Les dernières actualités clés en données personnelles – Mai 2025

Union Européenne

L'Union européenne facilite l'accès aux données de santé avec un nouveau règlement

Le 5 mars 2025, après plus de deux ans et demi de négociations, le règlement relatif à l'Espace Européen des Données de Santé (EHDS) a été officiellement publié au Journal Officiel de l'UE. Ce règlement vise à faciliter l'accès des citoyens à leurs données de santé tout en renforçant leur contrôle sur ces données. Il prévoit également des dispositions encadrant l'utilisation secondaire des données de santé à des fins de recherche et d'innovation. Afin d'accompagner les acteurs concernés, la Commission européenne a publié une FAQ détaillée, expliquant les implications pratiques de cette nouvelle réglementation dont les premières dispositions entreront en application à partir de 2029.

Pour plus d'informations, voir le texte du règlement et la FAQ de la Commission européenne.

Pseudonymisation : Le CEPD clarifie les règles applicables

Le 16 janvier 2025, le Comité Européen de la Protection des Données (CEPD) a publié de nouvelles lignes directrices clarifiant les règles relatives à la pseudonymisation des données. Dans ces lignes directrices, soumises à consultation publique jusqu'au 25 février 2025, le CEPD confirme que les données pseudonymisées demeurent des données à caractère personnel dès lors qu'elles peuvent être rattachées à une personne identifiable à l'aide d'informations supplémentaires. Le CEPD souligne également l'intérêt de la pseudonymisation pour réduire les risques pour les personnes concernées. Enfin, ces lignes directrices décrivent les mesures techniques pour protéger la confidentialité des données et éviter l'identification non autorisée des individus.

Pour consulter ces lignes directrices, voir ici.

Protection des mineurs en ligne : Le CEPD renforce le contrôle de l'âge en ligne  

Le CEPD met l'accent sur la protection des mineurs en ligne, en appelant à un renforcement de la vérification de l'âge sur les services numériques. Il établit dix principes pour un traitement conforme des données à caractère personnel lors de la détermination de l'âge ou de la tranche d'âge d'une personne. L'objectif étant de s'assurer que les mineurs n'accèdent pas à des contenus inappropriés, tout en respectant leur droit à la vie privée.

Pour plus d'informations, voir la déclaration du CEPD.

Droit à l'effacement : Le CEPD lance une action coordonnée

Le 5 mars 2025, le CEPD a annoncé sa quatrième édition de son action coordonnée  (coordinated enforcement framework - CEF) consacrée au droit à l'effacement des données personnelles (« droit à l'oubli »). Dans ce cadre de cette initiative, les 32 autorités de protection des données participant à cette initiative collaboreront pour examiner la manière dont les responsables de traitement traitent les demandes d'effacement et s'assurent du respect des conditions et exceptions à l'exercice de ce droit prévu par le RGPD.

Pour plus d'informations, voir le communiqué du CEPD.

Le projet de Règlement ePrivacy est abandonné

Le 11 février, la Commission européenne a décidé d'abandonner le projet de règlement ePrivacy qui a fait l'objet d'intense négociations depuis 2017. Les sujets relatifs notamment au marketing direct par email ou à l'utilisation des cookies et autres traceurs resteront régies par les lois transposant la Directive ePrivacy de 2002.

Pour plus d'informations, voir l'Annexe n°29 du Commission Work Programme.

Amende pour violation du RGPD : La CJUE précise la notion d'entreprise et son impact sur le calcul des sanctions

La CJUE a précisé la notion d'« entreprise » dans le cadre des amendes pour violation du RGPD. Elle doit être interprétée conformément aux articles 101 et 102 FFUE, comme une entité exerçant une activité économique, indépendamment de son statut juridique, et qui peut être constituée de plusieurs personnes physiques ou morales. Ainsi, les amendes pour violation du RGPD pourront être calculées sur le chiffre d'affaires global du groupe, et non sur celui de la seule société concernée.

Pour plus d'informations, voir la décision.

Monsieur, Madame : La Cour de Justice de l'UE interdit à la SNCF de collecter les données relatives à la civilité des clients

La CJUE a considéré que le traitement de données personnelles relatives à la civilité des clients (Monsieur / Madame) lors de l'achat de billet de train en ligne n'est pas indispensable à l'exécution du contrat, lorsqu'il a pour seule finalité la personnalisation de la communication commerciale de l'entreprise.

Pour plus d'informations, voir la décision.

Profilage et décisions automatisées : La CJUE renforce le droit d'accès des individus sur leurs données

En matière de prise de décision automatisée, La CJUE a précisé que le droit d'accès peut être exercé pour obtenir des informations sur la logique sous-jacente utilisée pour prendre des décisions de manière automatisée, et que le responsable de traitement explique la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d'en obtenir un résultat déterminé.

Pour plus d'informations, voir la décision.

La CNIL annonce ses thèmes de contrôle pour 2025

La CNIL a annoncé concentrer ses investigations pour l'année à venir sur les thèmes suivants :

• Collecte de données par le biais des applications mobiles

• Cybersécurité des collectivités territoriales

• Données traitées par l'administration pénitentiaire

• Droit à l'effacement

Pour en savoir plus, voir le communiqué de la CNIL

La CNIL publie son programme d'accompagnement pour 2025

La CNIL a annoncé de prochaines publications dans le cadre de son programme d'accompagnement pour l'année à venir et notamment :

• De nouvelles fiches pratiques sur le développement et le déploiement de l'IA en conformité avec le RPGD

• La mise à jour de ses référentiels santé

• Un nouveau référentiel à destination des banques sur les conditions d'octroi du crédit

• Des référentiels sur les durées de conservation pour les activités marketing/commerciales et les ressources humaines

• Trois projets de recommandations sur le consentement multi terminaux, les pixels dans les courriers et l'économie des seniors.

Pour en savoir plus, voir le communiqué de la CNIL

Bilan 2024 : La CNIL inflige plus de 55 millions d'euros d'amendes pour violations du RGPD

La CNIL a publié son bilan des sanctions prononcées en 2024 qui se résume de la manière suivante :

• 55,2 millions d'euros d'amendes cumulées
• 87 sanctions (soit le double de 2023) dont 7 en coopération avec ses homologues européens
• 180 mises en demeure et 64 rappels aux obligations légales, sans précédent pour ce type de mesures.
• 331 mesures correctrices au total

Les sanctions récurrentes sont relatives aux thèmes suivants:

• Prospection commerciale abusive (absence de consentement ou transparence insuffisante) ;
• Anonymisation des données de santé
• Défaut de coopération avec la CNIL
• Non-respect de l'exercice des droits (effacement, opposition, accès, ...)
• Manquements à la sécurité des données et au principe de minimisation

Pour plus d'informations, voir Sanctions et mesures correctrices : bilan 2024 de l'action de la CNIL | CNIL

Transferts de données : Nouvelle méthodologie de la CNIL pour l'analyse d'impact

La CNIL propose une nouvelle méthodologie pour identifier les étapes préalables à la réalisation d'une analyse d'impact des transferts de données hors UE et les éléments à prendre en compte lors de sa réalisation (évaluation de la nécessité du transfert, outil juridique adéquat, analyse de la législation du pays destinataire, mesures supplémentaires, etc).

Pour plus d'informations, voir le Guide pratique - Analyse d'impact des transferts de données - Version finale

CNIL- Elaboration de recommandations sur l'utilisation de caméras embarquées (« dashcams ») et la collecte de données de localisation par les véhicules connectés

La CNIL a publié des recommandations sur l'utilisation des dashcams dans les véhicules professionnels, insistant sur la base légale, l'information des salariés, la consultation du CSE, la réalisation d'une AIPD, et le respect des droits des conducteurs.

Pour plus d'informations, voir le communiqué de la CNIL.

La CNIL a complété ces recommandations par un projet de recommandation visant à récapituler les points d'attention et précautions à mettre en œuvre s'agissant de la collecte de données de localisation par les véhicules connectés.

Pour plus d'informations, voir le projet de recommandation de la CNIL

Certification RGPD des sous-traitants: La CNIL lance une consultation pour un nouveau référentiel

Une certification RGPD des sous-traitants sera ouverte à tout organisme qui effectue des traitements de données personnelles pour le compte d'un responsable de traitement et permettra d'attester d'un niveau de conformité conforme aux attentes de la CNIL. Le projet de référentiel de la CNIL sur ce sujet devrait être finalisé dans le courant de l'année.

Pour plus d'informations, voir Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d'évaluation | CNIL

Le moteur de recherche QWANT rappelé à l'ordre sur la pseudonymisation des données

La CNIL a rappelé à l'ordre QWANT après avoir découvert que les données envoyées à MICROSOFT étaient pseudonymisées et non anonymes (comme l'alléguait le moteur de recherche). L'enquête, déclenchée par une plainte en 2019, a révélé que des données techniques, comme les adresses IP tronquées, étaient utilisées pour afficher des publicités contextuelles sans transparence suffisante. Bien que QWANT ait modifié sa politique de confidentialité en 2020 et coopéré avec l'autorité, la CNIL a considéré que ces pratiques nécessitaient un rappel aux obligations légales, sans sanction financière.

Pour plus d'informations, voir le communiqué de la CNIL.

Droit d'accès des salariés à leurs données et aux courriels professionnels : la problématique des demandes portant sur un grand nombre de courriels

Les salariés peuvent demander à leur employeur l'accès aux données personnelles les concernant, y compris celles contenues dans les courriels professionnels. Toutefois, les demandes portant sur un grand volume de courriels posent des difficultés pratiques en raison du tri et du traitement nécessaires. Pour concilier ce droit avec les contraintes des employeurs, la CNIL recommande plusieurs mesures :

• Fournir un tableau récapitulatif des courriels impliquant le demandeur. Si certains messages ne peuvent être communiqués, l'employeur doit être en mesure de justifier son choix.

• Inviter le demandeur à préciser sa demande pour faciliter le traitement lorsqu'il représente une charge importante.

• Communiquer les données demandées, après ajustement éventuel de la demande.

Pour plus d'informations, voir le communiqué de la CNIL.

La CNIL met à jour ses Tables informatique et libertés

Les Tables, publiées initialement en décembre 2023, offrent un aperçu des positions doctrinales de la CNIL et des juridictions européennes et nationales sur les sujets traitant à la protection des données personnelles. Organisées selon un plan thématique en neuf chapitres, elles couvrent les principes du RGPD, les obligations des responsables de traitement et aux sous-traitants, les droits des personnes, les transferts, les règles spéciales et les applications du RGPD selon les secteurs d'activité, les actes administratifs encadrant les traitements publics, les règles applicables aux décisions de la CNIL, et la coopération européenne.

Pour plus d'informations, voir les Tables Informatique & Libertés.

La CNIL publie ses statistiques pour 2024 sur les demandes d'autorisation en santé

La CNIL annonce que 65% de ses demandes d'autorisation en santé ont été accordées depuis 2024 dans un délai moyen d'environ 65 jours. Elle encourage les acteurs à bien étudier en amont la nécessité d'effectuer une demande d'autorisation, notamment compte-tenu des référentiels et méthodologies de référence existants, et de documenter les points de non-conformité pour faciliter la revue de la demande

Pour plus d'information, voir le communiqué de la CNIL

Europe

Lignes directrices sur les systèmes d'IA et IA prohibées

Suite à l'entrée en vigueur le 2 février dernier des premiers chapitres du Règlement sur l'Intelligence Artificielle (IA), la Commission européenne a publié des lignes directives sur (i) la définition des systèmes d'IA et (ii) les pratiques interdites en matière d'IA. Ces recommandations, bien que non contraignantes, visent à clarifier l'interprétation des interdictions prévues par le règlement.

Pour plus d'informations, voir le communiqué de la Commission.

Le projet d'AI Liability Directive est abandonné

Le 11 février, la Commission européenne a décidé d'abandonner le projet d'AI Liability Directive qu'elle avait proposée en 2022 et qui avait pour objectif d'assurer les personnes lésées par les systèmes d'IA au même niveau que si les dommages avaient été causés par une autre technologie.

Pour plus d'informations, voir l'Annexe n°29 du Commission Work Programme.

Guide de bonnes pratiques en matière de formation IA

Le Bureau de l'IA de l'UE a publié un référentiel de bonnes pratiques destiné à assurer un niveau suffisant maîtrise de l'intelligence artificielle ainsi que requis par l'article 4 du Règlement sur l'Intelligence Artificielle. Ce guide recense des exemples de pratiques existantes afin de sensibiliser le personnel aux enjeux et risques liés à l'utilisation de l'IA.

Pour plus d'informations, voir le communiqué du bureau de l'IA de l'UE.

France

La CNIL publie deux nouvelles recommandations pour encadrer l'IA et le RGPD

Dans le cadre de son plan d'action sur l'IA lancé en mai 2023, la CNIL publie deux recommandations visant à clarifier l'application du RGPD aux systèmes d'IA. Elles rappellent l'obligation d'informer les personnes lorsque leurs données sont utilisées pour entraîner un modèle d'IA et soulignent que la réglementation européenne garantit leurs droits d'accès, de rectification, d'opposition et d'effacement des données personnelles.

Pour plus d'information, voir le communiqué de la CNIL.