Veille données personnelles – Novembre 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Encadrement de l’IA : la CNIL et l’Inria renforcent leur partenariat
[1er octobre] La CNIL et l'Institut national de recherche en sciences et technologies du numérique (Inria) ont signé une convention renouvelée pour mener des travaux conjoints sur la protection des données personnelles, la vie privée et l’évaluation des systèmes d’intelligence artificielle. Ce partenariat vise à mutualiser les expertises de l’autorité de contrôle et de l’institut de recherche afin d’anticiper les enjeux juridiques et technologiques liés au Règlement général sur la protection des données (RGPD) et à l’AI Act européen. La convention prévoit notamment la conduite d’audits d’algorithmes, le développement d’outils pédagogiques, ainsi que la sensibilisation de la communauté scientifique aux exigences de transparence et d’éthique. Cette initiative marque une étape importante : les traitements automatisés de données personnelles ne sont plus seulement une affaire technique, mais véritablement une question de conformité juridique. Pour les acteurs innovants, cela rappelle qu’intégrer la protection des données et le « privacy by design » dès la conception n’est plus une option mais une exigence.
1.2. Interopérabilité et portabilité des données : l’Arcep publie ses recommandations pour les services cloud à la lumière du Data Act
[3 octobre] A la suite de l’entrée en application du Data Act, l’ARCEP a publié une recommandation essentielle en matière de services cloud, fixant des bonnes pratiques pour l’interopérabilité et la portabilité des données, conformément à la loi SREN. Cette initiative vise à faciliter le passage d’un fournisseur à un autre en renforçant la transparence, en imposant des API stables et documentées, et en documentant les modalités de migration.
Pour plus d’information sur le Data Act, veuillez consulter notre article consacré.
Source : Interopérabilité et portabilité : l'Arcep fixe ses lignes directrices pour le cloud
1.3. Enregistrement illégal de conversations : ouverture d’une enquête en France visant Apple pour enregistrement illégal de conversations entre les utilisateurs et l’assistant vocal Siri
[6 octobre] Le parquet de Paris a lancé une enquête pénale visant Apple Inc. pour son assistant vocal Siri, à la suite d’un signalement de la Ligue des droits de l’Homme à propos d’enregistrements potentiellement réalisés sans consentement. La plainte évoque des conversations audios, parfois particulièrement sensibles, analysées par un prestataire irlandais d’Apple en vue d’améliorer Siri, un traitement qui pourrait enfreindre les dispositions du RGPD relatives à la vie privée. L’enquête judiciaire est confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information (OCLCTIC), spécialisée dans la cybercriminalité.
Source : Le parquet de Paris ouvre une enquête sur Siri, l’assistant vocal d’Apple – POLITICO
1.4. Location immobilière : la CNIL précise les justificatifs pouvant être demandés par les agences et bailleurs
[10 octobre] La CNIL rappelle que, pour la location d’un logement, seules des pièces strictement visées et encadrées par le décret n° 2015‑1437 peuvent être demandées au candidat et à son garant. Les pièces interdites incluent notamment la copie de carte Vitale, le livret de famille, les relevés bancaires ou l’extrait de casier judiciaire. Les agences ou bailleurs doivent également informer les personnes concernées de leurs droits sur les données (accès, rectification, conservation) au moment de la collecte. La CNIL souligne le besoin de limiter la durée de conservation des justificatifs et de garantir la sécurité des données collectées, tout en s’appuyant sur son référentiel « gestion locative » applicable aux professionnels.
Source : Location d'un bien immobilier : quels justificatifs peut-on demander aux candidats ? | CNIL
1.5. Procédure simplifiée : la CNIL a prononcé 16 sanctions depuis mai 2025
[13 octobre] Depuis mai 2025, la CNIL a prononcé 16 sanctions dans le cadre de sa procédure simplifiée, dont 14 à l’issue de plaintes. Les manquements concernent principalement la vidéosurveillance, la prospection commerciale sans consentement et le défaut de coopération avec l’autorité de contrôle. Cette procédure, plus rapide et simplifiée, permet d’intervenir pour des infractions apparentes au RGPD sans réaliser une enquête longue. Sur le plan juridique, elle met en lumière que même les cas de manquements dits « simples » peuvent aboutir à une sanction et que la rigueur s’impose dans les obligations de transparence, minimisation et responsabilité. Pour les entreprises, ces sanctions rappellent l’importance d’anticiper les contrôles et de traiter les risques courants avec sérieux.
Source : La CNIL prononce 16 nouvelles sanctions dans le cadre de la procédure simplifiée | CNIL
1.6. Programmes de fidélité : la CNIL précise les conditions du droit à la portabilité des données
[14 octobre] La CNIL a précisé que, dans un programme de fidélité, le code‑barre du produit acheté ou le montant d’une promotion attribuée au client constituent bien des données personnelles et entrent par conséquent dans le champ du droit à la portabilité. En revanche, la méthode de calcul d’une promotion ciblée ou l’algorithme diffusant des offres ne sont pas considérés comme des données personnelles visées par le droit à la portabilité. Cette position de la CNIL implique que les distributeurs doivent permettre aux clients d’extraire ces données personnelles dans le but de les transférer à un tiers.
Du point de vue juridique, cela clarifie que le droit à la portabilité ne s’applique pas uniquement aux données explicitement fournies par les personnes concernées, mais également à celles générées dans un contexte d’identification indirecte. Les entreprises concernées doivent adapter leurs procédures afin de respecter ces obligations de portabilité tout en assurant la proportionnalité et la sécurité du traitement.
Source : Programmes de fidélité : la CNIL précise l’application du droit à la portabilité des données | CNIL
1.7. Mort numérique : la CNIL analyse le cadre national applicable et recommande d’anticiper la gestion des données post mortem
[15 octobre] La CNIL publie le Cahier IP n°10 : « Nos données après nous - De la mort à l’immortalité numérique », qui analyse les pratiques entourant les données post‑mortem et les nouveaux usages technologiques associés. Bien que le RGPD ne s’applique pas aux données des personnes décédées, la CNIL souligne que des cadres nationaux permettent néanmoins d’encadrer l’usage et la conservation de ces données.
Le cahier de la CNIL examine notamment l’émergence des « deadbots », agents conversationnels alimentés par les données de défunts et souligne les zones grises juridiques que cela peut entraîner. La CNIL met en avant la nécessité d’anticiper la gestion de son héritage numérique : choix ante‑mortem, rôle des héritiers, responsabilités des plateformes. Sur le plan juridique, l’accent est mis sur la transparence, la gouvernance des droits post‑mortem et la maintenance des données persistantes. Ce travail de prospective invite aussi à prendre en compte l’empreinte environnementale des données, et la façon dont la « vie privée posthume » pourrait devenir un champ à réguler.
Source : Cahier IP10 - Nos données après nous | Linc
1.8. Apple et les traceurs : le Conseil d’Etat confirme l’amende de la CNIL fixée 8 millions d’euros
[15 octobre] Le 29 décembre 2022, la CNIL prononçait à l’encontre d’Apple une amende d’un montant de 8 millions d’euros pour violation de l’article 82 de la loi Informatique et Libertés en raison du dépôt de traceurs publicitaires sans consentement des utilisateurs. Le Conseil d’Etat a rejeté le recours d’Apple contre cette décision, considérant que la sanction pécuniaire prononcée n’était entachée ni d’erreur de droit ni d’appréciation. Pour fixer le montant de sa sanction, la CNIL a légitimement tenu compte de la portée du manquement constaté en raison des éléments suivants : la dépendance des utilisateurs à l’App Store pour le téléchargement d’applications, le nombre de personnes concernées par ces traceurs ainsi que tout de même la prise en compte des principes de protection des données dès la conception et par défaut.
Source : Conseil d’Etat, 10ème - 9ème chambres réunies, 15 octobre 2025, n°473833
1.9. Réutilisation des données et entraînement de l’IA : la CNIL détaille les procédures à suivre selon les plateformes pour s’y opposer
[16 octobre] Dans un article dédié, la CNIL explique comment s’opposer à la réutilisation des données personnelles pour l’entraînement de modèles d’intelligence artificielle. Elle détaille les procédures à suivre selon les plateformes — par exemple via les paramètres « Activité » pour Gemini ou des formulaires d’opposition pour Meta Platforms — afin de refuser l’usage de ses données dans un chatbot ou agent conversationnel. Juridiquement, ce droit d’opposition s’appuie sur l’article 21 du RGPD pour les traitements dont la base légale est l’intérêt légitime. La CNIL souligne que cette opposition ne remet pas en cause l’accès au service, mais permet d’éviter que les données partagées soient exploitées à des fins d’entraînement.
Pour plus d’information sur les bases légales pour l’entrainement d’une IA avec des données personnelles, veuillez consulter notre article consacré.
1.10. Communication politique et traitement de données personnelles: la CNIL publie six fiches pratiques pour les candidats, partis politiques et prestataires
[21 octobre] La CNIL a publié six fiches pratiques destinées à guider candidats, partis politiques et prestataires dans le respect de la protection des données personnelles en période électorale. Les documents visent notamment : les outils de prospection politique, les fichiers utilisables, la communication par téléphone ou courriel et les droits des électeurs. Chaque fiche rappelle l’application du RGPD (licéité, finalité, transparence, minimisation) à la communication politique. L’autorité souligne que le consentement ou un intérêt légitime du responsable de traitement doit être clairement identifié pour tout traitement et que les électeurs doivent pouvoir s’opposer facilement à cette prospection. Ces guides renforcent la lisibilité des obligations pour les acteurs politiques tout en rappelant que la protection des données ne doit pas être un obstacle mais un socle de confiance.
1.11. Projet de loi de finances : augmentation de la taxe sur les GAFAM
[22 octobre] Alors que le projet de loi de finances 2026 est en plein examen par l’Assemblée nationale, la Commission des finances a approuvé l’adoption d’un amendement prévoyant de porter de 3% à 15% le taux de la taxe sur les services numériques, tout en augmentant le seuil de taxation au niveau mondial de 750 millions à 2 milliards d’euros. Les députés porteurs du projet considèrent que cette mesure vise à assurer une contribution plus juste des grandes plateformes numériques au financement des politiques publiques françaises. Avec cette nouvelle taxe, seules les entreprises réalisant plus de 2 milliards de chiffres d’affaires seraient impactées, de sorte à éviter la taxation des acteurs français comme Leboncoin. Adoptée d’abord en 2019, l’évolution de cette taxe GAFAM est présentée comme un acte de souveraineté fiscale. Le texte doit encore être voté en séance plénière à l’Assemblée nationale, puis au Sénat, avant d’être définitivement adopté.
Sources :
1.12. Publicité ciblée : Un Français sur trois est prêt à payer pour y échapper
[23 octobre] Selon un sondage publié par la CNIL, 24 % à 33 % des internautes seraient prêts à payer pour accéder à des services numériques sans publicité ciblée, avec un prix mensuel moyen estimé entre 5,50 € et 9 €. Plus spécifiquement, 48 % des utilisateurs envisagent cette option pour l’écoute en ligne, 42 % pour la vidéo à la demande et 30 % pour les jeux vidéo, tandis que les abonnements dans la presse et l’IA concernent 31 % des personnes interrogées.
L’étude révèle que 51 % des sondés considèrent la protection des données comme l’un des trois critères majeurs dans le choix d’un service numérique, soulignant une réelle valorisation de la protection de la vie privée. Dans ce contexte, le modèle « consentir ou payer », qui impose un choix entre accepter le ciblage ou s’abonner, se développe mais reste délicat à équilibrer au regard du droit du consentement libre et éclairé.
Pour plus d’information sur la conformité du système « Consent or Pay » au RGPD, veuillez consulter notre article consacré.
Source : Les Français sont-ils prêts à payer pour des services en ligne sans publicité ciblée ? | CNIL
2. UNION EUROPEENNE
2.1. Système de recommandation profilé : les juges néerlandais concluent à la violation du DSA par Meta
[2 octobre] En septembre 2025, Bits of Freedom (BoF), un groupe de défense néerlandais à but non lucratif, faisait valoir que Meta restreignait la liberté de choix et l’autonomie des utilisateurs par la manière dont elle configurait les systèmes de recommandation de ses plateformes Instagram et Facebook. BoF considérait à ce titre que Meta violait les articles 25, 27 et 38 du Digital Services Act (DSA) en rendant difficile d’accès l’endroit où choisir un système de recommandations non profilé, en appliquant automatiquement à la page d’accueil un système de recommandations profilé et en rendant impossible pour l’internaute de définir un choix persistant dans les applications ou sur les sites web.
La juridiction néerlandaise a caractérisé les violations du DSA par Meta, en considérant que la fonctionnalité de choix n’était pas facilement accessible et que le retour à un système profilé, malgré le choix de l’utilisateur, constituait un « dark pattern ». A ce titre, les juges ont ordonné à Meta de rendre persistant le choix indiqué par les utilisateurs et de rendre la page de choix directement et facilement accessible sur la page d’accueil et la section Reels des plateformes.
Source : Rb. Amsterdam – C/13/774725 / KG ZA 25-687 MK/JD | GDPRhub
2.2. Anonymisation et pseudonymisation : l’EDPB travaille sur des lignes directrices à la suite de la décision de la CJUE
[9 octobre] L’European Data Protection Board (EDPB) tiendra un événement en ligne afin de recueillir les avis des acteurs concernés par le sujet de l’anonymisation et la pseudonymisation des données, à la lumière de la récente décision de la Cour de justice de l'Union Européenne (CJUE) clarifiant la notion de « donnée personnelle ». Cette consultation vise à alimenter l’élaboration de lignes directrices qui préciseront, notamment, quand la pseudonymisation peut écarter l’application du RGPD. Les discussions porteront aussi sur les critères techniques, organisationnels et contextuels à prendre en compte pour juger de la réidentification d’une personne.
Pour plus d’information sur la décision de la CJUE visée, veuillez consulter nos deux article consacrés :
2.3. Obligation de transparence : l’EDPB lance une action coordonnée pour 2026 visant à renforcer l’harmonisation entre les Etats membres
[14 octobre] L’EDPB a annoncé que son action coordonnée pour 2026, dans le cadre du Coordinated Enforcement Framework, portera sur le respect des obligations d’information et de transparence prévues aux articles 12, 13 et 14 du RGPD. Lors de cette opération, les autorités nationales de protection des données devront mettre l’accent sur la manière dont les organisations communiquent aux personnes concernées l’usage de leurs données. Cette initiative implique un renforcement des contrôles transfrontaliers et une éventuelle harmonisation des approches d’exécution entre les différentes autorités au sein de l’Union européenne.
Source : Coordinated Enforcement Framework: EDPB selects topic for 2026 | European Data Protection Board
2.4. RGPD & DMA : le CEPD et la Commission européenne adoptent les premières lignes directrices
[16 octobre] L’EDPB a adopté ses premières lignes directrices conjointes avec la Commission européenne pour expliciter la manière dont le RGPD et le Digital Markets Act (DMA) interagissent, notamment en matière de traitement des données personnelles par les contrôleurs d’accès ou « gatekeepers » (Alphabet, Apple, Amazon, ByteDance, Meta et Microsoft). Ces lignes directrices visent à aider les contrôleurs d’accès à respecter simultanément leurs obligations d’information et de transparence imposées par les articles 12 à 14 du RGPD et les dispositions du DMA. L’EDPB a également lancé un nouveau cadre d’application coordonné (ou « CEF ») portant sur la transparence des traitements, afin d’harmoniser les contrôles entre les autorités de protection des données à l’échelle de l’UE.
Pour plus d’information, veuillez consulter notre article XXX.
2.5. Preuve judiciaire et traitement de données illicite : une importante décision de la CJUE à venir
[16 octobre] Dans un litige opposant la société NTH à une ancienne employée de la société, la société avait collecté et conservé illicitement des données lui permettant d’attester que son ancienne employée avait vendu du matériel appartenant à l’entreprise sur eBay. Dans ce contexte, la CJUE a été saisie par le Tribunal supérieur du travail de Basse-Saxe de questions préjudicielles afin de vérifier la possibilité pour une juridiction nationale d’utiliser des données personnelles initialement collectées de manière illicite. L’Avocat Général Dean Spielmann estime que le principe de limitation de la finalité et conservation des données ne s’oppose pas à un tel usage lorsqu’il intervient dans l’exercice de la fonction juridictionnelle. Il précise toutefois que ce traitement doit respecter les exigences suivantes : trouver un fondement dans le droit national applicable, être conforme aux principes d’équivalence et d’effectivité, répondre à un objectif d’intérêt public et respecter les principes de nécessité et proportionnalité. La décision de la CJUE est à surveiller, dès lors qu’elle pourrait influencer la conciliation entre droit à la preuve et la protection des données.
Sources :
2.6. Royaume‑Uni : le CEPD émet deux avis sur les projets de décision d’adéquation de la Commission européenne
[20 octobre] L’EDPB a adopté deux avis concernant les projets de décisions d’adéquation de la Commission européenne pour le Royaume‑Uni : l’un en vertu du RGPD, l’autre de la directive « Police‑Justice ». L’objectif est de prolonger, d’un commun accord, la décision d’adéquation du Royaume‑Uni jusqu’en décembre 2031. L’EDPB relève toutefois plusieurs points d’attention à surveiller : notamment la gestion des systèmes automatisés de décision ainsi que l’impact de l’accord UK‑US Cloud Act sur les transferts de données des ressortissants européens. Les organisations européennes restent donc soumises à vigilance tant pour leurs flux vers le Royaume‑Uni que dans le contrôle des mécanismes d’accès à leurs données.
2.7. Données sensibles et publicité ciblée : une amende de 5,5 millions d’euros pour l’application de rencontre Grindr
[21 octobre] La Cour d’Appel de Borgating, en Norvège, a confirmé une amende de 5,5 millions d’euros à l’encontre de Grindr pour avoir partagé des données personnelles sensibles de ses utilisateurs avec plusieurs partenaires commerciaux, qui se réservaient le droit de partager ces données avec des milliers d’autres entreprises, à des fins de publicités ciblées basées sur la surveillance. Cette décision marque le troisième échec de Grindr dans son recours contre la décision initiale de 2012 de l’autorité norvégienne de protection des données. Grindr pourrait encore essayer de porter l’affaire devant la Cour Suprême norvégienne. Cependant, Finn Lützow-Holm Myrstad, le Directeur de la Politique numérique du Service norvégien de consultation des consommateurs, applaudit la décision de la Cour d’Appel en rappelant la gravité de telles violations pour la vie privée des consommateurs.
Sources :
2.8. Violation du DSA par TikTok et Meta : les constatations préliminaires de la Commission Européenne
[24 octobre] A l’issue de constatations préliminaires, la Commission européenne a conclu à une violation du Digital Services Act (DSA) par TikTok et Meta. Elle a d’abord considéré que les procédures et outils mis en place par Meta et TikTok contrevenaient à leur obligation d’accorder aux chercheurs un accès adéquat à leurs données publiques, dès lors que les chercheurs accèdent fréquemment à des données partielles ou peu fiables. Elle a ensuite conclu que les mécanismes de signalement des contenus illicites et de contestation des décisions de modération des contenus de Instagram et Facebook ne permettaient pas aux utilisateurs de fournir des explications ou éléments de preuve à l’appui de leur recours, limitant de fait l’efficacité de ces derniers. Meta et TikTok peuvent désormais examiner les documents d’enquête de la Commission européenne et répondre à ses conclusions préliminaires. Si la Commission confirme sa position, ces acteurs du numérique s’exposent à une amende pouvant atteindre jusqu’à 6% de leur chiffre d’affaires annuel mondial total.
3. INTERNATIONAL
3.1. Californie : une loi pour encadrer les « chatbots compagnons »
[13 octobre] La Californie a promulgué la loi SB 243 régulant les « chatbots compagnons ». Il s’agit d’intelligences artificielles qui entretiennent une interaction de type sociale avec les utilisateurs. Elle impose notamment l’obligation pour les opérateurs d’indiquer clairement que l’utilisateur interagit avec une IA et non un humain. Une série de protocoles de sécurité est aussi exigée : prévenir l’apparition de contenus liés au suicide ou à l’automutilation, interdire pour les mineurs toute production de contenus explicitement sexuels et publier ces procédures de façon transparente. Enfin, à partir de juillet 2027, les plateformes devront remettre chaque année un rapport à l’Office of Suicide Prevention, retraçant le nombre de recommandations effectuées vers des services de crise et les protocoles en place.
3.2. Violation de données de plus de 6 millions d’individus : l’ICO prononce une sanction cumulée de 14 millions de livres à l’encontre d’une société de services financiers
[15 octobre] Le 22 mars 2023, une cyberattaque initiée par le téléchargement d’un fichier JavaScript malveillant sur l’appareil d’un employé de la société britannique Capita PLC spécialisée dans les services financiers a résulté en l’accès aux données personnelles et sensibles de plus de 6 millions de personnes concernées. L’autorité de protection des données britannique (ICO), à l’issue de ses investigations, a constaté que Capita PLC, le responsable de traitement, n’avait mis en œuvre ni les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données et empêcher l’escalade des privilèges et les mouvements latéraux non autorisés, ni celles pour répondre efficacement aux alertes de sécurité détectées. L’ICO a constaté les mêmes manquements chez Capita Pension Solutions Limited, le sous-traitant de Capita PLC. Au regard du degré élevé de gravité des infractions, l’ICO a infligé une amende de 8 millions de livres à Capita PLC, et de 6 millions de livres à Capita Pension Solutions Limited, pour un montant total de 14 millions de livres.
Sources :
3.3. Cyberattaque contre Jaguar Land Rover : un impact économique majeur chiffré à 2,19 milliards d’euros pour l’économie britannique
[22 octobre] Le constructeur britannique Jaguar Land Rover a subi une cyberattaque majeure, qui a coûté à elle seule 2,19 milliards d’euros à l’économie britannique, selon l’estimation d’un think tank. L’arrêt prolongé de ses chaînes de production a entraîné des pertes directes sur les lignes, mais aussi des effets en cascade chez les fournisseurs et sous‑traitants.
Cet impact économique confirme que la cybersécurité est désormais un risque industriel majeur, avec des répercussions financières et stratégiques pour l’ensemble de la chaîne logistique. Les organisations doivent intégrer cette réalité dans leur gouvernance, en renforçant leurs défenses, en assurant une gestion de crise opérationnelle et en anticipant les conséquences juridiques d’un arrêt de production prolongé.
Source : Le piratage de Jaguar Land Rover aura coûté 2,19 milliards d'euros à l'économie britannique
3.4. Scraping des contenus de Reddit : plusieurs sociétés visées par une plainte
[23 octobre] Reddit, l’éditeur américain du célèbre site internet de discussion et communauté a engagé une action en justice contre Perplexity AI et plusieurs sociétés de « scraping », les accusant de s’être procuré des données issues de ses utilisateurs à une « échelle industrielle » sans autorisation. La plainte évoque à la fois le contournement des mesures de protection du site internet et l’exploitation de ces contenus pour entraîner l’IA de Perplexity, sans avoir conclu de licence équivalente à celles de Google ou OpenAI encadrant l’utilisation de ces données.
Source : Reddit poursuit Perplexity en justice pour avoir siphonné ses données
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
