Les dernières actualités clés en données personnelles – Décembre 2025

Union Européenne

Digital Omnibus 2025 : la Commission présente un plan de simplification du droit numérique européen

Le 19 novembre 2025, la Commission européenne a présenté son Digital Omnibus, un vaste paquet législatif qui réforme simultanément plusieurs textes en vigueur, tels que le RGPD, l’AI Act, la directive ePrivacy, le DGA, ainsi que les règlements NIS 2 et DORA. Celui-ci comprend un train de mesures visant à simplifier et harmoniser les règles européennes en matière d’intelligence artificielle, de cybersécurité et de données.

Parmi les changements notables figurent le report à 2027 des obligations de l’AI Act pour les systèmes d’IA à haut risque, la révision de la définition de la donnée personnelle, assortie d’une clarification du régime applicable aux données pseudonymisées, lesquelles peuvent, dans certaines circonstances être exclues du champ d’application du RGPD, et la création d’une base juridique permettant, lorsque nécessaire, le traitement de données sensibles pour détecter et corriger les biais des modèles d’IA.

Le texte introduit également la simplification du consentement aux cookies et un guichet unique de notification des incidents de cybersécurité, afin d’éviter la multiplication des démarches auprès des autorités nationales.

Le texte doit désormais passer entre les mains du Parlement européen et du Conseil de l’Union Européen.

Pour plus d’informations : Communiqué de presse de la Commission

Publication du Code de Conduite pour les modèles d’IA à usage général

Le 10 juillet 2025, la Commission européenne a publié le Code de bonnes pratiques de l’IA à usage général (GPAI). Ce cadre, volontaire, offre aux fournisseurs d’IA signataires un outil pour démontrer leur conformité aux nouvelles obligations de le Règlement IA. Les acteurs qui choisissent de ne pas y adhérer devront démontrer leur respect des obligations par d’autres moyens.

Le Code repose sur trois thématiques : transparence, droit d’auteur et sécurité et sûreté (cette dernière ne visant que les modèles à risque systémique). Pour chacune de ces thématiques, le Code définit des engagements précis et les mesures pratiques correspondantes.

Ce code est complété par :

• des lignes directrices publiées le 18 juillet 2025, qui clarifient plusieurs concepts clés relatifs aux GPAI et aident à la mise en œuvre de le Règlement IA ;
• un modèle de résumé public des données d’entraînement publié le 24 juillet 2025, destiné à documenter et rendre accessible l’origine et la nature des données utilisées pour entraîner les modèles GPAI.

Pour plus d’informations :

• Le code de bonnes pratiques de l’IA à usage général est désormais disponible

• Lignes directrices sur la portée des obligations incombant aux fournisseurs de modèles d’IA à usage général en vertu de la législation sur l’IA

• Avis explicatif et modèle pour le résumé public du contenu de la formation pour les modèles d'IA à usage général

Entrée en application du Règlement IA : nouvelles obligations depuis août 2025

Le 2 août dernier, le chapitre V du Règlement IA est entré en vigueur pour les modèles d’intelligences artificielles à usage général (GPAI).

Désormais, les fournisseurs de modèles GPAI mis sur le marché après cette date doivent respecter plusieurs obligations essentielles, parmi lesquelles l’élaboration et la mise à jour d’une documentation technique complète, la publication d’un résumé des données d’entraînement et la mise en œuvre d’une politique de respect du droit d’auteur.

Des obligations supplémentaires sont prévues pour les modèles GPAI à risque systémique.

Règlement IA : les autorités compétentes en France

Le 9 septembre, la DGE et la DGCCRF ont présenté le projet de gouvernance pour appliquer le Règlement européen sur l’intelligence artificielle (Règlement IA). La France opte pour une gouvernance partagée, pilotée par la DGE et la DGCCRF, avec l’appui de régulateurs sectoriels :

• CNIL : supervision des usages sensibles (notation sociale, biométrie, reconnaissance faciale, IA prédictive, émotions).
• DGCCRF : protection des consommateurs, encadrement de la formation, lutte contre les pratiques trompeuses, coordination et point de contact unique avec l’Europe.
• ARCOM : surveillance des manipulations, techniques subliminales et contenus de synthèse (deepfakes).
• ACPR : contrôle de l’IA dans le crédit et l’assurance.
• Institutions judiciaires : encadrement des usages dans la sphère judiciaire.
• Hauts fonctionnaires de défense : supervision des applications dans les infrastructures critiques.

Un socle technique (PEReN et ANSSI) fournira outils et expertise en IA et cybersécurité. Ce projet doit encore être validé par le Parlement.

Pour plus d’informations :

• Communiqué de la DGE : Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle
• Communiqué de la DGCCRF : IA : La DGCCRF coordonnera l’action des autorités de surveillance en France

Le Tribunal de l’UE confirme l’adéquation du niveau de protection des données aux États-Unis

Le 3 septembre 2025, le Tribunal général de l’Union européenne a confirmé la validité du nouveau cadre de transfert de données à caractère personnel entre l’Union européenne et les États-Unis, rejetant le recours du député français Philippe Latombe. Les juges ont confirmé l’indépendance de la Data Protection Review Court (DPRC), et sa protection contre toute ingérence, y compris des agences de renseignement américaines. Ils ont aussi jugé que la collecte en vrac de données par les autorités américaines respectait les critères posés par l’arrêt Schrems II, grâce au contrôle a posteriori de la DPRC.

Pour plus d’informations : Arrêt du Tribunal de l’Union Européenne (dixième chambre élargie) du 3 septembre 2025, affaire T-553/23

La CJUE affine l’interprétation de la notion de données personnelles dans le cadre des transferts de données pseudonymisées

Le 4 septembre 2025, la Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt précisant la portée de la notion de « données à caractère personnel » dans le contexte d’un transfert de données pseudonymisées à des tiers.

La CJUE a clarifié que les opinions personnelles sont des données personnelles, car elles sont intrinsèquement liées à l'individu, sans nécessiter d'examen supplémentaire.

Elle a également précisé que les données pseudonymisées ne sont pas automatiquement des données personnelles pour toutes les parties, l'identifiabilité dépendant des moyens du destinataire pour ré-identifier l'individu.

Enfin, l’arrêt précise que l'obligation d'informer les personnes concernées s'applique dès la collecte des données, indépendamment de leur statut de données personnelles après pseudonymisation.

Pour plus d’informations : Décision de la Cour de justice du 4 septembre 2025, affaire C-413/23 P, CEPD / CRU

La CJUE donne des précisions sur l'exception au consentement préalable pour la prospection directe par email

Dans une décision du 13 novembre 2025, la CJUE a jugé que l’inscription à une plateforme en ligne donnant accès gratuitement à un service « premium » - incluant un certain nombre de contenus et l’envoi d’une lettre d’information quotidienne - pouvait constituer une « vente d’un service » au sens de l’article 13 de la directive ePrivacy, même sans paiement. Cette qualification est admise dès lors que ce service gratuit fait partie d’un modèle économique global comprenant des contenus payants.

L’inscription impliquant en effet l’acceptation de conditions contractuelles et la newsletter avait un objectif publicitaire consistant à promouvoir l’accès, moyennant paiement, à des contenus supplémentaires proposé par la plateforme.

La Cour estime donc que les deux conditions permettant de déroger au consentement préalable exigé par la Directive ePrivacy sont remplies :

• les coordonnées ont été collectées dans le cadre de la « vente » d’un service ;
• la prospection porte sur un service analogue.

Ainsi, l’adresse email pouvait être utilisée pour de la prospection directe sans consentement distinct, à condition que l’utilisateur ait été clairement informé et dispose d’un droit d’opposition simple et gratuit, dès la collecte et à chaque envoi.

Les emails envoyés dans ce cadre relevaient donc de l’exception prévue par l’article 13(2) ePrivacy, sans qu’il soit nécessaire de répondre aux conditions de licéité du traitement de données de l’article 6 du RGPD.

Pour plus d’informations : Décision de la Cour de justice du 13 novembre 2025, affaire C-654/23

Cookies : la CNIL rappelle les règles et publie ses solutions pour les outils de mesure d'audience

En juillet 2025, la CNIL a rappelé le cadre applicable aux cookies et autres traceurs utilisés pour la mesure d’audience et a publié un outil d’auto-évaluation destiné aux fournisseurs de mesure d’audience exemptée de consentement pour les sites ou applications mobiles.

La CNIL rappelle que, pour bénéficier de l’exemption de consentement prévue à l’article 82 de la loi Informatique et Libertés, les traceurs de mesure d’audience doivent être strictement limités à la production de statistiques anonymes et à l’évaluation des performances d’un site ou d’une application, pour le seul compte de leur éditeur. Ils ne doivent en aucun cas servir à recouper les données avec d’autres traitements, transmettre des informations non anonymes à des tiers, ni permettre le suivi de la navigation d’un utilisateur sur différents sites ou applications via un identifiant commun.

Pour plus d’informations : Cookies : solutions pour les outils de mesure d'audience

750 000 € d’amende pour dépôt de cookies sans consentement : Ce qu’il faut retenir de la décision de la CNIL du 20 novembre 2025

La CNIL a sanctionné Les Publications Condé Nast, éditeur du site Vanityfair.fr, d’une amende de 750 000 € pour manquements à la réglementation sur les cookies, en particulier :

• L’absence de recueil de consentement préalable : des cookies nécessitant le consentement étaient déposés dès l’arrivée sur le site, avant que l’utilisateur n’ait pu exprimer son choix via le bandeau d’information.
• Une information insuffisante : certains cookies étaient présentés comme « strictement nécessaires » sans qu’aucune explication claire sur leurs finalités réelles ne soit fournie aux utilisateurs.
• La défaillance des mécanismes de refus et de retrait du consentement : même après avoir cliqué sur « Tout refuser » ou retiré son consentement, des cookies soumis à consentement continuaient d’être déposés, et ceux déjà présents n’étaient pas supprimés.

Malgré une mise en demeure en 2021 et des contrôles réguliers, l’éditeur n’a pas corrigé ces manquements et n’est pas revenu en conformité.

Cette décision constitue un signal fort de la part de la CNIL : le respect des règles en matière de cookies et de consentement n’est pas facultatif, sous peine de sanctions financières significatives.

Pour plus d’informations : Délibération SAN-2025-010 du 20 novembre 2025

Cadre de prescription compassionnelle : la procédure à suivre pour les traitements concernés

La CNIL a publié une fiche pratique précisant les formalités à accomplir pour les traitements de données réalisés dans le cadre d’une prescription compassionnelle (CPC), impliquant le suivi de patients. Elle distingue deux situations :

• CPC initiés avant le 11 novembre 2022 et renouvelés après cette date : aucune formalité préalable n’est requise auprès de la CNIL, à condition que le traitement soit conforme à un cadre de référence et qu’aucune modification substantielle n’ait été apportée.
• CPC initiés après le 11 novembre 2022 : ces traitements sont soumis à une autorisation préalable de la CNIL, une fois que l’ANSM a rendu sa décision d’autorisation.

Pour plus d’informations : Cadre de prescription compassionnelle : la procédure à suivre pour les traitements concernés

Diversité au travail : les recommandations de la CNIL

La CNIL a publié de nouvelles recommandations encadrant les enquêtes de mesure de la diversité menées en entreprise.

Pour cela, la CNIL rappelle notamment que la participation doit rester volontaire, que l’information des répondants doit être claire et que le consentement doit être libre et éclairé. La CNIL préconise de privilégier les enquêtes anonymes et les questions fermées pour limiter la collecte de données sensibles, ainsi que le recours à un tiers de confiance afin de garantir la confidentialité et d’éviter l’accès direct de l’employeur aux réponses individuelles.

Pour plus d’informations : Recommandation relative au traitement des données à caractère personnel dans le cadre d’enquêtes de mesure de la diversité au travail