Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose DastrActu, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour septembre 2025 :
Consultation de l'UE sur les lignes directrices de transparence en matière d'IA
La Commission européenne a lancé une consultation publique (date limite : 9 octobre 2025) pour élaborer des lignes directrices et un code de bonnes pratiques pour des systèmes d'IA transparents, s'appuyant sur les dispositions de transparence de l'AI Act.
En vertu de l'AI Act, les déployeurs et fournisseurs d'IA générative, de reconnaissance des émotions, de catégorisation biométrique et de systèmes de contenu manipulé doivent informer les utilisateurs lorsqu'ils interagissent avec l'IA ou lorsque le contenu est généré ou manipulé par l'IA.
La consultation invite les développeurs d'IA, les organismes publics, les groupes de recherche, la société civile et les citoyens à faire part de leurs avis. Les obligations de transparence devraient s'appliquer à partir du 2 août 2026.
Implications pour les praticiens :
Les organisations doivent se préparer à intégrer des divulgations de transparence (étiquettes IA, métadonnées, explication) dans leurs systèmes.
Participer à la consultation est une chance d'influencer la façon dont les obligations seront définies et appliquées.
Le code de bonnes pratiques à venir pourrait devenir une norme de facto ou une référence en matière d'audits, de contentieux et d'application.
Flux de données UE-États-Unis : DPF validé par le Tribunal général
Le 3 septembre 2025, le Tribunal général de l'Union européenne a rejeté l'action en annulation intentée par le député Philippe Latombe contre le Cadre de protection des données UE–États-Unis (DPF).
Les conclusions clés du Tribunal :
Le Tribunal a choisi de se prononcer sur le fond, contournant les débats sur la légitimité de Latombe.
La décision valide que le DPF offre un niveau de protection « essentiellement équivalent » aux normes de l'UE, en accord avec le principe de l'article 45 du RGPD.
La Cour de révision de la protection des données (DPRC) mise en place dans le cadre du DPF a été jugée suffisamment indépendante pour satisfaire aux exigences de réparation.
En ce qui concerne la collecte massive par les renseignements américains, le Tribunal a reconnu que les révisions ex post et les garanties procédurales en vertu de l'Ordre exécutif 14086 sont conformes à la jurisprudence européenne sur la surveillance (Schrems II).
Ce que cela signifie pour les responsables et les sous-traitants de données :
Le DPF reste un mécanisme valide pour les transferts UE → États-Unis en vertu du Chapitre V du RGPD.
Néanmoins, les organisations devraient maintenir des stratégies de secours : SCCs/BCRs, évaluations d'impact sur les transferts (TIAs), en particulier pour les flux sensibles.
Surveillez les changements juridiques et de surveillance aux États-Unis : le Tribunal a souligné que la Commission doit évaluer en permanence si les pratiques américaines restent alignées avec le cadre.
Un appel devant la CJUE est possible.
👉 Pour plus d'informations, lisez notre article ici.
Arrêt de la CJUE : les données pseudonymisées ne sont pas toujours personnelles
Le 4 septembre 2025, dans l'affaire C-413/23 (EDPS c. SRB), la Cour de Justice de l'Union européenne a précisé que les données pseudonymisées peuvent, dans certaines circonstances, être considérées comme non personnelles par les destinataires.
Clarifications clés du jugement :
La Cour a souligné que la perspective du destinataire est importante : si le destinataire ne peut raisonnablement pas réidentifier les personnes concernées, les données pseudonymisées peuvent ne pas entrer dans le champ des données personnelles.
L'identifiabilité doit être évaluée en fonction des moyens techniques et organisationnels réalistes, pas d'une possibilité théorique.
Les obligations du responsable (transparence, information des personnes concernées au moment de la collecte) s'appliquent toujours, peu importe comment les données peuvent apparaître plus tard aux destinataires.
Cela marque un changement par rapport à la vision « absolue » (soutenue par l'EDPS/EDPB) vers une approche contextuelle et basée sur les risques de la pseudonymisation.
Retours pratiques pour les DPO et équipes juridiques :
Séparer les informations d'identification (clés) et limiter l'accès pour renforcer la non-identifiabilité.
Lors du partage ou du transfert de données, effectuer une évaluation au niveau des destinataires : quels moyens ont-ils pour réidentifier ?
👉 Pour plus d'informations, lisez notre article ici.
La CNIL impose des amendes importantes à Google & SHEIN pour violations des cookies
Le 3 septembre 2025, la CNIL a annoncé d'importantes sanctions : Google a reçu 325 millions d'euros, SHEIN 150 millions d'euros pour des violations des règles d'e-privacy concernant les cookies et les traceurs. Ces amendes font partie du plan d'action à long terme de la CNIL lancé en 2019 pour imposer une conformité plus stricte.
Les violations clés incluent :
Utilisation de traceurs sans consentement préalable valable (violation des règles de consentement et d'information)
« Murs de cookies » (exigeant l'acceptation des traceurs pour l'accès) jugés acceptables uniquement si l'utilisateur a un vrai choix et que les alternatives sont équilibrées et également accessibles.
Google a également été jugée en violation pour avoir envoyé des emails publicitaires basés sur des données utilisateur au sein de Gmail sans consentement approprié (violation du CPCE, art. L. 34-5)
Leçons pour les opérateurs & marketeurs :
Conformité aux cookies : l'attention réglementaire reste élevée.
Évitez les motifs obscurs, le consentement forcé ou les murs de cookies opaques.
Examinez attentivement votre consentement, votre journalisation, votre audit et vos murs de cookies. La documentation est essentielle en cas de contestation.
Brésil : une décision d'adéquation en cours
La Commission européenne a publié une décision d'adéquation préliminaire reconnaissant que le cadre de protection des données du Brésil (LGPD) garantit un niveau de protection équivalent aux normes de l'UE. Une fois finalisée, cela permettra des flux de données libres et sécurisés entre l'UE et le Brésil sans garanties supplémentaires.
Du côté brésilien, l'ANPD finalise son propre processus d'adéquation pour reconnaître le droit de l'UE comme équivalent. La reconnaissance mutuelle renforcera les droits des citoyens, augmentera la certitude juridique, simplifiera les opérations commerciales internationales, et renforcera la compétitivité commerciale.
Le processus est maintenant soumis à l'European Data Protection Board pour un avis, suivi de l'approbation des États membres de l'UE. Si adopté, le Brésil rejoindra 16 autres juridictions (y compris le Royaume-Uni, le Canada, le Japon et la Corée du Sud) déjà considérées comme adéquates.
L'EDPB émet ses premières lignes directrices sur l'interaction entre le DSA et le RGPD
Le European Data Protection Board (EDPB) a publié ses premières lignes directrices clarifiant la relation entre la Loi sur les services numériques (DSA) et le RGPD. Le DSA, qui régit les plateformes en ligne et les moteurs de recherche, vise à créer un environnement numérique plus sûr et à protéger les droits fondamentaux. Beaucoup de ses obligations impliquent le traitement de données personnelles, soulevant des recoupements avec le RGPD.
Principaux enseignements des lignes directrices
Pas de hiérarchie des lois : Le DSA impose des obligations sur les plateformes (par exemple, modération de contenu, devoirs de diligence, transparence algorithmique), mais celles-ci ne remplacent ni ne prévalent sur les obligations du RGPD. Les règles de protection des données restent pleinement applicables.
Base légale et finalités : Tout traitement de données effectué dans le cadre du DSA doit encore reposer sur une base légale conforme au RGPD (comme le consentement ou l'intérêt légitime). Le DSA ne crée pas un nouveau motif automatique pour le traitement de données personnelles.
Responsabilités partagées : Les rôles entre les plateformes, les fournisseurs d'hébergement, les intermédiaires et d'autres acteurs doivent être clairement définis pour déterminer qui est le responsable ou le sous-traitant des données dans différents scénarios (modération, systèmes de recommandation, profilage, etc.).
Transparence et obligations d'information : Les exigences de transparence du DSA (explication des algorithmes, critères de modération, obligations de reporting) doivent être coordonnées avec les droits à l'information du RGPD (finalité, accès, conservation).
L'EDPB souligne la nécessité d'une coopération plus étroite entre les coordinateurs de services numériques, la Commission européenne et les autorités de protection des données pour garantir la certitude juridique pour les entreprises et renforcer la protection des droits des utilisateurs.
Pourquoi cela importe
Les entreprises ne peuvent pas supposer qu'une conformité à un cadre assure la conformité à l'autre. Au contraire, les deux doivent être conciliés par une gouvernance, une gestion des risques et une communication avec les utilisateurs cohérentes. Ce défi de double conformité augmente les enjeux pour les plateformes, qui sont soumises à une surveillance non seulement des autorités de protection des données, mais aussi des régulateurs de services numériques.
La CNIL et Inria renforcent leur partenariat sur la protection des données et l'évaluation des algorithmes
La CNIL (Commission nationale de l'informatique et des libertés) et Inria (Institut national de recherche en sciences et technologies du numérique) ont signé un accord de coopération renouvelé pour approfondir les efforts conjoints en matière de protection des données, de vie privée et d'évaluation des algorithmes.
Le partenariat s'appuie sur plus de dix ans de collaboration, mais s'aligne désormais plus étroitement sur les défis réglementaires et technologiques évolutifs en Europe, notamment ceux posés par l'intelligence artificielle.
Ensemble, la CNIL et Inria coordonneront des recherches, produiront des outils et des orientations partagés, organiseront des formations et des actions publiques, et co-dirigeront des travaux doctoraux et postdoctoraux.
Un axe de travail sera l'Institut national pour l’évaluation et la sécurité de l’intelligence artificielle (INESIA), avec des partenaires tels que l'ANSSI et d'autres.
La Commission propose des lignes directrices et un modèle pour les incidents graves d'IA et lance une consultation
La Commission européenne a publié un projet de document de lignes directrices et un modèle de reportage pour les incidents graves impliquant des systèmes d'IA dans le cadre de la Loi sur l'IA, et recherche des contributions via une consultation publique.
Les lignes directrices clarifient quand un événement doit être signalé comme un « incident grave », quelles informations doivent être incluses et comment le processus de signalement doit fonctionner. Le modèle vise à harmoniser le format et le niveau de détail entre les États membres pour garantir un traitement et une supervision cohérents des incidents.
L'initiative souligne l'effort de la Commission pour donner une clarté opérationnelle aux obligations de la Loi sur l'IA en matière de signalement et de surveillance des incidents. La consultation est ouverte jusqu'à une date limite spécifiée.
La cour autrichienne clarifie l'article 22 du RGPD dans le cas de l'algorithme AMAS
Le Tribunal administratif fédéral autrichien a annulé une interdiction de l'algorithme AMAS, utilisé par le service public de l'emploi en Autriche (AMS) pour évaluer les perspectives de marché du travail des demandeurs d'emploi.
Le tribunal a trouvé une base légale valide dans la Loi sur le service de l'emploi, qui spécifie quelles données peuvent être traitées et dans quel but, répondant ainsi aux exigences des articles 6 et 9 du RGPD.
Il est crucial que les juges aient déclaré que l'AMAS ne constituait pas une prise de décision automatisée interdite au sens de l'article 22 du RGPD :
- Le tribunal a établi une claire distinction par rapport au jugement SCHUFA (C-634/21) de la CJUE. Il a reconnu que l'AMAS réalise du profilage et que sa catégorisation constitue une forme de « décision ».
- Cependant, l'article 22 ne s'applique que lorsque des décisions sont prises uniquement par des moyens automatisés et ont des effets juridiques ou d'une importance similaire.
- Dans ce cas, les conseillers de l'AMS ont joué un rôle substantiel plutôt qu'un rôle purement formel. Ils devaient examiner et discuter les résultats algorithmiques avec les demandeurs d'emploi, prendre en compte des circonstances personnelles supplémentaires, corriger le résultat de l'algorithme si nécessaire et finalement faire la classification finale eux-mêmes.
La Loi sur les données entre en vigueur
Le 12 septembre 2025, la Loi sur les données de l'UE (Règlement 2023/2854) passe d'un cadre futur à la réalité. Bien qu'elle soit entrée en vigueur en janvier 2024, les obligations réglementaires deviennent désormais opérationnelles et applicables.
En vertu de la Loi sur les données, toutes les données générées par un produit connecté ou un service associé doivent être accessibles par l'utilisateur. L'accès doit être rapide, gratuit, dans des formats structurés et lisibles par machine, et en temps réel lorsque cela est techniquement possible.
Le nouveau règlement comprend également des obligations de transparence contractuelle : les vendeurs ou locataires de produits connectés doivent informer les utilisateurs — avant le contrat — des données qui seront générées, comment elles seront stockées, et quand et comment elles peuvent être accédées. Dans les contextes B2B et B2G, le partage de données doit se faire dans des conditions équitables, raisonnables et non discriminatoires.
De plus, la Loi sur les données inclut des règles pour promouvoir la concurrence via le changement de cloud : les fournisseurs doivent supprimer les barrières techniques et contractuelles. À partir du 12 janvier 2027, les frais de migration ne seront plus autorisés, et avant cette date, tous les frais doivent être limités aux coûts internes du fournisseur.
👉 Pour plus d'informations, lisez notre article ici.
La CNIL sanctionne La Samaritaine pour des caméras cachées dans les zones des employés
Le 18 septembre 2025, la CNIL a imposé une amende de 100 000 euros à Samaritaine SAS pour avoir installé des caméras de surveillance dissimulées dans deux salles de stockage de son magasin. Les caméras avaient l'apparence de détecteurs de fumée et enregistraient de l'audio, espionnant effectivement le personnel. L'appareil a été installé en août 2023, découvert par des employés, puis retiré en septembre 2023.
Constatations et violations clés
Samaritaine n'a effectué aucune analyse préalable de la compatibilité avec le RGPD ni documenté le caractère exceptionnel des caméras cachées.
Les caméras n'étaient pas déclarées dans le registre de traitements ni dans les évaluations d'impact, et le DPO n'a été informé qu'après installation.
L'enregistrement audio a été jugé excessif, en violation du principe de minimisation des données (article 5.1(c) du RGPD).
La CNIL a souligné que l'utilisation de caméras cachées sur le lieu de travail n'est permise que sous des conditions strictes : utilisation temporaire, transparence lorsque cela est possible, justification préalable, mesures de sauvegarde documentées et respect de la vie privée des employés.
Leçons pour les entreprises
Cette sanction souligne que même dans des contextes difficiles (par exemple, la lutte contre le vol), la surveillance doit être strictement justifiée, documentée et proportionnée. La surveillance cachée sans procédure adéquate ou information préalable des employés risque des conséquences réglementaires graves.
👉 Pour plus d'informations, lisez la délibération ici.
Disney va payer 10 millions de dollars pour régler des allégations de la FTC concernant les données des enfants
Disney a accepté un règlement de 10 millions de dollars avec la Federal Trade Commission (FTC) des États-Unis sur des allégations selon lesquelles l'entreprise a permis la collecte illégale de données personnelles d'enfants.
La FTC a allégué des violations de la Children’s Online Privacy Protection Act (COPPA) concernant les données collectées dans les applications mobiles Kids Mode de Disney.
Selon la plainte, Disney a collecté des identifiants persistants et d'autres données personnelles d'enfants sans consentement valable et les a utilisées pour la publicité comportementale. Le règlement exige que Disney supprime les données mal collectées, maintienne un programme de conformité, et se soumette à des audits de confidentialité par des tiers pour les 20 prochaines années.