Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour février 2026 :
Risques liés aux images générées par IA : l'Autorité de protection des données signe une déclaration commune
Le 23 février 2026, 61 autorités de protection des données à travers le monde, dont l’Autorité de protection des données (APD) belge, ont publié et signé une déclaration commune mettant en garde contre les risques pour la vie privée et les droits fondamentaux posés par les images et vidéos générées par intelligence artificielle.
Cette initiative s’inscrit dans le cadre du Global Privacy Assembly (GPA) et a été coordonnée par le International Enforcement Cooperation Working Group (IEWG).
Quelles sont les préoccupations principales ?
Les autorités signataires expriment des inquiétudes sérieuses face à des systèmes d’IA capables de produire des images et vidéos ultra‑réalistes représentant des personnes identifiables, souvent sans leur connaissance ni consentement, notamment :
des contenus pouvant porter atteinte à la vie privée ou à la dignité des personnes concernées ;
la création de deepfakes intimes ou diffamatoires susceptibles de nuire à la réputation ou d’être exploités à des fins malveillantes ;
les préjudices spécifiques envers les enfants et autres groupes vulnérables.
Principes et recommandations
La déclaration ne se limite pas à tirer la sonnette d’alarme : elle énonce aussi des principes fondamentaux que les organisations qui développent ou utilisent des systèmes de génération d’images devraient respecter :
Mettre en œuvre des mesures robustes pour prévenir l’utilisation abusive ou la diffusion non consensuelle de données personnelles ;
Assurer une transparence significative sur les capacités et les limites des systèmes, ainsi que sur les usages autorisés ;
Fournir des mécanismes efficaces permettant aux personnes concernées de demander la suppression rapide de contenus préjudiciables impliquant leurs données ;
Atténuer les risques spécifiques aux enfants, notamment par des protections accrues et des informations adaptées aux jeunes, à leurs parents et éducateurs.
Pourquoi c’est important
L’APD et ses homologues rappellent que les technologies d’IA générative offrent des opportunités significatives, mais peuvent aussi porter atteinte à des droits fondamentaux (droit à la vie privée ou à la dignité humaine) si elles sont déployées sans garde‑fous adéquats. Ils invitent donc les développeurs, fournisseurs, plateformes et utilisateurs à coopérer avec les autorités pour garantir que l’innovation technologique ne se fasse pas au détriment des libertés et des droits des personnes.
Documentation : la CNIL publie la mise à jour 2026 des Tables Informatique et Libertés
La CNIL a publié la version 2026 de ses Tables Informatique et Libertés, une ressource doctrinale de référence rassemblant et structurant l’essentiel de la jurisprudence et de la pratique décisionnelle en matière de protection des données personnelles, tant au niveau national qu’européen.
Les Tables Informatique et Libertés sont un corpus organisé de résumés thématiques des principales décisions :
des juridictions françaises (par exemple le Conseil d’État ou la Cour de cassation) ;
des juridictions européennes (notamment la Cour de justice de l'Union européenne) ;
de la CNIL elle‑même (décisions, mesures correctrices, positions doctrinales) ;
du Comité européen de la protection des données (CEPD).
Présentées selon une classification thématique détaillée (principes, bases légales, droits des personnes, sécurité des données, transferts internationaux, sanctions, etc.), elles permettent d’avoir une vision d’ensemble cohérente de la doctrine applicable au RGPD et à la loi française Informatique et Libertés.
La CNIL souligne que ces Tables ont une double finalité :
Interne : assurer une appropriation homogène de la doctrine parmi les agents de la CNIL face à l’augmentation constante des questions juridiques issues de l’application du RGPD.
Externe : rendre plus accessibles aux professionnels, universitaires et praticiens du droit les positions doctrinales et les points de droit qui ne sont pas systématiquement publiés dans les décisions individuelles.
Ce document est appelé à être mise à jour régulièrement, afin de refléter les évolutions continues de la pratique en matière de protection des données, notamment au regard des nouvelles technologies et des décisions jurisprudentielles.
Appel à tests d’un outil d’audit RGPD pour modèles d’IA
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé, en partenariat avec la CNIL, le PEReN et le projet IPoP du PEPR Cybersécurité piloté par Inria, un appel à manifestation d’intérêt (AMI) visant à sélectionner des acteurs souhaitant tester un nouvel outil d’audit de confidentialité des modèles d’intelligence artificielle. Cette initiative s’inscrit dans le cadre du projet PANAME (Privacy Auditing of AI Models).
L’objectif principal de ce projet est de développer une bibliothèque logicielle permettant d’auditer techniquement la confidentialité des modèles d’IA, en particulier face aux tests d’extraction d’informations qui peuvent révéler des données personnelles issues des jeux d’entraînement. Cela vise à aider les organisations à évaluer la conformité de leurs modèles au RGPD, notamment lorsqu’ils utilisent ou sont entraînés sur des données sensibles.
Cet appel à manifestation d’intérêt est ouvert du 26 février au 28 mars 2026 à toutes les entités publiques ou privées établies dans l’Union européenne : entreprises, startups, laboratoires de recherche, administrations ou toute autre organisation utilisant ou développant des modèles d’IA. Les candidatures retenues participeront à une phase de tests pratique visant à valider et enrichir les fonctionnalités de l’outil.
Royaume-Uni : l’Information Commissioner’s Office (ICO) inflige une amende de £14,47 m à Reddit pour des manquements à la protection des données des enfants
Le 24 février 2026, l’Information Commissioner’s Office (ICO), l’autorité indépendante britannique de protection des données, a publié un communiqué officiel annonçant une sanction de £14,47 millions (soit environ 17 millions d'euros) à l’encontre de Reddit, Inc., pour avoir utilisé illégalement les données personnelles d’enfants de moins de 13 ans et ne pas avoir mis en place des mécanismes adéquats de vérification de l’âge.
Selon l’ICO :
Reddit n’a pas appliqué de mécanisme robuste de vérification d’âge, se contentant jusqu’à juillet 2025 d’une simple auto-déclaration de la part des utilisateurs, facilement contournable.
L’entreprise n’a pas réalisé d’Analyse d’Impact relative à la Protection des Données (DPIA) avant janvier 2025 pour évaluer et atténuer les risques liés à l’usage des données d’enfants, comme l’exige la législation britannique et le RGPD.
L’ICO a estimé que de nombreux enfants de moins de 13 ans étaient présents sur la plateforme, sans base légale pour le traitement de leurs données, ce qui les aurait exposés à des contenus inappropriés ou potentiellement nuisibles.
Cette sanction s’inscrit dans le cadre des efforts accrus de l’ICO pour faire appliquer le Children’s Code (Age Appropriate Design Code) et la législation britannique sur la protection des données, notamment en imposant des obligations renforcées pour les plateformes susceptibles d’être utilisées par des mineurs.
Croatie : une agence immobilière sanctionnée 100 000 € pour violation du RGPD
Le 19 février 2026, l’Agence croate de protection des données personnelles (Agencija za zaštitu osobnih podataka – AZOP) a infligé une amende administrative de 100 000 € à une agence immobilière agissant en tant que responsable du traitement pour plusieurs violations du RGPD.
Motifs de la sanction
L’AZOP a constaté que l’agence avait enfreint plusieurs obligations fondamentales du RGPD notamment :
Violation du principe de limitation de conservation : l’agence a conservé les données personnelles de 11 887 clients bien au-delà de la durée nécessaire à la finalité du traitement.
Absence de base légale pour certaines données : des copies de documents sensibles (par exemple 898 cartes d’identité, 6 passeports, 3 copies de cartes bancaires, une carte d’assurance maladie, une carte d’identité d’un mineur, etc.) figuraient dans les archives sans justification juridique claire.
Manque de mesures techniques et organisationnelles adéquates : l’agence n’avait pas assuré une supervision et une formation suffisantes du personnel accédant aux données, contrairement aux exigences de l’article 32 du RGPD.
Durant l’inspection, l’AZOP a constaté que de nombreux contrats de médiation pour l’achat ou la location de biens immobiliers, conclus entre 2010 et 2019, étaient toujours archivés avec les données jointes, même si ces documents n’étaient plus nécessaires pour la finalité d’origine du traitement.
Enjeux de cette sanction
Cette décision rappelle plusieurs points clés :
Le principe de minimisation et de limitation de conservation impose que les données ne soient conservées que pendant la durée nécessaire à la finalité initiale (art. 5 RGPD).
La licéité du traitement suppose une base juridique explicite pour chaque type de données stocké, en particulier pour des documents sensibles comme des copies de pièces d’identité ou de cartes bancaires (art. 5 RGPD).
Les mesures de sécurité organisationnelles et techniques (formation du personnel, surveillance des accès, règles claires de traitement) doivent être adaptées au risque (art. 32 RGPD).
Pologne : DPD Polska sanctionnée 11 millions PLN (~2,5 millions €) pour manquements aux obligations de sous-traitance et de sécurité
L’Office polonais de protection des données personnelles (UODO – Urząd Ochrony Danych Osobowych) a infligé des amendes totalisant 11 000 000 PLN à DPD Polska Sp. z o.o., suite à plusieurs manquements graves concernant le traitement des données personnelles de clients.
L’UODO a relevé que DPD Polska :
N’avait pas conclu d’accords de traitement des données (DPA) avec ses sous-traitants externes (notamment des transporteurs ayant accès aux étiquettes d’expédition contenant des données personnelles) en violation de l’article 28(3) du RGPD (obligations relatives aux contrats avec les sous-traitants).
Ne garantissait pas que ses employés traitaient les données personnelles uniquement sur autorisation appropriée (art. 32(4) du RGPD). Le système interne de l’entreprise générant des pseudo‑autorisations manquait d’éléments essentiels tels que le nom et la signature, compromettant la traçabilité et la légalité des traitements.
La sanction de 11 millions PLN (~2,5 millions €) reflète la gravité des manquements : l’entreprise n’avait pas sécurisé correctement la relation contractuelle avec ses sous-traitants, ni encadré le traitement interne des données personnelles par ses employés, exposant ainsi les données de ses clients à des risques non contrôlés.
Union européenne : la CJUE annule l’ordonnance du TUE dans l’affaire Ireland c/ WhatsApp
Le 10 février 2026, la Cour de justice de l'Union européenne (CJUE) a annulé une ordonnance du Tribunal de l'Union européenne (TUE) qui avait déclaré irrecevable le recours introduit par WhatsApp Ireland Ltd contre une décision liée à la procédure engagée par l’autorité irlandaise de protection des données.
La décision de l’autorité irlandaise
À la suite de l’entrée en vigueur du RGPD, la Data Protection Commission (DPC) irlandaise a été saisie de plusieurs plaintes concernant la transparence des traitements opérés par WhatsApp, notamment en lien avec un éventuel partage de données avec d’autres entités du groupe Facebook (devenu Meta).
Dans sa décision finale, la DPC a estimé que WhatsApp avait méconnu :
Le principe de transparence (article 5, §1, a) RGPD),
Les obligations d’information prévues aux articles 12 à 14 du RGPD.
Sur le fondement de l’article 58, §2 RGPD, l’autorité a alors prononcé quatre amendes administratives, pour un montant cumulé de 225 millions d’euros.
L’irrecevabilité prononcée par le TUE
Plusieurs autorités européennes ayant formulé des objections au projet de décision irlandais, le Comité européen de la protection des données (CEPD) a été saisi.
Le CEPD a adopté une décision contraignante au titre de l’article 65 RGPD, imposant à la DPC d’intégrer certaines analyses et de revoir certains éléments, notamment en matière de qualification des manquements et de sanctions. La décision finale irlandaise a donc été adoptée en tenant compte de cette position du CEPD.
Estimant que cette décision contraignante affectait directement sa situation juridique, WhatsApp a introduit un recours en annulation devant le Tribunal de l'Union européenne (TUE), contestant la légalité de la décision du CEPD.
WhatsApp a contesté devant le TUE la décision du Comité européen de la protection des données (CEPD) ayant influencé la décision finale irlandaise dans le cadre du mécanisme de coopération (article 65 RGPD).
Le TUE avait toutefois jugé le recours irrecevable, considérant que WhatsApp n’était pas directement concernée par la décision litigieuse du CEPD, celle-ci s’adressant formellement à l’autorité irlandaise.
L’annulation par la CJUE
La Cour considère en substance que l’analyse du TUE sur l’absence d’affectation directe était erronée. En effet, la décision européenne en cause produisait des effets juridiques contraignants susceptibles d’affecter directement la situation juridique de WhatsApp, notamment quant au contenu de la décision finale et au montant des sanctions.
En annulant l’ordonnance d’irrecevabilité du Tribunal de l'Union européenne, la Cour de justice de l'Union européenne permet un examen au fond du recours introduit par WhatsApp Ireland Ltd.