Veille données personnelles – Septembre 2025

Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !

Pour la recevoir, merci de bien vouloir remplir ce formulaire.

1. FRANCE

1.1. Désignation de la CNIL comme autorité compétente en matière de publicité politique ciblée  

[3 juillet] Le 15 octobre 2025 entrera en vigueur le Règlement (UE) 2024/900 relatif à la transparence et au ciblage de la publicité à caractère politique. Afin d’assurer la bonne implémentation de ce règlement complétant le RGPD et tendant à encadrer l’usage des outils numériques en matière de communication politique, la CNIL a été désignée comme autorité compétente pour assurer l’application des articles relatifs au traitement de données personnelles. A ce titre, la CNIL sera chargée de s’assurer de la conformité des traitements de données à des fins de communication politique qui implique : un consentement explicite des personnes concernées, une collecte directement auprès d’elles, une interdiction du profilage fondé sur les données personnelles de mineurs ou sur des données sensibles et une obligation de tenir un registre de traitement. La CNIL publiera à la rentrée des recommandations.  

 

Source : Encadrement de la publicité politique ciblée : la CNIL met à jour sa doctrine | CNIL  

1.2. Nouvel outil d’auto‑évaluation CNIL pour les solutions de mesure d’audience sans consentement

[4 juillet] La CNIL propose aux fournisseurs de solutions de mesure d’audience un outil d’auto‑évaluation leur permettant de vérifier si ces solutions peuvent être utilisées sans recueillir le consentement des internautes, conformément à l’article 82 de la loi Informatique et Libertés. Cet outil liste précisément les critères techniques à respecter : finalité unique (mesure d’audience), collecte limitée aux données indispensables, désactivation des traitements à visée marketing et absence de réutilisation des données collectées pour le profit du prestataire. Si tous les critères sont remplis, le fournisseur peut déclarer à ses clients que sa solution, correctement configurée, bénéficie de l’exemption de consentement. L’éditeur, quant à lui, doit s’assurer que son prestataire fournit une documentation claire et opérationnelle permettant de configurer l’outil de manière conforme, sous peine d’engager sa responsabilité en cas de contrôle.  

 

Source : Cookies : solutions pour les outils de mesure d'audience | CNIL

1.3. La CNIL freine le recours aux caméras « augmentées » dans les bureaux de tabac

[11 juillet] Fonctionnant à l’aidé d’un algorithme d’intelligence artificielle, les caméras « augmentées » sont utilisées par certains bureaux de tabac comme outil d’aide à la décision afin de déterminer la majorité, ou non, de leurs clients. Alors que la CNIL indiquait en juillet 2022 que le recours à de tels dispositifs devait être nécessaire et proportionné, elle considère aujourd’hui que le contrôle de la vente de produits interdits aux mineurs n’est ni nécessaire, ni proportionné. Ces dispositifs ne pouvant remplacer la vérification systématique d’une preuve de majorité par les buralistes, ils présentent des risques injustifiés pour les droits et libertés fondamentaux des personnes concernées. Leur mode de fonctionnement impliquant une activation par défaut et en continu, il en découle une surveillance permanente et une entrave au droit d’opposition des personnes concernées.  

 

Source : Caméras « augmentées » pour estimer l’âge dans les bureaux de tabac : la CNIL précise sa position | CNIL

Pour en savoir plus sur le cadre juridique et règlementaire des caméras intelligentes dans l’espace public, consultez notre article à ce sujet.

1.4. Manipulation d’algorithmes : le parquet de Paris ouvre une enquête contre la plateforme X

[11 juillet] Après avoir reçu deux signalements faisant état de l’utilisation supposée de l’algorithme de la plateforme X à des fins d’ingérence étrangère, la section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête contre la plateforme pour altération du fonctionnement et extraction frauduleuse de données d’un système de traitement automatisé de données. Les signalements dénoncent un manque de transparence sur les critères de changement d’algorithmes et de politiques de modération, ainsi qu’une modification importante dans l’algorithme amenant à davantage de contenus politiques, haineux, racistes, anti LGBT+ et homophobes. Dans une publication, X dénonce une enquête motivée par des considérations politiques, interroge l’impartialité de l’enquête, nie catégoriquement les allégations et affirme ne pas faire droit aux demandes des autorités françaises.  

 

Sources :  

1.5. Cyberattaque de France Travail : 340 000 demandeurs d’emplois concernés

[13 juillet] Une cyberattaque visant l’application Kairos, service de gestion des formations pour les demandeurs d’emploi destiné aux partenaires de France Travail, a permis l’accès potentiel à l’identité, aux coordonnées, identifiants et statuts France Travail de 340 000 demandeurs d’emploi. L’hacker aurait dérobé le mot de passe d’un organisme de formation situé en Isère pour accéder illégalement à la base de données de Kairos. Ce nouvel incident intervenant un an et demi après une cyberattaque ayant compromis les données d’identification et numéros de sécurité sociale de 43 millions demandeurs d’emploi illustre les risques récurrents pesant sur les systèmes de traitement de données et rappelle la nécessité de mesures de sécurité renforcées. France Travail déclare avoir porté plainte et signalé l’incident à la CNIL.  

 

Sources :  

1.6. IA et RGPD : finalisation des recommandations de la CNIL

[22 juillet] Depuis avril 2024, la CNIL s’applique à publier de nombreuses recommandations quant à l’articulation entre protection des données et intelligence artificielle. Dans cette lignée, la CNIL a publié le 22 juillet 2025 trois nouvelles recommandations précisant les conditions d’applicabilité du RGPD aux modèles d’IA, ainsi que les impératifs de sécurité et d’annotation des données d’entraînement des systèmes d’IA. La CNIL y détaille les approches méthodologiques à adopter, l’information à donner aux personnes concernées, les mesures de sécurité appropriées, la documentation à conserver, etc. Cette publication s’inscrit dans le plan stratégique 2025-2028 de la CNIL, visant à encadrer le développement de systèmes d’IA respectueux des enjeux de protection des données, sans freiner l’innovation.  

 

Source : IA : la CNIL finalise ses recommandations sur le développement des systèmes d’IA et annonce ses futurs travaux | CNIL

Pour en savoir plus sur les étapes clés pour mettre en conformité au RGPD un outil d’IA, consultez notre article à ce sujet.

1.7. Passerelle de filtrage web : consultation publique sur le nouveau projet de recommandation de la CNIL

[28 juillet] Les passerelle web filtrantes, aussi appelées proxy web filtrant, permettent de contrôler et surveiller les accès Internet pour bloquer l’accès à certains sites ou contenus pour des raisons de sécurité et de conformité. Face à la numérisation de l’activité économique et à la nette augmentation des menaces cyber, ces dispositifs ont évolué et mobilisent aujourd’hui des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses, prise de décision automatisée, et analyse du comportement des utilisateurs. Ainsi, si ces solutions permettent de répondre à l’obligation de sécurité de l’article 32 du RGPD, la CNIL travaille à un projet de recommandation visant à accompagner les professionnels et sécuriser leur approche de protection de la vie privée dès la conception. Ce projet est soumis à consultation publique jusqu’au 30 septembre 2025.  

 

Source : Passerelle de filtrage web : la CNIL lance une consultation publique sur son projet de recommandation | CNIL

1.8. Le Conseil d’Etat enjoint SNCF Connect de rendre facultative sa collecte des données de civilités  

[31 juillet] En 2021, l’association Mousse se voyait opposer par la CNIL un rejet de leur plainte à l’encontre de la SNCF pour collecte non nécessaire de la civilité (Madame / Monsieur) de leurs clients. Le Conseil d’Etat, saisi d’une requête en annulation de cette décision avait sursis à statuer dans l’attente d’une réponse de la Cour de Justice de l’Union européenne (CJUE) à ses questions préjudicielles. Le 9 janvier 2025, la CJUE jugeait que la collecte de la civilité des clients, poursuivant un objectif de personnalisation de la communication commerciale, était non nécessaire à l’exécution du contrat entre l’usager et l’entreprise sauf cas particulier (ex : compartiments couchettes réservés aux femmes seules). Prenant acte de cette décision, le Conseil d’Etat a jugé le 31 juillet 2025 que le traitement systématique par la SNCF des données personnelles relatives à la civilité de ses clients était non nécessaire, ce d’autant que l’absence de cette mention ne rendrait pas plus difficile l’identification des passagers. Le Conseil d’Etat conclut que l’intérêt légitime de la SNCF de personnaliser ses communications peut être atteint en proposant aux clients d’indiquer leur civilité de façon facultative. Cette décision rappelle l’importance du principe de minimisation des données.  

Sources :

  • Conseil d’Etat, Association Mousse, 31 juillet 2025, n°452850

Pour en savoir plus, consultez notre article d’analyse de la décision.  

1.9. Un employeur sanctionné pour surveillance indirecte de ses salariés via son dispositif de géolocalisation du stock

[31 juillet] La Cour d’appel de Bordeaux a jugé qu’un dispositif de géolocalisation apposé sur des objets en stock constituait un traitement de données personnelles, dès lors qu’il permettait d’identifier un salarié. L’employeur, qui n’avait ni informé le salarié, ni déclaré le dispositif, a vu l’avertissement disciplinaire annulé et a été condamné pour harcèlement moral. Cette décision rappelle que la géolocalisation, même indirecte, peut relever du RGPD si elle cible une personne identifiable. À défaut de transparence et de proportionnalité, le traitement est illicite.

Source : Décision - Cour d'appel de Bordeaux : RG n°22/05581 | Cour de cassation

1.10. Pandora victime d’une fuite de données liée à un prestataire  

[6 août] La marque de bijoux Pandora a confirmé avoir subi une cyberattaque liée à une plateforme tierce, vraisemblablement issue d’une intrusion dans sa base Salesforce, compromettant les noms et adresses e-mail de clients. Aucune donnée « hautement personnelle » comme les mots de passe, informations bancaires ou identifiants n’a été exposée, selon la société. Pandora a indiqué avoir immédiatement renforcé ses mesures de sécurité et qu’à ce jour, aucune utilisation frauduleuse des données n’a été détectée. La marque a néanmoins incité ses clients à rester vigilants face aux tentatives de phishing exploitant les informations volées.  

Source : Le bijoutier Pandora victime d'une fuite de données personnelles

1.11. Un prestataire d’Air France-KLM victime d’une violation de données  

[7 août] Air France-KLM a détecté une fuite de données sur une plateforme tierce utilisée leur prestataire tiers en charge de la relation client, entraînant l’exposition de noms, coordonnées, numéros de fidélité Flying Blue, leur statut et l’objet des demandes clients. D’après la compagnie aérienne, les systèmes internes, eux, n’ont pas été affectés et les données « hautement personnelles » (mots de passe, cartes bancaires, passeports, miles) n’ont pas été compromises. L’incident a été signalé aux autorités compétentes — la CNIL pour Air France et l’Autoriteit Persoonsgegevens pour KLM — et les clients concernés ont été informés et invités à la vigilance face aux tentatives de phishing. Cette faille illustre à nouveau la vulnérabilité des outils CRM externalisés, cibles très prisées pour les cyberattaques.

Source : Air France-KLM prévient ses clients d'une fuite de données personnelles

1.12. CNIL : le droit de se taire désormais reconnu dans les procédures de sanction

[8 août] Le Conseil constitutionnel a jugé que l’article 22 de la loi Informatique et Libertés, dans sa version issue de la loi du 21 mai 2024, méconnaît la Constitution en ne prévoyant pas l’information de la personne mise en cause par la CNIL sur son droit de se taire. Ce droit, protégé par l’article 9 de la Déclaration des droits de l’homme et du citoyen, s’applique à toute procédure de sanction de nature punitive, y compris celles menées par la CNIL. Si l’abrogation de la disposition est différée au 1er octobre 2026, l’autorité doit dès à présent adapter ses pratiques. À défaut, ses décisions pourraient être annulées par le juge administratif. Cette décision consacre un nouveau droit procédural en matière de protection des données, renforçant l’équilibre entre pouvoir de contrôle et respect des droits fondamentaux.  

Source : Décision n° 2025-1154 QPC du 8 août 2025 | Conseil constitutionnel

2. UNION EUROPEENNE

2.1. Déclaration d’Helsinki sur le renforcement de la clarté, du soutien et de l’engagement

[3 juillet] A l’occasion d’une réunion à haut niveau tenue à Helsinki les 1er et 2 juillet 2025, le Comité européen de la protection des données (CEPD) a adopté une déclaration historique sur le renforcement de la clarté, du soutien et de l’engagement. Cette déclaration décrit de nouvelles initiatives visant à faciliter la conformité au RGPD, en particulier pour les petites et moyennes organisations et à renforcer la cohérence des interprétations et la coopération entre les autorités européenne de protection des données. Le CEPD a déclaré lancer une série de ressources directes et pratiques pour simplifier l’application du RGPD, parmi lesquelles l’élaboration de pratiques, méthodes, outils et lignes directrices d’examen des actions communes aux autorités nationales. Cette déclaration est le témoin de la reconnaissance, par le CEPD, de la complexité croissante du paysage réglementaire numérique.  

 

Sources :  

2.2. Haine algorithmique : la Pologne enjoint la Commission européenne d’enquêter sur Grok

[9 juillet] Après la publication de propos haineux et antisémites, visant notamment des responsables politiques polonais et la glorification d’Adolf Hitler, la Pologne a formellement sollicité la Commission européenne d’enquêter sur Grok, le chatbot enrichi à l’intelligence artificielle développé par Elon Musk et intégré à la plateforme X. Dans une lettre, le Premier Ministre polonais, Krysztof Gawkowski, invoque une éventuelle violation majeure du Digital Services Act et considère qu’il existe des raisons suffisantes de penser que les effets négatifs de Grok sur les droits et libertés fondamentaux des personnes ne sont pas le fruit du hasard mais le résultat d’une intention délibérée, by design. Ce signalement par la Pologne qui s’inscrit dans la continuité d’une décision turque ayant récemment bloqué l’accès à certains contenus de Grok, soulève des enjeux juridiques cruciaux sur la responsabilité des plateformes et l’obligation de surveillance proactive et de protection par les systèmes d’IA à l’encontre des discours haineux automatisés.  

Sources :  

2.3. La Commission européenne publie son Code de bonnes pratiques de l’IA à usage général

[10 juillet] La Commission européenne a publié le 10 juillet 2025 son Code de bonnes pratiques de l’IA à usage général, accompagné de Lignes directrices sur la portée des obligations incombant aux fournisseurs de modèles d’IA à usage général. Cette documentation clarifie les nouvelles obligations incombant aux fournisseurs d’IA à usage général à compter du 2 août 2025, et tend à aider l’industrie numérique à s’y conformer. L’adhésion à ce Code de bonnes pratiques, composé de trois chapitres sur la Transparence, le Droit d’auteur et la Sûreté et sécurité, permet aux fournisseurs signataires de démontrer leur conformité à l’IA Act et de bénéficier d’une sécurité juridique accrue. A ce jour, 26 fournisseurs de modèles d’IA à usage général, dont Amazon, Google, Microsoft et OpenAI, ont adhéré pleinement à ce Code. En revanche, xAI n’a adhéré qu’au dernier chapitre tandis que Meta refuse complètement d’y adhérer, considérant que ce Code introduit des incertitudes juridiques au-delà de l’IA Act. Ces acteurs devront démontrer le respect de leurs obligations par d’autres moyens adéquats.  

 

Sources :  

2.4. 1,38 millions d’euros pour la violation des principes d’adéquation des données et de sécurité des traitements

[10 juillet] L’autorité espagnole de protection des données (AEPD) a prononcé à l’encontre de Repsol une amende de 1,38 millions d’euros pour avoir attribué, par erreur, à une personne concernée le contrat de fourniture de gaz d’un autre client et lui avoir facturé des frais sur la base d’un contrat erroné. Si Repsol avançait l’absence de violation du RGPD car il ne s’agissait que d’une erreur humaine résultant de la similitude entre les noms des personnes concernées, l’AEPD a rappelé que d’autres données (carte d’identité, coordonnées bancaires) étaient différentes et que l’erreur aurait pu être aisément évitée par une simple vérification des données par le responsable de traitement. Au regard de l’ampleur et de la régularité du traitement, l’autorité considère que le risque d’erreur humaine est un facteur que Repsol aurait dû prendre en compte et conclut à la violation des articles 5(1) (adéquation) et 32 (sécurité) du RGPD.  

 

Sources :  

2.5. TikTok obtient l’autorisation de contester l’amende de 530 millions d’euros prononcée par l’autorité de protection des données irlandaise

[14 juillet] L’autorité irlandaise de protection des données (la Data Protection Commission (DPC)) avait prononcé le 2 mai 2025 une amende de 530 millions d’euros ainsi qu’une injonction de cessation des transferts à l’encontre de TikTok pour avoir transféré les données personnelles d’utilisateurs européens vers la Chine, en violation de l’article 46 du RGPD. TikTok soutient aujourd’hui que cette sanction revêt une nature pénale, et va même au-delà en considérant que la DPC a outrepassé ses fonctions et pouvoirs limités de nature judiciaire en violation de la Constitution irlandaise. TikTok fait valoir que la décision d’imposer une telle amende, et l’absence d’un droit d’appel effectif constituent une violation du droit à un procès équitable de la Convention Européenne des Droits de l’Homme. En conséquence, la High Court irlandaise a admis le contrôle judiciaire de la décision rendue par la DPC. L’affaire sera jugée au mois d’octobre.  

Source : TikTok granted permission to challenge €530m DPC fine | RTE

2.6. Reconnaissance d’un droit d’accès au dossier relatif à une plainte par la CJUE

[16 juillet] En mai 2018, Lisa Ballmann déposait une plainte contre Meta pour violation des articles 6 et 9 du RGPD ayant abouti en décembre 2022 au prononcé par le CEPD d’une amende de 210 millions d’euros à l’encontre de Meta pour traitement illicite de données personnelles à des fins de publicité ciblée sur Facebook. A l’issue de la procédure, Lisa Ballmann adressait à la CEDP une demande d’accès au dossier relatif à sa plainte, notamment au titre du droit à une bonne administration de la Charte des droits fondamentaux de l’Union européenne. Le CEPD n’ayant donné accès qu’à certaines parties du dossier, Lisa Ballmann a introduit un recours devant le Tribunal de l’Union européenne (TUE). Le TUE a fait droit aux demandes de Lisa Ballmann, considérant que le refus d’accorder l’accès au dossier de plainte affectait immédiatement et irréversiblement la situation juridique de la requérante. Cette décision met en avant l’intérêt direct des plaignants dans l’issue d’une procédure, comme ici, qui concerne directement le traitement de leurs données à caractère personnel.

 

Source : Lisa Ballmann c. Comité européen de la protection des données soutenu par Meta Platforms Ireland Ltd, 16 juillet 2025, T-183/23 | Tribunal de l’Union européenne

2.7. Dialogue sur le RGPD : vers une application plus claire et pragmatique

[16 juillet] La Commission européenne a organisé à Bruxelles un dialogue sur la mise en œuvre du RGPD, réunissant entreprises, ONG et universitaires. Tous ont salué l’équilibre global du règlement et son efficacité, mais ont exprimé des attentes fortes : plus de clarté sur certaines notions, davantage de guides pratiques et un soutien adapté, notamment pour les PME. Si la société civile s’oppose fermement à toute révision du texte, certains acteurs économiques ont suggéré des ajustements ciblés, en particulier pour tenir compte des défis liés à l’IA. Tous s’accordent sur la nécessité d’une application harmonisée et d’une meilleure articulation avec les autres textes européens, comme l’AI Act.

Source : Implementation dialogue on the application of the general data protection regulation with Commissioner Michael McGrath - European Commission

2.8. Réparation des dommages de détresse, bouleversement et anxiété en cas de violation du RGPD

[24 juillet] Entre 2008 et 2020, les données personnelles et financières d’un assuré de Life Assurance ont été envoyées par erreur à un tiers. En 2021, la personne concernée a engagé une action à l’encontre du responsable de traitement afin d’obtenir réparation des préjudices de détresse, bouleversement, anxiété, désagréments et pertes causés par la négligence et le manquement de Life Assurance à ses obligations au titre du RGPD. A l’issue d’une procédure judiciaire devant les différentes juridictions irlandaises, la Cour Suprême a estimé que la plainte de l’assuré avait été qualifié à tort de demande de réparation d’un « préjudice corporel », et ajoute que les demandes d’indemnisation pour préjudice morale lié à la détresse, au bouleversement ou à l’anxiété peuvent relever directement du RGPD.  

 

Sources :  

2.9. Caméras-piétons et obligation d’information immédiate  

[1er août] A l’issue d’une enquête, l’autorité de protection des données suédoise avait prononcé à l’encontre de AB Storstockholms Lokaltrafik, autorité en charge des transports publics de Stockholm, une amende de 1,42 millions d’euros, dont 355 500 euros pour violation de l’article 13 du RGPD. L’autorité de protection des données avait considéré qu’en omettant d’informer les passagers qu’ils étaient filmés par les contrôleurs de billets équipés de caméras-piétons, AB Storstockholms Lokaltrafik avait manqué à ses obligations. Après plusieurs appels, la Cour Suprême suédoise a porté cette affaire devant la Cour de Justice de l’Union européenne (CJUE) pour une décision préjudicielle sur l’applicabilité des articles 13 ou 14 du RGPD en cas de collecte de données par une caméra-piéton. Dans ses conclusions, l’Avocate Générale de la CJUE retient l’application de l’article 13 du RGPD, conforme avec le principe général de transparence. La collecte de données par une caméra-piéton nécessite une information directe des personnes concernées, au moment de la collecte, dès lors qu’elles en sont la source et qu’un défaut d’information pourrait porter atteinte à l’effet utile de l’article 13 et donner lieu à des pratiques de surveillance cachées. La décision à venir de la CJUE est à surveiller.  

Source : Conclusions de l’Avocate Générale Mme. Laila Medina, Integritetsskydsmyndigheten c. AB Storstockholms Lokaltrafik, 1er août 2025, C-422/24 | Cour de Justice de l’Union européenne

2.10. Une association grecque sanctionnée pour transmission illégale de données sensibles et obstruction au droit d’accès

[12 août] Le 24 juin 2025, l’autorité grecque de protection des données (DPA) a infligé plusieurs amendes à l’association « Shield of David », pour avoir transmis des données sensibles concernant un enfant à des tiers sans le consentement des parents, refusé l’accès aux enregistrements de vidéosurveillance, et refusé de coopérer avec la DPA. Les infractions concernent les principes de base du RGPD (articles 5, 12, 13, 15, 24 et 31), notamment la transparence, le droit d’accès, la responsabilité du responsable de traitement et la coopération avec l’autorité de contrôle. Au total, la sanction s’élève à 10 000 €, répartis en quatre amendes administratives distinctes. La décision rappelle que même les associations sont pleinement soumises aux règles du RGPD, et que les données des mineurs exigent une vigilance renforcée.

Source : Greek SA: Imposition of fine on association for transmission of sensitive data, failure to facilitate right of access and lack of cooperation with the SA | European Data Protection Board

2.11. Un modèle “Pay or Okay” jugé contraire au RGPD par les juridictions autrichiennes

[18 août] Le Tribunal administratif fédéral autrichien a confirmé la décision de l’autorité nationale de protection des données selon laquelle le modèle dit “Pay or Okay” de DerStandard.at enfreint le RGPD. Ce dispositif obligeait les utilisateurs à accepter le ciblage ou à payer un abonnement mensuel, sans leur offrir la possibilité de consentir spécifiquement à chaque finalité du traitement. À peine 1 à 7 % des internautes souhaitaient être suivis, tandis que ce système faisait obtenir un taux de consentement artificiellement élevé de 99,9 %, démontrant l’absence de véritable libre consentement. Le journal peut faire appel devant la cour administrative suprême d’Autriche, qui pourrait renvoyer l’affaire à la Cour de justice de l’Union européenne. Cette décision rappelle que les mécanismes de consentement doivent être granulaires pour permettre un consentement librement donné et non coercitif.

Source : Court decides "Pay or Okay" on DerStandard.at is illegal  

2.12. Sanction record de 18 millions de zlotys pour une banque en Pologne

[26 août] L’autorité polonaise de protection des données (UODO) a infligé à ING Bank Śląski une amende de 18,4 millions de zlotys (environ 4,3 millions €), l’un des montants les plus élevés jamais prononcés dans le pays. La sanction concerne la numérisation systématique de pièces d’identité de clients et prospects entre avril 2019 et septembre 2020, sans base légale suffisante et au-delà des exigences du devoir de lutte contre le blanchiment d’argent. UODO a précisé que cette collecte excessive devait être précédée d’une évaluation de nécessité, ce qui n’a pas été fait, et que la masse de données traitées implique une vigilance accrue. ING a coopéré avec l’autorité, révisé ses procédures (limitation du scan aux nouveaux clients ou modifications de données), mais a annoncé son intention de faire appel.

Source : Polish Bank Fined Over GDPR... | VitalLaw.com

3. INTERNATIONAL

3.1. Campagne de cyberattaques visant les serveurs de Microsoft SharePoint

[22 juillet] Microsoft a fait face à une campagne d’ampleur de cyberattaques ciblant les serveurs on-premise SharePoint, à la suite de l’exploitation par des hackers d’une vulnérabilité type zero day leur ayant permis de contourner les mesures de protection, prendre le contrôle total d’un serveur exposé et installer des fichiers malveillants. Parmi les hackers, les équipes de sécurité Microsoft ont identifié au moins trois acteurs, tous soupçonnés d’opérer en Chine, dont deux groupes étatiques LinenTyphoon et VioletTyphoon. Ces groupes sont connus pour viser notamment des organisations gouvernementales et mener des campagnes d’espionnage consistant à voler des données pour les revendre ensuite. La Cybersecurity and Infrastructure Security Agency, autorité américaine, a réagi rapidement en demandant à toutes les agences fédérales concernées d’installer un correctif ou de déconnecter les serveurs concernés.  

Sources :  

3.2. 20.000 euros d’amende pour la destruction illicite de documents irremplaçables

[28 juillet] L’autorité de protection des données britannique (ICO) a publié le 28 juillet 2025 sa décision rendu le 24 juin à l’encontre de Birthlink, une entreprise fournissant des services post-adoption et gérant le registre des contacts d’adoption pour l’Ecosse permettant aux parents biologiques et adoptifs d’enregistrer leurs coordonnées dans le but d’être mis en relation. A ce titre, Birthlink conservait des dossiers manuels, stockés dans des classeurs, contenant des documents relatifs à la situation individuelle de personnes adoptées. En 2021, 4.800 de ces dossiers, contenant des dossiers sensibles et irremplaçables, ont été détruits sans l’accord explicite du conseil d’administration. En septembre 2023, après enquêtes internes, Birthlink a signalé cette violation de données à l’ICO. Face à l’absence de mesures de sécurité et organisationnelles appropriées (politiques de destruction et d’approbation interne, formation du personnel, etc.), l’ICO a conclu à la violation des principes d’intégrité, de confidentialité et d’accountability et a prononcé une amende de 18.000£.

Sources :  

3.3. Données d’enfants sur YouTube : Google accepte de payer 30 millions  

[19 août] Google et YouTube ont accepté de régler une action collective par un accord de 30 millions de dollars, mis en cause pour avoir collecté des données personnelles d’enfants de moins de 13 ans sur YouTube sans consentement parental, afin de diffuser de la publicité ciblée. Cet accord, soumis à l'approbation d’un tribunal fédéral en Californie, concerne potentiellement entre 35 et 45 millions de personnes concernées, avec une indemnisation estimée entre 30 $ et 60 $ par personne pour celles qui déposeront une demande. Cet accord intervient alors que Google avait déjà versé 170 millions de dollars en 2019 pour des faits similaires. Le groupe nie toute responsabilité mais souhaite éviter un procès. L’affaire illustre la pression croissante sur les plateformes ciblant les jeunes publics, un terrain de plus en plus risqué juridiquement.

Source : Google settles YouTube children's privacy lawsuit | Reuters

3.4. Entrée en vigueur du Data Use and Access Act 2025

[20 août] Le Data Use and Access Act 2025 (DUAA), entré en vigueur progressivement entre août 2025 et juin 2026, modernise plusieurs textes clés du droit britannique sur les informations numériques, notamment le UK GDPR, la Data Protection Act 2018 et les Privacy and Electronic Communications Regulations. Il clarifie les règles sur les données à visée scientifique, autorise le broad consent, et élargit la possibilité de compter sur des intérêts légitimes reconnus, sans pratiquer systématiquement un test d’équilibre pour certains contextes. Le DUAA encadre également plus précisément les demandes d’accès aux données (DSAR) : les organisations ne sont tenues qu’à des recherches « raisonnables et proportionnées », avec la possibilité de suspendre les délais en attendant des informations complémentaires. L’autorité de protection des données britannique, l’ICO, a d’ores et déjà publié des guides à destination des organisations pour accompagner cette transition, notamment sur la recherche, l’automatisation décisionnelle, les cookies et les obligations procédurales.

Source : The Data Use and Access Act 2025 (DUAA) - what does it mean for organisations? | ICO

3.5. Le Canada valide un droit au déréférencement à la Google  

[28 août] Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a conclu, après enquête contre Google, que les personnes peuvent demander à faire de-list  (« déréférencer ») certaines informations les concernant lorsque le risque de préjudice grave l’emporte sur l’intérêt public à ce que ces données restent accessibles via une recherche par nom. Parmi les critères favorisant une telle demande figurent le fait de ne pas être une personnalité publique, l’information hors débat public, inexacte, périmée ou concernant une personne mineure. La démarche repose sur la loi PIPEDA et s’inspire des principes du RGPD européen, soulignant la nécessité d’équilibrer protection de la vie privée et liberté d’expression. Google a refusé d’appliquer immédiatement cette recommandation, malgré des décisions judiciaires affirmant que son moteur de recherche relève des obligations de la loi canadienne.

Source : Canadians can de-list some information from search engine results: federal privacy commissioner | Canadian Lawyer

Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
3 septembre 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité