Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
DastrActu vous propose une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la privacy.
Chaque mois, nous allons plus loin qu’un simple récapitulatif : Nous sélectionnons une dizaine de décisions, actualités ou prises de position ayant un impact concret sur vos missions et vos organisations.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données.
Voici notre sélection pour mars 2025 :
Recommandation de la CNIL sur l'authentification à multifacteur
La CNIL a adopté la version finale de sa recommandation sur l'authentification multifacteur (MFA) le 20 mars 2025, visant à promouvoir des solutions de cybersécurité conformes au RGPD, dès leur conception. L'autorité vient clarifier, entre autres :
Les situations où l'utilisation de la MFA est appropriée, en fonction des besoins de sécurité (ex: données sensibles ou l’accès à une messagerie électronique professionnelle). Attention à ne pas l'utiliser là où ce n'est pas nécessaire, car cela entraîne sa banalisation et la perte de vigilance des utilisateurs.
La base légale MFA : Il existe deux façons de le considérer selon le RGPD :
Cas 1 : MFA comme mesure de sécurité intégrée au traitement principal des données (ex. : accès à un compte utilisateur) → pas besoin d’une base légale distincte, car elle est incluse dans le cadre du traitement principal.
Cas 2 : MFA comme mesure de sécurité transversale au système d'information → à considérer comme un traitement distinct, avec sa propre finalité qui est la sécurisation des systèmes d'information. Dans un contexte professionnel, la base légale la plus adaptée est l'intérêt légitime de l’employeur (article 6.1.f du RGPD), en l’absence d’obligation légale (article 6.1.c).
Le choix des modalités d'authentification (facteurs de connaissance, de possession, d'inhérence) et leurs conditions de conformité au RGPD. Pour les facteurs inhérents dans le cadre d'un usage professionnel (ex : contrôle d’accès biométrique à une app au travail), le responsable de traitement doit se référer aux règles spécifiques encadrant l’usage de la biométrie (Règlement type "Biométrie sur le lieu de travail").
Les traces de journalisation des systèmes d’authentification doivent être conservées pour une durée limitée. En l'absence de dispositions particulières, la CNIL recommande une durée entre 6 et 12 mois.
Suppression de la civilité par la SNCF
Par une décision rendue en janvier 2025, la CJUE explique que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. Donc, la SNCF n'exige plus de ses usagers qu'ils renseignent leur civilité (« Monsieur » ou « Madame ») lors de l'achat de billets en ligne.
Traitement fondé sur l'exécution du contrat, non justifié: La Cour rappelle qu’un traitement de données personnelles ne peut être fondé sur l’exécution d’un contrat que s’il est objectivement indispensable à sa bonne réalisation: dans le cas de contrat de transport ferroviaire, les communications sont certes essentielles, mais leur personnalisation selon la civilité du client n'est pas nécessaire pour permettre l’exécution correcte d’un contrat.
Traitement fondé sur l'intérêt légitime, conditions strictes: la Cour insiste sur le fait que, même si la prospection commerciale peut constituer un intérêt légitime, l’usage de la civilité pour personnaliser la publicité n’est pas strictement nécessaire, surtout si des alternatives moins intrusives existent (comme utiliser uniquement le nom et prénom, ou une formule générique). Si un risque de discrimination fondé sur l’identité de genre existe, l’intérêt légitime de l’entreprise ne peut pas primer.
Pas de légitimation possible via le droit d’opposition: la Cour précise que l’existence d’un droit d’opposition (article 21 RGPD) n’est pas un argument permettant de justifier un traitement dès le départ. Autrement dit, on ne peut pas dire "on traite ces données car la personne pourra toujours s’y opposer" : le traitement doit d’abord être légal et nécessaire.
👩🚀 Petit plus Dastra : Intérêt légitime et objectif purement commercial: c'est possible... sous conditions!
Sanction d'une société télécom norvégienne pour manquements liés au DPO
En mars 2025, l'Autorité norvégienne de protection des données (Datatilsynet) a infligé une amende de 4 millions de couronnes norvégiennes (environ 350 000 euros) à Telenor ASA, une entreprise de télécommunications norvégienne. Les principaux manquements relevés incluent :
Absence de DPO : Telenor ASA a supprimé le poste de DPO, estimant ne pas être tenue d'en nommer un selon l'article 37(1) du RGPD, sans fournir de documentation justificative.
Coordonnées du DPO non accessibles : Les informations de contact du DPO n'étaient disponibles que sur l'intranet interne, inaccessible au public.
Registre des activités de traitement incomplet : Le registre ne reflétait pas fidèlement les activités de traitement de l'entreprise.
Manque de ligne de reporting directe et documentée entre le DPO et la haute direction de l'entreprise, compromettant l'efficacité du DPO dans l'exercice de ses fonctions.
Ressources insuffisantes pour le DPO et absence de documentation adéquates concernant le rôle du DPO, notamment en ce qui concerne son indépendance et les éventuels conflits d'intérêts (le DPO partageait son temps entre ses fonctions et celles d'avocat associé).
Le Datatilsynet a ordonné à l'entreprise de mettre à jour son registre des activités de traitement évaluer et de documenter si elle est légalement tenue de nommer un DPO. Le cas échéant, également établir des mesures garantissant son indépendance, une ligne de reporting directe avec la direction, une adresse e-mail distincte, et documenter la détention d'actions par le DPO.
👩🚀 Petit plus Dastra: un article dédié à cette sanction sortira prochainement, d'ici là, gardez vos registres complets et mis à jour sur Dastra!
Prise en compte du chiffre d'affaire du groupe dans le calcul des sanctions RGPD
La Cour de justice de l'Union européenne, dans un arrêt du 13 février 2025, a répondu à la QPC posée en l'occurrence, de la manière suivante: lors de la détermination des amendes pour violation du RGPD, il faut considérer le chiffre d'affaires global du groupe auquel appartient l'entité directement responsable de la violation, et non celui de cette entité.
L’article 83 du RGPD doit donc être interprété en ce sens :
Lorsqu’une amende est infligée pour violation du RGPD, il faut prendre en compte si le destinataire fait partie d’une entreprise au sens du droit de la concurrence européen (Articles 101 et 102 TFUE). Cette notion désigne une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales.
Le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée (voir arrêt du 5 décembre 2023, Deutsche Wohnen, C‑807/21).
Cela dit, ce montant maximal ne doit pas être confondu avec le montant effectivement appliqué, lequel doit être fixé par l’autorité de contrôle en fonction des violations concrètes du RGPD constatées dans chaque cas, afin que l'amende soit effective, proportionnée et dissuasives (Article 83, paragraphe 1 du RGPD)
- Afin de déterminer le montant effectivement appliqué, des éléments de contexte doivent être pris en compte tels que la nature et gravité de la violation, nombre de personnes concernées, mesures prises pour atténuer le dommage subi, par négligence ou délibérément etc (Article 83, paragraphe 2 du RPGD).
- Bien que ces éléments ne l'inclut pas, la Cour a déjà précisé dans l'arrêt cité plus haut, que seule une amende qui tient compte de la capacité économique réelle ou matérielle de son destinataire est susceptible de réunir ces trois conditions (effective, proportionnée et dissuasive). Or, pour apprécier ceci, la question se pose de savoir si ce destinataire fait partie d’une entreprise, ou pas. Bien sûr "entreprise" ici, se lit au sens du droit de la concurrence européen.
Cela renforce l’efficacité des sanctions et évite que de grands groupes échappent à des amendes significatives via des structures juridiques cloisonnées.
À retenir :
→ Sanctions proportionnées : Les groupes doivent être conscients que leur taille et leur chiffre d'affaires global peuvent influencer le montant des amendes en cas de non-conformité.
→ Responsabilité étendue : Les entreprises mères doivent surveiller et assurer la conformité de toutes leurs filiales pour éviter des sanctions financières significatives.
👩🚀 Petit plus Dastra: Comment éviter les sanctions de la CNIL?
Primauté du RGPD sur le secret des affaires
Dans un arrêt du 27 février 2025, la Cour de justice de l'Union européenne (CJUE) a statué que le RGPD prévaut sur le secret des affaires, notamment en ce qui concerne le droit d'accès des individus à leurs données personnelles traitées par des décisions automatisées.
Dans une affaire impliquant une citoyenne autrichienne, une entreprise de téléphonie mobile a refusé de conclure un contrat en raison d'une évaluation automatisée défavorable de sa solvabilité. L'entreprise a refusé de fournir des informations détaillées sur la logique de cette évaluation, invoquant le secret des affaires.
La CJUE a jugé que le RGPD exige que les individus aient accès à des "informations utiles concernant la logique sous-jacente" des décisions automatisées les concernant, et qu'invoquer la confidentialité des modèles ne suffit pas pour refuser d'expliquer comment fonctionne un algorithme.
Cela fait écho à l'arrêt SCHUFA (C-634/21) de la CJUE, dans lequel la Cour a jugé que l’évaluation de solvabilité réalisée par un algorithme automatisé — lorsqu'elle est ensuite utilisée par une banque pour procéder à ses propres évaluations (à base de score) — constitue, pour cette banque, une décision individuelle automatisée au sens de l’article 22 du RGPD. En effet, cette décision est fondée exclusivement sur un traitement automatisé et produit des effets juridiques pour la personne concernée. Dans ce contexte, il est essentiel d’assurer une transparence totale vis-à-vis des personnes concernées.
Ceci renforce la protection de la personne concernée en lui conférant un droit d'opposition à cette décision individuelle automatisée, sauf si le responsable de traitement justifie d'une des exceptions posées par l'article 22 paragraphe 2 du RGPD.
À retenir :
Transparence accrue : Les entreprises doivent documenter les critères de décision, et fournir aux individus des informations compréhensibles sur les décisions automatisées les concernant.
Équilibre des intérêts : Bien que le secret des affaires soit protégé, il ne peut pas être utilisé pour restreindre indûment les droits des personnes concernées en vertu du RGPD. Les juridictions nationales doivent équilibrer ces intérêts au cas par cas, afin de décider de l'étendue du droit d'accès.
👩🚀 Petit plus Dastra: Avons-nous le droit de ne pas faire l’objet d’une décision individuelle automatisée ?
Priorités de contrôle de la CNIL pour 2025
Pour l'année 2025, la CNIL a annoncé que ses contrôles porteront principalement sur la collecte de données via les applications mobiles, la cybersécurité des collectivités territoriales et les traitements de données par l'administration pénitentiaire.
Ces axes prioritaires reflètent les domaines où la CNIL a identifié des risques accrus pour les droits et libertés des individus. Les applications mobiles, par exemple, collectent souvent des volumes importants de données personnelles, parfois sans transparence suffisante.
À retenir :
Préparation aux contrôles : Les entités opérant dans ces secteurs doivent anticiper les contrôles en évaluant et renforçant leur conformité.
Documentation : Il est crucial de maintenir une documentation complète et à jour des traitements de données pour démontrer la conformité en cas de contrôle.
👩🚀 Petit plus Dastra: Pour plus de détails sur les priorités à anticiper, consultez notre article ici !
Contrôles européens sur le droit à l'effacement
La CNIL et ses homologues européens ont lancé une série de contrôles pour vérifier la mise en œuvre du droit à l'effacement, suite à son choix comme thématique d'investigation au niveau européen pour 2025.
Le droit à l'effacement permet aux individus de demander la suppression de leurs données personnelles. Les autorités examineront comment les organisations traitent ces demandes, notamment en termes de délais de réponse et de mesures effectives prises pour supprimer les données concernées.
Processus clairs : Les organisations doivent disposer de procédures transparentes et efficaces pour traiter les demandes d'effacement.
Conformité démontrable : Il est important de pouvoir prouver que les demandes d'effacement sont traitées conformément aux exigences du RGPD.
👩🚀 Petit plus Dastra: Automatisez les demandes de droit sur Dastra et gérez-les efficacement, seuls ou à plusieurs!
Extension de la décision d'adéquation pour le Royaume-Uni
La Commission européenne a proposé une extension de six mois des décisions d'adéquation concernant le Royaume-Uni, prolongeant ainsi la libre circulation des données jusqu'au 27 décembre 2025.
Cette extension vise à donner plus de temps pour évaluer si le Royaume-Uni continue d'offrir un niveau de protection des données adéquat, notamment à la lumière de ses récentes réformes législatives en matière de protection des données.
À retenir :
Surveillance continue : Les organisations doivent rester informées des évolutions concernant les transferts de données entre l'UE et le Royaume-Uni.
Planification : Il est peut-être prudent de prévoir des mesures alternatives pour les transferts de données au cas où l'adéquation ne serait pas renouvelée après l'extension.
👩🚀 Petit plus Dastra: La liste des pays adéquats pour les transferts RGPD.
🚀 Aperçu des actualités de mars de Dastra :
Nous sommes désormais certifiés ISO 27001 et 27701!
Besoin d'anticiper un contrôle de la CNIL ? Visionnez notre webinaire "Les 5 documents indispensables en cas de contrôle de la CNIL" ici.
Noyés dans vos transferts? Consultez notre webinar "Le Guide AITD de la CNIL – Ce qu’il faut savoir et comment agir" ici.