-ci invoque un abus de droit, s'appuyant sur des éléments documentant un comportement de la part du demandeur répétitif et identique auprès de multiples responsables de traitement.
La Cour apporte trois enseignements précieux :
- Une première demande d’accès peut être jugée « excessive » au sens du RGPD si le responsable de traitement démontre une intention détournée, visant à provoquer artificiellement une violation pour en tirer profit.
- le droit à réparation s’applique à toute violation du RGPD, y compris au seul refus illicite de répondre à une demande d’accès, même en l’absence d’un autre traitement irrégulier
- Le préjudice moral, notamment la perte de contrôle sur ses données, est en principe indemnisable, sauf lorsque la personne concernée est elle-même à l’origine de la situation.
Les magistrats européens précisent ainsi que le droit d'accès est un outil de transparence et de contrôle, non un levier contentieux à usage commercial.
Sources :
Pour plus d’information sur la mise en œuvre du droit d’accès, consultez nos articles :
2.2. La sanction italienne de 15 millions d'euros infligée à OpenAI par l’autorité de protection des données est annulée
[19 mars 2026]
Le 19 mars 2026, le Tribunal de Rome a annulé la sanction de 15 millions d'euros que le Garante, l’autorité italienne de protection des données, avait infligée à OpenAI en décembre 2024. Ce faisant, il a accueilli le recours d'OpenAI, qui qualifiait la mesure de « disproportionnée ». La sanction avait été prononcée à l'issue d'une instruction ouverte en mars 2023, l'Italie étant le premier pays occidental à suspendre temporairement ChatGPT, après que le Garante avait relevé une absence de base juridique pour le traitement des données personnelles, des carences dans la protection des mineurs et un défaut de transparence envers les utilisateurs.
Le Tribunal avait déjà suspendu provisoirement la sanction en mars 2025, dans l'attente de se prononcer au fond. Les motivations complètes du jugement ne sont pas encore publiques, ce qui rend impossible, à ce stade, de déterminer si l'annulation repose sur des motifs de fond, de proportionnalité ou de procédure.
2.3. Un modèle harmonisé d’analyse d’impact (DPIA) proposé par le CEPD
[14 avril 2026]
Le 14 avril 2026, le Comité européen de la protection des données (CEPD) a adopté un modèle harmonisé d’Analyse d’impact relative à la protection des données (AIPD/DPIA). Ce modèle, dont l’utilisation n’est pas obligatoire, vise à standardiser les pratiques à l’échelle européenne. Soumis à consultation publique jusqu’au 9 juin 2026, il sera ensuite adopté par chaque autorité nationale de contrôle comme seul standard ou comme « méta-modèle ». Pour les organisations opérant dans plusieurs États membres, ce modèle met fin à la divergence des exigences nationales et constitue un levier concret de simplification de la conformité RGPD.
Source : Enhancing compliance and consistency: EDPB adopts DPIA template | EDPB
2.4. Lancement d’une application de vérification d’âge pour l’Union Européenne
[15 avril 2026]
Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen a annoncé que l’application européenne de vérification d’âge était techniquement prête et serait bientôt disponible. Basé sur un protocole cryptographique de « preuve à divulgation nulle de connaissance », cet outil open source permettrait aux utilisateurs de prouver leur âge sans transmettre d’informations personnelles aux plateformes. Sept États membres, dont la France, l’Espagne et l’Italie, prévoient de l’intégrer dans leurs portefeuilles nationaux d’identité numérique. Ce dispositif vise à harmoniser les approches nationales divergentes en matière d’âge minimal d’accès aux réseaux sociaux et à fournir aux plateformes un outil conforme au RGPD.
Son déploiement généralisé à l’échelle de l’UE est prévu pour la fin 2026.
Sources :
2.5. Des nouvelles lignes directrices sur la recherche scientifique et l’anonymisation adoptées par le CEPD
[16 avril 2026]
Lors de sa session plénière du 16 avril 2026, le CEPD a adopté les lignes directrices 1/2026 sur le traitement des données à des fins de recherche scientifique, apportant les clarifications attendues depuis 2018. Le texte définit notamment six critères indicatifs pour qualifier une activité de « recherche scientifique » au sens du RGPD, précise les conditions du consentement large et dynamique, les limitations aux droits à l'effacement et d'opposition, ainsi que la répartition des responsabilités au sein des consortiums. Soumis à consultation publique jusqu'au 25 juin 2026, il constitue un cadre opérationnel bienvenu pour les acteurs de la recherche en santé et en Intelligence Artificielle.
Parallèlement, le CEPD a créé une « sprint team » pour finaliser d'ici l'été 2026 ses lignes directrices sur l'anonymisation, très attendues, car la distinction entre données anonymisées et pseudonymisées demeure une source d'insécurité juridique majeure.
Pour plus d’information sur la pseudonymisation et anonymisation des données personnelles, consultez notre article : Pseudonymisation : un levier juridique sous conditions
2.6. Un premier label européen de transfert de données adopté par le CEPD
[16 avril 2026]
Le 16 avril 2026, le Comité européen de la protection des données (CEPD) a adopté deux avis concernant la certification Europrivacy :
- Extension du label : les critères Europrivacy — premier label européen de protection des données, approuvés en 2022 — sont mis à jour. Leur champ d'application s'élargit aux entreprises établies hors Europe mais soumises au RGPD (art. 3§2) : celles qui ciblent des résidents européens ou surveillent leur comportement.
- Un outil de transfert inédit : pour la première fois, Europrivacy est reconnu comme garantie appropriée au sens des articles 42 et 46 du RGPD. Des importateurs établis hors de l'EEE, non soumis au RGPD, pourront désormais obtenir cette certification. Les exportateurs européens disposeront ainsi d'un nouvel outil pour encadrer leurs transferts vers des pays tiers.
-
2.7. Cloud souverain : la Commission européenne attribue un marché de 180 millions d’euros à quatre consortiums européens
[17 avril 2026]
Le 17 avril 2026, la Commission européenne a attribué un marché de 180 millions d'euros sur six ans à quatre consortiums européens pour des services de cloud souverain destinés aux institutions et agences de l'Union Européenne :
- Post Telecom, avec ses partenaires Clever Cloud et OVHcloud, StackIT, Scaleway ;
- Proximus, associé à S3NS, la coentreprise de Thales et Google Cloud ;
- Clarence ;
- Mistral.
La sélection s'est appuyée sur le Cloud Sovereignty Framework, fondé sur huit critères couvrant notamment les dimensions stratégique, juridique et de conformité au droit européen. La présence de S3NS, architecture hybride associant Thales et Google Cloud, illustre l'approche pragmatique retenue : les technologies non européennes sont admises dans un cadre strictement encadré.
Sources :
3. INTERNATIONAL
3.1. Adoption de législations interdisant l’accès aux réseaux sociaux pour les mineurs et mises en demeure de Google et Méta
[2 avril 2026]
Depuis le 28 mars 2026, l’Indonésie interdit l’accès aux réseaux sociaux aux mineurs de moins de 16 ans. Le ministère des Communications a adressé une première, puis une deuxième mise en demeure à Meta (Facebook, Instagram, Threads) et Google (YouTube) pour non-respect de cette loi, leur reprochant de ne pas avoir désactivé les comptes mineurs, ni déployé de systèmes de vérification d’âge efficaces.
Le gouvernement a déclaré ne tolérer « aucun marge de compromis » et a annoncé des sanctions administratives pouvant aller jusqu’à des restrictions d’activité. Cette affaire illustre la tension croissante entre États souverains et plateformes numériques mondiales sur l’application effective des règlementations locales de protection des mineurs en ligne.
[22 avril 2026]
Le 22 avril 2026, le Parlement turc a adopté une loi interdisant aux mineurs de moins de 15 ans l'accès aux réseaux sociaux. Le texte doit encore être approuvé par le président Erdoğan avant d'entrer en vigueur.
Les plateformes auront trois obligations : mettre en place des systèmes de vérification d'âge, proposer des outils de contrôle parental, et réagir en moins d'une heure face à tout contenu préjudiciable.
La Turquie rejoint un mouvement législatif mondial en pleine expansion. L'Australie et l'Indonésie ont fixé la majorité numérique à 16 ans. La France et plusieurs États européens ont retenu le seuil de 15 ans — désormais partagé par Ankara.
Source : La Turquie a adopté une loi pour interdire les réseaux sociaux aux moins de 15 ans | Franceinfo
3.2. Ouverture d’une enquête contre Telegram au Royaume-Uni pour non-protection des mineurs
[21 avril 2026]
Le 21 avril 2026, l’Ofcom, le régulateur britannique de la sécurité en ligne, a ouvert une enquête formelle contre Telegram au titre de l’Online Safety Act, après avoir reçu des preuves de la présence de contenus pédopornographiques (« child sexual abuse material (CSAM) ») sur la plateforme. L’Ofcom a simultanément lancé des investigations contre deux sites de chat pour adolescents (Teen Chat et Chat Avenue) pour usage potentiel à des fins de grooming, c’est-à-dire de sollicitation d'enfants à des fins sexuelles. En cas de manquement avéré, les plateformes s’exposent à des amendes allant jusqu’à 18 millions de livres sterling ou 10 % de leur chiffre d’affaires mondial.
Source : Ofcom investigates Telegram and teen chat sites | Ofcom
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
