Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour décembre 2025 :
États-Unis : la politique de l’IA entre dans une nouvelle phase
Le 11 décembre 2025, le président Trump a signé un décret présidentiel visant à limiter l’impact des lois des États fédérés en matière d’intelligence artificielle.
Pourquoi ? L’administration estime que le leadership des États-Unis en matière d’IA nécessite un cadre national unique et harmonisé, plutôt qu’une mosaïque de 50 régimes réglementaires étatiques susceptibles de fragmenter la régulation, freiner l’innovation et complexifier la conformité pour les entreprises.
Ce que prévoit le décret (et ce qu’il ne prévoit pas)
Le décret ne modifie pas le droit fédéral existant. Il charge la Maison-Blanche de préparer des propositions législatives à destination du Congrès afin d’établir un cadre fédéral de l’IA susceptible de préempter les lois des États.
Il renforce la pression fédérale sur les États. Plusieurs États, dont la Californie et le Texas, ont déjà adopté ou proposé des lois encadrant la sécurité de l’IA. Le décret manifeste une intention claire de neutraliser ces initiatives au niveau fédéral.
Il crée une AI Litigation Task Force. Le ministère de la Justice met en place une task force chargée de contester la constitutionnalité des lois étatiques sur l’IA qui entreraient en conflit avec la politique fédérale définie par le décret.
Il mobilise les agences fédérales. La FCC et la FTC sont invitées à prendre des mesures susceptibles de conduire à l’adoption de standards fédéraux se substituant aux règles étatiques en cas de chevauchement ou de conflit.
Des incertitudes juridiques majeures
En l’absence d’un fondement législatif clair adopté par le Congrès, la légalité et l’efficacité de cette stratégie pourraient être contestées devant les tribunaux. Il est à noter que ce décret intervient après l’échec, plus tôt en 2025, des tentatives du Congrès visant à instaurer un moratoire fédéral sur les lois étatiques relatives à l’IA.
AI Act : publication du premier projet de code de bonnes pratiques sur le marquage des contenus générés par l'IA
La Commission européenne a publié le premier projet de Code de bonnes pratiques relatif au marquage et à l’étiquetage des contenus générés ou manipulés par intelligence artificielle. Cette publication s’inscrit dans le calendrier prévu pour une finalisation du Code d’ici juin 2026, en amont de l’entrée en application des obligations correspondantes prévues par l’AI Act.
Un outil volontaire pour anticiper les obligations de l’AI Act
L’article 50 de l’AI Act impose des exigences de transparence spécifiques. Il prévoit notamment que les fournisseurs de systèmes d’IA doivent marquer les contenus générés ou manipulés par IA dans un format lisible par machine.
Il impose également aux utilisateurs qui déploient des systèmes d’IA générative à des fins professionnelles de signaler clairement les deepfakes et certains contenus textuels générés par IA, en particulier lorsqu’ils portent sur des sujets d’intérêt public.
Afin d’aider les fournisseurs et les déployeurs à se conformer à ces exigences, la Commission a engagé l’élaboration d’un code de bonnes pratiques volontaire, rédigé par des experts indépendants. Ce Code vise à fournir un cadre opérationnel avant l’entrée en application des règles juridiquement contraignantes.
Contenu du projet de Code
Le projet de Code se structure en deux parties distinctes.
- La première partie est destinée aux fournisseurs de systèmes d’IA générative. Elle porte sur les règles de marquage et de détection des contenus générés par IA, en mettant l’accent sur l’utilisation de solutions techniques permettant l’identification automatisée de ces contenus.
- La seconde partie s’adresse aux déployeurs de systèmes d’IA générative. Elle concerne l’étiquetage des deepfakes et de certains contenus textuels générés ou manipulés par IA lorsqu’ils traitent de questions d’intérêt public, afin de garantir une information loyale du public.
Consultation et prochaines étapes
La Commission recueillera les retours des participants et observateurs sur ce premier projet jusqu’au 23 janvier. Une seconde version du Code est attendue mi-mars 2026, avant une adoption finale prévue en juin 2026.
Transferts de données UE-Royaume-Uni : les décisions d’adéquation renouvelées jusqu’en 2031
Le 19 décembre 2025, la Commission européenne a renouvelé les deux décisions d’adéquation adoptées en 2021, confirmant que les données à caractère personnel peuvent continuer à circuler librement entre l’Union européenne et le Royaume-Uni jusqu’au 27 décembre 2031.
Ces décisions avaient été prolongées de manière technique en juin 2025 pour une durée de six mois, afin de permettre à la Commission de procéder à une évaluation approfondie du cadre juridique britannique, notamment après l’adoption du Data (Use and Access) Act.
À l’issue de cette analyse, la Commission a conclu que le niveau de protection offert par le Royaume-Uni demeure essentiellement équivalent à celui garanti par le droit de l’Union.
Le renouvellement fait suite à l’avis favorable du Comité européen de la protection des données et à l’approbation des États membres dans le cadre de la procédure de comitologie.
Les nouvelles décisions sont assorties d’une durée de validité limitée à six ans, avec un réexamen prévu au bout de quatre ans, afin de suivre l’évolution du cadre britannique.
Ce que cela signifie pour les organisations
Pour les organisations opérant à la fois dans l’UE et au Royaume-Uni, cette décision apporte une sécurité juridique bienvenue dans un contexte réglementaire en mutation. Elle confirme que les transferts de données UE–Royaume-Uni peuvent se poursuivre sans garanties supplémentaires, telles que les clauses contractuelles types ou des mesures techniques spécifiques, ce qui limite les coûts et la complexité de conformité.
Pour autant, l’adéquation n’est pas acquise définitivement. Le cadre britannique restera sous surveillance étroite, notamment en raison des débats persistants sur une éventuelle divergence réglementaire.
Violation de données : la CNIL sanctionne Mobius Solutions Ltd à hauteur d’un million d’euros
La CNIL a prononcé une amende d’un million d’euros à l’encontre de la société Mobius Solutions Ltd à la suite d’une violation de données personnelles révélant de graves manquements aux obligations de sécurité prévues par le RGPD.
L’enquête a mis en évidence des mesures techniques et organisationnelles insuffisantes, ayant permis un accès non autorisé à des données personnelles. La CNIL a notamment relevé l’absence de protections adéquates pour prévenir l’intrusion, ainsi que des défaillances dans la gestion des risques de sécurité.
Cette décision rappelle que les obligations de sécurité ne se limitent pas à des principes généraux, mais exigent des mesures concrètes, adaptées aux risques et régulièrement mises à jour. Elle souligne également l’importance d’une réaction rapide et structurée en cas d’incident, tant sur le plan technique que dans la gestion de la notification à l’autorité et aux personnes concernées.
Sécurité : la CNIL sanctionne la société NEXPUBLICA FRANCE pour insuffisance des mesures de sécurité
La CNIL a prononcé une amende de plus d'un million d'euros à l'encontre de la société NEXPUBLICA FRANCE au regard du manque d'attention portée par celle-ci à la sécurisation des données qu'elle traite.
A la suite de plusieurs violations de données remontées par des maisons départementales pour les personnes handicapées (MDPH), la CNIL rappelle avec force que le rôle de sous-traitant n’atténue en rien les exigences en matière de sécurité des données personnelles. En tant qu’éditeur d’un outil de gestion de la relation avec les usagers dans le champ sensible de l’action sociale, NEXPUBLICA FRANCE intervenait pour le compte de MDPH en qualité de sous-traitant. À ce titre, il lui appartenait de garantir un niveau de sécurité adapté aux risques, conformément à l’article 32 du RGPD.
NEXPUBLICA disposait d’une expertise avérée en matière de développement de solutions informatiques et ne pouvait ignorer ni ses obligations réglementaires, ni l’existence de vulnérabilités connues affectant la sécurité de son outil.
Si une authentification multifacteur avait été mise en place, celle-ci s’est révélée insuffisante en l’absence de dispositifs complémentaires essentiels, tels qu’une traçabilité active permettant de détecter, d’alerter et d’analyser des comportements anormaux. Son incapacité de l’éditeur à identifier précisément les données concernées par les violations, combinée à l’absence de correction de failles pourtant identifiées, a conduit la CNIL à considérer que les mesures de sécurité déployées étaient insuffisantes.
Cette décision illustre ainsi l’étendue de la responsabilité du sous-traitant, tenu à une véritable obligation de moyens renforcée en matière de sécurité, indépendamment du rôle du responsable de traitement.
Cookies : la CNIL inflige une amende de 15 millions d’euros à American Express
La CNIL a sanctionné American Express à hauteur de 15 millions d’euros pour manquements aux règles relatives aux cookies et traceurs.
L’autorité a constaté que des cookies publicitaires étaient déposés avant le recueil du consentement des utilisateurs, en violation de l’article 82 de la loi Informatique et Libertés. Elle a également relevé des mécanismes de refus et de retrait du consentement défaillants, qui ne permettaient pas aux utilisateurs d’exercer efficacement leurs choix.
Cette décision confirme la position constante de la CNIL selon laquelle la conformité en matière de cookies ne repose pas uniquement sur l’affichage d’un bandeau, mais sur une mise en œuvre technique effective et loyale du consentement.
Elle rappelle aussi que les acteurs internationaux opérant en France sont pleinement soumis aux exigences nationales et européennes en matière de protection des données.
Royaume-Uni : l’ICO sanctionne un fournisseur de gestionnaire de mots de passe
L’ICO, autorité britannique de protection des données, a infligé une sanction financière à un fournisseur de gestionnaire de mots de passe pour manquements aux obligations de sécurité prévues par le UK GDPR.
L’enquête a mis en évidence des défaillances dans les mesures techniques et organisationnelles, ayant exposé des données sensibles à un risque d’accès non autorisé. L’ICO a notamment relevé des insuffisances dans la conception sécurisée du service et dans la gestion des vulnérabilités, alors même que l’outil concerné était destiné à renforcer la sécurité des utilisateurs.
Cette décision souligne que les acteurs proposant des services de cybersécurité ou de protection des identités sont soumis à une exigence de vigilance renforcée.
Elle rappelle également que la promesse de sécurité d’un service doit se traduire concrètement par des choix techniques robustes, documentés et régulièrement évalués.
Un rappel important pour les organisations, à l’heure où les gestionnaires de mots de passe sont largement déployés et traitent des données particulièrement sensibles, tant pour les particuliers que pour les professionnels.
Comptes utilisateurs : quand la facilité commerciale se heurte au RGPD
Le Comité européen de protection des données (EDPB) a publié en décembre 2025 des Recommendations 2/2025 visant à clarifier dans quelles conditions un site e-commerce peut légalement exiger la création d’un compte utilisateur au regard du RGPD.
Sur les sites web de commerce électronique, les utilisateurs sont souvent tenus de créer un compte en ligne avant de pouvoir accéder aux offres ou acheter des biens et des services.
Si les responsables du traitement dans ce secteur peuvent avoir un intérêt commercial à exiger des utilisateurs qu'ils créent un compte, ces recommandations rappellent que l’obligation de créer un compte ne doit pas devenir un prétexte à collecter des données personnelles au-delà de ce qui est nécessaire. Imposer un compte reverdit automatiquement à une forme de traitement massif de données personnelles, ce qui peut accroître les risques pour les droits et libertés des personnes concernées.
L’EDPB préconise par défaut l’offre d’un mode « invité » permettant de consulter et d’acheter sans création de compte. Cette approche favorise les principes de privacy-by-design et de data minimisation du GDPR, en limitant la collecte et la conservation de données aux seules opérations strictement nécessaires.