Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour janvier 2026 :
Information des personnes : la CNIL sanctionne une société pour transmission de données à un réseau social à des fins publicitaires sans consentement
Le 30 décembre 2025, la CNIL a infligé une sanction de 3,5 millions d’euros à une société pour avoir transmis les données de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable.
En matière de ciblage publicitaire sur les réseaux sociaux, le Comité européen de la protection des données (CEPD) rappelle, dans ses lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux adoptées le 13 avril 2021, que le cibleur agit en tant que responsable du traitement dès lors qu’il « détermine les finalités et les moyens du traitement en collectant, traitant et transmettant activement les données à caractère personnel des personnes concernées au fournisseur de médias sociaux à des fins publicitaires ».
La société sanctionnée devait donc être regardée comme responsable du traitement relatif à la transmission des données au réseau social.
Or, conformément à l’article 6, paragraphe 1, du RGPD, un traitement de données à caractère personnel n’est licite que s’il repose sur l’une des bases juridiques prévues par le règlement, notamment le consentement de la personne concernée.
La formation restreinte de la CNIL a estimé que, sur la base des seules mentions figurant sur le formulaire d’adhésion au programme de fidélité, l’information fournie aux adhérents n’était pas suffisante pour garantir un consentement éclairé à la transmission de leurs données à un réseau social à des fins de publicité ciblée. Si ces mentions faisaient bien référence à des traitements de prospection électronique (par SMS et/ou courrier électronique) visant à promouvoir les produits commercialisés par la société, la CNIL souligne que la publicité ciblée sur un réseau social constitue un traitement distinct, tant par ses modalités que par ses implications.
En effet, la transmission des données à un tiers afin d’afficher des encarts publicitaires ciblés sur un site web diffère substantiellement de l’envoi de communications commerciales par courriel ou SMS, lesquelles n’impliquent pas nécessairement la transmission de données à une autre entité. Or, la finalité spécifique de publicité ciblée sur le réseau social, nécessitant la transmission des données à ce dernier, n’était pas clairement mentionnée dans le formulaire soumis aux personnes concernées.
Dans ces conditions, la CNIL considère que les adhérents n’étaient pas en mesure de comprendre la nature exacte du traitement, les destinataires de leurs données ni les conséquences de cette transmission. Elle en conclut que le consentement recueilli ne pouvait être regardé comme spécifique et éclairé, en méconnaissance des exigences du RGPD, justifiant ainsi la sanction prononcée.
Sécurité : la CNIL sanctionne les sociétés FREE et FREE MOBILE à hauteur de 42 millions d’euros
Le 13 janvier 2026, la CNIL a rendu deux décisions de sanction à l’encontre des sociétés FREE MOBILE et FREE, prononçant respectivement des amendes de 27 et 15 millions d’euros, compte tenu du caractère inadapté des mesures prises pour assurer la sécurité des données de leurs abonnés.
Conformément à l’article 32, paragraphe 1, du RGPD, le responsable du traitement et le sous-traitant doivent mettre en œuvre, compte tenu de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
La formation restreinte de la CNIL rappelle que l’obligation de sécurité prévue par l’article 32 du RGPD est une obligation de moyens, qui impose au responsable du traitement de prendre des mesures permettant, au regard des caractéristiques du traitement, de réduire la probabilité de survenance d’une violation de données et, le cas échéant, d’en atténuer la gravité. Il n’est donc pas attendu que les mesures éliminent toute forme de risque, et la simple survenance d’une violation ne caractérise pas à elle seule un manquement à l’article 32.
Néanmoins, le responsable du traitement reste tenu d’atténuer les risques de violation, et non d’empêcher toute violation (CJUE, 25 janvier 2024, C‑687/21, point 39). Par conséquent, un manquement à l’obligation de sécurité peut être constaté indépendamment de l’existence effective d’une violation.
En l’espèce, la CNIL a relevé que :
La procédure d’authentification pour se connecter au VPN des sociétés FREE MOBILE et FREE – utilisée notamment pour le télétravail des employés, n’était pas suffisamment robuste.
Les mesures mises en place pour détecter les comportements anormaux sur le système d’information étaient inefficaces.
Compte tenu du nombre et de la nature des données traitées, la formation restreinte a estimé que les mesures de sécurité déployées par les sociétés n’étaient pas adaptées pour assurer la confidentialité des données personnelles des abonnés.
Marketing : la CNIL ouvre une concertation sur la preuve du consentement
La CNIL a annoncé l’ouverture d’une concertation publique portant sur la preuve du consentement, dans un contexte de contrôles et de sanctions répétés en matière de prospection commerciale, de publicité ciblée et de cookies, afin d'élaborer une recommandation sur la preuve du consentement.
Cette démarche s’inscrit dans le cadre de l’article 7, paragraphe 1, du RGPD, selon lequel, lorsque le traitement repose sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée l’a effectivement donné. Cette exigence relève du principe d’accountability et pèse exclusivement sur le responsable du traitement.
La preuve du consentement ne se limite pas à l’existence d’un accord formel. Elle doit permettre d’établir que le consentement était libre, spécifique, éclairé et univoque, et qu’il a été donné par un acte positif clair. À défaut, le traitement est regardé comme dépourvu de base légale, même si un consentement est invoqué.
Une telle recommandation pourrait ainsi comporter, notamment, des précisions sur :
les éléments concrets de preuve devant être conservés (horodatage, identité de la personne, parcours de recueil, informations fournies) ;
la répartition de la charge de la preuve dans les chaînes marketing complexes (annonceurs, partenaires, data brokers, responsables conjoints) ;
les interfaces de recueil du consentement, en particulier lorsque leur conception est susceptible d’orienter indûment l’utilisateur.
Cookies et autres traceurs : la CNIL publie ses recommandations finales sur le consentement multi-terminaux
La CNIL a publié ses recommandations finales relatives au recueil du consentement dans un contexte multi-terminaux, à l’issue d’une phase de consultation des acteurs concernés.
Ces recommandations s’inscrivent dans la continuité des lignes directrices « cookies et autres traceurs » et visent à répondre à des pratiques de plus en plus répandues dans les environnements numériques.
Aujourd'hui, les usages numériques ne se limitent plus à un seul support. Un même utilisateur peut naviguer successivement sur un site ou une application depuis un ordinateur, un smartphone, une tablette ou un téléviseur connecté.
Dans ce cadre, certains acteurs ont cherché à mutualiser le consentement donné sur un terminal afin de l’étendre à d’autres appareils appartenant au même utilisateur, notamment à des fins publicitaires ou de mesure d’audience.
Cette pratique soulevait une difficulté centrale : le consentement donné sur un terminal peut-il valoir pour un autre, alors même que les environnements techniques, les interfaces et les conditions d’information diffèrent ?
Les recommandations publiées par la CNIL visent à encadrer strictement les conditions dans lesquelles un consentement peut être pris en compte sur plusieurs terminaux. Elles rappellent que le consentement doit rester attaché à une logique de maîtrise effective par la personne concernée, et que toute extension du consentement à d’autres supports suppose des garanties renforcées, tant sur l’information délivrée que sur les modalités techniques mises en œuvre.
La CNIL insiste ainsi sur la nécessité de préserver la liberté du choix de l’utilisateur et d’éviter toute généralisation automatique du consentement, susceptible de vider celui-ci de sa portée.
Ces recommandations apportent un cadre opérationnel attendu dans un domaine où les pratiques techniques avaient pris de l’avance sur le droit.
Cybersécurité : proposition de révision du règlement Cybersecurity Act
La Commission européenne a ouvert la voie à une révision du Cybersecurity Act, règlement adopté en 2019, afin d’ajuster le cadre européen de la cybersécurité à un environnement numérique devenu plus complexe et plus exposé.
Le cadre actuel
Le Cybersecurity Act a structuré l’action européenne autour de deux axes principaux :
le renforcement du rôle de l’ENISA, agence de l’Union pour la cybersécurité ;
la création d’un système européen de certification de cybersécurité pour les produits, services et processus numériques.
L’objectif était d’instaurer un niveau commun de confiance au sein du marché intérieur, tout en laissant aux États membres une marge d’application.
Un contexte profondément modifié
Depuis 2019, les conditions ont évolué. Les attaques informatiques se sont intensifiées, les chaînes numériques se sont allongées et les dépendances technologiques se sont accrues, y compris dans des secteurs sensibles.
Parallèlement, le cadre juridique européen s’est enrichi, avec notamment NIS 2 et DORA, ce qui pose la question de la cohérence entre les différents textes applicables à la cybersécurité.
Les orientations de la révision
La révision envisagée vise à ajuster le Cybersecurity Act sans en modifier l’économie générale. Elle s’inscrit dans une logique de clarification et de renforcement, notamment pour :
améliorer le fonctionnement et l’adoption des schémas européens de certification ;
préciser le rôle de l’ENISA dans un paysage réglementaire plus dense ;
mieux couvrir les technologies et usages récents, devenus centraux pour les activités économiques et publiques.
L’enjeu est d’assurer un niveau élevé de sécurité au sein de l’Union tout en limitant les divergences nationales.
Une étape supplémentaire dans la construction européenne
Cette révision s’inscrit dans une dynamique plus large de structuration du droit européen de la cybersécurité. Elle traduit la volonté des institutions de consolider un cadre commun, capable de répondre à des risques désormais transfrontaliers, tout en préservant la lisibilité des obligations pour les acteurs concernés.
Incident de sécurité : Hubee, victime d'une fuite de 160 000 documents
HubEE (pour Hub d’Échange de l’État) est une plateforme numérique opérée par la Direction interministérielle du numérique (DINUM) qui sert de réseau d’échange de documents administratifs entre administrations publiques, services instructeurs et téléservices utilisés par les usagers pour leurs démarches en ligne. Elle joue un rôle central dans la circulation de documents issus de téléservices comme ceux proposés via service-public.fr, notamment pour des demandes d’actes d’état civil, des dossiers sociaux ou des démarches de prestations publiques, en reliant plus de 8 000 communes, plusieurs ministères et organismes publics entre eux dans le cadre de leurs échanges numériques.
L'incident
Début janvier 2026, HubEE a été victime d’une cyberattaque qui a abouti à l’exfiltration d’au moins 70 000 dossiers, soit environ 160 000 documents administratifs, dont certains contiennent des données personnelles sensibles renseignées par les usagers lors de leurs démarches en ligne.
La DINUM a détecté et contenu l’intrusion après le 9 janvier et a déployé immédiatement des mesures conservatoires pour bloquer l’accès par le pirate. Les autorités compétentes — notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la CNIL — ont été informées, et une plainte a été déposée devant les juridictions compétentes.
Il est important de noter que ce n’est pas le site Service-Public.fr lui-même qui a été piraté, mais bien la plateforme technique interne HubEE qui transmet des documents entre services publics dans le cadre des téléservices.
Quels types de données ?
Selon les informations communiquées, les documents piratés peuvent contenir des identifiants, des données d’identification et des pièces justificatives (par exemple : pièces d’identité ou justificatifs fournis par les usagers dans le cadre de leurs démarches), exposant ainsi potentiellement les personnes concernées à des risques d’usurpation d’identité, de phishing ou d’autres usages malveillants.
Cet incident pose plusieurs problématiques importantes du point de vue du droit de la protection des données :
Sécurité des plateformes publiques : les plateformes mutualisées qui concentrent des volumes importants de données personnelles doivent faire l’objet de niveaux de sécurité particulièrement élevés pour prévenir les intrusions.
Notification obligatoire : la CNIL a été notifiée conformément à la législation, ce qui est une obligation en cas de violation de données personnelles impliquant un risque pour les droits et libertés des personnes concernées.
Risques pour les personnes : l’exploitation de documents contenant des données personnelles peut mener à des usurpations d’identité, des campagnes d’hameçonnage ciblées ou d’autres actes de fraude si ces informations sont rendues publiques ou utilisées par des tiers malveillants.
Espagne : L’Autorité espagnole (AEPD) met à jour sa FAQ RGPD pour aider les PME
Le 21 janvier 2026, l’Agence espagnole de protection des données (Agencia Española de Protección de Datos – AEPD) a procédé à une importante mise à jour de sa section des « Preguntas frecuentes » (Questions fréquentes) sur le RGPD, avec pour objectif de mieux répondre aux besoins des petites et moyennes entreprises (PME), des responsables de traitement et des professionnels de la protection des données.
Cette FAQ renouvelée regroupe désormais plus de 200 réponses aux interrogations les plus courantes, couvrant des thèmes essentiels comme les obligations de tenue du registre des activités de traitement, la base juridique du traitement, les obligations d’information ou encore les modèles types de mentions de consentement adaptés à différents contextes de traitement.
L’AEPD précise que cette mise à jour s’inscrit dans son Plan stratégique 2025-2030, qui met l’accent sur le renforcement du rôle de guide et de facilitateur auprès des organisations, et particulièrement des micro-entreprises, PME, travailleurs indépendants et administrations. Ce plan cherche à encourager une culture de conformité pratique, simple et efficace du RGPD, en fournissant des outils et des ressources directement utilisables sur le terrain.
La FAQ révisée inclut notamment :
des catégories pratiques ciblées sur les obligations des responsables de traitement ;
des exemples concrets de traitement et de conformité ;
des modèles de documents utiles (registre des activités, mentions d’information, formulaires de consentement) ;
des réponses aux questions les plus fréquentes posées par les PME et les professionnels de la vie privée.
Allemagne : décision judiciaire sur la transparence des scores de crédit
SCHUFA Holding AG est la principale agence allemande de renseignements sur la solvabilité (credit bureau) qui compile des informations financières personnelles et attribue des scores de crédit destinés à évaluer la probabilité qu’une personne rembourse ses dettes. Ces scores influencent des décisions essentielles comme l’octroi de prêts, de contrats de téléphonie ou la location d’un logement.
Le 19 novembre 2025, la 6e chambre du Verwaltungsgericht Wiesbaden a rendu un jugement important en matière de transparence des scores de crédit dans une affaire opposant une consommatrice à SCHUFA. Elle a jugé que SCHUFA doit fournir des explications détaillées et individualisées sur la manière dont ses scores sont calculés, en vertu du droit d’accès prévu par l’article 15 du RGPD.
Dans cette affaire :
La requérante avait demandé un prêt personnel en 2018 qui avait été refusé après transmission d’un score de crédit (~86 %) par SCHUFA aux prêteurs.
Elle avait ensuite demandé à SCHUFA des explications sur les facteurs de données utilisés et la logique concrète du calcul du score.
SCHUFA avait répondu de manière générale, citant notamment des informations disponibles sur son site mais sans expliquer comment ses données personnelles avaient influencé le calcul précis du score, ni pourquoi le score avait été qualifié de « risque élevé » pour elle.
Le tribunal a estimé que ces réponses ne satisfaisaient pas les exigences du RGPD :
Il ne suffisait pas de donner une description générale des méthodes ou des types de données utilisés, SCHUFA devait indiquer quelles données spécifiques ont été prises en compte, quelle était leur pondération dans le calcul et pourquoi le score donné était interprété comme une forte probabilité de risque pour cette personne.
La décision du tribunal s’appuie aussi sur une décision de la Cour de justice de l’Union européenne (CJUE) du 7 décembre 2023 (affaire C-634/21), qui a considéré que l’établissement d’un score de crédit par un bureau de crédit constitue une « décision automatisée au sens de l’article 22 du RGPD » lorsque ce score est utilisé de manière déterminante par un tiers pour prendre ses propres décisions contractuelles.
Corée du Sud : adoption d’un cadre juridique inédit pour l’intelligence artificielle
Le 22 janvier 2026, la Corée du Sud a officiellement mis en vigueur une loi cadre ambitieuse sur l’intelligence artificielle, connue sous le nom de AI Basic Act (Framework Act on the Development of Artificial Intelligence and the Creation of a Foundation for Trust), faisant du pays l’un des premiers au monde à instaurer un ensemble réglementaire complet pour l’IA. Cette initiative s’inscrit dans la stratégie nationale visant à renforcer la sécurité, la confiance et la compétitivité internationale du secteur de l’IA.
La loi cherche à encadrer l’utilisation des systèmes d’IA, en particulier ceux qualifiés de « high-impact », c’est-à-dire susceptibles d’avoir des effets significatifs sur la vie des personnes, la sécurité publique ou des secteurs sensibles comme la santé, les transports, l’eau potable, la finance ou la sécurité nucléaire. Elle impose notamment :
Une supervision humaine obligatoire pour les applications d’IA à fort impact ;
L’obligation de transparence, avec des notifications aux utilisateurs et des étiquetages clairs des contenus générés par des systèmes d’IA lorsqu’ils sont difficiles à distinguer de la réalité ;
Des exigences de gestion des risques et de sécurité pour les opérateurs d’IA.
Le gouvernement a prévu au moins une période de grâce d’un an avant l’application stricte des sanctions, afin de permettre aux entreprises et aux startups d’adapter leurs systèmes et leurs pratiques. Au terme de cette phase, les organisations qui ne respectent pas les obligations, par exemple, l’étiquetage des contenus générés par IA, pourraient se voir infliger des amendes pouvant aller jusqu’à 30 millions de wons sud-coréens (environ 17 400 €).
Bien que la loi soit présentée comme un moyen de consolider la confiance du public envers l’IA et de stimuler le secteur en offrant un cadre juridique clair, plusieurs acteurs, notamment des startups locales, ont exprimé leur inquiétude quant aux obligations de conformité, qu’ils jugent parfois vagues ou coûteuses à mettre en œuvre. Certains craignent que ces exigences pèsent lourdement sur les jeunes entreprises, au point de freiner l’innovation ou d’augmenter les coûts de développement.
Le président Lee Jae-myung a reconnu ces préoccupations et encouragé un équilibre entre régulation et soutien institutionnel, avec des mesures de guidance et des plateformes d’assistance dédiées aux entreprises pendant la période transitoire.
Normes de cybersécurité pour l’IA : l’ETSI publie ses attentes européennes
L’Institut européen des normes de télécommunications (ETSI) a publié ses attentes en matière de sécurité de l’IA, qui serviront de référentiel de base en cybersécurité pour les organisations mettant en œuvre des technologies d’intelligence artificielle en Europe.
Ces normes ont été élaborées à partir des orientations émises par le Centre national de cybersécurité du Royaume-Uni (NCSC) et le ministère britannique de la Science, de l’Innovation et de la Technologie (DSIT).
Elles précisent les attentes en matière de sécurité applicables aux outils d’IA depuis la phase de conception jusqu’au déploiement et à l’utilisation.