Veille données personnelles – Mars 2026

Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !

Pour la recevoir, merci de bien vouloir remplir ce formulaire.

1. FRANCE

1.1. Analyse automatique des images de vidéosurveillance : le Conseil d’État exige une base légale expresse

[30 janvier] Le Conseil d’État a confirmé qu’une collectivité ne peut pas analyser automatiquement des images de vidéosurveillance de la voie publique sans base légale spécifique. En l’espèce, la commune de Nice souhaitait déployer un dispositif algorithmique détectant les stationnements irréguliers devant les écoles à partir des caméras existantes, afin d’alerter la police municipale. La CNIL avait estimé que ce traitement constituait un traitement automatisé de données personnelles nécessitant une analyse d’impact et, pour certains modules, son avis préalable. Le juge administratif valide cette position : si le code de la sécurité intérieure autorise la vidéoprotection, il ne permet pas pour autant l’analyse automatisée systématique des images en l’absence d’un texte l’autorisant expressément.  

 

Source : Décision n° 506370 - Conseil d'État

1.2. Élections municipales 2026 : la CNIL publie son plan d’action pour protéger les données personnelles  

[30 janvier] La CNIL a dévoilé son plan d’action pour les élections municipales de 2026, visant à encadrer juridiquement l’usage des données personnelles dans le contexte électoral et à garantir le respect du RGPD et de la loi Informatique et Libertés. Ce plan comprend des recommandations pour les acteurs politiques, les partis et les prestataires afin de sécuriser les traitements de données (listes électorales, fichiers d’adhérents, campagnes numériques) et d’éviter les risques de violations susceptibles d’affecter la confidentialité ou l’intégrité des données. La CNIL met en avant l’importance d’une information claire des personnes concernées sur les finalités des traitements, notamment pour le profilage ou le ciblage électoral. La CNIL prévoit des actions de contrôle et de dialogue avec les acteurs concernés tout au long du cycle électoral pour assurer la conformité des pratiques au droit de la protection des données.  

 

Source : Élections municipales 2026 : le plan d’action de la CNIL pour protéger les données des électeurs | CNIL

1.3. Économie de la donnée : la CNIL publie son programme de travail 2026-2028  

[2 février] La CNIL a dévoilé son programme de travail pour 2026-2028 concernant sa mission d’analyse économique, visant à mieux comprendre les modèles d’affaires liés aux données personnelles et à mesurer l’impact économique de ses décisions de régulation. La CNIL poursuivra des travaux déjà lancés, notamment sur la régulation croisée entre protection des données et concurrence, et sur l’effet économique du RGPD en termes de bénéfices pour les entreprises et les personnes concernées. En outre, elle souhaite approfondir l’analyse économique des sanctions pour intégrer des éléments quantitatifs, afin de justifier juridiquement les montants prononcés. Parmi les axes nouveaux que l’autorité souhaite aborder durant les deux prochaines années de son programme figurent la doctrine applicable aux modèles « consentir ou payer » ainsi que l’économie des entrepôts de données de santé, en lien avec le cadre européen.  

 

Source : Économie de la donnée : la CNIL publie son programme de travail pour 2026-2028 | CNIL

1.4. Hypertrucage et deepfake : la CNIL alerte sur les risques pour la vie privée et la confiance numérique

[3 février] La CNIL publie une mise en garde sur l’hypertrucage et les deepfakes, des contenus audio, vidéo ou visuels altérés par l’intelligence artificielle, rappelant que ceux-ci peuvent porter atteinte à la réputation, à la vie privée et à la confiance dans l’information. Elle souligne l’importance d’obtenir un consentement explicite pour l’utilisation d’images, voix ou autres données biométriques dans des créations générées ou modifiées par IA, notamment lorsque ces données révèlent des informations sensibles. L’autorité encourage par ailleurs les plateformes et développeurs à intégrer des garanties techniques et organisationnelles (privacy by design, vérification des sources, signalement des contenus) pour prévenir les usages illicites et protéger les personnes concernées.

Source : Hypertrucage (deepfake) : comment se protéger et signaler les contenus illicites ? | CNIL

1.5. Recherche scientifique hors santé : quand et comment saisir la CNIL ?

[4 février] La CNIL rappelle les règles applicables aux traitements de données à des fins de recherche scientifique ou d’élaboration de politiques publiques hors du champ de la santé, précisant que certains projets doivent faire l’objet d’une saisine préalable, notamment lorsqu’ils comportent des risques élevés pour les droits et libertés des personnes, sans base légale explicite ou lorsqu’il s’agit d’un traitement innovant ou à grande échelle. Elle recommande de la saisir dès les phases de conception du projet pour éviter des non-conformités, en fournissant un dossier décrivant les objectifs, les catégories de données, les destinataires et les garanties prévues, mais également le protocole de recherche, le contrat de recherche, ou tout autre document expliquant le processus de recherche.

Source : Traitements de données à des fins de recherche scientifique (hors santé) : quand saisir la CNIL ? | CNIL

1.6. IA générative et cybersécurité : l’ANSSI dresse une synthèse des menaces actuelles

[4 février] L’ANSSI publie une synthèse de la menace que représente aujourd’hui l’intégration de l’IA générative dans le paysage des attaques informatiques, en examinant à la fois son utilisation offensive et les risques auxquels ces systèmes sont exposés. Selon ce rapport, des modèles d’IA générative sont déjà exploités à différentes étapes des cyberattaques pour profilage de victimes, génération de contenus d’ingénierie sociale ou élaboration de programmes malveillants, ce qui peut augmenter la capacité d’automatisation et d’extension des campagnes malveillantes. Cependant, l’ANSSI note qu’à ce stade aucun système d’IA générative n’a démontré la capacité de mener de manière autonome une attaque complète, ce qui tempère l’ampleur supposée du risque opérationnel immédiat.  
La synthèse met également en lumière que les modèles eux-mêmes deviennent des cibles : ils peuvent faire l’objet d’une altération ou compromission, affectant potentiellement l’intégrité des résultats et la sécurité des données qu’ils manipulent. L’ANSSI appelle à une vigilance continue et à une réévaluation régulière de la menace, compte tenu de l’évolution rapide des usages et des capacités des attaquants.

Source : Synthèse de la menace sur l’IA générative face aux attaques informatiques — ANSSI

1.7. La CNIL lance un parcours en ligne pour accompagner les usagers des fichiers d’incidents bancaires

[6 février] La CNIL a annoncé la mise en place d’un nouveau parcours utilisateur en ligne destiné à accompagner les personnes inscrites dans les fichiers d’incidents bancaires gérés par la Banque de France, comme le Fichier des Incidents de remboursement des Crédits aux Particuliers et le Fichier Central des Chèques. Il s’agit d’un dispositif pédagogique ayant vocation à orienter plus efficacement les usagers vers les démarches et services appropriés, en s’appuyant sur des situations concrètes. Ce service expérimental pourra évoluer et être étendu à d’autres types de fichiers gérés par l’État, renforçant l’accessibilité des informations et la capacité des citoyens à exercer leurs droits de manière autonome.

Source : Fichiers d’incidents bancaires : la CNIL vous informe et vous accompagne dans vos démarches | CNIL

1.8. Sanctions RGPD : la CNIL dresse un bilan de son année 2025

[9 février] La CNIL a annoncé avoir rendu en 2025 259 décisions, dont 83 sanctions, confirmant une activité répressive soutenue et ciblée. Le montant total des amendes prononcées atteint près de 487 millions d’euros, reflet de dossiers d’ampleur et de manquements jugés particulièrement graves au regard du RGPD. En outre, une augmentation des montants individuels des amendes doit être soulignée. Les infractions sanctionnées concernent notamment des défauts de sécurité des données, des manquements aux règles relatives aux cookies et au consentement, ainsi que l’atteinte aux droits des personnes. La CNIL a également prononcé 143 mises en demeure, visant à obtenir une mise en conformité rapide lorsque les manquements constatés peuvent être corrigés.  

Source : Sanctions et mesures correctrices : la CNIL présente le bilan 2025 | CNIL

1.9. DGFiP : 1,2 million de comptes exposés après un accès frauduleux au fichier national des comptes bancaires

[18 février] Le ministère de l’Économie a révélé qu’un accès frauduleux au fichier national des comptes bancaires (FICOBA) a permis la consultation potentielle des données de 1,2 million de comptes bancaires depuis fin janvier 2026. L’attaque résulte de l’usurpation des identifiants d’un fonctionnaire disposant d’un accès dans le cadre d’échanges interministériels, permettant à un acteur malveillant de consulter une partie de cette base recensant l’ensemble des comptes ouverts en France. Les données concernées incluent les RIB et IBAN, l’identité des titulaires, leur adresse et parfois leur identifiant fiscal, sans accès aux soldes ni possibilité d’effectuer des opérations bancaires. Dès la détection de l’incident, la Direction générale des Finances publiques (DGFiP) a affirmé avoir mis en œuvre des mesures de restriction d’accès pour contenir l’attaque et prévenir toute nouvelle consultation illégitime et que les personnes concernées seront informées individuellement, conformément aux exigences du RGPD. Cette affaire s’inscrit dans un contexte de multiplication des fuites de données au sein d’administrations publiques, comme l’a récemment illustré la mise en vente des données de plus de 377 000 candidats de la plateforme « Choisir le Service Public » à l’issue d’une cyberattaque via un compte gestionnaire ou encore la sanction récente prononcée par la CNIL à l’encontre de France Travail en raison du système d’information défaillant de l’agence.  

Sources :  

1.10. Droit à l'effacement : ce qu’il faut retenir du bilan de la CNIL

[18 février] Dans le cadre d’une action coordonnée du Comité européen de la protection des données (EDPB), la CNIL a mené en 2025 des contrôles auprès de six organismes afin de vérifier la mise en œuvre du droit à l’effacement prévu par l’article 17 du RGPD. Dans un article dédié, la CNIL dresse le bilan de cette action. Les investigations montrent notamment que les demandes d’effacement sont globalement prises en compte et que les refus opposés reposent, dans la plupart des cas, sur les exceptions légales prévues par le règlement (obligation légale de conservation, liberté d’expression, etc.). De nombreuses structures ont mis en place des bonnes pratiques, notamment des formations internes, pour assurer le traitement des demandes des personnes concernées. Cependant, la CNIL relève des insuffisances persistantes, en particulier l’absence de procédures internes formalisées, des réponses incomplètes aux personnes et des difficultés à déterminer les durées de conservation ou à supprimer les données des sauvegardes. L’EDPB a identifié des défis similaires à l’échelle européenne, soulignant par ailleurs que la complexité des échanges de données, l’absence d’outils harmonisés et les difficultés d’articulation avec d’autres droits constituent des freins à une mise en œuvre pleinement effective du droit à l’effacement. À noter qu’à l’issue de cette action coordonnée, la CNIL a déjà prononcé deux mises en demeure et poursuit l’instruction d’autres dossiers.

Sources :  

2. UNION EUROPEENNE

2.1. Sanction RGPD : après son amende de 225 millions d’euros, WhatsApp relance son bras de fer avec l’EDPB

[10 février] WhatsApp a été condamné en 2021 par l’autorité irlandaise de protection des données à une amende de 225 millions d’euros pour manquements au RGPD, notamment en matière de transparence et d’information des utilisateurs sur le traitement et le partage de leurs données au sein du groupe Meta. Initialement fixée à 50 millions d’euros, cette amende a été augmentée à la demande de l’EDPB, qui considérait que le chiffre d'affaires consolidé de la société mère (Facebook) devait être inclus dans le calcul du chiffre d'affaires. L’entreprise a souhaité attaquer cette décision de l’EDPB et a porté l’affaire devant le Tribunal de l’Union européenne. Dans une ordonnance rendue en décembre 2022, le tribunal a rejeté ce recours, considérant que la décision de l’EDPB constituait une mesure intermédiaire, incluse dans une procédure devant se conclure par une décision nationale. Saisie à son tour, la Cour de Justice de l’Union européenne a finalement déclaré recevable le recours de WhatsApp. En effet, contrairement à l'argumentaire du régulateur, la Cour estime que la décision de l'EDPB constitue bien un acte attaquable par l'entreprise, car elle impose de manière contraignante aux autorités nationales d'alourdir des sanctions. Sur le fond, si la Cour valide la procédure européenne, elle reconnaît ainsi aux entreprises le droit de contester directement devant le juge de l'Union européenne la légitimité des directives centrales de protection des données. La Cour n’a toutefois pas remis en question le montant de l’amende prononcée par l’autorité irlandaise.  

Source : RGPD : Condamné à 225 millions d’euros d’amende, WhatsApp rouvre le duel judiciaire avec le régulateur européen

2.2. Omnibus numérique : l’EDPB et l’EDPS soutiennent la simplification tout en alertant sur les risques pour la protection des personnes

[11 février] L’EDPB et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur la proposition de règlement dit « Omnibus numérique », destinée à simplifier le cadre réglementaire numérique de l’Union européenne tout en renforçant la compétitivité des organisations. Ce texte couvre notamment des dispositions affectant le RGPD et la directive « e-Privacy », avec pour objectif de réduire la charge administrative imposée par ces textes et à clarifier certaines obligations. Les autorités jugent positif le projet lorsqu’il augmente le seuil de risque déclenchant l’obligation de notifier une violation de données ou lorsqu’il harmonise certaines notions comme celle de « recherche scientifique », ces modifications renforçant la sécurité juridique tout en allégeant les obligations pour les responsables de traitement. Cependant, elles émettent des préoccupations importantes concernant d’autres axes du texte : plusieurs modifications proposées, en particulier celles touchant à la définition des données à caractère personnel, pourraient réduire le niveau de protection juridique offert aux personnes, créer une insécurité juridique et compliquer l’application du droit de l’Union.  

Source : EDPB-EDPS Joint opinion 2/2026 on the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus) | European Data Protection Board

2.3. Programme 2026-2027 de l’EDPB : l’autorité souhaite simplifier la mise en conformité au RGPD  

[13 février] L’EDPB a adopté son programme de travail 2026-2027, fondé sur les priorités de sa stratégie 2024-2027 et les engagements du Helsinki Statement visant à rendre la conformité au RGPD plus accessible pour les organisations. Ce programme met en avant le développement d’outils pratiques prêts à l’emploi, tels que des modèles pour l’évaluation de l’intérêt légitime, de registre des activités de traitement, de politique de confidentialité, ainsi que les modèles déjà annoncés pour la notification de violations de données et les analyses d’impact. L’objectif est de renforcer la clarté et la cohérence des obligations juridiques issues du RGPD, en proposant des ressources concrètes (check-lists, notices types) pour aider responsables de traitement et sous-traitants à démontrer leur conformité. Le programme réaffirme aussi l’importance de dialoguer avec les parties prenantes et de coopérer entre autorités de contrôle, afin de réduire les disparités d’interprétation et d’application du droit.

En parallèle, l’EDPB a publié un rapport consolidant les contributions reçues lors de sa consultation publique sur les modèles susceptibles de faciliter la mise en conformité des entreprises, fournissant des enseignements directs des organisations sur l’utilité, les attentes et les ajustements possibles de ces documents.

Sources :  

3. INTERNATIONAL

3.1. UK : entrée en vigueur du Data Use and Access Act 

[5 février] L’Information Commissioner’s Office (ICO) a publié une déclaration à l’occasion de l’entrée en vigueur du Data Use and Access Act (DUAA), texte qui modifie et complète le cadre britannique de protection des données. Cette réforme vise à faciliter l’utilisation et le partage des données tout en maintenant un niveau élevé de protection des droits des personnes, en ajustant certaines règles issues du UK GDPR et du Data Protection Act. Dans sa déclaration, l’ICO précise qu’il accompagnera les organisations dans la mise en œuvre progressive de ces nouvelles dispositions, en publiant des orientations actualisées afin d’assurer une application cohérente et juridiquement sécurisée. Le régulateur souligne que, malgré les évolutions introduites par le DUAA, les principes fondamentaux demeurent : traitement licite, transparent et proportionné des données personnelles, principe d’accountability et respect effectif des droits individuels. L’entrée en vigueur du texte implique pour les responsables de traitement soumis au UK GDPR d’analyser l’impact des nouvelles règles sur leurs pratiques internes, notamment en matière de gouvernance des données et de partage d’informations.

Source : Statement on the commencement of the Data (Use and Access) Act (DUAA) | ICO

3.2. Données personnelles des mineurs : l’ICO inflige une amende à l’exploitant d’Imgur pour manquements à la vie privée

[5 février] L’ICO a sanctionné MediaLab, propriétaire de la plateforme Imgur, pour des défaillances dans la protection de la vie privée des enfants, estimant que le site ne respectait pas les obligations du UK GDPR en matière de traitement des données des utilisateurs mineurs. L’ICO a constaté que certaines fonctionnalités d’Imgur exposaient des contenus et des données d’enfants sans garanties suffisantes, et que les mécanismes de contrôle et de vérification de l’âge étaient inadéquats pour prévenir l’accès ou le partage non autorisé de leurs informations personnelles. L’ICO a également souligné que l’absence de processus efficaces pour obtenir un consentement valide ou pour restreindre l’accès à des mineurs signifie que les risques particuliers associés aux traitements les concernant n’ont pas été suffisamment pris en compte.  

Source : Imgur owner MediaLab fined over children’s privacy failures | ICO

3.3. UK GDPR : l’ICO publie des conseils pratiques pour traiter les plaintes de protection des données

[12 février] L’ICO propose un guide pour aider les organisations à gérer efficacement les plaintes relatives à la protection des données soumises en vertu du UK GDPR et du Data Protection Act. Le document explique comment accueillir, enregistrer et répondre à une plainte, en mettant l’accent sur des délais de réponse raisonnables et une communication claire avec la personne concernée. Il rappelle que toute plainte doit être traitée sans délai injustifié et documentée de manière à démontrer que l’organisation a examiné avec sérieux et impartialité les réclamations portant, par exemple, sur l’accès aux données, leur rectification ou leur suppression.  

Source : How to deal with data protection complaints | ICO

Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
3 mars 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité