Actualité RGPD 2026 : sanctions CNIL, EDPB, jurisprudence

12 mai 2026 — Texas attaque Netflix : profilage des mineurs et revente de donnees

Le procureur general du Texas, Ken Paxton, a depose le 11 mai 2026 une action civile contre Netflix devant les juridictions de l'Etat, en l'accusant d'avoir mis en place une 'surveillance machinery' qui suit les habitudes de visionnage, les preferences, les terminaux, les reseaux domestiques et l'usage applicatif des utilisateurs, profils enfants compris. Selon la plainte, Netflix aurait pendant des annees affirme a tort qu'il ne collectait ni ne partageait les donnees personnelles de ses abonnes, alors qu'il aurait revendu les donnees comportementales a des courtiers en donnees et a des acteurs publicitaires, generant des milliards de dollars de revenus annexes. L'action est fondee sur le Texas Deceptive Trade Practices Act et sur le Texas SCOPE Act qui regit la protection des mineurs en ligne. Elle vise une amende civile pouvant atteindre 10 000 USD par violation, la purge des donnees illegalement collectees et l'interdiction de leur reutilisation publicitaire sans consentement. Pour les responsables de traitement etablis en France, le schema reproche presente une grille de lecture quasi-identique a celle du droit europeen : suivi comportemental sans consentement valable, profilage des mineurs et revente aux ecosystemes publicitaires. En droit europeen, le meme dispositif cumulerait des griefs au titre des articles 6 (base legale), 7 (conditions du consentement), 8 (consentement specifique de l'enfant), 22 (profilage) et 25 (privacy by design) du RGPD, et renouvelle le debat sur la legalite des publicites comportementales ciblees sur les mineurs, deja sanctionne par plusieurs autorites europeennes.

Ce que ca change pour vous : si votre organisation exploite ou integre des plateformes de streaming, d'audience video ou de recommandation algorithmique touchant des mineurs, retracez dans le registre des traitements la base legale et le perimetre du profilage, verifiez que le consentement parental requis a l'article 8 du RGPD est documente, et reauditez les flux sortants vers les partenaires adtech au regard des articles 7, 22 et 25 du RGPD. Article 22 RGPD : decision automatisee et profilage — RGPD et consentement : tout ce que vous devez savoir — Cookies et RGPD : guide complet de mise en conformite

11 mai 2026 — App UE de verification d'age : failles confidentialite et version durcie

Le mediaroom InCyber relaie, le 11 mai 2026, les suites de l'annonce du 15 avril 2026 d'Ursula von der Leyen presentant l'application europeenne de verification d'age comme techniquement prete et respectant les normes de confidentialite les plus strictes au monde. Le chercheur en cybersecurite Paul Moore, apres examen du code source publie, a identifie un probleme de confidentialite significatif lie a la maniere dont l'application transmettait certaines donnees au backend. La Commission a publie le 17 avril 2026 une version durcie du prototype, sans toutefois detailler publiquement le perimetre exact des correctifs. L'episode illustre la difficulte de concilier les principes de minimisation et de protection des donnees des la conception inscrits a l'article 25 du RGPD avec la pression politique sur le calendrier de deploiement d'un wallet d'identite et de verification d'age pre-recommande pour les plateformes (article 28 du Digital Services Act). Pour les editeurs francais, le sujet reste a suivre de pres : la CNIL et l'ARCOM ont chacune publie des referentiels techniques nationaux qui devront s'articuler avec l'application europeenne.

Ce que ca change pour vous : si vous prevoyez d'integrer l'application europeenne de verification d'age dans un parcours d'inscription, documentez des aujourd'hui votre analyse privacy by design de l'article 25 du RGPD, conservez la possibilite de basculer vers un autre mecanisme conforme aux referentiels CNIL et ARCOM et fixez par ecrit les garanties de securite attendues du composant tiers au titre de l'article 32 du RGPD. RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL — Article 25 RGPD : protection des donnees des la conception — RGPD et consentement : tout ce que vous devez savoir

11 mai 2026 — TikTok : 16 familles deposent plainte au parquet de Paris contre l'algorithme

Seize familles francaises, regroupees dans le collectif Algos Victima, ont depose le 11 mai 2026 une plainte collective au parquet de Paris contre TikTok (groupe ByteDance) pour abus de faiblesse. Cinq familles invoquent le suicide de leur fille mineure, les autres denoncent des troubles severs du comportement et de l'alimentation associes a l'exposition repetee a des contenus pousses par l'algorithme de recommandation. L'enjeu juridique depasse le droit penal. Sur le terrain RGPD, le dossier rejoint le contentieux deja ouvert par la DPC irlandaise et la CNIL sur l'application de l'article 8 du RGPD (consentement des mineurs de moins de quinze ans en France), de l'article 22 (decision automatisee et profilage applique aux mineurs) et de l'article 35 (AIPD obligatoire pour les systemes de recommandation a grande echelle). Sur le terrain AI Act, l'article 5(1)(b) interdit les techniques manipulatoires exploitant les vulnerabilites liees a l'age, et l'article 27 du Digital Services Act impose une option de recommandation non profilee. La plainte cite egalement les avis du Comite europeen de la protection des donnees sur le marketing addictif et les dark patterns.

Ce que ca change pour vous : si vous exploitez un service en ligne accessible aux mineurs, revisitez votre AIPD pour integrer specifiquement le risque psychosocial des systemes de recommandation, verifiez la conformite du parcours de consentement des moins de quinze ans a l'article 8 du RGPD et documentez l'option de recommandation non profilee exigee par le DSA pour les tres grandes plateformes. Article 22 RGPD : decision automatisee et profilage — RGPD et consentement : tout ce que vous devez savoir — AIPD : guide complet analyse d'impact RGPD (2026)

11 mai 2026 — CNIL : plan d'action sur les lunettes connectees et l'enregistrement de tiers

La CNIL a publie le 11 mai 2026 un appel a la vigilance et un plan d'action consacres aux lunettes connectees. L'autorite francaise pointe le saut d'echelle introduit par ces nouveaux equipements, qui combinent camera frontale, microphones, assistant IA embarque et, dans certains cas, fonctions biometriques ou de reconnaissance d'objets en temps reel. La CNIL identifie trois risques majeurs : captation continue d'images et de sons de tiers sans leur information, traitement potentiellement biometrique au sens de l'article 9 du RGPD, et envoi des contenus captures vers des modeles d'IA generative tiers, generalement hors UE. L'autorite rappelle que le porteur peut etre, selon les cas, responsable du traitement (usage professionnel ou diffusion) ou personne physique relevant de l'exception domestique de l'article 2(2)(c) du RGPD, mais que cette exception ne couvre ni le partage en ligne ni l'usage en entreprise. La CNIL annonce des travaux normatifs sur l'information des tiers (signaux visibles, codes d'usage), un cadrage des AIPD applicables (art. 35 RGPD) et une articulation avec l'AI Act pour les fonctions IA temps reel.

Ce que ca change pour vous : avant tout deploiement professionnel de lunettes connectees (terrain, maintenance, formation, sante), documentez une AIPD des l'article 35 du RGPD, cartographiez les flux vers les fournisseurs d'IA generative, prevoyez un dispositif d'information visible des personnes filmees et inscrivez ces traitements au registre des activites avec une base legale solide (interet legitime ou mission d'interet public selon le cas). Article 35 RGPD : quand et comment realiser une AIPD — AIPD : guide complet analyse d'impact RGPD (2026) — IA et videosurveillance : cadre RGPD et AI Act

11 mai 2026 — Espagne : l'AEPD se declare incompetente pour sanctionner OpenAI

Confilegal rapporte, le 11 mai 2026, que l'Agence espagnole de protection des donnees (AEPD) a archive l'enquete d'office ouverte contre OpenAI au titre du traitement de donnees personnelles realise via ChatGPT en Espagne. Le motif invoque tient au mecanisme de guichet unique de l'article 56 du RGPD et au changement d'organisation interne d'OpenAI : depuis fevrier 2024, c'est OpenAI Ireland Limited qui est designee responsable du traitement des donnees des utilisateurs etablis dans l'Espace economique europeen et en Suisse. L'etablissement principal au sens de l'article 4(16) du RGPD se trouve donc desormais en Irlande, ce qui transfere la competence de chef de file a la Data Protection Commission (DPC) irlandaise. L'AEPD perd ainsi le pouvoir de prononcer une sanction pecuniaire propre et devra cooperer dans le cadre de la procedure de controle conjointe prevue a l'article 60 du RGPD si la DPC ouvre une procedure. Cette decision rejoint le schema deja observe pour Meta, Google ou TikTok et confirme la centralisation, parfois critiquee, du contentieux IA generative en Irlande. Pour les responsables de traitement etablis en France ou en Espagne qui s'appuient sur ChatGPT, la lecture est double : leur interlocuteur en cas de plainte transfrontaliere reste leur autorite nationale (en France, la CNIL), mais la decision de fond sera rendue, in fine, par la DPC, sous controle du Comite europeen de la protection des donnees (EDPB).

Ce que ca change pour vous : verifiez dans votre registre des traitements quel etablissement de l'editeur de l'outil IA generative que vous utilisez est designe responsable du traitement, et adaptez l'information donnee aux personnes (art. 13 RGPD) ainsi que la cartographie de l'autorite de controle competente, car le basculement vers une autorite chef de file en Irlande change l'interlocuteur en cas de plainte transfrontaliere. IA et RGPD : les regles applicables au traitement par intelligence artificielle — Article 77 RGPD : porter reclamation aupres de la CNIL — Le responsable de traitement : role et obligations

10 mai 2026 — Pays-Bas : 100 M EUR contre Yango pour transferts de donnees vers la Russie

L'Autoriteit Persoonsgegevens (AP), autorite neerlandaise de protection des donnees, a annonce le 8 mai 2026 une sanction de 100 millions d'euros contre MLU B.V., societe etablie aux Pays-Bas qui edite la version europeenne de l'application de VTC Yango. L'AP, qui a mene son enquete avec ses homologues norvegienne (Datatilsynet) et finlandaise (Tietosuojavaltuutettu) depuis fin 2023, retient que MLU a transfere vers des serveurs situes en Russie des donnees personnelles de chauffeurs et de passagers norvegiens et finlandais : scans de permis de conduire, adresses domiciliaires, coordonnees, numeros de compte bancaire, geolocalisation precise, donnees de course, photos, conversations in-app et numeros d'identite. Selon l'AP, ces transferts ont eu lieu sans garanties appropriees au sens des articles 44 a 49 du RGPD : la Russie n'est pas couverte par une decision d'adequation, ne dispose d'aucune autorite de controle independante et le gouvernement russe peut acceder aux donnees stockees sur son territoire. Le president de l'AP, Aleid Wolfsen, souligne que les exigences de protection des transferts hors UE sont d'autant plus strictes lorsque le pays tiers ne presente pas de garanties structurelles equivalentes a celles du RGPD. MLU doit cesser immediatement les transferts vers la Russie et a annonce qu'il fera appel ; il soutient que les donnees sont stockees pseudonymisees et chiffrees au sein de l'UE. L'enquete s'inscrit dans la lignee de l'arret Schrems II et illustre le durcissement coordonne des autorites europeennes sur les transferts vers des pays tiers a haut risque.

Ce que ca change pour vous : si votre activite implique un transfert de donnees personnelles vers un pays tiers non couvert par une decision d'adequation, documentez la base de transfert retenue (clauses contractuelles types de l'article 46, regles d'entreprise contraignantes, ou derogations ciblees de l'article 49), realisez une transfer impact assessment (TIA) recente et verifiez qu'aucune donnee sensible (geolocalisation precise, identifiants officiels, donnees bancaires) n'est exposee a un acces gouvernemental sans garanties effectives. Article 44 RGPD : le principe general des transferts — Article 46 RGPD : les garanties appropriees decryptees — Transfert donnees hors UE : mecanismes RGPD

6 mai 2026 — AEPD : 30 931 reclamations en 2025 (+64 %), 48 M EUR de sanctions

L'Agence espagnole de protection des donnees (AEPD) a publie le 6 mai 2026 sa memoire d'activite 2025, qui enregistre 30 931 reclamations, plus haut historique de l'autorite et progression de 64 % par rapport a 2024. Le montant des sanctions atteint 48 108 765 EUR. Les procedures liees a des violations de donnees (brechas) bondissent de 157 % (de 30 a 77 dossiers traites) et concentrent pres de 19,8 M EUR d'amendes, soit 40 % du total. Deux tiers des sanctions se concentrent sur trois categories : services Internet ; commerce, transport et hospitalite ; et failles de securite. Le nombre de DPO declares passe de 119 803 a 126 176. L'AEPD annonce un recentrage de son enforcement sur l'administration publique, ou les reclamations augmentent fortement, et confirme l'attente d'un nouvel afflux de dossiers lies aux usages de l'intelligence artificielle. Lorenzo Cotino, professeur a l'Universite de Valence et membre de son conseil consultatif, juge necessaire un renforcement des effectifs de l'AEPD de l'ordre de 40 %. Pour les responsables de traitement etablis en Espagne ou y operant, le signal opera-tionnel est clair : la securite des traitements (art. 32 RGPD), la procedure de notification de violation (art. 33-34 RGPD) et la qualite de la reponse aux reclamations (art. 77 RGPD) sont les axes de controle prioritaires, sous menace de sanctions lourdes (art. 83 RGPD). Le diagnostic compara-tif avec la France est interessant : la CNIL a, sur 2024, prononce 87 sanctions pour 55 M EUR ; l'AEPD se rapproche de ce niveau tout en demeurant sur un volume de plaintes nettement superieur.

Ce que ca change pour vous : revisitez votre dispositif de securite (chiffrement, gestion des acces, journalisation) sous l'angle de l'article 32 du RGPD, et industrialisez la chaine de notification des violations sous 72 heures (art. 33) ; documentez chaque reponse aux reclamations RGPD comme si elle pouvait etre relue par une autorite de controle, car la majorite des sanctions AEPD 2025 trouvent leur origine dans une plainte d'utilisateur. CNIL : role, pouvoirs et obligations entreprises (2026) — Notification violation donnees CNIL : procedure 72h — Article 33 RGPD : notifier une violation a la CNIL

6 mai 2026 — Canada : 4 autorites concluent qu'OpenAI a viole la loi sur la vie privee

Le Commissariat a la protection de la vie privee du Canada (CPVP), la Commission d'acces a l'information du Quebec (CAI), le Commissariat a l'information et a la protection de la vie privee de la Colombie-Britannique (OIPC C.-B.) et celui de l'Alberta (OIPC AB) ont publie le 6 mai 2026 leurs conclusions LPRPDE no 2026-002, fruit d'une enquete conjointe ouverte en mai 2023 sur OpenAI OpCo, LLC. Selon le rapport, la collecte initiale de renseignements personnels sur Internet et aupres de tiers, ainsi que l'echelle et la nature des donnees utilisees pour entrainer GPT-3.5 et GPT-4, etaient trop larges et donc inappropriees au sens des lois federale et provinciales applicables. Le CPVP, l'OIPC AB et l'OIPC C.-B. ont en outre conclu qu'OpenAI aurait du obtenir un consentement expres pour reutiliser les interactions des utilisateurs avec ChatGPT a des fins d'entrainement de modele. OpenAI a accepte de mettre en oeuvre des engagements correctifs et fournira des rapports trimestriels au CPVP et a ses partenaires provinciaux jusqu'a completion. La presse francophone (Le Devoir, La Presse, Radio-Canada, Mon Carnet) souligne qu'aucune sanction pecuniaire n'est prononcee, le CPVP ne disposant pas, contrairement a la CNIL, du pouvoir d'imposer des amendes administratives. Cette decision rejoint l'analyse engagee par la Garante italienne (avril 2024) et reprise par les autorites europeennes : pour les responsables de traitement etablis dans l'UE qui s'appuient sur ChatGPT ou qui developpent des modeles equivalents, la qualification de la base legale de l'article 6 RGPD et le respect des obligations d'information des articles 13 et 14 RGPD restent les points de fragilite identifies.

Ce que ca change pour vous : si vous integrez ChatGPT ou un LLM equivalent dans vos traitements, documentez la base legale retenue (art. 6 RGPD), les mesures pour ne pas reverser de donnees personnelles aux conversations d'entrainement (parametrage entreprise, opt-out), et l'information fournie aux personnes concernees (art. 13-14 RGPD) ; si vous developpez un modele, anticipez la demonstration que la collecte de donnees d'entrainement est proportionnee et qu'un consentement expres est recueilli lorsque les interactions utilisateurs sont reutilisees. IA et RGPD : les regles applicables au traitement par intelligence artificielle — RGPD et consentement : tout ce que vous devez savoir — Base legale RGPD : les 6 fondements juridiques

8 mai 2026 — Pays-Bas : le parquet fait fermer Motherless, signal pour les hebergeurs UE

Le 8 mai 2026, le ministere public neerlandais (Openbaar Ministerie, OM) a annonce le retrait d'internet du site pornographique Motherless, heberge depuis 2024 par le prestataire Nforce a Steenbergen (Brabant-Septentrional), indiquent CNN et DutchNews.nl le meme jour. La decision intervient apres l'enquete de CNN publiee fin mars 2026, puis le travail du diffuseur public NOS et de l'emission Nieuwsuur, qui ont documente la presence, parmi les videos en page d'accueil, de contenus de violences sexuelles, d'agressions facilitees par drogues et — pour 25 des 142 signalements adresses en 2026 par le bureau Offlimits — d'images impliquant des mineurs. Le parquet de Zeeland-Brabant occidental a ouvert une enquete penale prealable. Selon l'analyse NOS relayee par DutchNews.nl, le site enregistrait environ 62 millions de visiteurs par mois et 20 000 videos en page d'accueil pour la seule premiere semaine de mai 2026. Pour les responsables de traitement etablis dans l'Union, le signal est double sur le terrain RGPD : l'article 9 prohibe en principe le traitement de donnees concernant la vie sexuelle et l'orientation sexuelle, ce qui appelle une vigilance accrue des hebergeurs et plateformes qui exposent ce type de contenus ; l'article 17 ouvre aux personnes concernees un droit a l'effacement et, lorsque le contenu a ete rendu public, une obligation pour le responsable de transmettre la demande aux autres responsables au sens de l'article 17, paragraphe 2. L'autorite neerlandaise des consommateurs et des marches (ACM), saisie en parallele, indique a NOS travailler avec ses homologues europeens pour clarifier la repartition des competences d'enforcement. Cette fermeture s'inscrit dans la pression europeenne croissante sur les infrastructures d'hebergement neerlandaises, deja documentee par Terre des Hommes en octobre 2025 (60 % des contenus pedocriminels europeens herberges aux Pays-Bas).

Ce que ca change pour vous : si vous etes hebergeur, FAI ou operateur de plateforme, formalisez vos circuits de notification et de retrait sur les categories particulieres de l'article 9 du RGPD, et tracer la cooperation avec les autorites judiciaires ; si vous accompagnez des victimes, appuyez les demandes d'effacement sur l'article 17, paragraphe 2 du RGPD pour obtenir la propagation de la suppression aux autres responsables. Donnees sensibles RGPD : definition, exemples et regles — Article 17 RGPD : le droit a l'effacement decrypte — Droit a l'oubli : protegez votre e-reputation

8 mai 2026 — DPC Irlande : 277 500 € à PTSB pour failles d'authentification au call center

La Data Protection Commission irlandaise a infligé le 8 mai 2026 une sanction totale de 277 500 € à Permanent TSB (PTSB) au titre de trois violations de données notifiées en mai 2022, rapporte RTÉ. Dans les trois incidents, des fraudeurs en possession de certaines informations personnelles de clients ont contacté le « Open24 Contact Centre » de la banque en se faisant passer pour les titulaires des comptes ; les agents ont accepté de modifier les coordonnées (numéro de téléphone, adresse) puis de communiquer des informations supplémentaires sur le compte. La DPC retient que « les protocoles de sécurité appropriés n'ont pas été suivis » et que les comptes ont été exposés à un risque de fraude additionnelle, amenant des clients à clôturer leurs comptes après avoir subi des pertes financières. La sanction vise des manquements aux articles 5(1)(f), 32 et 33 du RGPD : insuffisance des mesures techniques et organisationnelles d'authentification du client à distance, défaillance dans la formation des agents de centre d'appels et défaut de traitement adéquat des notifications de violation. La décision s'inscrit dans une série européenne récente sur l'ingénierie sociale visant les services bancaires en ligne.

Ce que ça change pour vous : si votre organisation expose un canal téléphonique de gestion de comptes, formalisez une procédure d'authentification renforcée hors-bande (call-back vérifié, OTP), tracez chaque modification sensible et soumettez régulièrement vos téléopérateurs à des tests d'ingénierie sociale documentés. Article 32 RGPD : sécurité du traitement décryptée — Authentification forte (MFA) : obligations légales — RGPD et sécurité : mesures techniques et organisationnelles

8 mai 2026 — Loi Fraudes : l'acces aux comptes bancaires des allocataires RSA elargi

Le 5 mai 2026, l'Assemblee nationale a adopte une version durcie du projet de loi 'relatif a la lutte contre les fraudes sociales et fiscales', releve La Quadrature du Net dans son analyse du 7 mai 2026. Au-dela de la confirmation des principales mesures de surveillance deja votees au Senat, les depute-e-s ont adopte l'amendement AS483 etendant le droit de communication aux agents de controle des departements en charge du RSA. Concretement, ce pouvoir leur permettra d'acceder aux releves bancaires des allocataires aux fins de controle, sur des periodes pouvant aller jusqu'a plusieurs annees, sous peine de suspension de la prestation. Le texte doit etre vote par le Senat la semaine prochaine. Du point de vue RGPD, ce dispositif souleve plusieurs questions structurelles : base legale au sens de l'article 6 (mission d'interet public), articulation avec les principes de minimisation et de limitation des finalites de l'article 5(1)(b) et 5(1)(c), risque de decisions individuelles tirees de profils de depenses au sens de l'article 22, et necessite d'une analyse d'impact sur la vie privee compte tenu de l'echelle et du caractere intrusif du traitement. L'analyse rappelle que les contestations en cours visent deja, sur le terrain penal, des pratiques qualifiees de 'harcelement moral institutionnel' (audience le 15 juin 2026 devant le tribunal correctionnel pour le departement du Finistere).

Ce que ca change pour vous : si vous etes DPO d'un departement ou d'une CAF, anticipez des a present la documentation de la base legale, la realisation d'une AIPD specifique sur le traitement de controle RSA etendu et la limitation effective de la duree d'analyse des releves bancaires. Article 22 RGPD : decision automatisee et profilage — Base legale RGPD : les 6 fondements juridiques — Article 5 RGPD : les 7 principes a connaitre

8 mai 2026 — Espagne : un DPO ne peut pas decider des finalites du traitement

L'Audiencia Nacional, dans une sentence 139/2026 du 18 mars 2026 mediatisee par Confilegal le 8 mai 2026 et commentee par Iberley, a confirme la sanction imposee par l'Agence espagnole de protection des donnees (AEPD) au College officiel des architectes de Granada pour avoir designe son secretaire general comme delegue a la protection des donnees. La juridiction administrative considere que les fonctions exercees par ce secretaire — admission et radiation des membres, pouvoir disciplinaire, gestion economique — le placent en position de decider sur les finalites et les moyens du traitement, ce qui est incompatible avec l'objectivite exigee par l'article 38, paragraphe 6 du RGPD. La sanction comporte 5 000 EUR pour violation de l'article 38(6) RGPD au titre du conflit d'interets, plus 8 000 EUR pour violation de l'article 13 RGPD, le College n'ayant pas fourni les informations requises dans ses formulaires de plaintes et de reclamations. Sur le terrain procedural, l'Audiencia Nacional rejette egalement l'argument selon lequel un ordre professionnel echapperait au regime des amendes prevu par l'article 77.1.g de la LOPDGDD : ce regime particulier ne s'applique pas lorsque les manquements ne se rattachent pas exclusivement a l'exercice de prerogatives de puissance publique. La position rejoint la jurisprudence de la Cour de justice de l'Union europeenne (C-453/21, X-FAB Dresden, 9 fevrier 2023) qui exigeait deja une appreciation in concreto du conflit d'interets du DPO.

Ce que ca change pour vous : auditez la fiche de poste et les delegations effectives de votre DPO — toute fonction de direction qui decide des finalites ou des moyens d'un traitement (RH, IT, secretariat general, direction administrative) cree un conflit d'interets et expose le responsable de traitement a une sanction, sur le seul fondement de l'article 38(6) du RGPD. Article 38 RGPD : la fonction du DPO decryptee — Article 37 RGPD : la designation du DPO decryptee — Formation RGPD : guide complet pour trouver votre cursus

7 mai 2026 — CNIL : recommandation finale sur l'octroi de credit et la solvabilite

La CNIL publie le 7 mai 2026 sa recommandation finale sur l'utilisation de donnees personnelles pour l'evaluation de la solvabilite dans le cadre de l'octroi de credit. Le texte fait suite a la consultation publique close le 18 juillet 2025 et constitue le referentiel sectoriel applicable aux organismes habilites a octroyer des credits a la consommation et des credits immobiliers regis par le code de la consommation. La recommandation precise les regles de consultation du Fichier des incidents de remboursement des credits aux particuliers (FICP), la categorisation des donnees pertinentes pour evaluer la capacite de remboursement, et les conditions d'usage des outils de scoring. Elle renforce la transparence et le controle des decisions automatisees au regard de l'article 22 du RGPD lorsque l'octroi du credit est subordonne a un score sans intervention humaine substantielle. La CNIL accompagne le referentiel d'une fiche pedagogique grand public detaillant les droits des personnes concernees (information, acces, intervention humaine, contestation). Sans valeur normative directe, le referentiel constituera la grille des controles CNIL a partir de 2026.

Ce que ca change pour vous : si votre organisation traite des donnees pour evaluer la solvabilite (banque, organisme de credit, plateforme de paiement fractionne), confrontez votre dispositif au referentiel CNIL sur six points -- selection des donnees, recours au FICP, scoring, decision automatisee, information des personnes, duree de conservation -- avant le premier cycle de controles 2026. Article 22 RGPD : decision automatisee et profilage — Decisions automatisees : article 22 RGPD — IA en banque et assurance : conformite AI Act

7 mai 2026 — UK ICO : nouveau guide cookies, ouverture vers une publicite respectueuse

L'Information Commissioner's Office (ICO) britannique a publie le 29 avril 2026 une mise a jour de son guide sur l'usage des technologies de stockage et d'acces aux informations sur les terminaux (cookies et techniques assimilees) au titre de la Regulation 6 du Privacy and Electronic Communications Regulations (PECR), analyse le cabinet Covington (Inside Privacy, 6 mai 2026). Trois changements interessent directement les editeurs et responsables marketing exposes au marche UK. D'abord, l'ICO confirme que la collecte d'informations a des fins purement statistiques de mesure d'audience peut rentrer dans l'exemption « strictement necessaire » de Regulation 6(4)(b) PECR sous conditions strictes (donnees agregees, pas de partage tiers, pas de profilage). Ensuite, l'ICO precise les modalites de consentement granulaire et de retrait, dans la lignee des lignes directrices 05/2020 du Comite europeen de la protection des donnees. Enfin, l'autorite annonce qu'elle transmettra prochainement au gouvernement britannique des elements destines a creer, par voie legislative, des exemptions statutaires en faveur de la « publicite respectueuse de la vie privee » (mesure d'audience publicitaire, frequency capping). Cette ouverture s'inscrit dans un contexte plus large de divergence post-Brexit avec le regime UE issu de la directive ePrivacy et de l'article 5(3) qui exige le consentement pour tout depot non strictement necessaire.

Ce que ca change pour vous : si vous deployez votre CMP sur des audiences britanniques, mettez a jour vos tests d'exemption « strictement necessaire » a la lumiere du guide ICO, mais conservez votre architecture fondee sur le consentement pour vos audiences UE — l'article 5(3) de la directive ePrivacy reste inchange. Cookies et RGPD : guide complet de mise en conformite — Taux de consentement cookies : benchmarks 2026 — Retargeting et RGPD : regles pour le reciblage publicitaire

6 mai 2026 — Doctrine : Lexing decrypte l'encadrement de la biometrie en garde a vue

Le cabinet Lexing publie le 6 mai 2026 une analyse doctrinale du controle renforce de la collecte biometrique en garde a vue depuis l'arret de la Cour de justice de l'Union europeenne du 19 mars 2026 (aff. C-371/24, Comdribus). La Cour, saisie sur renvoi prejudiciel par la cour d'appel de Paris, precise les conditions de licite du releve signaletique — empreintes digitales et photographies — au regard de la directive (UE) 2016/680, ainsi que la legalite de la sanction penale du refus de s'y soumettre prevue a l'article 55-1 du code de procedure penale. La chronique rappelle le contexte de la procedure : un militant relaxe du refus de remettre son code de deverrouillage et de l'organisation d'une manifestation non declaree, mais condamne pour le seul refus de prelevement biometrique. Pour les responsables de traitement et les autorites publiques, l'arret confirme que la qualification de necessite et la proportionnalite exigees par l'article 10 de la directive police doivent etre appreciees dossier par dossier, et que le releve systematique est exclu. Plus largement, l'analyse de Lexing utile pour les DPO du secteur public confrontes a des chaines de traitement associant donnees biometriques et donnees relatives aux infractions au sens des articles 9 et 10 du RGPD.

Ce que ca change pour vous : si vous traitez des donnees biometriques pour le compte d'une autorite publique ou en interface avec elle, integrez dans votre AIPD le test de necessite et de proportionnalite pose par la CJUE dans Comdribus, et tracez la base legale au regard de l'article 10 de la directive police et des articles 9 et 10 du RGPD. Les donnees sensibles RGPD : definition, exemples et regles — Article 9 RGPD : les 10 exceptions a l'interdiction — Une proposition de loi veut interdire la biometrie

6 mai 2026 — Messageries chiffrees : la DPR relance le projet d'acces cible aux contenus

La Delegation parlementaire au renseignement a publie lundi 4 mai 2026, en marge de son rapport annuel, une communication appelant a la creation d'un « acces cible a certains contenus chiffres », rapporte next.ink le 6 mai 2026. Plus d'un an apres le retrait de l'article 8 ter de la proposition de loi Narcotrafic, qui instaurait une porte derobee obligatoire dans les messageries chiffrees, les parlementaires de la DPR estiment toujours que « l'impossibilite d'acceder au contenu des communications chiffrees constitue un obstacle majeur pour l'activite de la justice et des services de renseignement ». Le senateur Cedric Perrin (LR), membre de la delegation, defend en particulier le mecanisme dit du « tiers fantome » qui consisterait a inserer un participant supplementaire dans la conversation avant chiffrement, sans demander la cle. La DPR privilegie une initiative europeenne mais n'exclut pas une demarche nationale. Pour les responsables de traitement et les RSSI, l'enjeu rejoint l'article 5(1)(f) et l'article 32 du RGPD qui imposent un niveau de securite adapte au risque, ainsi que l'article 21 de la directive NIS2 sur les mesures de gestion des risques pour les entites essentielles et importantes. L'introduction d'un tiers d'observation legalement impose modifierait l'analyse de conformite des messageries professionnelles et le contenu des analyses d'impact. Cette annonce intervient alors que le projet de loi Resilience transposant NIS2 contient deja un article 16 bis favorable au chiffrement par les entites concernees.

Ce que ca change pour vous : suivez le calendrier parlementaire et europeen, documentez dans votre registre des activites de traitement les outils de messagerie chiffree utilises, et integrez le risque d'acces tiers dans vos analyses d'impact lorsque ces outils transitent par des correspondances professionnelles. Chiffrement des donnees : obligations RGPD et bonnes pratiques — Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Article 32 RGPD : securite du traitement decryptee

5 mai 2026 — DPC Irlande : enquete sur Shein pour les transferts de donnees vers la Chine

L'autorite irlandaise de protection des donnees (DPC) a annonce le 5 mai 2026 l'ouverture d'une enquete formelle contre Shein Ireland, siege EMEA du distributeur chinois etabli a Dublin depuis 2023. La procedure porte specifiquement sur la conformite des transferts de donnees personnelles d'utilisateurs europeens vers la Chine au regard du chapitre V du RGPD (articles 44 a 49). Il s'agit de la premiere enquete RGPD ouverte contre la plateforme depuis son installation en Irlande. Operationnellement, la DPC examinera les mecanismes contractuels invoques (clauses contractuelles types, evaluation d'impact des transferts), la base legale des transferts et les mesures supplementaires mises en place pour pallier l'absence de decision d'adequation de la Chine. L'enquete intervient un an apres la sanction de 530 millions d'euros prononcee en mai 2025 contre TikTok pour des transferts comparables vers la Chine, et deux mois apres l'amende de 150 millions infligee par la CNIL a Shein pour des violations cookies.

Si votre organisation transfere des donnees vers la Chine ou un autre pays sans decision d'adequation, verifiez sans delai la robustesse de votre TIA (transfer impact assessment) et de vos clauses contractuelles types. Transfert de donnees hors UE : mecanismes RGPD

5 mai 2026 — CNIL : 9 jeunes sur 10 utilisent une IA conversationnelle, alerte sante mentale

La CNIL et le Groupe VYV ont publie le 5 mai 2026 les resultats d'une enquete europeenne menee dans quatre pays (France, Allemagne, Espagne, Italie) sur les usages de l'IA conversationnelle par les jeunes. Pres de 9 jeunes sur 10 declarent utiliser un agent conversationnel en France, et pres d'un sur deux y aborde des sujets personnels relevant de la sante mentale (anxiete, harcelement, troubles alimentaires). La CNIL souligne que ces echanges generent un volume important de donnees particulierement sensibles au sens de l'article 9 du RGPD, traitees par des fournisseurs souvent etablis hors UE. L'autorite alerte sur trois risques operationnels : absence de base legale claire pour le traitement de donnees de sante revelees, defaut d'information adaptee au public mineur, et faiblesse des mecanismes de retention et d'effacement. L'enquete s'inscrit dans le cadre de l'EDPB et prefigure des controles coordonnes sur les chatbots grand public. Cette problematique recoupe les obligations d'evaluation des systemes d'IA a usage general prevues par l'AI Act.

Si vous deployez un chatbot accessible aux mineurs ou susceptible de collecter des donnees de sante, documentez la base legale, l'information adaptee a l'age et la duree de retention avant tout controle CNIL. IA et RGPD : les regles applicables — EU AI Act : guide complet

5 mai 2026 — noyb porte plainte contre LinkedIn : droit d'acces RGPD bloque par paywall

L'ONG noyb a annonce le 5 mai 2026 le depot d'une plainte contre LinkedIn aupres de l'autorite autrichienne de protection des donnees, pour le compte d'un utilisateur allemand. La plainte vise la fonctionnalite « Qui a consulte votre profil » : LinkedIn met a disposition des abonnes Premium la liste nominative des visites de profil sur 365 jours, mais refuse de communiquer ces memes donnees a l'utilisateur lorsqu'il les demande gratuitement au titre de l'article 15 du RGPD. La filiale de Microsoft justifie son refus par d'alleguees « preoccupations de protection des donnees » qui, selon noyb, n'apparaissent miraculeusement qu'au moment de la demande d'acces. La question juridique est doublement nouvelle. D'une part, le droit d'acces de l'article 15 du RGPD est expressement prevu a titre gratuit : conditionner sa pleine effectivite a un abonnement payant est en tension directe avec ce principe. D'autre part, le tracage des visites de profil constitue lui-meme un traitement dont la base legale au sens de l'article 6 du RGPD reste fragile, puisque LinkedIn n'organise qu'une option de retrait et non un consentement explicite a l'opt-in. Journal du Net a relaye l'affaire en France.

Ce que ca change pour vous : verifiez que vos parcours de demande d'acces traitent toutes les categories de donnees collectees, y compris celles exposees dans des produits payants ou des tableaux de bord internes ; le caractere « premium » d'un affichage ne dispense pas de la communication gratuite au titre de l'article 15 du RGPD. L'article 15 du RGPD et le droit d'acces des personnes sur leurs donnees — Droit d'acces RGPD : repondre aux demandes — LinkedIn Ads et RGPD : analyse de conformite 2026

4 mai 2026 — EFF : recommandations pour le futur Digital Fairness Act europeen

L'Electronic Frontier Foundation a publie le 30 avril 2026 sa contribution a la consultation de la Commission europeenne sur le Digital Fairness Act (DFA), futur reglement annonce dans la « Digital Fairness Fitness Check » et destine a actualiser le droit europeen de la consommation numerique apres le DSA, le DMA et l'AI Act. La note de l'EFF identifie deux orientations souhaitables : un encadrement renforce des dark patterns et de la personnalisation exploitante, et la preservation des droits fondamentaux d'expression et de vie privee. Elle alerte cependant sur trois risques. D'abord, l'integration au DFA d'obligations generalisees de verification d'age, qualifiees de « fix de surface » qui ouvre la porte a une surveillance etendue sans regler le probleme de fond. Ensuite, la tentation d'augmenter le pouvoir de controle des plateformes sur les utilisateurs au lieu d'attaquer les causes structurelles. Enfin, la necessite que le DFA n'empiete pas sur le RGPD : les mecanismes de consentement et la protection contre les decisions automatisees relevent deja des articles 7 et 22 du RGPD. La consultation reste ouverte ; la Commission doit publier sa proposition formelle au second semestre 2026.

Ce que ca change pour vous : suivez la consultation DFA en lien avec votre cartographie des interfaces utilisateur et de vos parcours de consentement, et documentez l'absence de dark patterns au regard des lignes directrices CNIL et DSA actuellement opposables. Dark patterns : pratiques interdites par le DSA et la CNIL — Article 7 RGPD : les 4 conditions du consentement — Article 22 RGPD : decision automatisee et profilage

4 mai 2026 — Espagne : Justice et AEPD etudient un age minimum a 16 ans

Le ministere espagnol de la Justice et l'agence espagnole de protection des donnees (AEPD) etudient conjointement, selon ABC et Infobae le 3 mai 2026, la possibilite de relever a 16 ans l'age minimum d'inscription sur les reseaux sociaux. La reflexion s'inscrit dans la perspective d'une refonte de la loi espagnole sur la protection de l'enfance dans l'environnement numerique. L'article 8 du RGPD permet aux Etats membres de fixer cet age entre 13 et 16 ans pour le consentement aux services de la societe de l'information ; l'Espagne l'a fixe a 14 ans, la France a 15 ans (article 7-1 de la loi Informatique et Libertes). Un alignement espagnol a 16 ans creerait un ecart d'application supplementaire entre Etats membres et obligerait les plateformes a operer un age gating differencie par juridiction. Le projet est a stade exploratoire : aucune saisine du Conseil des ministres n'est annoncee a ce jour. La reflexion suit l'avis du Conseil d'Etat espagnol et fait echo aux discussions europeennes en cours sur la verification d'age.

Ce que ca change pour vous : si votre service collecte des donnees de mineurs en Europe, surveillez la fragmentation des seuils d'age de l'article 8 du RGPD et tenez a jour votre matrice de conformite par juridiction. RGPD et consentement : tout ce que vous devez savoir — Article 7 RGPD : les 4 conditions du consentement — Comment recueillir un consentement RGPD valable

4 mai 2026 — UE : la Commission veut imposer son app de verification d'age

La Commission europeenne a confirme le 4 mai 2026 sa volonte d'imposer aux Etats membres l'utilisation de l'application de verification d'age qu'elle a presentee le 15 avril comme techniquement operationnelle. L'outil europeen repose sur un mecanisme de minimisation : l'utilisateur prouve qu'il a depasse un seuil d'age sans transmettre sa date de naissance ni d'autre piece d'identite a la plateforme destinataire. La Commission veut que cette « age verification app » devienne le standard que les plateformes en ligne devront accepter pour controler l'acces des mineurs aux contenus sensibles, en application du Digital Services Act et des lignes directrices sur la protection des mineurs publiees en juillet 2025. Le projet souleve une question RGPD classique : la verification d'age implique en amont un traitement de donnees personnelles dont la base legale, la duree de conservation et la securite doivent etre encadrees au titre des articles 5, 6 et 32 du RGPD. L'EFF a publie le 30 avril une note critique alertant sur les risques de derive vers une surveillance generalisee si la verification d'age se generalise sans garde-fous techniques. Pour les editeurs, l'enjeu est de ne pas conserver les donnees collectees lors de la verification au-dela de l'usage strictement necessaire.

Ce que ca change pour vous : si votre plateforme diffuse des contenus reserves a un public majeur ou soumis a un seuil d'age, anticipez l'integration de l'application europeenne, documentez la base legale de la verification au titre de l'article 6 du RGPD et fixez une duree de conservation alignee sur le principe de minimisation. RGPD et consentement : tout ce que vous devez savoir — KYC et RGPD : concilier verification d'identite et protection des donnees — Le principe de minimisation impose par le RGPD

4 mai 2026 — UE : nouveau « grand menage reglementaire » annonce le 28 avril

Le commissaire europeen Valdis Dombrovskis a annonce le 28 avril 2026 le lancement prochain d'un nouveau « grand menage reglementaire » (Regulatory deep cleaning), rapporte Novethic. Cette nouvelle phase succede aux dix paquets Omnibus deja annonces depuis 2025 pour simplifier les normes du Green Deal, la regulation des pesticides et la regulation numerique. L'annonce confirme que la trajectoire de simplification europeenne s'inscrit dans la duree et touche directement le bloc digital — RGPD, AI Act, DSA, DMA — ainsi que le bloc durabilite — CSRD, CSDDD. Aucun perimetre de regles modifiees n'a ete officiellement publie a ce stade : la Commission devrait detailler le contenu des chantiers dans les prochaines semaines, selon Novethic. Pour les responsables de traitement et les DPO, le risque operationnel est double : voir evoluer les seuils, les obligations de documentation et les periodes de conservation des registres actuellement bati sur l'article 30 du RGPD, et devoir anticiper l'ajustement des AIPD et des analyses transverses RGPD / AI Act / CSRD a perimetre changeant. L'annonce intervient quelques jours apres l'echec du trilogue Omnibus AI Act du 29 avril, deja documente dans nos breves : les deux signaux pointent dans le meme sens — un cadre reglementaire mouvant pour les deux ans a venir.

Ce que ca change pour vous : surveillez de pres les prochains actes Omnibus, ils peuvent revisiter des obligations RGPD, AI Act ou CSRD ; gardez vos registres et politiques internes versionnes pour pouvoir tracer leur conformite a la version du texte applicable au moment du traitement. RGPD : guide complet de la protection des donnees (2026) — AI Act calendrier : dates cles d'application — CSRD : guide complet de la directive sur le reporting de durabilite

3 mai 2026 — Espagne : demander le diagnostic medical au salarie viole le RGPD

La chambre du contentieux administratif du Tribunal Supremo espagnol a rendu le 26 mars 2026, notifiee le 21 avril, sa premiere decision sur le perimetre exact de la notion de « traitement » de l'article 4(2) du RGPD. Dans cette affaire, un agent du centre penitentiaire de Lanzarote s'etait absente trois jours pour raisons de sante en 2019 et avait fourni un justificatif medical mentionnant simplement « indisposition ». La direction lui avait demande de communiquer son diagnostic precis et le traitement prescrit. Le TS juge que cette seule demande constitue un traitement de donnees au sens de l'article 4(2) du RGPD, alors meme que l'agent a refuse de transmettre l'information : le traitement nait de la sollicitation. Le centre est sanctionne pour violation du principe de minimisation de l'article 5(1)(c) du RGPD, le diagnostic n'etant ni adequat ni necessaire au controle de l'absenteisme, qui pouvait etre exerce a partir des justificatifs deja produits. Le Tribunal rappelle qu'il s'agit de donnees de sante au sens de l'article 9 du RGPD, que l'INSS et la MUFACE excluent expressement de leurs documents transmis a l'employeur, et qu'aucune necessite ne justifie pour le centre de connaitre la pathologie. La decision est doctrinalement importante pour les services RH francais : meme question, meme logique de minimisation, meme soclage juridique.

Ce que ca change pour vous : revisez vos procedures RH de gestion des arrets maladie pour proscrire toute demande de diagnostic au salarie et limitez la collecte aux mentions de l'article 5(1)(c) strictement necessaires au controle de l'absenteisme. Le principe de minimisation impose par le RGPD — Les donnees sensibles RGPD : definition, exemples et regles — Article 9 RGPD : les 10 exceptions a l'interdiction

3 mai 2026 — AEPD : outil interactif pour consulter les notifications de violations

L'agence espagnole de protection des donnees (AEPD) a publie le 30 avril 2026 un nouvel outil interactif qui remplace les PDF mensuels de statistiques par une interface visuelle dynamique. L'application permet de filtrer les notifications de violations de donnees personnelles recues par l'autorite selon plusieurs criteres : secteur d'activite (banque, sante, e-commerce, etc.), type de violation, intentionnalite, et plage temporelle. La consultation est ouverte au grand public et aux professionnels de la conformite. Pour les delegues a la protection des donnees, l'outil offre un materiau structure pour comparer la sinistralite de leur secteur a celle des autres et pour documenter, au titre de l'article 35 du RGPD, la part des risques de violation pesant sur leur traitement. Aucune autorite francaise n'expose aujourd'hui ses notifications de violations sous une forme aussi granulaire ; l'initiative espagnole est susceptible d'etre suivie par d'autres autorites de controle europeennes dans le cadre de la coordination EDPB. La base reste evidemment celle de l'article 33 du RGPD : c'est la notification dans les 72 heures qui alimente cette statistique.

Ce que ca change pour vous : utilisez les filtres sectoriels de l'outil AEPD pour ajuster votre cartographie des risques de violation et reactualiser votre AIPD avec des donnees comparatives recentes. Article 33 RGPD : notifier une violation a la CNIL — Notification violation donnees CNIL : procedure 72h — Fuite de donnees : procedure de gestion et notification RGPD

2 mai 2026 — ANTS : un mineur de 15 ans interpelle, l'Etat debloque 200 M EUR

Les autorites francaises ont annonce le 1er mai 2026 l'interpellation d'un adolescent de 15 ans soupconne d'avoir vole et revendu sur des forums clandestins les donnees personnelles de millions d'usagers issues d'une base de l'ANTS (Agence nationale des titres securises), qui delivre les permis de conduire et les cartes d'identite. La fuite, detectee par l'agence en avril, a ete suivie d'une notification publique et d'un depot de plainte au parquet. En reponse, le gouvernement a annonce le deblocage d'une enveloppe de 200 millions d'euros sur cinq ans pour renforcer la cybersecurite des grands services numeriques de l'Etat, dont l'ANTS, FranceConnect et les portails fiscaux. L'incident rappelle aux responsables de traitement publics les obligations cumulees des articles 32 et 33 du RGPD (securite et notification a la CNIL dans les 72 heures) et, pour les administrations entrant dans le champ d'application, de l'article 21 de NIS2 sur la gestion des risques cyber et la chaine d'approvisionnement logicielle. Pour les personnes concernees, une plainte au procureur sur le fondement de l'article 226-17 du Code penal reste ouverte des lors que la securite des donnees a ete defaillante.

Ce que ca change pour vous : si vos traitements s'interfacent avec FranceConnect ou des bases d'identite publiques, integrez ce risque dans votre AIPD et verifiez vos clauses sous-traitants article 28 RGPD couvrant la chaine d'authentification. Fuite de donnees : procedure de gestion et notification RGPD — Notification violation donnees CNIL : procedure 72h — Fuites de donnees de l'Etat : modele gratuit de plainte au procureur

2 mai 2026 — AEPD : 240 000 EUR a Bankinter, faille API ayant expose 1,27 M de clients

L'autorite espagnole de protection des donnees (AEPD) a sanctionne Bankinter d'une amende de 240 000 EUR pour manquement a l'obligation de securite. La sanction concerne une vulnerabilite de l'API d'EVO Banco (filiale absorbee par Bankinter en juillet 2025) qui, lors d'une migration logicielle en 2024, a permis a des requetes non authentifiees de retourner en masse les donnees financieres et d'identite de 1,27 million de clients. L'AEPD avait initialement propose une sanction de 400 000 EUR, ramenee a 240 000 EUR apres la reconnaissance de responsabilite et le paiement volontaire de Bankinter en novembre 2025. La cause racine est une erreur de configuration manuelle ayant autorise des requetes massives sans credentials valides : un defaut classique de cloisonnement des acces qui releve directement de l'article 32 du RGPD (securite du traitement) et du principe d'integrite et de confidentialite de l'article 5(1)(f). La decision rappelle qu'une absorption juridique transfere la responsabilite au sens du RGPD pour les manquements anterieurs commis par la filiale absorbee, point important dans toute operation de M&A bancaire.

Ce que ca change pour vous : avant tout deploiement ou migration d'API exposant des donnees personnelles, verifiez le cloisonnement des credentials et exigez un test d'authentification sur chaque endpoint, et documentez le controle dans votre registre des mesures de securite article 32. Article 32 RGPD : securite du traitement decryptee — Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Fuite de donnees : procedure de gestion et notification RGPD

2 mai 2026 — Pays-Bas : la TIB juge la collecte massive du renseignement peu efficace

Dans son rapport annuel publie debut mai 2026, la TIB (Toetsingscommissie Inzet Bevoegdheden), autorite neerlandaise chargee du controle des services AIVD et MIVD, dresse un bilan critique de la « sleepwet », la loi de 2017 qui autorise la collecte massive de donnees de communications en ligne. Selon la TIB, le rendement operationnel de cette bevoegdheid reste faible alors meme que les volumes de donnees personnelles aspirees augmentent et que les services etendent leur recours a ce moyen. La commission souligne que la balance entre l'atteinte aux droits fondamentaux et l'utilite concrete des donnees collectees apparait desequilibree, argument deja oppose au dispositif lors de son introduction. La revision legislative annoncee aux Pays-Bas relance le debat sur les criteres de proportionnalite applicables a la collecte massive dans l'Union, dans la lignee de la jurisprudence de la CJUE (arrets La Quadrature du Net, Privacy International, SpaceNet) qui encadre les exceptions de l'article 23 du RGPD et de l'article 15 de la directive ePrivacy. Pour les responsables de traitement amenes a transferer des donnees vers ces autorites, le rapport documente le defaut de proportionnalite invoque par les acteurs des droits fondamentaux.

Ce que ca change pour vous : si votre organisation est destinataire de requisitions de renseignement, gardez trace du fondement juridique invoque et opposez-le aux exigences de proportionnalite de l'article 23 du RGPD lorsque la finalite n'est pas suffisamment encadree. Les evolutions de la protection des donnees personnelles (interview) — Les donnees sont-elles des biens ? Le debat juridique fondamental

1 mai 2026 — ANSSI : le chiffrement ne protege pas du Cloud Act, alerte Vincent Strubel

Auditionne le 30 avril 2026 par la commission d'enquete sur les dependances numeriques de la France, le directeur general de l'ANSSI Vincent Strubel a sonne l'alarme sur le risque d'une coupure d'acces aux technologies americaines : « si demain, pendant six mois, nous sommes prives de l'acces aux technologies americaines, des mises a jour, nous aurons un enorme probleme », situation qu'il qualifie d'« intenable ». Sur la portee du chiffrement face aux lois extraterritoriales, M. Strubel rappelle qu'un fournisseur cloud accede « tot ou tard » aux cles de chiffrement de ses clients : le chiffrement seul ne fait donc pas obstacle au CLOUD Act ni au FISA. La seule protection juridique tient a une architecture ou un operateur europeen conserve le controle exclusif des donnees, conformement aux exigences SecNumCloud. Pour les responsables de traitement, ce constat eclaire les obligations de l'article 32 du RGPD et les conditions de l'article 28 sur les sous-traitants : invoquer le chiffrement au repos comme garantie suffisante face a un transfert vers un sous-traitant soumis au droit americain n'est pas defendable.

Ce que ca change pour vous : revoyez la cartographie de vos sous-traitants cloud, identifiez ceux qui restent soumis aux lois extraterritoriales US et completez vos analyses d'impact pour documenter les garanties supplementaires (cles client, hebergement souverain, qualification SecNumCloud) au-dela du seul chiffrement. Article 32 RGPD : securite du traitement decryptee — Chiffrement des donnees : obligations RGPD et bonnes pratiques — Sous-traitance securite : exigences NIS2 et RGPD pour la chaine d'approvisionnement

1 mai 2026 — Conseil d'État : la réponse graduée d'Arcom retoquée pour non-conformité RGPD

Saisi par La Quadrature du Net, French Data Network et la Fédération FDN, le Conseil d'État a jugé le 30 avril 2026 que le dispositif français de réponse graduée contre le piratage en ligne, hérité d'Hadopi et aujourd'hui mis en œuvre par l'Arcom, n'est pas conforme au droit européen. Le juge administratif relève deux failles : l'absence d'obligation pour les opérateurs de communications électroniques de cloisonner strictement les données d'identification transmises à l'autorité, et la possibilité pour l'Arcom de procéder à plus de deux croisements de ces données sans autorisation juridictionnelle préalable. La Haute juridiction estime que ces modalités portent une atteinte disproportionnée au droit à la protection des données personnelles garanti par la Charte des droits fondamentaux de l'Union européenne et par la jurisprudence La Quadrature du Net (CJUE, 30 avril 2024, C-470/21). Le Conseil d'État ordonne en conséquence au Gouvernement d'abroger plusieurs dispositions du décret du 5 mars 2010 dans un délai de six mois. Pour les responsables de traitement et les opérateurs, la décision rappelle qu'un traitement fondé sur l'article 6(1)(c) RGPD reste subordonné à des garanties effectives de minimisation et de cloisonnement, sous peine d'invalidation.

Ce que ça change pour vous : si votre activité implique la transmission d'identifiants d'abonnés à une autorité (Arcom, ANJ, justice), vérifiez que vos procédures internes prévoient un cloisonnement strict des données et un journal d'accès permettant de tracer chaque croisement, en cohérence avec l'article 5(1)(c) RGPD. L'adresse IP est-elle une donnée personnelle ? — Base légale RGPD : les 6 fondements juridiques — Collecte déloyale de données sur Internet

30 avril 2026 — AEPD : Garde civile sanctionnee pour tasers a camera sans AIPD

L'agence espagnole AEPD a declare la Direction generale de la Guardia Civil infractora pour le deploiement de pistolets electriques incapacitants (taser) equipes de cameras embarquees, sans avoir realise l'analyse d'impact prealable exigee par l'article 35 du RGPD. La resolution releve deux manquements graves. D'une part, la Guardia Civil n'a pas conduit l'AIPD avant la mise en service, estimant l'exercice "couteux" et invoquant un "principe d'economie de moyens" — un motif explicitement ecarte par l'AEPD comme contraire a l'article 35. D'autre part, le registre des activites de traitement (article 30 RGPD) declare une duree de conservation des enregistrements d'un mois, alors que cette duree etait en realite prolongee en cas d'enquete. L'AEPD a accorde un delai de six mois pour regulariser la situation, delai aujourd'hui expire ; l'AUGC reclame de la transparence sur les mesures effectivement prises. Le dossier est a surveiller pour les forces de l'ordre et toute organisation publique francaise envisageant des dispositifs de captation video associes a un equipement individuel.

Ce que ca change pour vous : toute mise en service d'un nouvel equipement integrant captation video ou biometrique doit etre precedee d'une AIPD documentee, et la duree de conservation declaree au registre doit refleter la duree reelle, y compris les cas d'extension. AIPD : guide complet analyse d'impact RGPD (2026) — Article 35 RGPD : quand et comment realiser une AIPD — Registre des traitements RGPD : modele Excel et guide

30 avril 2026 — PimEyes : noyb attaque la DPA de Hambourg pour inaction

Le 30 avril 2026, l'association noyb a depose un recours contre l'autorite de protection des donnees de Hambourg pour son refus d'agir contre PimEyes. L'autorite allemande considere pourtant que le moteur de recherche par reconnaissance faciale viole le RGPD : PimEyes aspire en continu les visages publies sur internet pour les transformer en empreintes biometriques et les rendre cherchables par n'importe quel utilisateur, sans base legale ni information des personnes. La DPA de Hambourg justifie son inaction par la localisation declaree de PimEyes a Dubai, alors que la procedure C042 de noyb date de juillet 2020. L'enjeu juridique est de savoir si une autorite de controle peut se soustraire a son devoir d'execution lorsque le responsable de traitement est etabli hors UE mais cible activement des residents europeens (article 3 RGPD, application territoriale). Les missions et pouvoirs des autorites de controle sont enumeres aux articles 57 et 58 du RGPD : l'instruction des plaintes et l'adoption de mesures correctrices ne sont pas optionnelles. Le contentieux croise aussi l'article 9 du RGPD (donnees biometriques) et rappelle les precedents Clearview AI sanctionnes par la CNIL et la Garante.

Ce que ca change pour vous : si vous avez depose une plainte qui stagne devant une autorite de controle, conservez l'accuse de reception, relancez par ecrit en visant l'article 57(1)(f) du RGPD et envisagez le recours juridictionnel prevu a l'article 78 du RGPD. Donnees sensibles RGPD : definition, exemples et regles — Article 9 RGPD : les 10 exceptions a l'interdiction — IA et videosurveillance : cadre RGPD et AI Act

29 avril 2026 — RGPD et DMA : EDPB et Commission lancent une consultation conjointe

Le Comite europeen de la protection des donnees (EDPB) et la Commission europeenne ont lance une consultation conjointe sur les zones de friction entre le RGPD et le reglement sur les marches numeriques (DMA), revele Contexte le 28 avril 2026. La consultation porte sur les obligations d'interoperabilite imposees aux controleurs d'acces (Article 6(7) DMA), les exigences de portabilite renforcee (Article 6(9) DMA) et leur compatibilite avec les principes de minimisation, de limitation des finalites et de securite du RGPD. L'enjeu est concret : ouvrir des fonctions cles d'Android, d'iOS ou de WhatsApp a des tiers tout en preservant les obligations de l'article 32 RGPD sur la securite des traitements et de l'article 25 sur la protection des donnees des la conception. Les CNIL europeennes craignent que la mise en oeuvre du DMA ne force des transferts de donnees ou des appariements incompatibles avec le RGPD. La consultation devrait deboucher sur des lignes directrices conjointes, attendues d'ici fin 2026, qui orienteront les obligations de gouvernance des grandes plateformes comme des entreprises qui s'appuient sur leurs API.

Ce que ca change pour vous : si vous integrez des API de plateformes designees gatekeepers, suivez la consultation et anticipez des lignes directrices conjointes RGPD-DMA pour vos clauses de sous-traitance et vos analyses d'impact. Article 25 RGPD : protection des donnees des la conception — Article 32 RGPD : securite des traitements — Minimisation des donnees : principe RGPD

29 avril 2026 — Grece : la HDPA juge illicite le Smart Policing par reconnaissance faciale

L'autorite grecque de protection des donnees (HDPA) a juge illicite le programme "Smart Policing" deploye par la police hellenique, dote de 4 millions d'euros et integrant des technologies d'intelligence artificielle, dont un module de reconnaissance faciale. La decision, relayee par EDRi et son membre Homo Digitalis a l'origine de la plainte, confirme des annees d'avertissements sur l'absence de base legale claire et l'inadequation des garanties. L'affaire illustre l'articulation entre la directive police-justice 2016/680, le RGPD et l'AI Act : la reconnaissance faciale dans les espaces publics, lorsqu'elle est utilisee a des fins repressives, rentre dans la categorie des systemes interdits ou strictement encadres par l'article 5 et les annexes III de l'AI Act. Pour les autorites publiques francaises et leurs prestataires (videosurveillance augmentee, reconnaissance biometrique sur le terrain), la decision grecque enrichit le corpus europeen d'AIPD obligatoires (article 35 RGPD) avant tout deploiement et de bases legales documentees. Elle rejoint la jurisprudence de la CNIL sur les experimentations biometriques.

Ce que ca change pour vous : tout projet integrant reconnaissance faciale ou IA biometrique impose une AIPD documentee, une base legale solide et une consultation prealable de l'autorite si les risques residuels sont eleves. IA et videosurveillance : cadre RGPD et AI Act — AIPD pour l'IA : quand et comment realiser une analyse d'impact — Une proposition de loi veut interdire la biometrie

29 avril 2026 — Verification d'age UE : la Commission veut un deploiement avant fin 2026

La Commission europeenne a adopte, le 29 avril 2026, une recommandation appelant les Etats membres a deployer l'application europeenne de verification d'age d'ici le 31 decembre 2026. L'app, disponible en version autonome ou integree au portefeuille europeen d'identite numerique (EUDI Wallet), repose sur une preuve d'age anonyme : l'utilisateur prouve qu'il depasse un seuil d'age sans reveler sa date de naissance, son identite ou d'autres donnees personnelles. La recommandation precise les actions attendues des Etats membres : utilisation du blueprint fourni par la Commission, plans nationaux de deploiement, cooperation entre coordinateurs des services numeriques. L'objectif est de doter les plateformes d'un outil de conformite robuste pour les obligations de protection des mineurs prevues par le DSA et les lignes directrices DSA de 2025 sur la protection des mineurs. Pour les editeurs de services en ligne adresses ou accessibles aux mineurs, c'est le futur standard a integrer dans les bases legales (article 6 RGPD), les analyses d'impact (article 35 RGPD) et l'interoperabilite avec les fournisseurs d'identite numerique nationaux.

Ce que ca change pour vous : si votre service est accessible a des mineurs, anticipez l'integration de l'app UE de verification d'age dans votre parcours d'inscription et documentez l'arbitrage de minimisation par rapport aux solutions actuelles. Article 8 RGPD : consentement des mineurs — AIPD : guide complet analyse d'impact RGPD (2026) — Minimisation des donnees : principe RGPD

29 avril 2026 — DSA : la Commission accuse Meta de laisser les moins de 13 ans sur Instagram

La Commission europeenne a conclu, le 29 avril 2026, a titre preliminaire, que Meta enfreint le reglement sur les services numeriques (DSA) sur Instagram et Facebook, faute d'identifier, d'evaluer et d'attenuer avec diligence les risques lies a l'acces des mineurs de moins de 13 ans. Les conditions generales de Meta fixent pourtant l'age minimum a 13 ans, mais les mecanismes de verification se limitent a une auto-declaration de date de naissance, sans aucun controle de coherence. La Commission souligne aussi que l'outil de signalement d'un mineur sous-age necessite jusqu'a sept clics, n'est pas pre-rempli et n'entraine pas de suivi : un compte signale peut continuer a etre utilise sans restriction. L'enquete, ouverte en 2024, peut deboucher sur des amendes pouvant atteindre 6 % du chiffre d'affaires mondial annuel au titre du DSA. La constatation rejoint les exigences de l'article 28 du DSA sur la protection des mineurs et les standards de minimisation et d'exactitude des donnees au titre des articles 5(1)(c) et 5(1)(d) du RGPD : pour les DPO de plateformes adressant un public familial, c'est un signal clair que l'auto-declaration d'age, seule, n'est plus une mesure suffisante.

Ce que ca change pour vous : reverifiez vos parcours d'inscription pour les services accessibles aux mineurs et documentez les controles d'age, leur efficacite et leur traçabilite dans votre registre des traitements et votre AIPD. Meta Ads et RGPD : analyse de conformite 2026 — Dark patterns : pratiques interdites par le DSA et la CNIL — AIPD : guide complet analyse d'impact RGPD (2026)

29 avril 2026 — CIPL : 70 % d'alignement entre le RGPD et le Global CBPR

Le Centre for Information Policy Leadership (CIPL), rattache au cabinet Hunton Andrews Kurth, a publie en mars 2026 un rapport intitule 'Mapping Updated Global CBPR and Global PRP Systems' qui cartographie les Program Requirements du nouveau Global Cross-Border Privacy Rules (CBPR) System, recemment revises, par rapport aux exigences du RGPD. Le billet de synthese du Privacy and Cybersecurity Law Blog de Hunton, mis en ligne le 28 avril 2026, indique que plus de 70 % des exigences du Global CBPR s'alignent sur des dispositions du RGPD, avec des taux d'alignement superieurs a 75 % au regard d'autres standards internationaux. Le Global CBPR Forum, lance en 2022, etend hors de la zone APEC le mecanisme historique fonde sur une certification de conformite des responsables de traitement et des sous-traitants. Le CIPL invite explicitement l'Union europeenne a examiner les benefices d'une participation au Global CBPR / Global PRP, en s'appuyant sur l'article 42 du RGPD, qui encourage la mise en place de mecanismes de certification, et sur l'article 46(2)(f), qui admet ces certifications approuvees comme garanties appropriees pour les transferts internationaux. La certification CBPR ne constitue pas, en l'etat, un mecanisme de transfert reconnu en droit de l'Union, mais le rapport cherche a alimenter le debat doctrinal sur la reconnaissance mutuelle des cadres extra-UE.

Ce que ca change pour vous : si vous gerez des flux transatlantiques ou multi-juridictionnels, suivez ces travaux ; ils peuvent influencer a moyen terme les outils de transfert reconnus au titre du chapitre V du RGPD, mais ne dispensent pas, aujourd'hui, de s'appuyer sur les mecanismes existants (decisions d'adequation, clauses contractuelles types, BCR). Transfert donnees hors UE : mecanismes RGPD — 6 things you need to know about the new EU privacy framework — Sous-traitance IA : clauses contractuelles RGPD

28 avril 2026 — CNIL : code de conduite approuvé pour l'habillement et la chaussure

La CNIL a annoncé, le 28 avril 2026, l'approbation du code de conduite porté par l'Alliance du Commerce pour le secteur de l'habillement et de la chaussure. Selon le communiqué publié sur cnil.fr, ce code de conduite, prévu par l'article 40 du RGPD, traduit concrètement les exigences du règlement pour les commerçants français de ce secteur — qu'il s'agisse de la vente en magasin ou de la distribution en ligne. Il vise à harmoniser les pratiques de protection des données entre enseignes et à donner un cadre opérationnel aux responsables de traitement comme à leurs sous-traitants. L'adhésion à un code approuvé constitue, au sens de l'article 24(3) du RGPD, un élément permettant de démontrer le respect des obligations du responsable de traitement. Les commerçants qui souhaitent y adhérer doivent s'engager à respecter l'ensemble des règles sectorielles définies (information des clients, gestion des programmes de fidélité, prospection commerciale, durées de conservation, encadrement des sous-traitants), sous le contrôle d'un organisme de suivi agréé. Le code couvre à la fois les traitements en boutique et les traitements en ligne, ce qui en fait un référentiel transverse pour les enseignes du retail.

Ce que ça change pour vous : si vous opérez dans l'habillement ou la chaussure, examinez les engagements du code de conduite (information clients, fidélité, prospection, durées de conservation, sous-traitants) et évaluez l'adhésion comme levier de démonstration de conformité au sens de l'article 24 du RGPD. E-commerce et RGPD : 10 obligations du vendeur — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — Newsletter et RGPD : double opt-in et bonnes pratiques

28 avril 2026 — Décret SREN : cloud durci pour les données sensibles publiques

Le décret d'application de l'article 31 de la loi SREN (sécuriser et réguler l'espace numérique) précise les conditions d'hébergement des données sensibles dans le cloud pour les administrations, établissements de santé et opérateurs publics. Le texte exclut explicitement les environnements exposés à des lois extra-territoriales et impose un niveau de qualification élevé, dans la lignée de SecNumCloud. Sur le plan opérationnel, les responsables de traitement publics concernés doivent revisiter leurs cartographies de données sensibles, leurs contrats de sous-traitance et leurs analyses de transfert pour s'assurer que les hébergeurs retenus répondent aux nouveaux critères. Cette obligation de souveraineté rejoint l'exigence de sécurité appropriée de l'article 32 du RGPD.

Ce que ça change pour vous : recenser les traitements de données sensibles hébergés chez un fournisseur soumis à une loi extra-territoriale et planifier la migration vers une offre conforme aux nouveaux critères. SecNumCloud : la qualification ANSSI du cloud de confiance — Les données sensibles RGPD : définition, exemples et règles — Sécurité du cloud : modèle de responsabilité partagée

28 avril 2026 — CNIL : modèle de rapport d'activité du DPO pour piloter la conformité

La CNIL a publié un cadre méthodologique et un modèle de rapport d'activité du délégué à la protection des données, présenté comme un outil de pilotage et de redevabilité vers la direction. Le document recense les indicateurs attendus (registre des activités de traitement, AIPD, violations notifiées, demandes des personnes, plans de remédiation) et invite les DPO, qu'ils soient internes ou mutualisés, à en faire un livrable annuel formalisé. Sur le plan opérationnel, le rapport doit démontrer l'effectivité des contrôles et donner au responsable de traitement la visibilité nécessaire pour arbitrer les budgets conformité. La CNIL rappelle que cet exercice s'inscrit dans la mission d'information du DPO prévue à l'article 39 du RGPD.

Ce que ça change pour vous : formaliser un rapport d'activité annuel signé par le DPO et transmis à la direction, en s'appuyant sur le modèle CNIL pour structurer registre, AIPD et incidents. DPO obligatoire : 3 cas où vous devez en désigner un — Meilleur logiciel DPO : guide de choix — DPO externalisé, tarifs et coûts cachés

27 avril 2026 — UK : nouvelles obligations de gestion des plaintes RGPD au 19 juin 2026

Le Data (Use and Access) Act britannique introduit, à compter du 19 juin 2026, de nouvelles obligations à la charge des responsables de traitement britanniques en matière de gestion des plaintes des personnes concernées. D'après l'analyse publiée le 27 avril 2026 par Norton Rose Fulbright sur Data Protection Report, le responsable de traitement devra accuser réception d'une plainte dans un délai maximal de 30 jours, y répondre sans retard injustifié et informer activement les personnes concernées de leur droit de saisir l'Information Commissioner's Office (ICO). Cette obligation rejoint l'esprit de l'article 12 et de l'article 77 du RGPD européen, mais introduit un délai chiffré qui n'existe pas explicitement dans le règlement. Le briefing souligne un impact particulièrement structurant pour les fonds de pension et les secteurs régulés, qui devront documenter les flux de plaintes, les délais de traitement et les voies de recours. Pour les groupes français disposant d'une entité ou d'une clientèle au Royaume-Uni, la mise en conformité implique une mise à jour des mentions d'information (article 13 du RGPD européen comme equivalent), des procédures internes de réception et de qualification des réclamations, ainsi qu'une articulation claire entre la saisine de l'ICO et celle de la CNIL en cas de co-responsabilité ou de groupe transfrontalier.

Ce que ça change pour vous : si votre groupe traite des données au Royaume-Uni, mettez à jour avant le 19 juin 2026 votre procédure de gestion des plaintes (accusé de réception sous 30 jours, traçabilité, information sur le droit de saisir l'ICO) et alignez vos mentions d'information sur le double régime UK/UE. Article 12 RGPD : Obligations de Transparence et Exemples — Le responsable de traitement : rôle et obligations — Contrôle RGPD : comment se déroule un contrôle CNIL

27 avril 2026 — BSI publie C3A : critères allemands de souveraineté pour les services cloud

Le 27 avril 2026, le Bundesamt fur Sicherheit in der Informationstechnik (BSI), agence federale allemande de cybersecurite, a publie le referentiel C3A — Criteria enabling Cloud Computing Autonomy. Ce cadre definit, pour la premiere fois en Allemagne, un ensemble structure d'attributs permettant d'evaluer et de rendre transparente la souverainete d'une offre de cloud computing : maitrise des donnees et de leur localisation, controle effectif des operations et de l'administration technique, auditabilite du code et de la chaine d'approvisionnement logicielle, et independance juridique vis-a-vis d'extraterritorialites etrangeres. Le BSI presente C3A comme un Handlungsrahmen — un cadre d'action — destine aussi bien aux acheteurs publics qu'aux entreprises privees soumises a des obligations sectorielles, et complementaire des certifications de securite existantes. Pour les responsables de traitement etablis en France, C3A se positionne comme un equivalent fonctionnel germanique de la doctrine ANSSI sur le cloud de confiance et de la qualification SecNumCloud, avec une grille de lecture utile lorsque la documentation contractuelle d'un sous-traitant cloud (article 28 du RGPD) doit etre auditee au regard du risque de transfert hors UE et des obligations de chaine d'approvisionnement portees par NIS2.

Ce que ca change pour vous : si votre cartographie cloud comporte des fournisseurs hyperscalers ou des filiales europeennes d'acteurs extra-UE, ajoutez la grille C3A a votre dossier de qualification sous-traitant et confrontez-la aux clauses contractuelles types et a la doctrine SecNumCloud avant tout renouvellement. RGPD et cloud : obligations AWS, Azure, GCP — Transfert données hors UE : mécanismes RGPD — SecNumCloud : la qualification ANSSI du cloud de confiance

26 avril 2026 — AEPD sanctionne la Garde civile : données de victimes via app sur mobile perso

L'Agence espagnole de protection des donnees (AEPD) a sanctionne la Direction generale de la Garde civile dans le cadre du dossier EXP202314076 : la decision, repercutee publiquement fin avril 2026 a la suite d'une plainte deposee aux Canaries, declare une infraction grave au RGPD pour l'usage par les agents de l'application interne de messagerie IMBOX, deployee sous le nom 'Defense' et imposee sur les smartphones personnels des militaires en remplacement de WhatsApp. L'AEPD considere etabli que des messages de service contenant des donnees sensibles ont ete echanges via cette application, parmi lesquels des references a des femmes victimes de violences conjugales ainsi qu'a des incidents operationnels, sans que les mesures techniques et organisationnelles necessaires (article 32 du RGPD) n'aient ete adoptees pour proteger ces donnees relevant de l'article 9 et de l'article 10. Comme prevu en droit espagnol, la sanction prend la forme d'une declaration d'infraction sans amende administrative, le mis en cause etant une administration publique, mais elle s'accompagne d'obligations correctrices que l'Asociacion Unificada de Guardias Civiles (AUGC) denonce comme non executees a ce jour. Au-dela du cas espagnol, ce dossier illustre un risque structurel pour les employeurs publics et prives : utiliser des applications professionnelles non maitrisees sur des terminaux personnels (BYOD) pour partager des donnees sensibles expose a une violation au sens de l'article 33 du RGPD et a une qualification automatique d'infraction en cas de defaut documentaire.

Ce que ca change pour vous : si vos equipes utilisent une application metier sur des telephones personnels pour echanger des donnees sensibles (sante, victimes, infractions), sortez ces flux du BYOD ou encadrez-les par un MDM dedie, une AIPD et une charte d'usage opposable. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Les données sensibles RGPD : définition, exemples et règles — Fuite de données : procédure de gestion et notification RGPD

25 avril 2026 — 10 ans du RGPD : autorités espagnoles signent une déclaration conjointe

L'Agence espagnole de protection des donnees (AEPD) et les autorites autonomes de protection des donnees (Catalogne, Pays basque, Andalousie) ont signe le 24 avril 2026 une declaration institutionnelle commune a l'occasion du dixieme anniversaire de l'adoption du RGPD. Le texte formalise un engagement de cooperation renforcee pour repondre aux defis poses par la transformation numerique, l'economie de la donnee et le deploiement massif des technologies emergentes, au premier rang desquelles l'IA generative. Les autorites s'accordent sur trois axes : homogeneiser les criteres d'analyse face aux nouveaux traitements (notamment l'usage de modeles fondationnels et des outils d'IA conversationnelle au sens de l'article 35 du RGPD), promouvoir une 'culture de la vie privee' centree sur la prevention des risques pour les personnes vulnerables, et renforcer les mecanismes de cooperation transfrontaliere prevus aux articles 60 a 67 du RGPD. La declaration s'inscrit dans un mouvement plus large de convergence europeenne porte par le Comite europeen de la protection des donnees, qui pousse depuis deux ans vers une meilleure articulation entre regulateurs nationaux sous chefs-de-file. Pour les groupes presents en Espagne comme en France, ce signal renforce la probabilite de controles coordonnes sur les memes thematiques (IA, marketing, mineurs).

Ce que ca change pour vous : si votre groupe traite des donnees en Espagne, anticipez une convergence des grilles d'analyse AEPD/CNIL sur l'IA et le marketing, et alignez des maintenant votre documentation sur les deux marches. EDPB : rôle et missions du Comité européen de la protection des données — Contrôle RGPD : comment se déroule un contrôle CNIL — RGPD : guide complet du règlement européen

25 avril 2026 — Etats-Unis : nouveau projet fédéral de privacy, SECURE Data Act

Les republicains de la Chambre des representants americaine ont devoile le 22 avril 2026 deux propositions de loi federales destinees a uniformiser le droit americain de la vie privee : le SECURE Data Act, qui couvre la collecte et le traitement des donnees par les entreprises technologiques, et le GUARD Financial Data Act, dedie aux institutions financieres et destine a moderniser le Gramm-Leach-Bliley Act de 1999. Les textes creent un standard federal unique qui prevaut sur les lois etat par etat (preemption explicite, y compris sur la California Consumer Privacy Act et la legislation du Maryland) et instituent des droits d'acces, de rectification, de suppression, de portabilite et d'opposition au ciblage publicitaire et a la vente de donnees, un consentement parental pour les mineurs, ainsi qu'un registre federal des courtiers en donnees. La structure controleur/sous-traitant et le principe de minimisation y figurent, mais l'application est confiee a la Federal Trade Commission et aux procureurs generaux des Etats, sans droit d'action prive. Les deux propositions ne sont pas bipartisanes a ce stade, ce qui rend leur adoption incertaine. Pour les responsables de traitement europeens, ce dossier est a suivre car toute reforme du cadre federal americain de la vie privee a un effet direct sur l'evaluation de l'adequation au sens de l'article 45 du RGPD et sur l'appreciation des transferts au sens des articles 46 et 49, deja sous tension apres le contentieux EU-US Data Privacy Framework.

Ce que ca change pour vous : surveillez l'avancement du SECURE Data Act dans votre veille transferts et maintenez vos clauses contractuelles types americaines a jour, l'adequation actuelle pourrait etre rediscutee en 2026. Décision d'adéquation UE-États-Unis : une grande avancée pour la conformité RGPD — Privacy Shield : les nouvelles règles de transfert de données vers les États-Unis — Transferts de données hors UE : règles et garanties

25 avril 2026 — Sanctions RGPD : 68 M€ au T1 2026, hausse marquée

Selon un decompte publie le 24 avril 2026, les autorites de controle europeennes ont prononce 68,18 millions d'euros d'amendes RGPD au premier trimestre 2026, contre 13,8 millions sur la meme periode en 2025, soit une hausse de pres de 400 %. Cette acceleration est principalement portee par la France et le Royaume-Uni, qui concentrent l'essentiel du montant agrege via plusieurs decisions a forte exposition mediatique. Le rappel intervient dans la continuite du panorama 2025 publie en janvier par DLA Piper, qui chiffrait deja a environ 1,2 milliard d'euros le total des amendes notifiees en 2025 a l'echelle europeenne, avec une concentration historique autour de la Data Protection Commission irlandaise (4,04 milliards d'euros cumules depuis l'entree en application du RGPD). Au-dela des montants, ces chiffres confirment trois tendances de fond : une poursuite des sanctions sur les manquements structurels (registre des activites de traitement, base legale du marketing, securite au sens de l'article 32), un retour des decisions sur la transparence et l'information des personnes (articles 12 a 14), et un alignement progressif des autorites sur le bareme harmonise adopte par le Comite europeen de la protection des donnees en 2023. Pour les directions juridiques et conformite, ce trimestre confirme que les controles ne se contentent plus des seuls cas de violation grave : les manquements de gouvernance documentaire (registre, AIPD, contrats de sous-traitance) suffisent aujourd'hui a declencher des sanctions a six chiffres.

Ce que ca change pour vous : programmez sans attendre une revue annuelle du registre des activites de traitement et de la base legale de chacune de vos campagnes marketing, ce sont les premiers points sanctionnes. RGPD : 29 décisions de sanction le mois dernier — Sanctions CNIL 2026 : analyse et enseignements — Registre des activités de traitement : modèle et obligations

24 avril 2026 — ICO (UK) : consultation sur les décisions automatisées et l'IA en recrutement

L'Information Commissioner's Office (ICO) britannique a lance le 31 mars 2026 une consultation publique sur un projet de guide consacre aux decisions automatisees, y compris le profilage, accompagne d'un rapport sectoriel sur l'usage de ces systemes en recrutement. La consultation, rapportee le 24 avril par Covington Inside Privacy, reste ouverte jusqu'au 29 mai 2026. Le projet est la premiere interpretation detaillee par l'ICO de la reforme introduite par le Data (Use and Access) Act : les decisions automatisees passent formellement d'une interdiction assortie d'exceptions a un droit de contestation assorti de garanties. L'ICO retient une lecture large de la notion de 'decision' et integre au perimetre les systemes dont l'impact depend du contexte (gel de compte bancaire, refus de service). Le regulateur reaffirme l'exigence d'une intervention humaine significative, precisant qu'un humain ayant concu l'algorithme ne constitue pas en soi un controle humain. Il prohibe l'usage de la nouvelle base legale d''interet legitime reconnu' pour les traitements entierement automatises, et rappelle l'obligation d'AIPD. Le rapport recrutement recoupe directement le classement en systeme d'IA a haut risque de l'annexe III de l'AI Act pour les outils de tri de candidatures. Pour les entreprises francaises qui utilisent ces solutions, le regime de l'article 22 du RGPD reste le cadre applicable, mais les grilles d'analyse de l'ICO prefigurent les questions que la CNIL posera en cas de controle.

Ce que ca change pour vous : si vous utilisez un outil algorithmique de tri de candidatures ou de scoring client, documentez l'intervention humaine reelle, la base legale retenue et l'AIPD avant votre prochain audit. Décisions automatisées : article 22 RGPD — IA et recrutement : cadre légal et discrimination — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

24 avril 2026 — CNIL : recommandation vote électronique mise à jour après consultation

La Commission nationale de l'informatique et des libertes (CNIL) a publie le 24 avril 2026 une version actualisee de sa recommandation sur la securite des systemes de vote par correspondance electronique, a l'issue d'une consultation publique. Le texte precise le cadre applicable aux responsables de traitement qui recourent a un dispositif de vote a distance (elections professionnelles, elections des representants du personnel, consultations internes, scrutins associatifs ou syndicaux). La CNIL reaffirme trois objectifs de meme niveau : securite, confidentialite et sincerite du scrutin. Le document decline des exigences operationnelles sur l'authentification des electeurs, le chiffrement de bout en bout des bulletins, l'audit du code, la tenue d'un expert independant et la journalisation. Ces attendus renvoient directement a l'article 32 du RGPD sur la securite du traitement et a l'article 25 sur la protection des donnees des la conception. Les traitements de vote electronique restent par ailleurs soumis a analyse d'impact prealable au titre de l'article 35 du RGPD, la CNIL les ayant inscrits sur sa liste des traitements obligatoirement soumis a AIPD.

Ce que ca change pour vous : si vous organisez une election professionnelle ou un scrutin interne, reouvrez votre AIPD et confrontez le cahier des charges de votre prestataire aux nouveaux criteres avant toute signature. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — AIPD : guide complet analyse d'impact RGPD

23 avril 2026 — Parcoursup : fuite de 705 000 dossiers, détection six mois après les faits

Le ministère de l'Enseignement supérieur a confirmé le 23 avril 2026 qu'une usurpation frauduleuse d'un compte du module de gestion Parcoursup de la région académique d'Occitanie a conduit au vol des données personnelles d'environ 705 000 candidats. Les données concernées incluent nom, prénom, nationalité, date de naissance, adresse postale et e-mail, téléphone, parcours de formation, statut boursier et, pour les mineurs, la catégorie socio-professionnelle des responsables légaux. L'intrusion remonte à octobre 2025 mais n'a été identifiée qu'en mars 2026, soit six mois plus tard, bien au-delà du délai de 72 heures prévu à l'article 33 du RGPD pour la notification à la CNIL. Le ministère indique avoir notifié la CNIL, informé individuellement les personnes concernées et déposé plainte auprès du parquet de Paris. L'épisode s'inscrit dans une série récente de fuites touchant des SI publics français (ÉduConnect, Compas, ANTS/France Titres) et interroge la supervision opérationnelle des comptes à privilège dans les modules académiques déportés.

Ce que ça change pour vous : auditez vos processus de détection d'accès anormaux (SIEM, revue des comptes à privilège, MFA) et vérifiez que vos procédures internes permettent de qualifier une violation et de notifier la CNIL dans les 72 heures, même lorsque l'incident se produit chez un sous-traitant ou dans un module déporté. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

23 avril 2026 — Apple corrige la faille CVE-2026-28950 exploitee par le FBI sur Signal

Apple a publie le mercredi 22 avril 2026 une mise a jour d'urgence d'iOS et iPadOS pour corriger la vulnerabilite CVE-2026-28950, qui permettait a des outils forensiques d'extraire d'un iPhone les contenus de messages Signal pourtant effaces. D'apres Next.ink, TechCrunch, Schneier on Security et 404 Media, le FBI a exploite cette faiblesse dans une procedure penale recente : les notifications marquees pour suppression etaient conservees de maniere inattendue dans la base locale de notifications push de l'appareil, meme apres desinstallation de l'application. La correction modifie la gestion du cycle de vie de ces notifications. Pour les responsables de traitement qui outillent leurs collaborateurs avec des iPhones professionnels, cet episode rappelle les obligations de l'article 32 du RGPD en matiere de confidentialite et de resistance des terminaux, ainsi que l'exigence de tenir a jour le parc informatique. Il croise egalement les obligations de gestion des vulnerabilites prevues a l'article 21 de la directive NIS2 pour les entites essentielles et importantes, et illustre la limite technique du chiffrement de bout en bout lorsque le terminal lui-meme fuit des metadonnees ou des contenus via des composants systeme.

Ce que ca change pour vous : declenchez une campagne de mise a jour des iPhones professionnels vers la version corrigee et tracez l'application du correctif dans votre politique de gestion des vulnerabilites. Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Chiffrement des donnees : obligations et bonnes pratiques — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

23 avril 2026 — Health Data Hub : Scaleway remplace Microsoft Azure

La ministre de la Sante, Stephanie Rist, a annonce le jeudi 23 avril 2026 la selection de Scaleway (groupe iliad) par la Plateforme des donnees de sante (Health Data Hub, HDH) pour remplacer l'hebergement historique chez Microsoft Azure. L'information, revelee la veille au soir par Politico puis confirmee par communique du HDH et par ZDNet, Next.ink et DSIH, met fin a pres de cinq annees de tensions reglementaires autour du recours a un hyperscaler americain pour le hebergement des donnees de sante francaises. Le choix de Scaleway s'inscrit dans la strategie nationale de cloud de confiance et reaffirme la priorite donnee aux solutions qualifiees SecNumCloud par l'ANSSI pour les donnees les plus sensibles. Sur le plan RGPD, cette migration repond aux inquietudes exprimees de longue date par la CNIL et le CEPD sur les risques d'acces extraterritoriaux au titre du CLOUD Act et du FISA 702, et elle touche directement aux obligations de securite de l'article 32 du RGPD, a la base legale des traitements de recherche fondes sur l'article 9(2)(j) pour les donnees de sante, ainsi qu'au regime de transfert des articles 44 et suivants. Les responsables de traitement qui s'appuient sur des extractions du HDH ou sur des environnements de recherche hebergees par la plateforme devront mettre a jour leur documentation de sous-traitance (article 28), leurs analyses d'impact (article 35) et leurs informations aux personnes concernees (article 13).

Ce que ca change pour vous : si votre organisation utilise les donnees du HDH ou prevoit un projet de recherche sur la plateforme, anticipez la mise a jour de vos conventions de sous-traitance, de vos AIPD et de vos mentions d'information avant la bascule technique. Transfert de donnees hors UE : mecanismes RGPD — SecNumCloud : la qualification ANSSI du cloud de confiance — RGPD et cloud : obligations AWS, Azure, GCP

23 avril 2026 — AEPD : lignes directrices sur la transcription vocale par IA et le RGPD

L'Agence espagnole de protection des données (AEPD) a publié le 20 avril 2026 des lignes directrices sur la conformité RGPD des outils de transcription vocale alimentés par intelligence artificielle. Le document, relayé par Covington Inside Privacy le 22 avril 2026, prolonge une première note publiée en janvier 2026. L'AEPD confirme que la voix constitue généralement une donnée à caractère personnel, sauf anonymisation effective ou voix purement synthétique, et rappelle que les métadonnées et le contenu transcrit peuvent également être personnels. L'organisation qui déploie un outil de transcription (interne ou tiers) agit comme responsable de traitement au sens du RGPD, avec les obligations associées : choix diligent du fournisseur, information claire sur les traitements ultérieurs, garanties de confidentialité, mesures de sécurité, réentraînement des modèles, durées de conservation et minimisation, et respect de l'article 28 pour les contrats de sous-traitance. L'AEPD impose une approche par les risques autour de quatre axes opérationnels : gouvernance continue, transparence active pendant l'enregistrement (indicateur visible, signal sonore ou lumineux), due diligence renforcée sur les fournisseurs, et gestion proactive des erreurs de transcription. Les outils qui infèrent des émotions, des opinions, des données de santé ou des identifiants biométriques relèvent par ailleurs des systèmes d'IA à haut risque voire des pratiques interdites au sens du règlement IA européen.

Ce que ça change pour vous : si vos équipes utilisent la transcription vocale par IA (prise de notes en réunion, support client, comptes rendus médicaux), cartographiez le traitement au registre, vérifiez la base légale, l'information des personnes, les clauses article 28 du sous-traitant et la durée de conservation, et réalisez une AIPD si vous inférez des caractéristiques sensibles ou traitez des volumes importants. IA et CNIL : recommandations pratiques 2025-2026 — AIPD : guide complet analyse d'impact RGPD (2026) — Registre des systèmes IA : obligation et modèle

23 avril 2026 — CEPD : lignes directrices recherche scientifique et mise à jour Europrivacy

La CNIL a relayé le 22 avril 2026 les derniers documents adoptés lors de la plénière du Comité européen de la protection des données (CEPD / EDPB). Le CEPD a publié un projet de lignes directrices consacré au traitement de données personnelles à des fins de recherche scientifique, qui précise la notion même de « recherche scientifique » au sens du RGPD et identifie six facteurs indicatifs à examiner pour qualifier un traitement (nature des travaux, cadre méthodologique, finalités, contexte, publication des résultats et bénéfice pour la société). Les lignes directrices clarifient également les articulations entre recherche scientifique et principes des articles 5 et 6 du RGPD, les finalités ultérieures, ainsi que les garanties prévues par l'article 89. Elles sont ouvertes à consultation publique jusqu'au 25 juin 2026. Lors de la même plénière, le CEPD a approuvé la mise à jour des critères du label européen Europrivacy en tant que mécanisme de certification au titre de l'article 42 du RGPD, ce qui actualise le référentiel utilisé par les responsables de traitement et sous-traitants pour démontrer leur conformité.

Ce que ça change pour vous : si vos traitements s'appuient sur la qualification de « recherche scientifique » (études cliniques, sciences humaines, R&D, études de cohortes), passez en revue vos bases légales, vos durées de conservation et vos mesures de sécurité au regard des nouvelles exigences, et envisagez une contribution à la consultation publique avant le 25 juin. Pour les organisations qui visent une certification, intégrez le nouveau référentiel Europrivacy dans votre feuille de route. Base légale RGPD : les 6 fondements juridiques — RGPD et consentement : tout ce que vous devez savoir — Intérêt légitime RGPD : quand et comment l'utiliser

22 avril 2026 — DGSI : note d'alerte sur les logiciels et applications étrangers

Incyber News et Siècle Digital ont relayé, le 22 avril 2026, la prépublication d’une note de la Direction générale de la sécurité intérieure (DGSI) adressée aux entreprises, instituts de recherche et administrations. La note, d’abord révélée par Franceinfo le 17 avril, alerte sur les « vulnérabilités régulièrement sous-estimées » des applications et logiciels étrangers utilisés en France, en citant des cas concrets anonymisés dans lesquels une messagerie, un outil de visioconférence ou une solution d’IA servaient de vecteur d’espionnage industriel. Le document cible explicitement les messageries instantanées, les outils de visioconférence, les solutions d’IA et les services de stockage, et préconise d’évaluer la réputation du fournisseur avant tout déploiement, de mettre en œuvre une politique de restrictions logicielles sur les postes professionnels, et de privilégier des solutions françaises ou hébergées en France, idealement qualifiées SecNumCloud par l’ANSSI ou porteuses du label « France Cybersecurity ». Sur le terrain du RGPD, l’avis recoupe les obligations de sécurité de l’article 32, les exigences contractuelles de l’article 28 sur les sous-traitants, et le cadre des articles 44 à 49 en cas de transfert hors UE. Il rejoint également les obligations de gestion de la chaîne d’approvisionnement logicielle imposées par l’article 21 de la directive NIS2 aux entités essentielles et importantes.

Ce que ça change pour vous : révisez votre cartographie des outils collaboratifs en y intégrant le pays d’édition, l’hébergement effectif et les qualifications existantes (SecNumCloud, label France Cybersecurity), et intégrez ces critères dans vos procédures d’achat et vos clauses avec les sous-traitants. SecNumCloud : la qualification ANSSI du cloud de confiance — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement — Transfert données hors UE : mécanismes RGPD

22 avril 2026 — Meta : surveillance clics/clavier des salariés pour entraîner ses IA

Silicon.fr a relayé le 22 avril 2026 une note interne de Meta annonçant à ses salariés américains, le 21 avril, le déploiement d’un outil baptisé « Model Capability Initiative » (MCI). L’outil enregistre les mouvements de souris, les clics, les frappes au clavier et des captures d’écran ponctuelles sur une liste définie d’applications professionnelles (Gmail, GChat, Metamate, VSCode), uniquement sur les ordinateurs fournis par l’entreprise, pour alimenter les modèles d’IA maison en données comportementales. D’après Business Insider, cité par Silicon, le CTO Andrew Bosworth a indiqué aux salariés qu’il n’existe pas de mécanisme d’opt-out. Le programme est limité, pour l’instant, au territoire américain. Dans l’Union européenne, un dispositif équivalent soulèverait la question de la base légale de l’article 6 du RGPD, de la minimisation au sens de l’article 5, et des garanties spécifiques au contexte professionnel prévues à l’article 88. La doctrine de la CNIL et du CEPD en matière de surveillance des salariés impose une information préalable détaillée (article 13), la consultation des instances représentatives, et une AIPD (article 35) en raison de la surveillance systématique à grande échelle. L’usage de ces données pour entraîner un modèle d’IA ajoute une finalité distincte, soumise au principe de limitation des finalités et susceptible d’ouvrir des obligations au titre du règlement IA européen.

Ce que ça change pour vous : avant d’envisager un tel dispositif sur les postes de vos collaborateurs en Europe, définissez une base légale défendable, réalisez une AIPD détaillée, consultez le CSE et prévoyez explicitement une finalité distincte pour tout réemploi des données à des fins d’entraînement de modèles. Données personnelles et droit du travail — AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

22 avril 2026 — HexDex interpellé en Vendée : enquête sur la vague de fuites françaises

Un homme de 22 ans, soupçonné d’être le pirate informatique connu sous le pseudonyme « HexDex », a été interpellé le lundi 20 avril 2026 en Vendée, selon les informations relayées par Next.ink, Franceinfo, le Parisien et l’AFP, et confirmées le 22 avril par 01net. Son matériel informatique a été saisi. Le parquet avait ouvert une enquête pour atteinte à un système de traitement automatisé de données après plus d’une centaine de signalements d’exfiltration depuis décembre 2025. HexDex revendique près de quarante intrusions publiées sur des forums spécialisés, notamment contre plusieurs fédérations sportives, le Système d’information sur les armes (SIA) du ministère de l’Intérieur, l’Agence nationale de la cohésion des territoires (ANCT) et la plateforme Choisir le service public. Cette interpellation intervient au lendemain de la confirmation, par l’ANTS, d’une fuite portant jusqu’à 19 millions d’enregistrements d’identité (données relayées par TechRadar et BleepingComputer le 21 avril 2026), et confirme que les opérations de ce profil relevaient d’un acteur unique et lucratif. Pour les responsables de traitement visés par l’une des campagnes revendiquées par HexDex, l’enquête pénale n’exonère pas des obligations de notification de violation à la CNIL (article 33 du RGPD) ni de communication aux personnes concernées (article 34 du RGPD). Le dossier illustre également les exigences de sécurité de l’article 32 du RGPD et, pour les entités essentielles ou importantes, celles de l’article 21 de la directive NIS2.

Ce que ça change pour vous : si votre organisation figure parmi les cibles revendiquées ou soupçonne une compromission liée à cette série, documentez votre analyse d’incident, préservez les traces techniques utiles à la procédure, et vérifiez que la notification à la CNIL dans les 72 heures et la communication aux personnes concernées ont bien été effectuées. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

22 avril 2026 — AEPD : 200 000 € contre une VTC pour 4 apps sur smartphones personnels

L’Autorité espagnole de protection des données (AEPD) a prononcé une amende de 200 000 euros à l’encontre d’une entreprise de VTC pour avoir imposé à ses chauffeurs l’installation de quatre applications distinctes sur leurs téléphones personnels afin d’exercer leur activité, selon l’information relayée par Confilegal le 22 avril 2026. L’AEPD considère que cette configuration contrevient aux principes fondamentaux du RGPD : la collecte de données via des appareils personnels de travailleurs, sans alternative professionnelle ni encadrement strict, n’est ni minimisée ni proportionnée à la finalité d’organisation du travail. L’autorité pointe également l’absence de base légale suffisante pour imposer l’usage du terminal personnel du salarié, et un défaut d’information des personnes concernées sur les traitements opérés par chacune des applications. Cette décision s’inscrit dans la ligne de plusieurs sanctions européennes récentes sur la surveillance des travailleurs via leurs appareils mobiles (voir notamment l’amende de 12,5 M€ du Garante contre Poste Italiane / Postepay annoncée le 20 avril 2026) et rappelle les limites du BYOD imposé dans le cadre salarié.

Ce que ça change pour vous : si vos collaborateurs doivent utiliser leur smartphone personnel avec des applications métier, documentez précisément la base légale, réalisez une AIPD, proposez une alternative (terminal professionnel) et limitez strictement les données collectées via ces applications au minimum nécessaire. Le principe de minimisation imposé par le RGPD — Base légale RGPD : les 6 fondements juridiques — Données personnelles et droit du travail

21 avril 2026 — App UE vérification d'âge : chercheurs alertent sur des failles de conception

Quelques jours après l'annonce, le 15 avril 2026, par Ursula von der Leyen que l'application européenne de vérification d'âge était « techniquement prête », des chercheurs en sécurité ont identifié plusieurs failles dans son code open-source. Le chercheur Paul Moore et le hackeur éthique Baptiste Robert (Predicta Lab) ont documenté, sur la version Android, deux défauts notables : le code PIN de l'utilisateur est stocké chiffré (plutôt que sous forme d'empreinte irréversible), et il n'est pas techniquement lié aux données qu'il est censé protéger. Un attaquant disposant d'un accès physique au smartphone peut ainsi modifier la configuration locale pour réinitialiser le code PIN et accéder à l'identité stockée, ou désactiver l'authentification biométrique en altérant un simple paramètre. Olivier Blazy, professeur à l'École polytechnique ayant travaillé avec la CNIL sur un démonstrateur de vérification d'âge, tempère l'impact : le scénario d'attaque réaliste se limite à un accès physique à l'appareil. Le calendrier de correctifs par la Commission n'est pas précisé. Cette application s'inscrit dans la mise en œuvre de l'article 28 du DSA sur la protection des mineurs en ligne et doit, par ailleurs, respecter les principes de minimisation et de sécurité du RGPD.

Ce que ça change pour vous — si vous prévoyez d'intégrer ce dispositif européen dans votre parcours utilisateur (plateforme de contenu, service en ligne réservé aux majeurs), documentez dans votre analyse d'impact les limites connues de l'app et prévoyez une mesure compensatoire en cas d'accès non autorisé à l'appareil de l'utilisateur. RGPD et consentement : tout ce que vous devez savoir — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — La CNIL annonce son plan stratégique 2025-2028

21 avril 2026 — CNIL : webinaire sur le ciblage électoral pour les municipales 2026

La CNIL a mis en ligne le 20 avril 2026 le replay de son webinaire consacré aux nouvelles règles de ciblage électoral dans la perspective des élections municipales 2026. L'autorité y décrypte les exigences applicables aux partis, candidats et prestataires qui mettent en œuvre des traitements de communication politique : base légale du traitement, information des personnes, conditions de collecte et d'utilisation des fichiers électoraux, exploitation des données issues des réseaux sociaux, recours aux plateformes de ciblage et aux courtiers en données. Le webinaire rappelle les principes dégagés par la doctrine CNIL en matière de prospection politique : interdiction d'utiliser des données sensibles sans consentement explicite (article 9 RGPD), obligation d'une information claire au sens de l'article 13 RGPD, respect du droit d'opposition, et encadrement strict de l'utilisation des listes issues de sources tierces. La CNIL annonce par ailleurs qu'elle intensifiera ses contrôles sur le sujet au cours de la campagne.

Ce que ça change pour vous — si votre structure (parti, association locale, prestataire) envisage une campagne de communication électorale, révisez dès à présent vos mentions d'information, vos bases légales et vos contrats de sous-traitance marketing en intégrant les nouvelles règles rappelées par la CNIL. RGPD et consentement : tout ce que vous devez savoir — L'achat de données de prospection impose des vérifications au titre du RGPD — Mise en conformité RGPD : guide complet pour les PME

21 avril 2026 — ANTS piratée : données d'identité de millions d'usagers, parquet saisi

Le ministère de l'Intérieur a confirmé, le 20 avril 2026, que l'Agence nationale des titres sécurisés (ANTS), qui gère en France la délivrance des cartes nationales d'identité, passeports et permis de conduire, a été victime d'une cyberattaque ayant conduit à la consultation illégale de données à caractère personnel. Selon les premières informations relayées par Silicon.fr et InCyber News, les données exposées portent sur des éléments d'identification (nom, prénom, adresse email, date de naissance, identifiant de compte et, dans certains cas, adresse postale ou numéro de téléphone) de millions d'usagers, les pièces justificatives transmises lors des démarches n'étant pas concernées. L'attaque aurait été détectée cinq jours avant l'annonce publique, un délai signalé par Siècle Digital. Un signalement a été adressé au parquet de Paris et une enquête est ouverte ; les investigations techniques se poursuivent. Les personnes concernées sont contactées individuellement. L'ANTS étant responsable de traitement au sens du RGPD, l'incident déclenche l'obligation de notification à la CNIL dans les 72 heures (article 33 RGPD) ainsi qu'une communication aux personnes concernées en cas de risque élevé (article 34 RGPD). Les données divulguées exposent mécaniquement les usagers à des campagnes de phishing ciblées et à des tentatives d'usurpation d'identité.

Ce que ça change pour vous — si vous êtes responsable de traitement et gérez des données d'identification équivalentes, vérifiez vos propres mesures de contrôle d'accès, de journalisation et de détection d'anomalie, et assurez-vous que votre procédure interne de notification CNIL à 72 heures et d'information des personnes concernées (articles 33 et 34 RGPD) est effectivement testée. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

20 avril 2026 — Garante : 12,5 M€ contre Poste Italiane et Postepay (surveillance mobile)

L'autorité italienne de protection des données (Garante) a annoncé le 20 avril 2026 avoir infligé une amende de 6 624 000 € à Poste Italiane SpA et de 5 877 000 € à sa filiale de paiement Postepay SpA, soit plus de 12,5 millions d'euros au total, pour traitement illicite des données personnelles de millions d'utilisateurs. L'enquête, ouverte en avril 2024 après de nombreuses plaintes, visait le fonctionnement des applications BancoPosta et Postepay, qui exigeaient l'autorisation de surveiller les appareils mobiles (applications installées et en cours d'exécution) au motif de détecter des logiciels malveillants. Le Garante a jugé cette intrusion « excessivement invasive » et disproportionnée par rapport à la finalité de prévention de la fraude. L'autorité relève également des informations aux personnes insuffisantes, l'absence d'analyse d'impact relative à la protection des données (AIPD), des mesures de sécurité et une politique de conservation inadéquates, ainsi que des irrégularités dans la désignation des responsables du traitement. Poste Italiane conteste la décision et a annoncé un recours devant le tribunal de Rome.

Ce que ça change pour vous : si votre application mobile collecte des données techniques de l'appareil (liste d'applications, comportement système) au titre de la sécurité, documentez strictement la nécessité et la proportionnalité, réalisez une AIPD préalable et limitez la collecte au strict minimum. RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — RGPD deux amendes record (203 millions, 110 millions d'euros) — AIPD : guide complet analyse d'impact RGPD (2026)

19 avril 2026 — Décret 2026-295 : contrôle unique agricole, traitement dédié créé

Le décret n° 2026-295 du 17 avril 2026, publié au Journal officiel du 19 avril, crée dans chaque département une instance chargée de coordonner les contrôles administratifs menés sur place dans les exploitations agricoles et met en place le traitement de données à caractère personnel associé. L'objectif affiché est de concrétiser l'engagement d'un contrôle unique annuel par exploitation. Le texte précise la nature des données traitées — identité des exploitants, objet et résultats des contrôles, mission préfectorale interservices — et les modalités de leur partage entre administrations. Les contrôles fiscaux, de sécurité sociale, de police administrative et d'inspection du travail restent hors du périmètre de coordination. Le traitement relève des articles 5 et 6 du RGPD, qui imposent une base légale explicite et le principe de minimisation des données partagées entre services de l'État.

Ce que ça change pour vous : si vous conseillez un exploitant agricole ou une coopérative, documentez désormais dans votre registre les flux de données remontés vers la mission interservices et vérifiez les mentions d'information fournies aux personnes contrôlées. Base légale RGPD : les 6 fondements juridiques — Registre des traitements : modèle Excel et guide

19 avril 2026 — Vérification d'âge : l'application européenne désormais disponible

Le 16 avril 2026, Ursula von der Leyen a annoncé la disponibilité opérationnelle de l'application européenne de vérification d'âge, présentée comme un outil clé pour la protection des mineurs en ligne dans le cadre du DSA. L'application repose sur un mécanisme de preuve d'âge dissociée de l'identité : les plateformes ne reçoivent qu'une attestation binaire 'majeur/mineur' et non les données d'état civil, ce qui limite en principe la collecte au titre du RGPD. Toutefois, des chercheurs en sécurité relayés par la presse spécialisée indiquent avoir contourné le dispositif en quelques minutes, ravivant le débat sur la robustesse technique des systèmes de vérification d'âge et sur le risque de collecte disproportionnée de données d'identité chez les intégrateurs. L'articulation avec l'article 8 du RGPD (consentement des mineurs) reste à préciser par les autorités de contrôle nationales.

Ce que ça change pour vous : si vous exploitez une plateforme accessible aux mineurs, testez l'intégration de l'application et documentez la chaîne de traitement des attestations d'âge dans votre registre RGPD. RGPD : guide complet de la conformité

19 avril 2026 — CNIL : recommandations finales sur les pixels de suivi dans les courriels

La CNIL a publié le 17 avril 2026 la version finale de ses recommandations sur les pixels de suivi insérés dans les courriels, au terme de sa consultation publique. L'autorité confirme que l'écriture et la lecture d'un pixel traceur sur le terminal du destinataire constituent un accès à des informations stockées sur l'équipement terminal et relèvent donc du cadre de l'article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy). La CNIL exige un consentement préalable libre, éclairé et spécifique, et une information renforcée du destinataire sur la finalité du suivi. Côté opérationnel, les outils d'email marketing doivent désormais tracer le recueil de consentement, permettre un retrait simple et bloquer le dépôt du pixel à défaut de consentement. Les responsables de traitement restent solidairement responsables avec leurs prestataires d'envoi.

Ce que ça change pour vous : auditez dès maintenant vos plateformes d'envoi (Mailchimp, Brevo, Salesforce…) pour vérifier que les pixels de suivi ne se déclenchent qu'après consentement valable et mettez à jour vos mentions d'information au moment du recueil. Email marketing et RGPD : règles, consentement et sanctions — Prospection commerciale B2B et RGPD — Taux de consentement cookies : benchmarks 2026

14 avril 2026 — CEPD : action coordonnée 2026 sur la transparence lancée

Le Comité européen de la protection des données (CEPD) a officiellement lancé le volet opérationnel de son action coordonnée 2026 (CEF 2026) portant sur les obligations de transparence et d'information au titre des articles 12, 13 et 14 du RGPD. Vingt-cinq autorités de protection des données participent à cette initiative qui prévoit l'envoi de questionnaires standardisés aux responsables de traitement de tous secteurs. Selon les pays, les contrôles prendront la forme de vérifications aléatoires ou d'audits formels ciblés, avec examen systématique des politiques de confidentialité et documents d'information. Cette action fait suite au CEF 2025 consacré au droit à l'effacement. Les premières conclusions sont attendues fin 2026.

Ce que ça change pour vous : révisez immédiatement vos mentions d'information et politiques de confidentialité pour garantir leur conformité aux articles 12 à 14 du RGPD avant les contrôles. Article 12 RGPD : Obligations de Transparence et Exemples — Le responsable de traitement : rôle et obligations

16 avril 2026 — CNIL-HAS : clôture de la consultation sur l'IA en santé

La consultation publique lancée conjointement par la CNIL et la Haute Autorité de Santé (HAS) sur le projet de guide « IA en contexte de soins » s'est clôturée le 16 avril 2026. Ce guide de bonnes pratiques comprend dix fiches couvrant l'ensemble du cycle de vie d'un système d'IA en établissement de santé — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et les spécificités de l'IA générative. Il s'adresse aux professionnels et établissements de santé de toute taille, et vise à clarifier le cadre juridique applicable à l'intersection du RGPD, de l'AI Act et du code de la santé publique. Les associations de patients et fournisseurs de systèmes d'IA étaient également invités à contribuer.

Ce que ça change pour vous : les établissements de santé utilisant ou envisageant des systèmes d'IA doivent suivre la publication du guide définitif pour adapter leur gouvernance et leurs processus de conformité. IA et CNIL : recommandations pratiques 2025-2026 — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

14 avril 2026 — Basic-Fit : 1 million de membres exposés, données bancaires compromises

Le géant néerlandais du fitness Basic-Fit a confirmé le 14 avril 2026 une violation de données touchant environ 1 million de membres dans six pays européens (Pays-Bas, Belgique, Luxembourg, France, Espagne, Allemagne). Les données exposées comprennent noms, adresses, e-mails, numéros de téléphone, dates de naissance et coordonnées bancaires. L'intrusion a ciblé le système d'enregistrement des visites en salle. L'accès non autorisé a été stoppé en quelques minutes, mais les attaquants avaient déjà exfiltré un volume significatif de données. Basic-Fit a notifié l'Autoriteit Persoonsgegevens (autorité néerlandaise) conformément au RGPD et a informé individuellement les membres concernés. L'incident soulève des questions sur la proportionnalité des données collectées — la conservation de données bancaires dans un système de pointage des visites interroge le principe de minimisation.

Ce que ça change pour vous : vérifiez la proportionnalité des données collectées dans vos systèmes de gestion des accès physiques — les coordonnées bancaires n'ont pas à y figurer. Notification violation données CNIL : procédure 72h — DORA et RGPD : gérer les incidents données personnelles

14 avril 2026 — Booking.com : violation de données clients, réservations compromises

Booking.com a notifié le 13 avril 2026 une violation de données affectant les informations de réservation de ses clients. Des tiers non autorisés ont accédé aux noms, adresses, dates de réservation, e-mails, numéros de téléphone et messages aux hôtels. L'attaque a exploité la technique ClickFix — un hameçonnage ciblant les employés d'hôtels partenaires pour installer un malware. La plateforme a forcé la réinitialisation des codes PIN de toutes les réservations concernées. Les données financières ne seraient pas affectées selon l'entreprise. Booking.com avait déjà été sanctionnée à hauteur de 475 000 € par l'autorité néerlandaise en 2021 pour notification tardive d'une précédente violation. L'ampleur exacte de cet incident n'a pas encore été communiquée.

Ce que ça change pour vous : les entreprises ayant recours à des plateformes de réservation doivent vérifier leurs obligations de notification au titre de l'article 33 RGPD en cas de compromission de données via un sous-traitant. Notification violation données CNIL : procédure 72h

14 avril 2026 — CEPD : modèle harmonisé d'AIPD adopté, consultation ouverte

Le Comité européen de la protection des données (CEPD) a adopté le 14 avril 2026 un modèle harmonisé d'analyse d'impact relative à la protection des données (AIPD), conformément à la déclaration d'Helsinki. Ce modèle, accompagné d'un document explicatif, vise à structurer et uniformiser la conduite des AIPD dans l'ensemble de l'Union européenne. Bien que son utilisation ne soit pas obligatoire, il fournit des champs prédéfinis couvrant l'ensemble des exigences de l'article 35 du RGPD. Une consultation publique est ouverte jusqu'au 9 juin 2026 sur le site du CEPD. À l'issue de cette consultation, chaque autorité de contrôle pourra adopter ce modèle comme standard unique ou comme méta-modèle alignant les templates nationaux existants.

Ce que ça change pour vous : anticipez dès maintenant l'adoption de ce modèle en comparant votre processus AIPD actuel avec la structure proposée par le CEPD. AIPD : guide complet analyse d'impact RGPD — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

13 avril 2026 — CNIL et ANSSI : premier atelier public de l'outil d'audit IA PANAME

La CNIL, l'ANSSI, le PEReN et Inria organisent le 13 avril 2026 un atelier hybride réunissant les acteurs ayant répondu à l'appel à manifestation d'intérêt pour tester la librairie PANAME (Privacy Auditing of AI Models). Cet outil open source, dont la publication est prévue à l'automne 2026, permettra de réaliser des tests d'extraction et de réidentification de données sur les modèles d'IA afin d'évaluer leur conformité au RGPD. Le projet vise à unifier la façon dont la confidentialité des modèles est évaluée, un enjeu majeur à l'approche de l'échéance haut risque de l'AI Act (2 août 2026).

Ce que ça change pour vous — Si vous entraînez ou déployez des modèles d'IA, surveillez la publication de PANAME à l'automne 2026 : cet outil deviendra probablement la référence pour les audits CNIL de conformité des modèles. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et CNIL : recommandations pratiques 2025-2026

13 avril 2026 — GPEN : la vie privée des enfants en ligne reste insuffisante

Le rapport du Global Privacy Enforcement Network (GPEN), publié en mars 2026, révèle que la protection de la vie privée des enfants en ligne a peu progressé en dix ans. L'audit coordonné par 27 autorités mondiales, dont la CNIL, a examiné 876 sites web et applications utilisés par des mineurs. Résultat : seuls 45 % disposent d'un mécanisme de contrôle de l'âge, et parmi ceux-ci, 90 % reposent sur une simple déclaration volontaire. Plus préoccupant : 38 % des services analysés présentent des éléments de conception à haut risque pour les enfants, dont 24 % sans aucune vérification d'âge. Le rapport note également une augmentation des services exigeant des données personnelles pour un accès complet et partageant ces informations avec des tiers.

Ce que ça change pour vous — Vérifiez que vos services accessibles aux mineurs intègrent un mécanisme de contrôle d'âge fiable et des paramètres de confidentialité protecteurs par défaut, conformément aux recommandations du plan stratégique CNIL 2025-2028 sur les mineurs. Plan stratégique CNIL 2025-2028

13 avril 2026 — AEPD : 12 000 € pour usage non conforme de Google Workspace en école

L'autorité espagnole de protection des données (AEPD) a sanctionné le Holy Mary Catholic School d'une amende de 12 000 € (réduite après reconnaissance de responsabilité) pour utilisation non conforme de Google Workspace for Education. L'établissement n'avait pas informé les familles que la plateforme collectait des données d'usage des élèves (adresses IP, cookies, informations d'habitudes) associées à leurs profils. L'AEPD relève également l'absence d'information sur les transferts internationaux de données et note que le domaine e-mail fourni révélait indirectement les convictions religieuses des mineurs. Cette décision constitue un précédent significatif pour les établissements scolaires européens utilisant des suites bureautiques cloud, notamment en France où la question des outils numériques en milieu éducatif reste sensible.

Ce que ça change pour vous : vérifiez que l'information fournie aux familles sur les outils numériques scolaires couvre bien les transferts internationaux et les données d'usage collectées par les prestataires cloud. Article 28 RGPD : Contrat Sous-Traitant et Obligations — Google condamné à 375 Millions d'euros…

12 avril 2026 — Synergy France visée par un ransomware : risque de compromission en cascade

Synergy France, spécialiste de la gestion, de la transformation et de la gouvernance des données en environnement cloud, est victime d'une attaque par ransomware signalée le 6 avril 2026. L'entreprise accompagne de nombreux clients sur des projets critiques liés au traitement de données, ce qui pose la question d'une compromission en cascade des données confiées par ses clients. À ce stade, l'ampleur exacte de l'exfiltration n'est pas connue. Ce type d'incident rappelle l'obligation des responsables de traitement de s'assurer contractuellement et opérationnellement de la sécurité de leurs sous-traitants (art. 28 RGPD). Les clients de Synergy doivent vérifier s'ils sont concernés et, le cas échéant, procéder à une notification à la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD.

Ce que ça change pour vous : si vous êtes client de Synergy France, contactez votre interlocuteur pour évaluer l'impact sur vos traitements et préparez une éventuelle notification CNIL. RGPD et cloud : obligations AWS, Azure, GCP — Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD

11 avril 2026 — 127 ONG alertent : l'Omnibus UE menace le RGPD et l'AI Act

Amnesty International et 126 autres organisations de la société civile ont signé une lettre ouverte dénonçant les propositions de « simplification » de la Commission européenne. Présenté comme un allègement administratif, le paquet Omnibus modifierait en profondeur le RGPD et l'AI Act : redéfinition restrictive des données personnelles, assouplissement des exigences de consentement, exemptions spécifiques pour l'IA qui pourraient permettre aux grandes entreprises technologiques d'exploiter davantage de données personnelles pour l'entraînement des systèmes d'IA. Le report d'au moins un an des obligations clés de l'AI Act est également prévu. Les signataires dénoncent une tentative de « démantèlement déguisé » des protections numériques européennes.

Ce que ça change pour vous — Suivez attentivement l'évolution législative de l'Omnibus : si adopté, il pourrait modifier vos obligations de conformité RGPD et AI Act dès 2027. EU AI Act : guide complet — AI Act : calendrier d'application

11 avril 2026 — CNIL : contrôles 2026 sur le recrutement et les fédérations sportives

La CNIL a publié ses thématiques prioritaires de contrôle pour 2026. Trois axes sont retenus : le recrutement (vérification de la conformité des traitements de données des candidats, avec un focus sur les systèmes de décision automatisée, l'information des candidats et les durées de conservation), le répertoire électoral unique (REU) et les fédérations sportives (pertinence des données collectées, durées de conservation et mesures de sécurité, dans un contexte de hausse des inscriptions post-JO 2024). La CNIL priorisera les grandes entreprises et cabinets de recrutement. En parallèle, une action coordonnée européenne portera sur la transparence et l'information des personnes (articles 12 à 14 du RGPD).

Ce que ça change pour vous — Les entreprises qui recrutent doivent revoir leurs mentions d'information candidats, durées de conservation des CV et outils de scoring automatisé. Article 12 RGPD : obligations de transparence — Article 13 RGPD : mentions légales

11 avril 2026 — Santé : 35 millions de patients exposés, 130 hôpitaux compromis

Le groupe DumpSec revendique le piratage des Agences Régionales de Santé (ARS) et la mise en vente d'une base contenant les données de 35 millions de patients français. Plus de 130 hôpitaux sont concernés, principalement dans le Nord-Pas-de-Calais, en Normandie et en Auvergne-Rhône-Alpes, incluant des établissements de l'AP-HP. Les données exposées comprennent l'identité complète (nom, prénom, sexe, date de naissance), les numéros de sécurité sociale, les coordonnées (adresse, e-mail, téléphone) ainsi que des données de suivi hospitalier. L'attaque initiale remonte à septembre 2025 sur les systèmes des ARS, mais la mise en vente des données a été constatée début avril 2026.

Ce que ça change pour vous — Les établissements de santé doivent vérifier immédiatement si leurs systèmes sont concernés et notifier la CNIL dans les 72 heures si une violation est confirmée. Fuites de données : obligations RGPD — Sous-traitant RGPD : obligations

11 avril 2026 — Commission européenne : 340 Go de données volées, 30 entités UE touchées

CERT-EU a attribué la cyberattaque contre l'infrastructure cloud de la Commission européenne au groupe TeamPCP. Les pirates ont exploité une attaque par chaîne d'approvisionnement visant l'outil open source Trivy, utilisé par la Commission pour sa sécurité. En téléchargeant une version compromise de Trivy le 19 mars, la Commission a involontairement exposé une clé API secrète liée à son compte AWS. Les attaquants ont ensuite exfiltré environ 340 Go de données, incluant des noms, adresses e-mail et contenus de courriels. Le groupe ShinyHunters a ensuite publié ces données en ligne. Au total, les données d'au moins 30 entités européennes ont été compromises, avec 52 000 fichiers contenant des messages envoyés.

Ce que ça change pour vous — Auditez vos dépendances open source et vérifiez que vos clés API cloud ne sont pas exposées dans vos pipelines CI/CD. AWS et RGPD : conformité cloud — Sous-traitance sécurité : exigences NIS2 et RGPD — Fuites de données : obligations RGPD

10 avril 2026 — CEPD : rapport annuel 2025, lignes directrices DMA-RGPD et AI Act-RGPD

Le Comité européen de la protection des données (CEPD) a publié le 9 avril 2026 son rapport annuel 2025. Parmi les réalisations marquantes : l'adoption de la Déclaration d'Helsinki sur la clarté et l'engagement renforcés, cinq avis d'adéquation (Royaume-Uni, Brésil, OEB), et les premières lignes directrices conjointes avec la Commission sur l'articulation entre le DMA et le RGPD. Le CEPD a également travaillé sur des lignes directrices DSA-RGPD et prépare pour 2026 des lignes directrices sur l'interaction entre l'AI Act et le droit de la protection des données. Le rapport souligne la contribution active du CEPD aux propositions législatives du Digital Omnibus, via un avis conjoint avec le EDPS.

Ce que ça change pour vous — les DPO doivent surveiller la publication prochaine des lignes directrices AI Act-RGPD, qui clarifieront le cadre applicable aux traitements impliquant des systèmes d'IA.

10 avril 2026 — Ymed : 253 000 dossiers patients exposés, données médicales en fuite

Le groupe XP95 a revendiqué le piratage de Ymed, entreprise bordelaise spécialisée dans les solutions numériques pour la santé. La fuite, signalée le 5 avril 2026, concerne plus de 253 000 patients avec 132 Go de données exposées, incluant identités complètes, documents médicaux et prescriptions. Les données de santé bénéficient d'une protection renforcée au titre de l'article 9 du RGPD en tant que catégories particulières. L'ampleur de cette violation — tant par le volume que par la sensibilité des données — place Ymed face à des obligations de notification immédiate auprès de la CNIL et des personnes concernées. Cette fuite s'inscrit dans un contexte de multiplication des attaques contre le secteur de la santé en France.

Ce que ça change pour vous — les sous-traitants de santé doivent vérifier la conformité de leurs mesures de sécurité techniques (chiffrement, segmentation réseau) et tester leurs procédures de notification de violation. Notification violation données CNIL : procédure 72h — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — Éducation nationale : 243 000 agents exposés via une intrusion COMPAS

Le ministère de l'Éducation nationale a confirmé un incident de sécurité majeur : le 15 mars 2026, un accès frauduleux via un compte externe compromis a permis l'exfiltration de données personnelles d'environ 243 000 agents (stagiaires et titulaires) depuis le système COMPAS, dédié à la gestion des stagiaires. Le COSSIM (Centre opérationnel de sécurité du ministère) a été alerté le 19 mars. L'ANSSI et la CNIL ont été saisies, et un dépôt de plainte est en cours. Le ministère appelle ses agents à la vigilance face aux tentatives de phishing et d'usurpation d'identité. Cet incident illustre les risques persistants liés à la compromission de comptes dans les systèmes d'information publics.

Ce que ça change pour vous — les établissements publics utilisant des systèmes RH similaires doivent auditer leurs accès externes et renforcer l'authentification multi-facteurs. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — AlumnForce : 2,7 millions de profils d'étudiants et diplômés exposés

La plateforme AlumnForce, utilisée par les réseaux alumni de nombreuses universités et grandes écoles françaises, a subi une violation de données massive le 6 avril 2026. Environ 2,7 millions de profils ont été compromis, incluant des données professionnelles sensibles : parcours de carrière, souhaits d'emploi, fourchettes de rémunération, compétences et coordonnées. La base contient plus de 1,8 million d'adresses email uniques et 650 000 numéros de téléphone. Un acteur malveillant affirme mettre en vente cette base, couvrant des diplômes de 1901 à 2026. Les établissements concernés (dont l'ICN et l'Université de Strasbourg) ont notifié la CNIL. Le risque principal réside dans les attaques d'ingénierie sociale ciblées : phishing aux couleurs de réseaux alumni, faux recruteurs exploitant les données de carrière.

Ce que ça change pour vous — vérifiez si votre établissement utilise AlumnForce comme sous-traitant et, le cas échéant, exigez le détail de la notification au titre de l'article 33 du RGPD. Fuite de données : procédure de gestion et notification RGPD — Notification violation données CNIL : procédure 72h — Article 28 RGPD : Contrat Sous-Traitant et Obligations

10 avril 2026 — Axios npm compromis : RAT nord-coréen, 100 M téléchargements/semaine

Le 30 mars 2026, des acteurs nord-coréens liés au groupe Sapphire Sleet (UNC1069) ont compromis le compte npm du mainteneur principal d'Axios — bibliothèque HTTP parmi les plus téléchargées au monde — via une opération d'ingénierie sociale ciblée. Deux versions malveillantes ont été publiées en 39 minutes (axios@1.14.1 et axios@0.30.4), injectant la dépendance frauduleuse plain-crypto-js@4.2.1, dont le hook postinstall télécharge silencieusement un Remote Access Trojan (RAT) multiplateforme depuis un serveur de commande et de contrôle. L'impact potentiel couvre 100 millions de téléchargements hebdomadaires sur npm. Microsoft Threat Intelligence a attribué l'attaque à Sapphire Sleet le 1er avril 2026 ; le CERT-FR a relayé l'alerte dans son bulletin CERTFR-2026-ACT-015 du 7 avril 2026. Tout système traitant des données personnelles via une dépendance compromise est susceptible d'activer l'obligation de notification à la CNIL dans les 72 heures au titre des articles 32 et 33 du RGPD. Cette attaque illustre l'intersection entre sécurité de la chaîne d'approvisionnement logicielle (Art. 32 RGPD) et gestion des violations de données (Art. 33 RGPD).

Auditez immédiatement vos projets Node.js pour toute dépendance sur axios@1.14.1 ou axios@0.30.4, migrez vers une version saine et vérifiez l'intégrité de votre chaîne de dépendances npm. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

10 avril 2026 — CNIL : 16 sanctions simplifiées, 10 pour défaut de coopération

La CNIL a prononcé 16 nouvelles sanctions dans le cadre de sa procédure simplifiée, portant à 108 000 euros le montant cumulé des amendes depuis mai 2025. Sur ces 16 décisions, dix sanctionnent un défaut de coopération : des responsables de traitement — avocats, médecins, sociétés — n'ont pas répondu aux sollicitations de l'autorité lors de l'instruction de plaintes ou à la suite de contrôles. Les autres décisions visent des manquements relatifs à la vidéosurveillance : filmage d'un local syndical dans un établissement pharmaceutique et hospitalier, caméras orientées vers des élèves lors des repas dans un internat scolaire, ainsi que des actes de prospection commerciale réalisés sans consentement. Ces délibérations confirment que le seul défaut de réponse aux demandes de la CNIL constitue un manquement autonome au titre de l'article 31 du RGPD. Sur le plan opérationnel, l'absence d'une procédure documentée de traitement des demandes d'autorités de contrôle représente un risque direct et immédiatement sanctionnable.

Vérifiez que votre organisation dispose d'une procédure interne documentée pour répondre aux demandes CNIL (plaintes, contrôles, mises en demeure) et que les délais de réponse sont connus de toutes les équipes impliquées. RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — Fuite de données : procédure de gestion et notification RGPD

9 avril 2026 — CNIL : MFA obligatoire pour les grandes bases de données, sanctions en cas d'absence

La CNIL a annoncé qu'elle renforcera dès 2026 sa politique de contrôle pour s'assurer de la mise en place de l'authentification multifacteur (MFA) pour l'accès aux grandes bases de données personnelles. L'absence de cette mesure pourra désormais justifier l'ouverture d'une procédure de sanction. L'autorité rappelle que près de 80 % des violations de grande ampleur constatées en 2024 ont été rendues possibles par l'usurpation du compte d'un employé ou d'un sous-traitant protégé par un simple mot de passe. Quatre actions prioritaires sont identifiées : déploiement du MFA, journalisation des accès (rétention de 6 à 12 mois), sensibilisation des utilisateurs et encadrement des sous-traitants. La CNIL recommande de privilégier un facteur de possession conforme au niveau R39 des recommandations de l'ANSSI.

Vérifiez immédiatement que l'accès à vos bases de données de plus de 100 000 enregistrements est protégé par une authentification multifacteur conforme aux recommandations ANSSI. Sécurité des données : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

9 avril 2026 — CNIL : bilan de l'observatoire des municipales 2026, 739 signalements reçus

La CNIL a publié le bilan de son observatoire des élections municipales des 15 et 22 mars 2026. L'autorité a reçu 739 signalements (contre 3 948 en 2020), principalement liés à des prospections par SMS (63 %), courriers (16 %) et courriels (13 %). 81 plaintes ont été instruites, essentiellement pour des questions d'origine des données et de suspicion de détournement de finalité par des candidats sortants. Quatre contrôles ont été engagés, ainsi qu'une procédure de sanction simplifiée. Ce scrutin constituait la première application du règlement européen sur la transparence et le ciblage de la publicité politique, entré en vigueur le 10 octobre 2025.

Vérifiez que vos traitements de données électorales respectent le nouveau règlement sur la publicité politique et les recommandations CNIL sur la prospection politique. L'achat de données de prospection impose des vérifications RGPD

8 avril 2026 — CEPD : étude de marché sur les courtiers de données en Europe

Le Comité européen de la protection des données a publié le 4 mars 2026 une étude de marché consacrée aux courtiers de données (data brokers). Commanditée via le programme Support Pool of Experts à la demande de l'autorité belge, l'étude propose une méthodologie d'identification des courtiers fondée sur l'article 4(1) du RGPD et distingue huit catégories d'acteurs : courtiers traditionnels, data cleanrooms, plateformes IA intégrant des données personnelles, places de marché de données et fournisseurs de jeux de données agrégés présentant des risques de ré-identification. L'étude confirme que le marché belge — transposable à l'échelle européenne — est très diversifié, avec des niveaux de risque variables selon les modèles économiques.

Ce que ça change pour vous : vérifiez si vos fournisseurs de données entrent dans l'une des huit catégories identifiées et documentez la base légale applicable dans votre registre. Base légale RGPD : les 6 fondements juridiques — Intérêt légitime RGPD : quand et comment l'utiliser

7 avril 2026 — CEPD et EDPS : avis conjoint sur le Biotech Act et les données de santé

Le CEPD et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur la proposition de règlement European Biotech Act. Les deux autorités soutiennent l'harmonisation des essais cliniques à l'échelle européenne, tout en appelant à des garanties spécifiques pour les données sensibles de santé.

L’avis insiste sur la nécessité de maintenir des bases légales claires pour le traitement des données de santé dans le cadre de la recherche biomédicale, conformément aux articles 9 et 89 du RGPD. Les autorités demandent que les droits des personnes concernées — notamment le droit à l’information et le droit de retrait — soient préservés dans un cadre réglementaire harmonisé.

Cet avis illustre la tendance d’articulation entre le RGPD et les réglementations sectorielles européennes, qui concerne également l’AI Act et le Data Act.

Ce que ça change pour vous : les acteurs de la recherche biomédicale doivent anticiper un cadre européen harmonisé tout en maintenant les garanties RGPD sur les données de santé. Transfert données hors UE : mécanismes RGPD

7 avril 2026 — CEPD : consultation sur les BCR sous-traitant (Recommandation 1/2026)

Le Comité européen de la protection des données (CEPD) a publié ses Recommandations 1/2026 portant sur la procédure d'approbation et les éléments devant figurer dans les règles d'entreprise contraignantes (BCR) applicables aux sous-traitants, au sens de l'article 47 du RGPD. Le document est ouvert à consultation publique.

Ces recommandations visent à harmoniser l’évaluation des BCR sous-traitant par les autorités de contrôle et à faciliter les transferts internationaux de données pour les groupes d’entreprises opérant comme sous-traitants. Elles détaillent les engagements minimaux, les mécanismes d’audit interne et les garanties de transparence exigés.

Ce travail s’inscrit dans le programme de travail CEPD 2026-2027, qui prévoit également la publication de modèles prêts à l’emploi pour le registre des activités de traitement et l’analyse d’intérêt légitime.

Ce que ça change pour vous : si votre groupe utilise des BCR sous-traitant pour encadrer ses transferts hors UE, vérifiez leur conformité aux nouveaux critères. Transfert données hors UE : mécanismes RGPD — Privacy Shield : règles de transfert vers les États-Unis

7 avril 2026 — CNIL : 3,5 M€ d'amende pour transmission de données clients à un réseau social

La CNIL a sanctionné une entreprise de 3,5 millions d'euros pour avoir transmis les adresses e-mail et numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable. L'instruction a révélé que le formulaire d'adhésion au programme de fidélité n'informait pas les membres de cette transmission, rendant le consentement invoqué invalide. La formation restreinte a également relevé l'absence d'analyse d'impact (AIPD) malgré le traitement à grande échelle. Une amende complémentaire de 1 million d'euros a été prononcée pour des manquements relatifs aux cookies et traceurs. La décision confirme la ligne dure de la CNIL sur le partage de données avec les plateformes publicitaires.

Ce que ça change pour vous — auditez immédiatement tout partage de données CRM avec des plateformes publicitaires : le consentement doit être spécifique, éclairé, et l'AIPD obligatoire pour les traitements à grande échelle. L'article 6 du RGPD : choix de la base légale

7 avril 2026 — Conseil d'État : la pseudonymisation ne vaut pas anonymisation (Cegedim)

Par trois arrêts du 13 février 2026, le Conseil d'État a rejeté les recours des sociétés GERS, Santestat et Cegedim Santé contre les sanctions prononcées par la CNIL (800 000 €, 200 000 € et 800 000 €). Le juge administratif ancre définitivement dans la jurisprudence française le principe selon lequel la pseudonymisation, aussi sophistiquée soit-elle, ne fait pas sortir les données du champ du RGPD dès lors que le risque de réidentification n'est pas « insignifiant ». En l'espèce, les données de santé issues de logiciels médicaux avaient été pseudonymisées avant exploitation statistique et commerciale, mais le Conseil d'État a jugé que l'identification restait techniquement réalisable sans effort démesuré. Cette décision confirme l'approche de la CNIL et du CEPD : seule une anonymisation rendant la réidentification pratiquement irréalisable fait sortir les données du périmètre du RGPD.

Ce que ça change pour vous — réexaminez tout traitement fondé sur l'hypothèse que vos données pseudonymisées sont « anonymes » : si le risque de réidentification n'est pas insignifiant, le RGPD s'applique intégralement. Pseudonymisation et RGPD — Comment anonymiser une base de données

6 avril 2026 — OVHcloud : revendication de compromission massive démentie par le fondateur

Le 23 mars 2026, un acteur malveillant a revendiqué sur BreachForums avoir exfiltré 590 To de données d'OVHcloud, incluant 1,6 million de dossiers clients et 5,9 millions d'enregistrements de domaines. L'attaquant affirme avoir compromis un compte parent disposant de privilèges d'administration étendus. Octave Klaba, fondateur d'OVHcloud, a démenti ces allégations, indiquant que l'échantillon de données fourni n'a pas été retrouvé sur les serveurs de l'entreprise. Les chercheurs en sécurité soulignent que la preuve avancée — une seule ligne de données contenant un email et un numéro de téléphone — est insuffisante pour accréditer une compromission de cette ampleur. L'incident intervient dans un contexte de multiplication des attaques contre les hébergeurs européens et de renforcement des obligations NIS 2 pour les fournisseurs de services cloud.

Ce que ça change pour vous : vérifiez les mesures de sécurité de vos hébergeurs cloud et assurez-vous que vos contrats de sous-traitance prévoient une notification d'incident conforme aux articles 28 et 33 du RGPD. Sécurité du cloud : le modèle de responsabilité partagée — Fuite de données : procédure de gestion et notification RGPD

6 avril 2026 — Amnesty International dénonce un recul des droits dans le Digital Omnibus

Dans un rapport publié en avril 2026, Amnesty International alerte sur les risques du paquet Digital Omnibus proposé par la Commission européenne. L'ONG estime que la redéfinition de la notion de donnée personnelle prévue par le texte affaiblirait le champ d'application du RGPD et permettrait aux grandes plateformes de collecter davantage de données pour l'entraînement de systèmes d'IA. Amnesty critique également l'assouplissement des exigences de transparence pour les systèmes d'IA à haut risque prévu par l'AI Act, qui reviendrait à permettre l'auto-certification par les entreprises. Le CEPD et le CEPD avaient déjà exprimé des réserves similaires dans leur avis conjoint 2/2026 du 11 février, s'opposant fermement à la révision de la définition des données personnelles. Cette convergence entre autorités de protection des données et société civile renforce la pression sur le Parlement européen, qui examinera le texte dans les prochaines semaines.

Ce que ça change pour vous : surveillez les évolutions du texte au Parlement européen ; la portée même du RGPD pourrait être modifiée si le Digital Omnibus est adopté en l'état. Donnée personnelle : définition, exemples et enjeux — IA et RGPD : les règles applicables

6 avril 2026 — CNIL : édition 2026 des Tables Informatique et Libertés publiée

La CNIL a publié le 20 février 2026 la version 2.3 de ses Tables Informatique et Libertés, document de référence qui synthétise la jurisprudence et la pratique décisionnelle en matière de protection des données personnelles. L'édition 2026 intègre notamment deux décisions importantes sur les exigences de sécurité : un arrêt de la CJUE sur les places de marché en ligne et une sanction CNIL de janvier 2026 relative au télétravail. Les Tables couvrent l'ensemble des thématiques du RGPD — sources du droit, champ d'application, notions fondamentales, principes directeurs, droits des personnes, règles sectorielles, procédures et sanctions — et seront désormais mises à jour tous les deux mois.

Consultez les nouvelles Tables pour vérifier que votre interprétation des obligations RGPD est alignée avec la doctrine consolidée de la CNIL. Sanctions CNIL 2026 : analyse et enseignements — Le nouveau destin de l'obligation de sécurité

6 avril 2026 — CEPD : digest de 62 décisions OSS sur l'intérêt légitime (art. 6§1 f)

Le Comité européen de la protection des données a publié le 29 mars 2026 un digest analysant 62 décisions du guichet unique et 5 décisions contraignantes du CEPD relatives à l'intérêt légitime comme base légale (art. 6§1 f RGPD). Le document, rédigé par le Dr TJ McIntyre dans le cadre du Support Pool of Experts, couvre la période décembre 2018 – juin 2025. Il illustre concrètement l'application du triple test (identification de l'intérêt, nécessité, mise en balance) à travers des exemples positifs et négatifs dans des secteurs variés : finance, lutte contre la fraude, surveillance véhicules, données de passagers aériens. Le digest confirme que l'intérêt doit être « clairement et précisément articulé » et que la majorité des échecs portent sur l'absence de mise en balance documentée.

Vérifiez que chaque traitement fondé sur l'intérêt légitime dispose d'une analyse de mise en balance documentée, conformément aux exemples du digest. Comment réaliser le triple test pour évaluer les intérêts légitimes — L'article 6 du RGPD ou le choix de la base légale — Base légale RGPD : les 6 fondements juridiques

5 avril 2026 — Digital Omnibus : la Commission propose de modifier le RGPD et l'AI Act

Présentées le 19 novembre 2025, les deux propositions de règlement du « Digital Omnibus » continuent leur parcours législatif au Parlement européen et au Conseil. Les modifications envisagées pour le RGPD incluent l'exclusion des données pseudonymisées du champ d'application pour faciliter l'entraînement de modèles d'IA, l'intégration des règles cookies directement dans le RGPD avec l'obligation d'un mécanisme de refus aussi simple que l'acceptation, et l'interdiction de redemander le consentement pendant 6 mois après un refus. Côté AI Act, l'entrée en vigueur des obligations pour les systèmes à haut risque (prévue le 2 août 2026) serait reportée de 16 mois maximum. Le CEPD et le CEPD ont publié deux avis conjoints (1/2026 et 2/2026) alertant sur les risques d'affaiblissement des droits fondamentaux et d'insécurité juridique. L'adoption finale est attendue fin 2026, pour une application à partir de 2027-2028.

Ce que ça change pour vous : suivez attentivement les négociations du Digital Omnibus, qui pourraient modifier en profondeur vos obligations RGPD et IA dès 2027. RGPD : faut-il une case à cocher pour obtenir un consentement ? — RGPD : arrêtez de demander le consentement ! — Le consentement RGPD impose-t-il une case à cocher ?

5 avril 2026 — Conseil d'État : amende Criteo de 40 M€ définitivement confirmée

Par un arrêt du 4 mars 2026 (n° 482872), le Conseil d'État a rejeté le recours formé par Criteo contre la sanction de 40 millions d'euros prononcée par la CNIL en juin 2023. La juridiction administrative suprême valide la totalité de l'amende, confirmant la gravité des manquements constatés : absence de preuve de consentement valide pour le ciblage publicitaire, défaut d'information des personnes concernées et obstacles à l'exercice du droit d'accès. Le Conseil d'État relève que 370 millions d'identifiants utilisateurs étaient traités dans l'UE, dont 50 millions en France. Cette décision clôt définitivement le contentieux et constitue un précédent majeur pour l'ensemble du secteur adtech, qui ne peut plus compter sur l'intérêt légitime comme base légale sans preuve de consentement explicite.

Ce que ça change pour vous : les acteurs de l'adtech doivent impérativement documenter la chaîne de consentement de bout en bout, sous peine de sanctions confirmées en dernier ressort. Sanctions RGPD : Amendes, Exemples et Comment les Eviter — Sanctions CNIL 2026 : analyse et enseignements — 5 méthodes infaillibles pour se faire condamner par la CNIL

5 avril 2026 — CNIL : consultation rejeu de session ouverte jusqu'au 22 avril 2026

La CNIL a ouvert le 25 février 2026 une consultation publique sur son projet de recommandation relatif aux outils de « rejeu de session » (session replay), ces technologies qui reconstituent l'intégralité du parcours de navigation d'un utilisateur (mouvements de souris, clics, défilement, saisies dans les formulaires) sous forme de vidéos rejouables. La CNIL considère que le rejeu de session constitue un traceur soumis au consentement préalable au sens de l'Art. 82 de la loi Informatique et Libertés et de l'Art. 5(3) de la directive ePrivacy. Les usages admis se limitent à la détection d'erreurs techniques, l'amélioration UX et le support client. Les usages marketing (retargeting, profiling) sont explicitement exclus. La recommandation, une fois adoptée, servira de grille de contrôle lors des prochaines vérifications CNIL sur les sites web à fort trafic. La consultation se clôture le 22 avril 2026.

Ce que ça change pour vous — Les éditeurs de sites web utilisant des outils comme Hotjar, FullStory ou Contentsquare doivent vérifier que leur CMP recueille un consentement explicite pour le rejeu de session et exclure les usages marketing non couverts. Cookies et RGPD : guide complet de mise en conformité — RGPD et consentement : tout ce que vous devez savoir

5 avril 2026 — HAS et CNIL : guide IA en santé ouvert à consultation jusqu'au 16 avril

La Haute Autorité de santé (HAS) et la CNIL ont publié conjointement un projet de guide intitulé « IA en contexte de soins », soumis à consultation publique jusqu'au 16 avril 2026. Ce document de référence contient dix fiches pratiques couvrant l'ensemble du cycle de vie d'un système d'IA en milieu médical — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et l'IA générative. Les recommandations distinguent les pratiques « standards » (à suivre dans la majorité des cas) et les pratiques « avancées » (pistes d'amélioration). Ce guide s'inscrit dans la convention de partenariat HAS-CNIL signée le 10 mars 2026 et anticipe l'entrée en application du Règlement IA (AI Act) pour les systèmes à haut risque en santé au 2 août 2026. La consultation est ouverte à l'ensemble des acteurs du secteur : établissements de santé, professionnels, associations de patients et fournisseurs de systèmes d'IA.

Ce que ça change pour vous — Si vous déployez ou envisagez un système d'IA en contexte clinique, participez à la consultation avant le 16 avril et utilisez les fiches pratiques comme grille d'auto-évaluation de votre conformité RGPD et AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

5 avril 2026 — CERT-EU : 92 Go exfiltrés de la Commission européenne via supply chain

Le CERT-EU a attribué avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission de type supply chain de l'outil open source Trivy. L'attaque a permis l'exfiltration de 92 gigaoctets de données depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Cet incident illustre la criticité des risques liés à la chaîne d'approvisionnement logicielle, un axe central du Cyber Resilience Act (CRA) et de la directive NIS 2 (Art. 21). Il souligne également les obligations de notification au titre de l'Art. 33 du RGPD pour les données personnelles potentiellement compromises. La CNIL et ses homologues européens suivent l'affaire en coordination avec le CERT-EU.

Ce que ça change pour vous — Auditez immédiatement vos dépendances open source et vos outils de CI/CD pour identifier les composants tiers susceptibles de constituer un vecteur d'attaque supply chain. Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne

2 avril 2026 — CNIL : référentiel crédit scoring et solvabilité adopté en séance plénière

Lors de sa séance plénière du 2 avril 2026, la CNIL a adopté une recommandation définitive encadrant les traitements de données dans le cadre de l'évaluation de la solvabilité des demandeurs de crédit. Ce référentiel remplace l'autorisation unique AU-005, devenue obsolète depuis l'entrée en application du RGPD. Il s'appuie sur la jurisprudence récente de la CJUE (affaires C-634/21 et C-203/22) qui a clarifi le régime du credit scoring au regard de l'Art. 22 RGPD (décisions entièrement automatisées). Les obligations clés pour les établissements de crédit incluent : minimisation des données collectées (Art. 5(1)(c)), transparence renforcée sur l'existence d'un scoring automatisé (Art. 13-14), durées de conservation limitées (incidents de paiement : 5 ans maximum), et droit de demander un réexamen humain des décisions défavorables (Art. 22(3)). Le référentiel couvre également la consultation du FICP et l'utilisation des données de précédents crédits. Ce document deviendra la référence utilisée par la CNIL lors de ses contrôles des acteurs du crédit à la consommation et du crédit immobilier.

Les établissements de crédit et fintech doivent auditer leurs outils de scoring pour vérifier leur conformité au nouveau référentiel CNIL, notamment en matière d'information des demandeurs et de minimisation des données. Décisions automatisées : article 22 RGPD — Sanctions CNIL 2026 : analyse et enseignements

4 avril 2026 — CNIL 2026 : recrutement algorithmique et fédérations sportives dans le viseur

La CNIL a publié ses thématiques de contrôle prioritaires pour 2026, ciblant trois domaines à fort risque pour les droits des personnes. Premier axe : le recrutement. Les grandes entreprises et cabinets de recrutement qui utilisent des algorithmes de tri de CV sont directement visés. Les agents vérifieront si les candidats ont été informés du recours à un outil automatisé (Art. 13 RGPD), si une décision repose entièrement sur ce traitement (Art. 22 RGPD) et si les durées de conservation sont respectées. Deuxième axe : le répertoire électoral unique géré par l'INSEE, dans le cadre du Coordinated Enforcement Framework (CEF) 2026 du CEPD sur la transparence et l'information (Art. 12-14 RGPD). Troisième axe : les fédérations sportives, secteur particulièrement touché par les violations de données et insuffisamment protecteur des données sensibles (santé, résultats médicaux). Ces contrôles s'inscrivent dans la politique de mise en conformité progressive annoncée par la CNIL et sont susceptibles de déboucher sur des mises en demeure ou des sanctions.

Les employeurs utilisant un ATS ou un outil de tri de CV doivent immédiatement vérifier que leur information candidats (Art. 13) mentionne explicitement le recours à un traitement automatisé et prévoir une voie de recours humaine. IA et recrutement : cadre légal et discrimination — Décisions automatisées : article 22 RGPD — Article 12 RGPD : Obligations de Transparence

4 avril 2026 — Avis 4/2026 : CEPD demande un guichet unique NIS2/RGPD

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'instauration d'un guichet unique pour les notifications d'incidents de sécurité, visant à harmoniser les obligations fragmentées entre NIS 2, DORA et le RGPD. L'avis souligne la contradiction des délais actuels : l'article 33 du RGPD impose une notification à l'autorité de contrôle sous 72 heures, tandis que l'article 23 de NIS 2 prévoit une alerte précoce sous 24 heures pour le même incident. Cette dualité génère une charge de conformité excessive pour les entités soumises aux deux régimes. Le CEPD et le CEPD demandent une harmonisation des processus pour éviter les doubles déclarations et alléger la charge administrative sans réduire le niveau de protection.

Ce que ça change pour vous — Si votre organisation est soumise à la fois au RGPD et à NIS 2, mappez dès maintenant vos procédures de notification d'incidents en anticipant une possible convergence des délais vers un guichet unique. Actualité NIS2 2026 : directive cybersécurité européenne

4 avril 2026 — ANSSI publie ReCyF : le référentiel opérationnel NIS 2 en France

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) en version document de travail, lors d'un événement réunissant au Campus Cyber les acteurs institutionnels, sectoriels et publics concernés par la directive NIS 2. ReCyF liste les mesures de sécurité recommandées pour atteindre les objectifs fixés par NIS 2 et oriente sur les bonnes pratiques associées. Il intègre un principe de proportionnalité : le niveau d'effort attendu est adapté à la maturité de l'entité et aux ressources disponibles. L'ANSSI met également à disposition un outil de comparaison permettant aux entités de mettre en parallèle ReCyF avec d'autres référentiels (ISO 27001, NIS 1, DORA, etc.). Ce référentiel demeure un document de travail : aucune version définitive ne sera publiée avant l'adoption des textes législatifs et réglementaires de transposition de NIS 2 en droit français, attendue en deuxième lecture au Parlement courant juillet 2026. Cette obligation NIS 2 rejoint l'article 32 du RGPD, qui impose déjà aux responsables de traitement des mesures techniques et organisationnelles adaptées au risque.

Ce que ça change pour vous — Téléchargez ReCyF sur cyber.gouv.fr et utilisez l'outil de comparaison pour évaluer l'écart entre votre dispositif de sécurité actuel et les attentes NIS 2, en anticipant la version définitive attendue après la transposition. Actualité NIS2 2026 : directive cybersécurité européenne — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

4 avril 2026 — CEF 2026 : le CEPD coordonne 25 APD sur la transparence RGPD

Le Comité européen de la protection des données (CEPD) a lancé son action coordonnée d'application du droit (CEF) 2026 sur les obligations de transparence et d'information prévues par le RGPD. Vingt-cinq autorités de protection des données (APD) européennes participent à cette initiative, dont la CNIL qui en assure la coordination au niveau européen. Les contrôleurs de traitement seront contactés via questionnaires ou enquêtes pour vérifier leur conformité aux articles 12, 13 et 14 du RGPD, qui imposent une information claire, complète et accessible des personnes sur les conditions de traitement de leurs données. Dans la seconde moitié de 2026, les APD échangeront leurs constats et prépareront un rapport consolidé adopté par le CEPD, pouvant déboucher sur des actions ciblées à l'échelle nationale et européenne. Après le droit à l'effacement en 2025, cette action souligne que la transparence reste un angle d'attaque prioritaire pour les autorités de contrôle.

Ce que ça change pour vous — Auditez dès maintenant vos mentions légales, politiques de confidentialité et informations délivrées au moment de la collecte pour vous assurer qu'elles respectent les exigences des articles 12 à 14 du RGPD avant les vérifications de la CNIL. Article 12 RGPD : Obligations de Transparence et Exemples

3 avril 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA) à compter du 15 avril 2026. Cette direction pilote les analyses techniques des systèmes IA, les audits de cookies, les travaux sur la portabilité des données et la participation aux instances du Bureau européen de l'IA. Son arrivée coïncide avec la montée en puissance des dossiers IA à la CNIL : enquêtes sur les modèles d'entraînement, mise en œuvre du plan stratégique 2025-2028 et instruction de dossiers relatifs à l'AI Act. Aucune information n'est disponible à ce stade sur les orientations techniques spécifiques qu'il imprimera au poste.

À suivre pour les organisations en dialogue avec la DTIA de la CNIL sur des projets IA ou des demandes d'avis techniques.

28 mars 2026 — GPEN 2025 : 72 % des services jeunesse contournables pour la vérification d'âge

La CNIL a publié les résultats de l'audit coordonné par le Réseau mondial d'application des lois sur la protection de la vie privée (GPEN) mené en novembre 2025. Vingt-sept autorités de protection des données ont examiné près de 900 services numériques utilisés par les enfants. Résultat : pour 72 % des services, les mesures de vérification d'âge — reposant sur une simple déclaration — ont pu être contournées. Davantage de plateformes collectent obligatoirement des données personnelles pour accéder aux fonctionnalités et les partages avec des tiers ont augmenté depuis l'audit de 2015. Quelques progrès sont notés : notifications incitant à ne pas divulguer la localisation ni le vrai nom. L'audit s'inscrit dans le cadre de l'Art. 8 RGPD (consentement des mineurs) et du règlement CSAM. Les contrôles prioritaires de la CNIL pour 2026 intègrent les algorithmes de recrutement et les fédérations sportives, mais la thématique mineurs en ligne reste une priorité constante.

Si votre service est accessible aux mineurs, renforcez votre mécanisme de vérification d'âge au-delà d'une simple déclaration et auditez l'étendue des données collectées (Art. 8 et 25 RGPD). Google Analytics et RGPD : le guide définitif

20 mars 2026 — Health Data Hub Azure : le Conseil d'État valide l'autorisation CNIL

Par une décision du 20 mars 2026, le Conseil d'État a rejeté les demandes d'annulation formées par l'association Les Licornes célestes contre l'autorisation CNIL permettant au Health Data Hub d'héberger des données de santé (programme DARWIN EU) sur Microsoft Azure. La haute juridiction a jugé que l'autorisation comportait des garanties suffisantes : pseudonymisation multi-niveaux avant analyse, limitation de la durée de conservation, évaluation systématique des risques de ré-identification à chaque export et traçabilité des accès. Le programme DARWIN EU, piloté par l'Agence européenne des médicaments, concerne 10 millions de patients français. Le gouvernement maintient son intention de migrer vers un opérateur souverain en 2026, sans calendrier contraignant. Cette décision confirme qu'un hébergement chez un prestataire soumis au droit extra-européen peut rester compatible avec le RGPD (Art. 9 et 46) à condition que les garanties techniques soient documentées dans l'autorisation de traitement.

Si vous hébergez des données de santé chez un prestataire non-européen, documentez les garanties techniques et organisationnelles dans votre AIPD et votre registre des traitements. Fuite de données : procédure RGPD — Google Analytics et RGPD

24 mars 2026 — CNOUS : 774 000 étudiants victimes d'une fuite, documents d'identité volés

Le Centre national des œuvres universitaires et scolaires (Cnous) a révélé le 24 mars 2026 que la plateforme mesrdv.etudiant.gouv.fr avait été compromise par le groupe DumpSec. Sur 774 000 personnes concernées, 635 000 ont vu leurs données courantes (nom, prénom, e-mail, objet et date du rendez-vous) exfiltrées. Pour 139 000 étudiants, les pièces jointes de leurs dossiers — copies de carte d'identité et passeport — ont également été dérobées. Des signalements ont été effectués auprès de l'ANSSI et de la CNIL, une plainte pénale déposée et l'accès à la plateforme suspendu. Chaque personne concernée sera notifiée individuellement conformément à l'Art. 34 RGPD. L'incident illustre le risque spécifique lié aux pièces jointes (documents d'identité) stockées dans des systèmes de prise de rendez-vous dont le niveau de protection doit être équivalent à celui des données sensibles qu'elles contiennent (Art. 5(1)(f) RGPD — intégrité et confidentialité).

Vérifiez le chiffrement des pièces jointes et les contrôles d'accès aux dépôts de fichiers, et simulez votre procédure de notification de violation sous 72 h (Art. 33 RGPD). Fuite de données : procédure de gestion et notification RGPD — DORA et RGPD : gérer les incidents de données personnelles

3 avril 2026 — Reconnaissance faciale : 5 mois de détention pour erreur algorithmique aux É-U

Angela Lipps, 50 ans, a passé cinq mois en détention aux États-Unis après avoir été confondue avec une suspecte par un système de reconnaissance faciale. Arrêtée dans le Tennessee pour un crime commis à 2 000 km de là dans le Dakota du Nord, elle n'avait jamais mis les pieds dans cet État. L'affaire illustre les risques concrets des erreurs algorithmiques dans les systèmes biométriques utilisés par les forces de l'ordre. En droit européen, l'utilisation de données biométriques à des fins d'identification est strictement encadrée par l'Art. 9 RGPD, qui requiert une base légale explicite et, dans la plupart des cas, une analyse d'impact (AIPD). L'AI Act interdit l'identification biométrique en temps réel dans les espaces publics, sauf exceptions limitées (Art. 5(1)(h) AI Act). Cette affaire renforce la pression pour une réglementation stricte de la biométrie policière en Europe. Voir : proposition de loi française sur l'interdiction de la biométrie et notre guide EU AI Act.

Ce que ça change pour vous : tout traitement de données biométriques à des fins d'identification doit faire l'objet d'une AIPD et d'une base légale explicite au titre de l'Art. 9 RGPD — et rester conforme aux interdictions de l'AI Act. Proposition de loi sur l'interdiction de la biométrie — EU AI Act : guide complet

2 avril 2026 — Meta et Google condamnés aux États-Unis pour l'addiction de leurs plateformes

Un tribunal de Los Angeles a condamné Meta et Google à verser 6 millions de dollars à une plaignante californienne, reconnaissant le caractère addictif de leurs plateformes et leur responsabilité dans l'altération de sa santé mentale. Ce verdict ouvre potentiellement la voie à une série de procès similaires. En Europe, le DSA impose déjà aux très grandes plateformes des obligations de transparence algorithmique et d'évaluation des risques systémiques. La décision américaine renforce la pression sur les plateformes pour revoir leurs pratiques de conception, notamment vis-à-vis des mineurs. Voir notre analyse des risques de sanctions liés à la protection des données.

Ce que ça change pour vous : les plateformes numériques doivent anticiper un durcissement global des exigences de transparence algorithmique et de protection des utilisateurs vulnérables. 5 méthodes infaillibles pour se faire condamner par la CNIL

2 avril 2026 — Bouton de rétractation obligatoire pour l'e-commerce dès le 19 juin 2026

L'ordonnance n° 2026-2 du 5 janvier 2026, transposant la directive européenne 2023/2673, introduit une nouvelle obligation pour tous les professionnels de l'e-commerce : un bouton de rétractation accessible en ligne. À compter du 19 juin 2026, tout site web ou application proposant des contrats de vente à distance devra intégrer ce dispositif permettant aux consommateurs d'exercer facilement leur droit de rétractation. Cette obligation s'ajoute aux exigences existantes en matière de délai de rétractation de 14 jours. Le non-respect de cette obligation exposera les professionnels à des sanctions.

Ce que ça change pour vous : les sites e-commerce doivent implémenter un bouton de rétractation fonctionnel avant le 19 juin 2026. Délai de rétractation 14 jours : guide complet

2 avril 2026 — TikTok : le ministre de l'Éducation saisit la justice après une expérience sur les mineurs

Le ministre de l'Éducation nationale Édouard Geffray a annoncé avoir saisi la justice française après avoir mené une expérience visant à tester le fonctionnement de l'algorithme de TikTok vis-à-vis des mineurs. Cette saisine s'inscrit dans un contexte européen de surveillance accrue des plateformes numériques, accusées de favoriser l'addiction chez les jeunes. La démarche fait écho à la condamnation récente de Meta et Google aux États-Unis pour le caractère addictif de leurs plateformes (6 millions de dollars de dommages). En France, la protection des données des mineurs reste une priorité du plan stratégique de la CNIL.

Ce que ça change pour vous : les acteurs du numérique ciblant un public mineur doivent renforcer leurs mécanismes de protection et de transparence algorithmique. La CNIL annonce son plan stratégique 2025-2028

2 avril 2026 — Fuite de données du SIA : un pirate accède aux adresses des détenteurs d'armes

Un pirate informatique a exfiltré des données du Système d'Information sur les Armes (SIA), géré par le ministère de l'Intérieur. La fuite comprend les types d'armes détenus mais aussi les adresses personnelles des propriétaires, soit des données particulièrement sensibles au regard de la sécurité physique des personnes. Le ministère a confirmé la violation et notifié les personnes concernées par courrier. Cette fuite constitue une violation de données personnelles au sens de l'art. 33 du RGPD et impose une notification à la CNIL dans les 72 heures. Voir notre guide complet sur la notification de violation de données et la procédure de gestion des fuites.

Ce que ça change pour vous : toute entité traitant des données sensibles doit vérifier ses mesures de sécurité et ses procédures de notification en cas de violation. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

2 avril 2026 — Opération Cactus 2026 : la CNIL et l'Éducation nationale simulent un hameçonnage massif

Le ministère de l'Éducation nationale a conduit l'opération Cactus 2026, une simulation d'hameçonnage à grande échelle ciblant l'ensemble de la communauté éducative. L'initiative vise à renforcer la vigilance des enseignants, personnels et élèves face à l'une des cyberattaques les plus courantes. La CNIL accompagne l'opération en rappelant les bonnes pratiques de protection des données personnelles dans le contexte scolaire. Cette action s'inscrit dans une stratégie de prévention durable, alors que le secteur éducatif reste particulièrement exposé aux violations de données, comme le montrait déjà le plan stratégique 2025-2028 de la CNIL.

Ce que ça change pour vous : les établissements scolaires doivent intégrer la sensibilisation au phishing dans leur politique de sécurité des SI. La CNIL annonce son plan stratégique 2025-2028

2 avril 2026 — Baromètre InCyber 2026 : 8 613 violations notifiées, +45 % en un an

Le Baromètre des fuites de données personnelles 2026, élaboré en partenariat avec la CNIL et présenté au Forum InCyber à Lille, recense 8 613 violations de données personnelles notifiées entre septembre 2024 et septembre 2025 — soit une hausse de 45 % par rapport à l'année précédente. Rapporté au quotidien, cela représente près de 24 incidents déclarés par jour. Le nombre d'individus potentiellement exposés passe de 8 à 12 millions. Les incidents d'origine intentionnelle progressent de plus de 60 %, portés par la généralisation du phishing, le vol d'identifiants et les attaques sur des prestataires mutualisés ou des éditeurs SaaS. Les secteurs les plus touchés restent la finance et assurance, la santé et l'action sociale, et les activités scientifiques et techniques. Cette tendance confirme l'industrialisation du cybercrime et renforce la pression sur les obligations de notification prévues par les articles 33 et 34 du RGPD.

Ce que ça change pour vous — vérifiez que votre procédure de notification de violation est opérationnelle sous 72 heures et que votre registre des violations (Art. 33(5) RGPD) est à jour. C'est le type de risque que Legiscope permet de suivre en temps réel grâce à son module de gestion des violations de données. Gérer les violations de données personnelles conformément au RGPD — Fuite de données : procédure de gestion et notification RGPD

30 mars 2026 — APD Belgique 68/2026 : avertissement pour non-réponse à une demande d'accès

L'Autorité de Protection des Données belge (APD/GBA) a adressé le 30 mars 2026 un avertissement formel au Service public de Wallonie et au Conseil économique, social et environnemental wallon (décision 68/2026) pour n'avoir pas répondu dans les délais légaux à une demande d'accès présentée par une personne concernée. L'article 12(3) du RGPD impose un délai d'un mois, prorogeable de deux mois supplémentaires en cas de demandes complexes ou nombreuses. L'APD rappelle que les organismes publics ne bénéficient d'aucune exemption à cette obligation, et que le non-respect du délai constitue une violation du RGPD sanctionnable. La décision est consultable sur le portail GDPRhub.

Ce que ça change pour vous — vérifiez vos processus internes de gestion des demandes d'exercice de droits et assurez-vous de respecter le délai d'un mois (art. 12(3) RGPD). Article 15 RGPD le guide pratique pour les PME et associations — Le responsable de traitement : rôle et obligations

26 mars 2026 — Chat Control : le PE rejette le scan des messageries au 3 avril 2026

Le Parlement européen a rejeté le 26 mars 2026, par 311 voix contre 228 (92 abstentions), la proposition de la Commission européenne visant à prolonger jusqu'en 2027 la dérogation à la directive ePrivacy qui permettait aux grandes plateformes de scanner volontairement le contenu des communications privées pour détecter des contenus pédopornographiques (CSAM). Cette dérogation expire le 3 avril 2026 et ne sera pas renouvelée. À compter de cette date, les services de messagerie électronique et les plateformes ne peuvent plus procéder à ces scans de façon volontaire sans base légale spécifique. La Commission devra présenter une nouvelle proposition législative encadrée, notamment au regard des exigences du RGPD (art. 5, 6) et de la Charte des droits fondamentaux. Cette décision renforce la protection du secret des communications électroniques pour les utilisateurs européens.

Ce que ça change pour vous — si votre organisation utilise un service de messagerie qui pratiquait ce scan, vérifiez que le prestataire a bien cessé cette pratique au 3 avril.

12 mars 2026 — CNIL : recommandation finale sur les pixels de suivi dans les emails

En séance plénière du 12 mars 2026, la CNIL a examiné et adopté sa recommandation définitive sur les pixels de suivi dans les emails (aussi appelés pixels espions). Conformément à l'article 82 de la loi Informatique et Libertés, l'intégration d'un pixel de suivi dans un email requiert le recueil préalable du consentement du destinataire, y compris dans le cadre d'emails commerciaux B2B. La recommandation impose trois obligations concrètes : (1) recueillir le consentement avant d'envoyer tout email comportant un pixel de tracking, (2) insérer un lien de retrait du consentement dans le pied de page de chaque email, (3) mettre en place un mécanisme de preuve du consentement conforme à l'Art. 7 RGPD. L'impact opérationnel est significatif pour les équipes marketing et CRM : les solutions de mesure d'ouverture des emails devront être revues, et les bases de contacts revalidées pour distinguer les destinataires ayant consenti au tracking de ceux qui ne l'ont pas fait. Cette obligation rejoint l'article 5(1)(f) du RGPD sur le principe de minimisation et l'Art. 82 de la loi française sur les cookies et traceurs.

Ce que ça change pour vous : auditez dès maintenant vos campagnes email et désactivez les pixels de suivi pour les contacts sans consentement explicite documenté. Email marketing et RGPD — RGPD et consentement

31 mars 2026 — PANAME : la CNIL et l'ANSSI testent leur outil d'audit RGPD des IA

La CNIL, l'ANSSI, le PEReN et le projet IPoP (INRIA) ont lancé un appel à manifestation d'intérêt pour tester PANAME (Privacy Auditing of AI Models), une bibliothèque logicielle open source destinée à auditer la confidentialité des modèles d'IA au regard du RGPD. L'outil permet de simuler plusieurs scénarios d'attaque connus : inférence d'appartenance (membership inference), inférence d'attributs et reconstruction de données d'entraînement. L'appel à testeurs était ouvert du 26 février au 28 mars 2026. Une première phase de tests se déroulera jusqu'en juin, suivie d'une éventuelle seconde phase. La publication de la bibliothèque open source complète est prévue pour l'automne 2026. Ce projet s'inscrit à l'intersection du RGPD et de l'AI Act.

Suivez la publication de PANAME à l'automne 2026 si vous entraînez ou déployez des modèles d'IA sur des données personnelles — cet outil pourrait devenir le standard d'audit de référence. IA et RGPD : les règles applicables — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

31 mars 2026 — CNIL : consultation publique sur les outils de rejeu de session

La CNIL a lancé une consultation publique sur son projet de recommandation encadrant les outils de rejeu de session (session replay). Ces technologies permettent de reconstituer l'intégralité du parcours de navigation d'un internaute sur un site ou une application mobile : mouvements de souris, clics, défilement, et parfois saisies dans les formulaires. La CNIL considère que l'utilisation de ces outils est soumise au recueil du consentement préalable de l'utilisateur au titre de l'article 82 de la loi Informatique et Libertés. Le projet de recommandation précise les cas d'usage acceptables — détection de bugs, amélioration de l'UX, assistance client — et encadre les garanties de minimisation des données. La consultation est ouverte jusqu'au 22 avril 2026.

Vérifiez si votre site utilise des outils de session replay (Hotjar, FullStory, Contentsquare…) et préparez-vous à recueillir un consentement spécifique avant leur activation. Cookies et RGPD : guide de mise en conformité — CMP : choisir votre plateforme de consentement

26 mars 2026 — DSA : Commission sanctionne Pornhub/Stripchat et enquête sur Snapchat

Le 26 mars 2026, la Commission européenne a rendu deux décisions majeures dans le cadre du Règlement sur les services numériques (DSA) : d'une part, une constatation préliminaire d'infraction contre Pornhub, Stripchat, XNXX et XVideos pour avoir permis l'accès de mineurs à du contenu pornographique, en violation de leurs obligations de protection des utilisateurs vulnérables ; d'autre part, l'ouverture d'une procédure formelle contre Snapchat pour manquements potentiels aux règles de protection des mineurs en ligne. Ces plateformes sont classées comme très grandes plateformes en ligne (VLOP) au sens du DSA. Ces décisions illustrent l'articulation entre le DSA et l'article 8 du RGPD sur le consentement des mineurs, ainsi que la directive ePrivacy, dans la mise en œuvre de mécanismes robustes de vérification d'âge. Les entreprises disposent d'un droit de réponse avant toute sanction définitive.

Pour les plateformes proposant du contenu à accès restreint : évaluez vos mécanismes de vérification d'âge au regard des exigences combinées DSA et Art. 8 RGPD. RGPD et consentement : tout ce que vous devez savoir

30 mars 2026 — Garante (Italie) : SMS opt-out insuffisant comme preuve de consentement

Le Garante per la protezione dei dati personali (Italie) a sanctionné un opérateur ayant conduit des campagnes d'appels commerciaux non sollicités (décision n° 10233396). L'enquête a établi que l'entreprise n'était pas en mesure de prouver que les personnes contactées avaient valablement consenti au démarchage téléphonique. En particulier, le Garante a jugé insuffisant le système de notification par SMS utilisé comme preuve de consentement. Cette décision confirme la jurisprudence constante : le consentement au marketing direct doit être libre, spécifique, éclairé et univoque au sens de l'article 7 du RGPD, et le responsable de traitement doit être capable d'en apporter la preuve à tout moment (Art. 5(2) RGPD — principe d'accountability). La simple notification SMS opt-out ne constitue pas un consentement valide au sens de l'Art. 6(1)(a) RGPD.

Vérifiez que vos preuves de consentement au marketing direct (téléphonique, email) sont horodatées, archivées et produisibles en cas de contrôle ou de plainte. RGPD et consentement : tout ce que vous devez savoir — Email marketing et RGPD : règles, consentement et sanctions

30 mars 2026 — Garante (Italie) : amende 36 M$ contre Intesa Sanpaolo (RGPD)

Le Garante per la protezione dei dati personali (autorité italienne de protection des données) a infligé une amende de 36 millions de dollars à Intesa Sanpaolo, l'une des principales banques italiennes, pour des violations du RGPD. Cette sanction figure parmi les plus importantes prononcées dans le secteur financier italien. L'affaire concerne des manquements aux principes fondamentaux du traitement des données personnelles des clients. Le secteur bancaire reste sous surveillance accrue des autorités de protection des données européennes, après plusieurs sanctions majeures ces dernières années (dont l'amende record contre Amazon annulée par le tribunal du Luxembourg en mars 2026). Cette décision rappelle que les établissements financiers doivent intégrer la conformité RGPD dans la gestion opérationnelle de leurs traitements (Art. 5, Art. 25 RGPD).

Pour les établissements financiers et DPO du secteur : auditez vos traitements clients et vérifiez la documentation de vos bases légales et mesures de sécurité associées.

30 mars 2026 — Europa.eu : Commission confirme violation de données (ShinyHunters)

La Commission européenne a confirmé le 30 mars 2026 une violation de données affectant la plateforme Europa.eu, piratée par le groupe ShinyHunters. La Commission indique avoir détecté l'incident et pris des mesures de confinement, tout en minimisant l'impact sur ses systèmes internes. Des données appartenant à des entités institutionnelles de l'UE pourraient avoir été exfiltrées. La Commission a notifié les organisations dont les données sont potentiellement compromises. Cet incident illustre que les obligations de l'article 33 du RGPD (notification à l'autorité de contrôle dans les 72 heures) s'appliquent également aux institutions européennes soumises au règlement 2018/1725. Le groupe ShinyHunters est connu pour des attaques à grande échelle suivies de tentatives d'extorsion.

Vérifiez si votre organisation a des accès ou des données hébergées sur des portails Europa.eu et documentez toute exposition potentielle dans votre registre des violations. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

30 mars 2026 — CNIL rappelle à l'ordre la CNAM pour manquement RGPD

La Commission nationale de l'informatique et des libertés (CNIL) a adressé un rappel à l'ordre à la Caisse nationale d'assurance maladie (CNAM) pour un manquement aux règles de protection des données personnelles. La CNAM gère les données de santé de plus de 67 millions d'assurés sociaux en France, ce qui la soumet à des obligations particulièrement strictes au titre des articles 5, 9 et 32 du RGPD, notamment pour les données de catégorie particulière (données de santé). Un rappel à l'ordre (article 20-1 de la loi Informatique et Libertés) constitue une mesure corrective formelle, sans amende financière mais contraignante : l'organisme doit se mettre en conformité sous peine d'une procédure de sanction ultérieure. Ce type d'intervention de la CNIL sur un opérateur de données de santé de premier plan illustre la vigilance accrue de l'autorité sur le secteur de la santé numérique, suite aux contrôles engagés dans le cadre de la stratégie nationale de santé numérique (Art. 32 RGPD).

Vérifiez que vos procédures de sécurité pour les données de santé (ou sensibles) respectent l'article 32 RGPD, notamment en matière de chiffrement, contrôle d'accès et habilitations. RGPD et sécurité : mesures techniques et organisationnelles exigées — 7 conseils pratiques pour se mettre en conformité avec la CNIL

16 mars 2026 — Santé numérique : décret mars 2026 instaure sanctions pour éditeurs

Un décret du 3 mars 2026, pris en application de l'article L1470-6 du Code de la santé publique, instaure un régime de contrôles et de sanctions à l'encontre des éditeurs de services numériques en santé en cas de non-respect des référentiels de sécurité, d'interopérabilité et d'éthique applicables. Selon DSIH (16 mars 2026), ce décret « discret mais potentiellement douloureux » introduit des mécanismes d'audit et des sanctions administratives pour les éditeurs ne respectant pas le cadre de l'Espace Numérique de Santé (ENS) et de l'ANS. Sur le plan RGPD, ce décret croise directement les obligations de l'article 32 (mesures de sécurité) et les exigences d'une AIPD pour les systèmes traitant des données de santé (catégorie sensible, Art. 9 RGPD). Cette obligation rejoint l'article 32 du RGPD sur la sécurité des systèmes traitant des données de santé. Les éditeurs de logiciels de santé (DMP, messagerie sécurisée, télémédecine) doivent vérifier leur alignement avec les référentiels ANS en vigueur.

Pour les éditeurs de services numériques en santé : vérifier la conformité aux référentiels ANS avant tout contrôle administratif. Sécurité des données personnelles : Art. 32 RGPD

27 janvier 2026 — UE–Brésil : décision d'adéquation mutuelle pour les transferts de données

L'Union européenne et le Brésil ont finalisé une décision d'adéquation mutuelle permettant les transferts de données personnelles entre les deux zones sans mécanismes contractuels additionnels. Cette décision, confirmée par l'IAPP fin janvier 2026, s'appuie sur l'évaluation par la Commission européenne de la loi brésilienne Lei Geral de Proteção de Dados (LGPD), jugée équivalente aux exigences du RGPD. Pour les organisations françaises opérant avec des entités brésiliennes, cela supprime la nécessité de recourir aux clauses contractuelles types (CCT) ou aux règles d'entreprise contraignantes (BCR) pour ces flux. Cette décision constitue la première adéquation mutuelle entre l'UE et un pays d'Amérique latine. Sur le plan technique, les systèmes de transfert de données devront être documentés au registre des traitements (Art. 30 RGPD) avec mise à jour des flux sortants vers le Brésil.

Mettre à jour votre registre des traitements et vos mentions légales pour indiquer que les transferts vers le Brésil ne nécessitent plus de garanties appropriées spécifiques. Sécurité des données personnelles : Art. 32 RGPD

17 mars 2026 — Digital Omnibus : le Conseil retire les modifications les plus risquées

Le premier compromis du Conseil de l'UE sur le Digital Omnibus, publié mi-mars 2026, supprime plusieurs des modifications les plus controversées initialement proposées par la Commission européenne au RGPD et à la directive ePrivacy. European Digital Rights (EDRi) salue le retrait des propositions les plus risquées, notamment celles qui auraient affaibli les droits des personnes concernées.

Toutefois, des risques subsistent. Certains amendements pourraient encore réduire les garanties en pratique, tandis que de nouvelles propositions introduites par le Conseil soulèvent des questions inédites. Le texte reste en négociation et les prochaines étapes au Parlement européen seront déterminantes. Ce compromis fait suite à l’avis conjoint du CEPD et de l’EDPS de février 2026, qui rejetait fermement plusieurs des changements proposés.

Suivez l'évolution du Digital Omnibus au Parlement européen : les modifications restantes pourraient encore impacter vos obligations de conformité, notamment sur le droit d'accès et les transferts de données.

25 mars 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé le 25 mars 2026 la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA). Il prendra ses fonctions le 15 avril 2026. Cette direction, créée pour renforcer l'expertise technique de l'autorité, joue un rôle central dans l'accompagnement de la mise en œuvre du règlement européen sur l'IA (AI Act) et dans les travaux de la CNIL sur les enjeux de protection des données liés à l'intelligence artificielle.

Cette nomination intervient dans un contexte de montée en puissance des sujets IA au sein de la CNIL, qui multiplie les publications sur l’encadrement des modèles d’IA, les analyses d’impact et les outils d’audit RGPD appliqués à l’IA.

Nomination à suivre : la direction DTIA de la CNIL sera un interlocuteur clé pour les entreprises déployant des systèmes d'IA soumis au RGPD et à l'AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

20 mars 2026 — CNIL : cadre juridique de la captation sonore couplée à la vidéoprotection

La CNIL a publié le 20 mars 2026 une mise au point sur les dispositifs de captation sonore couplés à la vidéoprotection. L'autorité rappelle un principe clair : l'enregistrement du son par une caméra de vidéoprotection est interdit par la loi. Néanmoins, l'installation d'un dispositif de captation sonore distinct dans un lieu placé sous vidéoprotection peut être légale dans des cas très précis.

Cette publication vient clarifier les conditions de licéité de ces dispositifs au regard du RGPD et de la législation française sur la vidéoprotection. Elle concerne directement les collectivités territoriales, les établissements recevant du public et les entreprises disposant de systèmes de vidéoprotection. La CNIL précise les bases légales applicables et les garanties nécessaires, notamment en matière de proportionnalité et d’information des personnes.

Si vous exploitez des dispositifs de vidéoprotection, vérifiez que tout capteur audio associé respecte les conditions strictes posées par la CNIL, et désactivez l'enregistrement sonore intégré aux caméras. RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

25 mars 2026 — CJUE : une première demande d'accès peut être excessive si elle est abusive

La Cour de justice de l'Union européenne a rendu le 25 mars 2026 un arrêt important dans l'affaire C-526/24 (Brillen Rottler), clarifiant l'interprétation de l'article 15 du RGPD. La Cour juge qu'une demande d'accès aux données personnelles peut être qualifiée d'excessive dès la première demande, si le responsable de traitement démontre que la personne concernée agit avec une intention abusive. En l'espèce, la CJUE précise qu'un droit d'accès exercé dans le seul but de créer artificiellement un droit à indemnisation peut constituer un abus de droit au sens de l'article 12(5) du RGPD.

Cette décision renforce la marge de manœuvre des responsables de traitement face aux demandes instrumentalisées, tout en rappelant que la charge de la preuve de l’abus repose sur le responsable de traitement. Les DPO devront documenter précisément les éléments objectifs justifiant le caractère abusif d’une demande avant tout refus.

Mettez à jour vos procédures internes de traitement des demandes d'accès pour intégrer les critères d'abus définis par la CJUE, en documentant systématiquement les indices objectifs d'intention abusive. Article 15 RGPD : le guide pratique pour les PME et associations

13 mars 2026 — La CNIL publie ses recommandations sur les proxys web filtrants

La CNIL a publié le 13 mars 2026 une recommandation destinée à accompagner les utilisateurs et les fournisseurs de serveurs mandataires web filtrants (proxys filtrants) dans leur mise en conformité au RGPD. Ces dispositifs, largement déployés en entreprise pour la cybersécurité, interceptent et analysent le trafic web des salariés, ce qui implique un traitement de données personnelles. La CNIL rappelle que ces solutions doivent être conformes au RGPD tant dans leur usage que dès leur conception (privacy by design, Art. 25 RGPD). La recommandation précise les bases légales applicables, les mesures de minimisation des données et les obligations d'information des salariés. Cette publication s'inscrit dans la volonté de la CNIL de promouvoir des solutions de cybersécurité respectueuses de la vie privée.

Vérifiez la conformité RGPD de vos proxys web filtrants à l'aide de cette nouvelle recommandation CNIL. RGPD et sécurité : les mesures techniques et organisationnelles

20 mars 2026 — Le Conseil d'État valide le Health Data Hub au regard du RGPD

Le Conseil d'État a confirmé que le traitement automatisé des données de santé autorisé par la CNIL dans le cadre du Health Data Hub est conforme au RGPD. Cette décision met fin à une longue controverse sur la légalité de cette plateforme nationale de données de santé, notamment au regard des transferts de données vers les États-Unis liés à l'hébergement Microsoft Azure. Le Conseil d'État estime que les garanties mises en place par la CNIL sont suffisantes pour assurer la protection des données des patients. Cette validation juridique ouvre la voie à une utilisation élargie des données de santé à des fins de recherche en France.

Les acteurs de la recherche en santé disposent désormais d'un cadre juridique stabilisé pour utiliser le Health Data Hub.

24 mars 2026 — Vague de violations massives dans le secteur éducatif français

Trois violations majeures de données frappent le secteur éducatif français en une semaine. Le CNOUS a subi le piratage d'un de ses systèmes d'information, exposant les données personnelles de 774 000 étudiants ou anciens étudiants. Parallèlement, le ministère de l'Éducation nationale a révélé le 23 mars qu'une intrusion dans son système RH « Compas » a compromis les données de 243 000 agents enseignants stagiaires. Enfin, le Secrétariat général de l'Enseignement catholique a été victime d'une cyberattaque exposant les données administratives de 1,5 million de personnes. Au total, plus de 2,5 millions de personnes sont concernées. Ces incidents démontrent la vulnérabilité des systèmes d'information du secteur public éducatif et rappellent l'obligation de notification à la CNIL dans les 72 heures (Art. 33 RGPD).

Vérifiez immédiatement vos procédures de notification de violation et la sécurité de vos systèmes RH et de gestion des étudiants. Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

25 mars 2026 — Le tribunal du Luxembourg annule l'amende RGPD record contre Amazon

Le tribunal administratif du Luxembourg a annulé l'amende de 746 millions d'euros infligée à Amazon par la CNPD luxembourgeoise en 2021. Il s'agissait de la plus lourde sanction jamais prononcée au titre du RGPD. Selon le Digital Watch Observatory, le tribunal a estimé que l'autorité de contrôle n'avait pas suffisamment motivé sa décision, notamment sur la qualification des violations et le calcul du montant. Cette annulation est un revers significatif pour l'application du RGPD aux grandes plateformes. Elle soulève des questions sur la capacité des autorités de contrôle à imposer des sanctions proportionnées aux géants du numérique. La CNPD pourrait faire appel de cette décision.

Décision à suivre pour évaluer l'impact sur la stratégie d'enforcement des autorités de contrôle européennes.

25 mars 2026 — La CJUE condamne le fichage biométrique systématique en France

La Cour de justice de l'Union européenne a rendu le 20 mars 2026 un arrêt très attendu dans l'affaire « Comdribus » concernant les pratiques de fichage françaises. La Cour estime que la manière dont le droit français permet la prise d'empreintes digitales et de photographies lors de contrôles d'identité est incompatible avec le droit de l'Union. La décision vise en particulier le fichier TAJ (Traitement des antécédents judiciaires) et la collecte systématique de données biométriques sans garanties suffisantes. La Quadrature du Net, à l'origine du recours, salue une décision qui « désavoue le système de fichage français ». Concrètement, le législateur français devra revoir les conditions de collecte et de conservation des données biométriques dans les fichiers de police. Cette décision renforce la position de la CJUE comme garante du droit à la protection des données face aux pratiques sécuritaires nationales.

Les responsables de traitement du secteur public doivent anticiper une révision des bases légales françaises pour la collecte biométrique. Fuite de données : procédure de gestion et notification RGPD

26 mars 2026 — AI Act : les eurodéputés repoussent les échéances et interdisent les deepfakes sexuels

Le Parlement européen vote un amendement au règlement Omnibus qui repousse certaines échéances de l’AI Act et introduit une interdiction explicite des deepfakes à caractère sexuel non consenti. Le report des échéances donne plus de temps aux entreprises pour se conformer, mais l’interdiction des deepfakes sexuels entre en vigueur immédiatement et s’applique à tous les fournisseurs et déployeurs de systèmes d’IA dans l’UE. Le lien RGPD est direct : les deepfakes constituent un traitement de données biométriques (art. 9 RGPD).

Ce que ça change pour vous : vérifiez que vos systèmes d’IA ne peuvent pas générer de deepfakes non consentis, et mettez à jour votre calendrier de conformité AI Act. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application

26 mars 2026 — CNIL : Kaspr se met en conformité après injonction (SAN-2026-004)

La décision SAN-2026-004 publiée sur GDPRhub révèle que Kaspr, spécialiste du scraping de données professionnelles sur LinkedIn, s’est mis en conformité à la suite d’une injonction de la CNIL. La société a dû revoir ses bases légales, renforcer l’information des personnes concernées et limiter la durée de conservation des données. Cette décision est un signal important pour les entreprises du secteur du data enrichment et du scraping.

Ce que ça change pour vous : si vous utilisez des services de scraping ou d’enrichissement de données, vérifiez la base légale et les mentions d’information de votre prestataire. Actualite RGPD 2026 : sanctions, decisions et jurisprudence — AML et donnees personnelles : durees de conservation et RGPD

25 mars 2026 — Vie privée des enfants : résultats de l’audit Global Privacy Enforcement Network

La CNIL publie les résultats de l’audit coordonné du Global Privacy Enforcement Network (GPEN) sur la protection de la vie privée des enfants en ligne. L’audit révèle des manquements généralisés : recueil de consentement parental insuffisant, collecte excessive de données, paramètres de confidentialité insuffisamment protecteurs par défaut. La CNIL rappelle que le RGPD impose des garanties renforcées pour les mineurs (art. 8) et que le consentement parental est requis pour les moins de 15 ans en France.

Ce que ça change pour vous : si votre service est accessible aux mineurs, vérifiez vos mécanismes de vérification d’âge et de recueil du consentement parental. Audit RGPD : tarifs, methodes et comment reduire les couts — RGPD et consentement : tout ce que vous devez savoir

19 mars 2026 — CEF 2026 : le CEPD lance une action coordonnée sur la transparence

Le Comité européen de la protection des données (CEPD) lance le Coordinated Enforcement Framework 2026, ciblant les obligations de transparence et d’information (art. 12 à 14 RGPD). Les autorités nationales, dont la CNIL, mèneront des contrôles coordonnés sur la clarté, l’accessibilité et l’exhaustivité des mentions d’information. Cette action succède aux CEF précédents sur les DPO (2023) et les droits d’accès (2024).

Ce que ça change pour vous : vos mentions d’information et politiques de confidentialité seront dans le viseur des contrôles 2026. Vérifiez leur conformité aux articles 12 à 14 RGPD dès maintenant. Actualite RGPD 2026 : sanctions, decisions et jurisprudence — Audit RGPD : tarifs, methodes et comment reduire les couts

13 mars 2026 — Le Conseil d’État confirme l’amende de 40 M€ de Criteo pour violation du RGPD

Le Conseil d’État rejette le recours de Criteo et confirme l’amende de 40 millions d’euros prononcée par la CNIL. La décision valide l’analyse de la CNIL sur le défaut de consentement valide pour le ciblage publicitaire (art. 6 et 7 RGPD), le défaut d’information (art. 13-14 RGPD) et les manquements au droit d’accès (art. 15 RGPD). Cette décision fait jurisprudence pour l’ensemble du secteur adtech et renforce la position de la CNIL sur le consentement en matière de publicité ciblée.

Ce que ça change pour vous : si vous êtes dans l’adtech ou utilisez du ciblage publicitaire, vérifiez immédiatement vos mécanismes de recueil de consentement et vos mentions d’information. RGPD et consentement : tout ce que vous devez savoir — Actualite RGPD 2026 : sanctions, decisions et jurisprudence

5 mars 2026 — GDPR Omnibus : la « simplification » européenne loin des besoins réels des entreprises

noyb analyse en détail le projet de règlement Omnibus visant à simplifier le RGPD et conclut que les mesures proposées sont largement déconnectées des besoins réels des entreprises. La simplification annoncée se concentre sur des points mineurs (allègement du registre pour les PME) tout en ignorant les vrais irritants : complexité des transferts internationaux, incohérences entre autorités nationales, lenteur du mécanisme de coopération. Les obligations fondamentales du RGPD restent inchangées.

Ce que ça change pour vous : ne comptez pas sur l’Omnibus pour alléger significativement vos obligations. Continuez à investir dans votre conformité RGPD. Mise en conformité RGPD : guide complet pour les PME — Cout de la mise en conformite RGPD : budget et ROI pour les PME

2 mars 2026 — L’ANSSI lance un AMI pour un outil d’audit RGPD des modèles d’IA

L’ANSSI publie un appel à manifestation d’intérêt pour le développement d’un outil d’audit de conformité RGPD spécifiquement conçu pour les modèles d’intelligence artificielle. L’initiative traduit la prise de conscience des régulateurs français que les modèles d’IA posent des défis spécifiques en matière de protection des données : données d’entraînement, minimisation, droit à l’effacement. Cet outil devra couvrir les obligations croisées RGPD et AI Act.

Ce que ça change pour vous : si vous développez ou déployez des modèles d’IA, anticipez les audits RGPD spécifiques qui arriveront avec ce type d’outil. Audit RGPD : tarifs, methodes et comment reduire les couts — Logiciel RGPD : comparatif complet des solutions de conformite 2026

11 février 2026 — Digital Omnibus : les autorités de protection des données rejettent les modifications proposées au RGPD

Les autorités européennes de protection des données (APD) s’opposent fermement à plusieurs modifications du RGPD proposées dans le cadre du Digital Omnibus Package. Les APD craignent un affaiblissement des droits fondamentaux, notamment sur l’intérêt légitime et les obligations de transparence. Ce front commun des régulateurs envoie un signal clair : toute simplification qui réduirait le niveau de protection sera combattue.

Ce que ça change pour vous : pas de modification du RGPD à court terme. Maintenez votre conformité actuelle et suivez l’évolution du Digital Omnibus au Parlement. Article 12 RGPD : Obligations de Transparence et Exemples

28 janvier 2026 — Journée de la protection des données : noyb démonte 5 idées reçues sur le RGPD

Pour la Journée de la protection des données, noyb publie une analyse détaillant 5 idées reçues persistantes sur le RGPD. Parmi elles : le RGPD ne concerne pas que les grandes entreprises, le consentement n’est pas la seule base légale, et la conformité ne se résume pas à une politique de confidentialité. L’article rappelle que toute entreprise traitant des données personnelles de résidents européens est concernée, indépendamment de sa taille ou de sa localisation.

Ce que ça change pour vous : une bonne occasion de vérifier que votre organisation ne tombe pas dans ces pièges classiques de conformité. RGPD et consentement : tout ce que vous devez savoir — Cout de la mise en conformite RGPD : budget et ROI pour les PME