L'équipe Data Protection & Privacy de Simmons est ravie de partager avec vous le dernier numéro de notre newsletter Data dans lequel vous retrouverez un aperçu de l’actualité marquante du moment en matière de protection des données personnelles.
Celle-ci a pour objectif de vous présenter en quelques lignes les évolutions les plus récentes de la pratique, susceptibles d’impacter vos activités.
Notre équipe d'avocats se tient à votre disposition si vous souhaitez échanger plus longuement sur les sujets abordés dans cette newsletter.
Bonne lecture
Comité européen de la protection des données (CEPD)
Digital Omnibus : le CEPD et l’EDPS saluent la simplification mais alertent sur des risques majeurs
Le 12 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint sur la proposition de règlement « Digital Omnibus » de la Commission Européenne, qui vise à simplifier le cadre réglementaire numérique européen, dont le RGPD, la directive ePrivacy et le Data Act, et à renforcer la compétitivité.
Les deux autorités saluent l'allègement des obligations de notification des violations de données, l'harmonisation de la notion de « recherche scientifique » et la simplification des exigences d'information, notamment pour les PME.
Elles expriment toutefois de fortes préoccupations. Elles estiment notamment que la nouvelle définition proposée des données personnelles est trop restrictive et risquerait, en pratique, de réduire le niveau de protection des individus en limitant le champ d'application du RGPD. Elles expriment également de fortes réserves à ce que la Commission européenne puisse préciser, par acte d'exécution, les moyens et critères permettant de déterminer si les données issues d'une pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités. Enfin, elles recommandent de clarifier les règles sur la prise de décision automatisée et rappellent le rôle central des autorités de protection des données dans l'interprétation et l'application du droit européen.
Pour plus d'informations : cliquez ici.
Transferts de données UE-US : Le CEPD met à jour sa FAQ sur le Data Privacy Framework : quels changements pour les entreprises et les individus ?
Le 15 janvier 2026, le CEPD a publié la version 2.0 de sa FAQ sur le Data Privacy Framework (DPF). Elle remplace la version 1.0 de juillet 2024 et renforce l'information des personnes dont les données sont transférées de l'Espace Economique Européen vers des entreprises américaines certifiées.
En cas de litige, la version 2.0 de 2026 structure le parcours de réclamation. Elle recommande de contacter en premier lieu l'entreprise certifiée. Les entreprises doivent répondre aux plaintes dans un délai de 45 jours. Si la réponse n'est pas satisfaisante, il est possible de saisir l'autorité nationale de protection des données du pays de résidence, de travail ou d'origine du transfert. Plusieurs voies de recours sont prévues selon la nature des données : un mécanisme indépendant de résolution des litiges, et, pour certains cas (notamment les données RH), l'intervention d'un panel informel d'autorités de protection des données européennes.
La FAQ précise également les modalités de traitement des plaintes par les autorités de protection des données, qui peuvent soit instruire la plainte, soit la transmettre aux autorités américaines compétentes. Des procédures spécifiques existent pour les accès aux données par les autorités américaines de sécurité nationale.
Pour plus d'informations : cliquez ici.
Commission Nationale de l’Informatique et des Libertés (CNIL)
Sécurité des données : sanction de 1,7 million d'euros contre NEXPUBLICA France
Le 22 décembre 2025, la CNIL a sanctionné l'éditeur de logiciels NEXPUBLICA FRANCE à hauteur de 1 700 000 euros pour des mesures de sécurité insuffisantes mises en œuvre dans son progiciel PCRM, utilisé notamment par des maisons départementales pour les personnes handicapées (MDPH). Fin 2022, des usagers avaient signalé pouvoir accéder à des documents concernant des tiers, entraînant la notification de violations de données par une MDPH et déclenchant une série de contrôles de la CNIL.
Sur le fondement de l'article 32 du RGPD, la formation restreinte a relevé une faiblesse généralisée du système d'information : les vulnérabilités constatées traduisaient une méconnaissance de l'état de l'art et de principes élémentaires de sécurité et étaient pourtant déjà identifiées dans plusieurs rapports d'audit.
Les correctifs n'ayant été apportés qu'après les violations, et compte tenu de la sensibilité des données traitées (notamment relatives au handicap) ainsi que de l'activité même de NEXPUBLICA FRANCE (conseil en systèmes et logiciels informatiques), ces éléments ont été retenus comme aggravants.
Aucune injonction n'a toutefois été prononcée, la société s'étant depuis mise en conformité.
Pour plus d'informations, cliquez ici.
CNIL : Sanction record de 42 millions d'euros contre Free MOBILE et FREE
Le 8 janvier 2026, la CNIL a prononcé deux sanctions d'un montant total de 42 millions d'euros à l'encontre des sociétés FREE MOBILE (27 millions) et FREE (15 millions), à la suite d'une attaque survenue en octobre 2024 ayant permis l'accès à des données relatives à 24 millions de contrats d'abonnés, incluant notamment des IBAN pour les clients des deux entités.
La formation restreinte a retenu plusieurs griefs :
Un défaut de sécurité (article 32 RGPD) : Les mesures de sécurité en place étaient jugées inadaptées au regard du volume et de la nature des données traitées. En particulier, la procédure d'authentification pour l'accès au VPN n'était pas suffisamment robuste et les dispositifs de détection des activités suspectes étaient inefficaces.
Une information insuffisante des personnes concernées (article 34 RGPD) : Si les sociétés ont informé leurs abonnés par email et mis en place un numéro vert, la CNIL a estimé que les communications ne comportaient pas toutes les informations requises. Pour l'autorité, les messages manquaient de clarté sur les conséquences réelles du vol des IBAN et sur les mesures concrètes que les clients devaient prendre pour se protéger contre la fraude.
Conservation excessive des données (article 5-1-e RGPD) : FREE MOBILE n'avait pas mis en place de tri des données des anciens abonnés, conservant des millions de données sans justification pendant une durée excessive. Des mesures correctives ont été engagées en cours de procédure, mais la CNIL a exigé la finalisation du tri et de la purge sous six mois.
Pour plus d'informations : cliquez ici et ici.
Sanction CNIL : Sanction de 5 millions d'euros contre France Travail
Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d'une amende de 5 millions d'euros pour ne pas avoir suffisamment sécurisé les données des personnes en recherche d'emploi.
Au premier trimestre 2024, une attaque par « ingénierie sociale » a permis l'usurpation de comptes de conseillers CAP EMPLOI et l'accès aux données d'identité de l'ensemble des personnes inscrites (ou l'ayant été au cours des 20 dernières années), ainsi que des titulaires d'un espace candidat sur francetravail.fr (numéro de sécurité sociale, coordonnées postales, électroniques et téléphoniques). Les dossiers complets, incluant des données de santé, n'ont toutefois pas été compromis.
La formation restreinte de la CNIL a relevé à ce titre que :
Les modalités d'authentification n'étaient pas suffisamment robustes. Par ailleurs, la journalisation a été jugée inefficace : l'absence d'alertes automatiques sur des comportements de consultation anormaux a empêché une réaction rapide.
Les habilitations d'accès étaient trop larges, permettant un accès excessif aux données puisque les conseillers CAP EMPLOI disposaient de droits d'accès à la base nationale bien au-delà de ce qui était nécessaire à l'exercice de leurs missions locales ou régionales.
FRANCE TRAVAIL avait identifié les mesures de sécurité adéquates dans ses propres analyses d'impact, mais ne les avait pas effectivement déployées au moment des faits.
La CNIL a également enjoint FRANCE TRAVAIL de justifier la mise en place de mesures correctrices selon un calendrier précis, sous peine d'une astreinte de 5 000 euros par jour de retard.
Pour plus d'informations : cliquez ici.
Preuve du consentement en marketing : la CNIL lance une concertation sectorielle
Le 22 janvier 2026, la CNIL a annoncé l'ouverture d'une concertation visant à élaborer une recommandation sur la preuve du consentement dans le secteur du marketing. De nombreux traitements de données personnelles dans ce domaine reposent sur le consentement des personnes concernées, conformément au RGPD, qui exige que ce consentement soit libre, spécifique, clair, éclairé et univoque, et que les acteurs soient en mesure d'en rapporter la preuve.
Pour répondre aux nombreuses questions des professionnels sur la preuve du consentement, la CNIL souhaite clarifier le cadre applicable en associant les parties prenantes afin d'identifier les pratiques existantes et de formuler des orientations adaptées au secteur.
Pour plus d'informations : cliquez ici.
Encadrement des traitements de données sensibles en recherche scientifique publique hors santé : précisions sur la saisine de la CNIL
Le 4 février 2026, la CNIL a précisé les cas dans lesquels un avis de sa part est nécessaire pour réaliser une recherche scientifique publique (hors domaine de la santé) impliquant des données sensibles. Le principe reste inchangé : le RGPD interdit en principe la collecte et l'utilisation de données sensibles, sauf exceptions. La CNIL rappelle toutefois qu'en l'absence d'une autre base légale mobilisable, comme le consentement explicite des personnes concernées, un traitement de telles données peut être envisagé dans le cadre d'une recherche scientifique hors santé, à condition de saisir la CNIL pour avis, sur le fondement de l'article 44.6 de la loi Informatique et Libertés.
Pour que cette saisine soit requise, trois conditions cumulatives doivent être réunies :
Le traitement doit être nécessaire à des fins de recherche scientifique publique (au sens du code de la recherche).
Il doit porter sur des données sensibles (article 9 RGPD).
Il doit être justifié par des motifs d'intérêt public important.
La CNIL apporte aussi des précisions utiles sur la notion de recherche scientifique publique. Elle distingue d'une part un critère organique, lié à la nature de l'organisme qui conduit la recherche (comme une université ou un organisme public de recherche), et d'autre part des critères de fond liés aux objectifs de la recherche (développement et progrès de la recherche, diffusion des connaissances scientifiques, etc.).
Pour plus d'informations : cliquez ici.
Mise en œuvre du droit à l'effacement : bilan des contrôles coordonnés de la CNIL au niveau européen
Le 18 février 2026, la CNIL a publié le bilan de sa campagne de contrôles menée en 2025 sur la mise en œuvre du droit à l'effacement, dans le cadre d'une action coordonnée au niveau européen sous l'égide du CEPD.
Les investigations montrent que, globalement, les responsables de traitement prennent en compte les demandes d'effacement, en s'appuyant sur les exceptions prévues par le RGPD en cas de refus (obligation légale, liberté d'expression, etc.). L'autorité relève également plusieurs bonnes pratiques, notamment la mise en place d'actions de formation pour mieux traiter les demandes des personnes concernées.
Mais ce constat positif est nuancé par des difficultés persistantes. La CNIL pointe encore l'absence de procédures internes adaptées, le manque d'information fournie aux personnes concernées, ainsi que des difficultés à déterminer les durées de conservation ou à supprimer effectivement les données présentes dans les sauvegardes. La taille et le secteur d'activité des organismes influencent le nombre de demandes reçues et le niveau de conformité observé : les grandes structures disposent généralement de procédures plus formalisées, tandis que les structures plus petites apparaissent souvent moins outillées.
Sur le plan répressif, la CNIL indique avoir déjà prononcé deux mises en demeure à l'issue de cette campagne. Les autres contrôles sont encore en cours d'instruction et pourraient aboutir à d'autres mesures correctrices, voire à des amendes administratives, si des manquements sont confirmés ou à l'inverse à la clôture des procédures en l'absence de manquement.
Pour plus d'informations : cliquez ici.
Conseil d’Etat
Sanction CNIL : le Conseil d'État confirme les amendes contre GERS et Cegedim Santé pour traitement illicite de données de santé
Dans une décision du 13 février 2026, le Conseil d'État a confirmé les amendes administratives prononcées par la CNIL à l'encontre de GERS (800 000 euros), Santestat (200 000 euros) et Cegedim Santé (800 000 euros). Les sociétés avaient collecté et exploité des données de santé issues de cabinets médicaux et de pharmacies. Les sociétés soutenaient que ces données étaient pseudonymisées et ne permettaient donc pas d'identifier les personnes. La CNIL avait en effet démontré que la réidentification des personnes restait possible avec des moyens raisonnables, excluant toute anonymisation au sens du RGPD.
Le Conseil d'État a également confirmé que ces traitements de données de santé, sans consentement, nécessitaient une autorisation spécifique selon l'article 66 de la loi Informatique et Libertés. Or, aucune autorisation n'avait été obtenue. Concernant Cegedim Santé, la haute juridiction a en outre validé le grief tiré de la collecte illicite de données via le téléservice Hri, en méconnaissance de l'article 5 du RGPD. Enfin, les juges ont estimé que le montant des sanctions était proportionné, au regard de la gravité des manquements et du volume particulièrement important de données concernées.
Pour plus d'informations : cliquez ici.
Sanction CNIL : le Conseil d'État réduit l'amende contre Amazon France Logistique à 15 millions d'euros
Par une décision du 23 décembre 2025, le Conseil d'État a partiellement annulé la délibération de la CNIL qui avait infligé à Amazon France Logistique une amende administrative de 32 millions d'euros pour divers manquements au RGPD. La CNIL reprochait à Amazon la mise en place de traitements jugés excessifs pour le suivi de l'activité de ses salariés dans ses entrepôts logistiques notamment via les indicateurs « stow machine gun », « idle time » et « temps de latence ». La CNIL avait reproché à la société des manquements à la base légale du traitement, au principe de minimisation, aux obligations d'information et à l'obligation de sécurité.
Le Conseil d'État a toutefois estimé que l'utilisation des indicateurs contestés, dans le cadre de la gestion des stocks et des commandes, ne portait pas une atteinte excessive à la vie privée ou aux conditions de travail des salariés et disposait d'une base légale suffisante. En revanche, il a confirmé le manquement au principe de minimisation des données (article 5 RGPD), Amazon conservant de façon indifférenciée des indicateurs de productivité et de qualité pendant 31 jours sans justification suffisante. D'autres manquements non contestés ont également été retenus, notamment un défaut d'information des intérimaires et des insuffisances dans la sécurisation de la vidéosurveillance.
Le Conseil d'État a jugé la sanction initiale disproportionnée au regard des manquements finalement retenus et a réduit l'amende à 15 millions d'euros. La publication de la décision est maintenue dans les mêmes conditions que celles prévues initialement par la CNIL.
Pour plus d'informations : cliquez ici.
Agence nationale de la sécurité des systèmes d'information (ANSSI)
L'IA générative face aux menaces informatiques : rapport de l'ANSSI
Le 4 février 2026, l'ANSSI (CERT-FR) a publié une analyse sur l'utilisation croissante de l'intelligence artificielle (IA) générative dans les attaques informatiques. Le constat est clair : même si aucune attaque entièrement automatisée par IA n'a, à ce stade, été observée, ces technologies sont déjà exploitées à différentes étapes de la chaîne d'attaque. L'IA générative est d'abord mobilisée pour renforcer les opérations d'ingénierie sociale. Elle permet de produire plus rapidement des contenus de phishing crédibles, de créer de faux profils, de générer des deepfakes ou encore de concevoir de faux sites et messages particulièrement convaincants. Elle peut aussi être utilisée pour faciliter le développement de codes malveillants, pour automatiser l'analyse de données exfiltrées afin d'identifier plus efficacement les informations sensibles.
Le rapport souligne également que les usages diffèrent selon le niveau de sophistication des attaquants : les groupes les plus avancés se servant de l'IA pour industrialiser leurs attaques, tandis que les moins expérimentés y voient un outil d'apprentissage.
Mais l'alerte de l'ANSSI ne porte pas seulement sur l'IA comme outil offensif. Le rapport met aussi en avant que les IA génératives deviennent elles-mêmes des cibles, exposées à des risques d'empoisonnement de modèles, de compromission logicielle (modèles open source infectés) et de fuites de données sensibles, notamment via des comptes compromis ou des usages imprudents en entreprise. Dans ce contexte, l'ANSSI appelle les organisations à adapter les mesures de sécurité et à renforcer la sensibilisation des utilisateurs face à l'augmentation de la surface d'attaque liée à ces nouveaux usages.
Pour plus d'informations : cliquez ici.
_11zon.jpg?crop=300,495&format=webply&auto=webp)
