Veille données personnelles – Octobre 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Cookies publicitaires et sanctions : la CNIL sanctionne SHEIN (150 millions d’euros) et Google (325 millions d’euros) pour non-respect des obligations en matière de cookies publicitaires
[3 septembre] La CNIL a prononcé une amende de 150 millions d’euros contre INFINITE STYLES SERVICES CO. LIMITED, filiale irlandaise de Shein, pour violation des obligations relatives aux traceurs (article 82 de la loi Informatique et Libertés). Elle a relevé l’installation de cookies à finalité publicitaire dès la visite du site, sans consentement préalable, des bandeaux d’information incomplets et des mécanismes de refus et de retrait des traceurs inefficaces. La sanction prend en compte l’ampleur du traitement (environ 12 millions d’utilisateurs en France chaque mois) et la récurrence de manquements similaires déjà sanctionnés.
[3 septembre] La CNIL a infligé à l’encontre de Google (Google LLC et Google Ireland Ltd) une amende de 325 millions d’euros pour avoir diffusé des publicités déguisées en courriels dans Gmail sans consentement préalable des utilisateurs et pour avoir imposé des cookies publicitaires lors de la création de comptes Gmail sans fournir une information claire et adéquate sur les traceurs. L'autorité française a également ordonné à Google de cesser ces pratiques dans un délai de six mois, sous peine d’une astreinte journalière de 100 000 € en cas de retard. Cette sanction reflète la rigueur croissante de la CNIL sur les pratiques publicitaires intrusives, en rappelant que le consentement libre, éclairé et non conditionné constitue une obligation en matière de protection des données personnelles.
1.2. AI Act : la France opte pour une gouvernance répartie entre plusieurs autorités
[9 septembre] Le ministre de l'Économie a annoncé que la mise en œuvre de l’AI Act en France s’appuiera sur une gouvernance distribuée entre plusieurs autorités administratives. La CNIL jouera un rôle central, notamment pour les systèmes à haut risque traitant des données personnelles, tandis que d’autres autorités sectorielles interviendront selon leurs domaines de compétence. Ce modèle évite la création d’un nouveau régulateur, misant sur la coordination des acteurs existants. Si ce choix valorise l’expertise de la CNIL, il soulève des défis en matière de lisibilité, de cohérence des décisions et de suivi opérationnel.
Source : AI Act : La France choisit une gouvernance éclatée
1.3. Prospection commerciale et cookies : clôture de l’injonction prononcée à l’encontre de la société ORANGE pour publicités camouflées et cookies maintenus
[11 septembre] L’injonction assortie d’une astreinte de 100 000 euros par jour de retard prononcée par la CNIL à l’encontre de la société Orange, en complément de son amende de 50 millions d’euros, pour publicités camouflées et maintien de cookies après le retrait du consentement, a été clôturée par la CNIL le 11 septembre 2025. La CNIL reconnaît que la société Orange a démontré, dans les délais impartis, avoir pris des mesures nécessaires afin de corriger ses manquements. L’autorité observe néanmoins l’absence de suppression de cookies tiers, mais admet qu’en l’état de la doctrine et de la jurisprudence du Conseil d’État, ces opérations de lecture excèdent la responsabilité de la société Orange, qui justifie par ailleurs avoir contacté ses partenaires pour qu’ils mettent en place le même type de mesures. Dans ces conditions, la CNIL a décidé de la non-liquidation de l’astreinte.
Sources :
1.4. Caméras dans les écoles : la CNIL fixe les règles à suivre
[12 septembre] Dans un article sur son site Internet, la CNIL rappelle que seuls certains types de caméras peuvent être installés dans les établissements scolaires : les dispositifs de vidéoprotection sur les abords (avec autorisation préfectorale) et les dispositifs de vidéosurveillance à l’intérieur, sous conditions strictes. À l’intérieur, les caméras peuvent filmer les couloirs et halls, mais doivent exclure les lieux de vie comme les salles de classe, cours de récréation ou foyers. L’information des élèves, parents et personnels est une obligation qui doit prendre la forme d’une notice conforme à l’articles 13 du RGPD et d'affichages visibles à l’entrée de l’établissement. Le responsable doit déterminer une durée de conservation proportionnée et seules les personnes habilitées peuvent accéder aux images, dans un cadre sécurisé. Enfin, la vidéosurveillance ne doit pas remplacer d’autres mesures de sécurité moins intrusives et une analyse d’impact (AIPD) associée à la désignation d’un DPO est parfois requise.
Source : Les dispositifs vidéo dans les établissements scolaires | CNIL
1.5. CNIL et contenus numériques : quelle durée pour les comptes inactifs ?
[18 septembre] La CNIL rappelle que le RGPD impose un principe de conservation limitée des données personnelles dans le temps. A ce titre, l’autorité recommande la suppression des comptes inactifs depuis deux ans dans les services numériques. Pour les secteurs de l’audiovisuel et du jeu vidéo, une conservation plus longue est admise uniquement pour les données strictement nécessaires à l’accès aux contenus achetés : nom, e-mail, pseudonyme, données d’utilisation (sauvegardes, historique). Toutes les autres données, notamment celles à usage commercial ou statistique, doivent être supprimées ou anonymisées selon un calendrier détaillé. Les utilisateurs doivent être informés clairement de la durée de conservation et des phases (actives, archivage) intervenant avant la suppression. La CNIL insiste enfin sur la mise en œuvre de mesures techniques et organisationnelles adaptées pour garantir la sécurité des données conservées sur une longue durée.
Source : Achat de contenus numériques : quelle durée de conservation des comptes inactifs ? | CNIL
1.6. Dissimulation de caméras : 100 000 euros d’amende pour La Samaritaine
[18 septembre] La CNIL a infligé une amende de 100 000 € à La Samaritaine pour avoir installé dans des réserves des caméras déguisées en détecteurs de fumée, équipées de micro permettant d’enregistrer les conversations. Si un employeur peut installer des caméras dissimulées dans des circonstances exceptionnelles et sous réserve d’un juste équilibre entre protection de la vie privée et objectif poursuivi, les dispositifs de La Samaritaine n’avaient pas été documentés dans son registre des traitements et n’avaient pas été soumis à une analyse d’impact préalable. En outre, le DPO de la société n'avait été informé de l’existence des caméras que plusieurs semaines après leur installation. La Samaritaine a ainsi manqué aux principes de loyauté, de minimisation et au devoir d’associer le DPO aux questions relatives à la protection des données. Cette sanction rappelle la vigilance dont les employeurs doivent faire part lors de l’installation de caméras, notamment dissimulées.
Sources :
1.7. Cyberattaques et santé : le groupe Clarins et le laboratoire d’analyses médicales Inovie Labosud ont subi des attaques entraînant des fuites de données de leurs patients et clients.
[18 septembre] Le groupe Clarins a confirmé qu’un tiers a téléchargé illégalement des fichiers contenant des données de contact d’une partie de ses clients, à la suite d’une cyberattaque revendiquée par le groupe Everest Ransomware. Plusieurs centaines de milliers de clients pourraient être concernés. Toutefois, Clarins assure que les données bancaires et mots de passe des clients n’ont pas été compromis. Certains fichiers seraient déjà publiés sur le darknet, suscitant une menace de divulgation supplémentaire. Clarins affirme avoir maîtrisé l’incident et informé les autorités compétentes.
Source : Clarins victime d'une cyberattaque, les données personnelles des clients exposées
[26 septembre] Le laboratoire Inovie Labosud a subi un accès non autorisé ayant compromis des données personnelles — identité, coordonnées, numéro de sécurité sociale — et, pour certains patients, des données de santé liées aux examens. Aucune donnée bancaire, mot de passe ni résultat d’analyse (ex. compte patient) n’aurait été affecté. Dès la découverte, l’incident a été déclaré à la CNIL, à l’ARS et à l’ANSSI et une plainte déposée auprès des autorités compétentes. Le laboratoire indique avoir pris des mesures pour bloquer l’accès et contenir l’attaque.
Source : Des données médicales exposées après un incident de sécurité chez Inovie Labosud
2. UNION EUROPEENNE
2.1. Data Privacy Framework : le Tribunal de l’UE valide le mécanisme
[4 septembre] Le Tribunal de l’Union européenne a rejeté le recours d’un citoyen français, Philippe Latombe, visant à annuler le Data Privacy Framework (DPF), estimant que ce dispositif assure un niveau adéquat de protection pour les transferts de données personnelles entre l’UE et les États-Unis dans sa forme actuelle. Le requérant contestait notamment l’indépendance du mécanisme américain de révision des plaintes des citoyens européens et le manque de garanties offertes face aux collectes massives de données par les services de renseignement américains. Le Tribunal considère que les États-Unis offrent les garanties requises, notamment le contrôle a posteriori et que le mécanisme de révision des plaintes ne peut pas être considéré comme étant soumis à une influence inappropriée du pouvoir exécutif. Cette décision pourrait cependant être portée devant la Cour de justice de l’Union européenne.
Source : La justice européenne maintient le Data Privacy Framework | LeMagIT
2.2. Actions préventives & RGPD : la CJUE autorise les concurrents à faire cesser un traitement illicite et reconnaît l’indemnisation du préjudice moral.
[4 septembre] La Cour de justice de l’Union européenne a jugé que, dans certaines affaires de protection des données, des tiers, notamment des concurrents, peuvent obtenir une injonction préventive pour faire cesser immédiatement un traitement illicite, avant même qu’un dommage matériel ne soit prouvé. Elle rappelle également que le préjudice moral ou psychologique lié à une violation du RGPD peut donner lieu à indemnisation, indépendamment de toute perte financière. La décision renforce ainsi l’arsenal juridique disponible pour les personnes concernées et tiers souhaitant se prévaloir d’une violation de la réglementation en matière de protection des données.
Source : CJUE – Case C-655/23 (IP v Quirin Privatbank AG)
2.3. Quand les données pseudonymisées deviennent « personnelles » : la CJUE affine les critères
[4 septembre] Dans l’affaire C413/23 P (CEPD contre CRU), la Cour de justice de l’Union européenne a rappelé que la pseudonymisation ne garantit pas automatiquement le caractère non personnel de données : cela dépend du contexte et notamment de la capacité de réidentification des personnes concernées dont dispose le destinataire. La décision concerne spécifiquement un cas où des commentaires anonymisés étaient transmis à un prestataire externe sans en informer les contributeurs : la CJUE estime que même si le destinataire des commentaires anonymisés ne peut pas identifier les personnes, l’obligation de transparence s’impose toujours si c’est le responsable initial qui détient les moyens de réidentification.
Sources :
Pour en savoir plus, consultez notre article d’analyse de la décision.
2.4. Insuffisance des mesures de sécurité : sanction de 3 millions d’euros à l’encontre d’un grossiste pharmaceutique
[5 septembre] Allium UPI, grossiste pharmaceutique en Estonie chargé de gérer le programme de fidélité de la chaîne pharmaceutique Apotheka, a été victime début 2024 d’une cyberattaque ayant mené à l’extraction des sauvegardes de données relatives audit programme de fidélité. Ces sauvegardes concernaient les adhérents du programme entre 2014 et 2020 et comprenaient des données personnelles, incluant notamment des informations détaillées sur leurs achats de produits pharmaceutiques. L’enquête de l’autorité de protection des données estonienne a révélé qu’Allium UPI n’avait pas mis en œuvre les mesures de sécurité essentielles, telles que l’authentification multifactorielle et la tenue de journaux d’accès. Prenant en compte la sensibilité des données concernées, l’autorité a prononcé une amende de 3 millions d’euros à l’encontre d’Allium UPI. Cette décision rappelle l’importance des mesures de sécurité lors du traitement de données de santé.
Source : AKI (Estonia) – Allium UPI | GDPRHub
Pour en savoir plus sur la gestion des données de santé, consultez notre article consacré à leur régulation en France et en Europe.
2.5. Profilage des demandeurs d’emploi par IA: l’Allemagne reconnaît la base légale du dispositif avec supervision humaine.
[5 septembre] Le Service Public de l’Emploi allemand (SPE), chargé de mettre en œuvre la politique du marché du travail du gouvernement fédéral, a développé un système d’IA visant à calculer les opportunités sur le marché du travail pour les demandeurs d’emploi et à aider les conseillers à évaluer ces opportunités professionnelles. Ce modèle utilise des données personnelles des demandeurs d’emploi (âge, sexe, éducation, parcours professionnel) pour prédire leurs chances futures d’intégration sur le marché du travail. L’autorité de protection des données allemande, au terme d’une enquête, a décidé de suspendre cette activité de traitement pour défaut de base légale et profilage. Après l’annulation de cette décision par la Cour Administrative Fédérale, l’affaire a été portée devant la Cour Suprême Administrative. Cette dernière a considéré que le système d’IA n’était pas dépourvu de base légale dès lors que le SPE se fondait sur des dispositions légales nationales et que la prise de décision automatisée n’était pas caractérisée dès lors que les conseillers avaient un rôle significatif dans le processus de décisions.
Source : BVwG – W256 2235360-1 | GDPRHub
Pour savoir comment mettre en conformité vos outils d’IA avec les exigences du RGPD, consultez notre article et comment recourir à la base légale de l’intérêt légitime pour entrainer votre IA, consultez notre article.
2.6. Violation de données et responsabilité : 500 000 euros d’amende à l’encontre d’une banque
[16 septembre] Les coordonnées bancaires, d’identification et informations de contact de plus de 100 000 clients d’une banque espagnole ont été rendues accessibles sur le dark web à la suite d’une cyberattaque. La violation avait été notifiée à l’autorité de protection des données espagnole (AEPD) par deux sous-traitants de la banque qui était la cible de cette cyberattaque. A l’issue de son investigation, l’AEPD a rejeté l’argumentaire de la banque selon lequel elle n’était pas le responsable de traitement puisqu’elle n'était pas la cible de l’attaque, en estimant que la banque était bel et bien responsable du traitement des données personnelles de ses clients et que la négligence de ses sous-traitants ne l’exonérait pas de sa responsabilité. L’AEDP a notamment constaté que la banque donnait des instructions insuffisantes à ses sous-traitants et que les IBAN de ses clients étaient conservés sans être pseudonymisés, ce qui constituait un risque élevé que les données soit consultées et utilisées à mauvais escient par des tiers. Cette décision rappelle l’importance des mesures de sécurité, permettant d’éviter de telles violations de données, ainsi que le rôle et la responsabilité du responsable de traitement même lorsqu’il fait appel à des sous-traitants.
Source : AEPD (Spain) – EXP202402612 | GDPRHub
2.7. Demande de droit d’accès : appréciation de son caractère abusif devant la CJUE à venir
[18 septembre] Treize jours après son inscription à une newsletter, un citoyen autrichien adressait une demande d’accès, rejetée dans les délais par le responsable de traitement qui la considérait comme abusive. Refusant de renoncer à sa demande, le demandeur assortissait sa demande initiale d’une demande de réparation à hauteur de 1 000 euros. Le Tribunal de District d’Ansberg, saisi de l’affaire, a posé à la Cour de Justice de l’Union Européenne (CJUE) des questions préjudicielles sur l’appréciation du caractère abusif d’une demande de droit initiale et sur l’appréciation des articles 12(5) et 82 du RGPD. L’Avocat Général, M. Maciej Szpunar, conclut qu’une première demande peut être qualifiée d’excessive selon les circonstances et l’intention abusive de la personne concernée, mais que le seul fait que la personne concernée ait exercé dans de nombreux cas son droit à réparation à l’encontre d’un responsable de traitement est insuffisant à qualifier d’excessive une telle demande. Il conclut également que l’article 82 du RGPD doit être interprété en ce sens que les dommages subis par la personne concernée du fait d’une violation du RGPD sont susceptibles de donner lieu à réparation, même si ces dommages n’ont pas été causé par un traitement de ses données. La décision de la CJUE est à suivre.
3. INTERNATIONAL
3.1. Cloud : l’OTAN migre ses charges de travail critiques vers Oracle Cloud Infrastructure
[11 septembre] L’Agence de Communication et d’Information de l’OTAN (NCIA) a annoncé migrer ses systèmes critiques sur site (on premise) vers Oracle Cloud Infrastructure, afin de bénéficier des solutions d’un cloud souverain, de ses hautes performances, de sa disponibilité, de son innovation en IA et de sa sécurité de niveau entreprise. Cette migration s’inscrit dans une démarche de modernisation sécurisée de l’infrastructure de la NCIA, et vise à aider la NCIA à fournir à l’OTAN des systèmes et services de communication et d’information sûrs, orientés cloud et interopérables. Red Reply et Shield Reply, partenaires d’Oracle, accompagneront la NCIA pour assurer une transition fluide, sécurisée et pérenne des charges de travail critiques. Avec cette solution, la NCIA entend répondre à ses exigences strictes en matière de souveraineté des données, de contrôle opérationnel et de localisation des informations critiques.
Sources :
3.2. Gouvernance des données et IA : un engagement international pour une IA protectrice de la vie privée
[23 septembre] A l’occasion de la 47ème édition de l’Assemblée mondiale de la protection de la vie privée, qui s’est tenue à Séoul du 15 au 19 septembre 2025, vingt autorités de protection des données ont signé une déclaration commune visant à construire un cadre de gouvernance fiable pour une IA de confiance. Cette déclaration, qui avait initialement été signée par une poignée d’autorités au sommet d’action sur l’IA tenu à Paris en février dernier, met en lumière les risques et préoccupations liées à l’IA (protection des données et de la vie privée, discrimination et biais, désinformation et hallucinations). Avec cette déclaration, les autorités de protection des données à travers le monde s’engagent à clarifier les bases légales pour les traitements des données dans l’IA, à établir des mesures de sécurité adaptées, à suivre les impacts techniques et sociétaux de l’IA, à encourager son innovation en réduisant les incertitudes juridiques et à renforcer leur coopération avec les autres autorités compétentes (protection des consommateurs, concurrence, propriété intellectuelle).
Sources :
3.3. Fuite de données : un sous-traitant du constructeur automobile Stellantis touché et des données personnelles rendues accessibles.
[24 septembre] Stellantis a signalé une fuite de données personnelles touchant des clients nord-américains, causée par le piratage d’un prestataire chargé de la relation client. Les systèmes internes du constructeur n’ont pas été compromis, mais des informations telles que les noms, adresses ou numéros de téléphone ont pu être exfiltrées. L’entreprise a notifié les personnes concernées et saisi les autorités compétentes. Si les données hautement personnelles (mots de passe, infos bancaires) ne seraient pas concernées, l’incident soulève une nouvelle fois la question du contrôle effectif des sous-traitants au regard du RGPD.
Source : Stellantis signale une fuite de données personnelles (l’Usine Digitale)
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
