Cette newsletter Lavoix présente une sélection des actualités de septembre 2025 à mars 2026 dans le domaine de la protection des données personnelles.
1. Délibérations de la CNIL
Condamnations de plusieurs sociétés pour non-respect des règles applicables en matière de cookies
Le 1er septembre 2025, la CNIL a sanctionné la société Infinite Styles Services Co. Limited, filiale irlandaise du groupe Shein, d’une amende de 150 millions d’euros pour le non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site « shein.com ».
Le 20 novembre 2025, la CNIL a sanctionné la société française Les Publications Conde Nast d’une amende de 750 000 euros sur le même fondement, s’agissant des cookies déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr ».
Toujours sur ce fondement, dans sa délibération du 27 novembre 2025, la CNIL sanctionne la société American Express Carte France, filiale française du groupe American Express, d’une amende de 1,5 million d’euros.
La CNIL a constaté des pratiques contraires à l’article 82 de la loi Informatique et Libertés. En effet, des cookies soumis à consentement étaient déposés sur le terminal des utilisateurs en l’absence du recueil de leur consentement, et le mécanisme de refus et de retrait du consentement était défaillant. De même, l’information mise à disposition des utilisateurs concernant les finalités des cookies manquait de clarté.
Google condamnée à 325 millions d’euros
Dans une délibération du 1er septembre 2025, la CNIL a sanctionné Google d’une amende de 325 millions d’euros pour avoir affiché des publicités entre les courriels des utilisateurs de Gmail sans leur accord, et pour avoir déposé des traceurs (cookies) lors de la création de comptes Google, sans consentement valide des utilisateurs français.
Cela contrevient à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE), et constitue également un manquement en l’absence de consentement libre et éclairé de la part des utilisateurs au dépôt de traceurs (article 82 de la loi Informatique et Libertés).
Sanction de Mobius Solutions, sous-traitant de Deezer
La société israélienne Mobius Solutions Ltd, dont Deezer utilisait les services pour réaliser des campagnes publicitaires personnalisées à destination de ses clients, a été sanctionnée, le 11 décembre 2025, à 1 million d’euros d’amende.
Mobius Solutions avait en effet conservé après la fin du contrat les données de plus de 46 millions d’utilisateurs, et a réutilisé ces données hors de toute instruction, pour améliorer ses propres services. Elle a également manqué à son obligation de tenue d’un registre des activités de traitement.
La délibération illustre l’application du RGPD aux acteurs hors UE dès lors que le comportement de ressortissants européen est traité.
Condamnation de Free et Free Mobile pour non-respect du fait de mesures inadaptées pour assurer la sécurité des données de leurs abonnés
Par deux délibérations du 8 janvier 2026, la CNIL sanctionne les sociétés Free Mobile et Free à respectivement 27 millions et 15 millions d’euros.
Ces sanctions sont infligées du fait du manquement par ces sociétés à l’obligation d’assurer la sécurité des données personnelles, à l’obligation d’informer les personnes concernées de la violation de données, et pour Free Mobile uniquement, à l’obligation de conserver les données personnelles pendant une durée limitée (articles 32, 34, et 5-1-e du RGPD).
Cyberattaque et négligences : la CNIL sanctionne France Travail
Par une délibération du 22 janvier 2026, la CNIL sanctionne France Travail d’une amende de 5 millions d’euros pour avoir manqué à l’obligation d’assurer la sécurité des données personnelles suite à une attaque informatique survenue en mars 2024.
La CNIL a relevé que l’organisme n’avait pas mis en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles qu’il traite, en violation de l’article 32 du RGPD, exposant ainsi des informations telles que noms, identifiants et numéros de sécurité sociale.
2. Documentation de la CNIL
Finalisation des recommandations de la CNIL sur le développement des systèmes d’IA
Suites aux difficultés rencontrées par les concepteurs et développeurs de systèmes d’intelligence artificielle concernant l’application du RGPD, la CNIL propose dans ses nouvelles recommandations de guider les acteurs du secteur sur le développement de systèmes d’IA impliquant un traitement de données personnelles
Ces recommandations concernent uniquement la phase de développement de systèmes d’IA, et non celle de déploiement. Elles portent notamment sur la détermination de la responsabilité des acteurs, l’information des personnes dont les données sont utilisées, ou encore le respect du RGPD lors de la phase d’annotation.
En parallèle, la CNIL dévoile ses futurs travaux, parmi lesquels l’élaboration de recommandations sectorielles, la réalisation de travaux de recherche sur l’explicabilité dans le domaine de l’IA et le développement d’outils techniques à destination des professionnels.
La CNIL publie une cartographie du déploiement des outils RGPD en Europe
Afin de faciliter l’identification des outils de conformité approuvés par les autorités nationales à travers l’Europe, la CNIL publie deux cartes : une concernant le déploiement des certifications (article 42 du RGPD), l’autre sur le déploiement des codes de conduite (article 40 du RGPD).
Ces cartes permettent aux organisations d’envisager plus facilement leurs démarches de conformité grâce à une vue d’ensemble des dispositifs approuvés, dans un objectif d’harmonisation.
La CNIL publie ses recommandations finales sur le consentement multi-terminaux en matière de traceurs
Avec ces recommandations, la CNIL vient préciser comment recueillir un consentement aux cookies valable sur plusieurs appareils lorsqu’un utilisateur est connecté à un même compte. Les choix doivent être simples, clairs et applicables à l’ensemble des terminaux, avec une information explicite sur cette portée multi-terminaux.
Ces recommandations concernent aussi la gestion des choix divergents faits avant la connexion et complète ses recommandations existantes sur les cookies. Ces règles visent à garantir la conformité au RGPD et s’inscrivent dans une réflexion plus large sur le consentement à l’échelle de plusieurs services ou sites.
Traitements de données pour la recherche scientifique hors santé : dans quels cas saisir la CNIL
La CNIL a clarifié les situations dans lesquelles son avis est requis pour mener une recherche scientifique publique (hors santé) reposant sur un traitement de données sensibles. En principe, le traitement de données sensibles est interdit sauf exceptions prévues par le RGPD ; en l’absence d’autre base légale (comme le consentement explicite), la saisine de la CNIL est prévue par l’article 44.6 de la loi Informatique et Libertés.
Pour que la consultation soit nécessaire, trois conditions cumulatives doivent être remplies : le traitement doit être nécessaire à des fins de recherche scientifique publique, il doit porter sur des données sensibles et être justifié par des motifs d’intérêt public important. Si ces critères sont réunis, la CNIL peut être saisie pour avis afin de valider la conformité du projet.
La CNIL dévoile le bilan 2025 des sanctions et mesures correctrices prononcées
En 2025, la CNIL a prononcé 83 sanctions pour non-respect du RGPD et de la loi Informatique et Libertés, totalisant 486 839 500 euros d’amendes. Parmi ces décisions, plusieurs portaient sur l’usage de cookies sans consentement valide, des pratiques de vidéosurveillance des salariés disproportionnées ou des manquements à la sécurité et aux droits des personnes concernées.
Les sanctions révèlent des thématiques récurrentes : violation des règles de consentement pour les traceurs, insuffisances de sécurité des données et défaut de coopération avec la CNIL. La formation restreinte a notamment infligé deux amendes record de 325 millions et 150 millions d’euros à de grands acteurs pour non-conformité aux règles relatives aux cookies.
Numérique en santé : partenariat entre la CNIL et la HAS pour renforcer les bonnes pratiques
Le 10 mars 2026, la CNIL et la Haute Autorité de santé (HAS) ont signé une convention de partenariat destinée à renforcer les bonnes pratiques en matière de protection des données dans le secteur sanitaire, social et médico-social. Cette coopération vise notamment à accompagner le développement des outils numériques et de l’intelligence artificielle en santé tout en garantissant le respect des droits fondamentaux des patients.
Le partenariat prévoit des actions communes pour aider les acteurs du secteur à appliquer concrètement les exigences juridiques relatives aux données de santé et à améliorer la sécurité des traitements. Une première recommandation conjointe est attendue au deuxième trimestre 2026 sur le bon usage de l’intelligence artificielle dans les pratiques de soins.
3. Actualités légales et jurisprudentielles – France
Confirmation de l’amende de 8 millions d’euros infligées à Apple pour ses traceurs publicitaires
Une délibération de la CNIL du 29 décembre 2022 a prononcé à l’encontre d’Apple une amende d’un montant de 8 millions d’euros pour manquement à l’article 82 de la loi Informatique et Libertés, en raison de pratiques de lecture et d’écriture de données à des fins publicitaires sans que le consentement de l’utilisateur soit recueilli.
Le Conseil d’État a rejeté le recours d’Apple visant à annuler la sanction prononcée par la CNIL, en confirmant d’une part la compétence de la CNIL au motif que les traitements concernés, bien que réalisés par une société étrangère, étaient liés à des établissements situés en France, et en considérant d’autre part que le manquement était caractérisé (CE, 15 octobre 2025, n° 473833).
Confirmation de l’amende de 10 millions d’euros infligées à Yahoo pour ses traceurs publicitaires
Une délibération de la CNIL du 29 décembre 2022 avait prononcé à l’encontre de Yahoo EMEA une amende d’un montant de 10 millions d’euros pour manquement à l’article 82 de la loi Informatique et Libertés, en raison des pratiques dépôt cookies à des fins publicitaires sans recueil préalable du consentement, et des modalités de retrait du consentement aux cookies
Le Conseil d’État rejette le recours de Yahoo contre cette délibération et confirme la compétence de la CNIL, celle-ci pouvant agir même si les traitements ne sont pas strictement des traitements de données personnelles, et cela au titre de l’article 82 de la loi Informatique et Libertés transposant la directive ePrivacy.
Est également validée la constatation des manquements reprochés à Yahoo. Le Conseil d’État estime que la sanction de 10 millions d’euros, au regard de la gravité, de la durée et de la portée des manquements, n’est pas disproportionnée (CE, 7 octobre 2025, n° 494300).
Violation du RGPD : le Conseil d’Etat réduit l’amende prononcée contre Amazon France Logistique
La CNIL, ayant considéré que la mise en œuvre, par la société Amazon France Logistique, d’un système de surveillance de l’activité et des performances des salariés des entrepôts était excessivement intrusive et dépourvue de base légale au sens de l’article 6 du RGPD, avait infligé à la société une amende de 32 000 000 d’euros.
Le Conseil d’Etat estime que la décision de la CNIL est entachée d’une erreur d’appréciation sur ce point. Il confirme en revanche les autres manquements relevés par la formation restreinte dans sa décision de sanction, à savoir la violation du principe de minimisation, de l’obligation d’information et du principe de sécurité s’agissant de l’accès au logiciel de vidéosurveillance gérant certaines caméras d’un de ses entrepôts, traduisant une négligence grave de la société Amazon France Logistique. Le montant de la sanction prononcée par la formation restreinte est dès lors rapporté à 15 millions d’euros (CE, 23 décembre 2025, n° 492830).
RGPD : la pseudonymisation ne suffit pas à exclure la qualification de donnée personnelle
Par un arrêt du 13 février 2026, le Conseil d’Etat rappelle qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, par exemple du fait d’une identification impliquant un effort démesuré en termes de temps, coût et main d’œuvre.
Au cas présent, plusieurs sociétés du domaine de la santé avaient contesté une sanction de la CNIL, en soutenant que leurs traitements pseudonymisés ne concernaient plus de données personnelles. Le Conseil d’Etat valide la sanction de la CNIL au motif des éléments comme l’âge, le sexe, des données de santé, ou encore des codes associés qui permettent des recoupements simples avec des ressources externes peuvent suffire à maintenir le caractère personnel des données malgré la pseudonymisation (CE, 13 février 2026, 498628).
Publicité ciblée et cookies : le Conseil d’État confirme l’amende de 40 millions d’euros prononcée par la CNIL
Par un arrêt du 4 mars 2026, le Conseil d’État rejette le recours formé par une société de publicité en ligne contre la sanction de 40 millions d’euros prononcée en 2023 par la CNIL en raison de plusieurs manquements au RGPD. L’affaire portait sur l’utilisation de cookies et le traitement de données de navigation d’internautes afin d’afficher des publicités personnalisées sur des sites partenaires.
Le Conseil d’État confirme la qualification de données personnelles malgré la pseudonymisation des identifiants et juge établis plusieurs manquements : incapacité de démontrer le recueil du consentement (art. 7), information insuffisante des personnes (art. 12 et 13), défaut d’accord adéquat entre responsables conjoints (art. 26) et absence d’effacement effectif après retrait du consentement (art. 17). Compte tenu notamment de l’ampleur du traitement (plus de 370 millions d’identifiants dans l’UE) la juridiction estime que l’amende de 40 millions d’euros est proportionnée et confirme la décision de la CNIL.
4. Actualités légales et jurisprudentielles – Europe/International
Fixation des règles de procédure supplémentaires relatives à l’application du RGPD
Pour remédier aux lacunes dans l’application du RGPD, dues notamment aux procédures fastidieuses, aux pratiques divergentes et à des failles fonctionnelles, le Parlement européen a fixé des règles de procédure supplémentaires.
Le texte en date du 21 octobre 2025 prévoit que toutes les autorités de contrôle nationales appliqueront la même procédure pour traiter les plaintes transfrontalières, que les parties faisant l’objet de l’enquête disposeront d’un droit d’accès au dossier et d’un droit d’être entendues, ou encore que des délais impératifs seront instaurés pour éviter les dossiers qui s’enlisent.
Les règles numériques européennes simplifiées avec le paquet Omnibus
L’Union européenne veut se doter d’un cadre numérique plus lisible et plus efficace grâce au nouveau paquet « Omnibus » présenté le 19 novembre 2025. Avec ce texte, la Commission entend simplifier un environnement réglementaire devenu dense, tout en préservant un haut niveau de protection des droits fondamentaux.
Sont entre autres recommandés le report de certaines obligations prévues par le règlement européen sur l’intelligence artificielle, des modifications ciblées du RGPD, notamment des clarifications sur la définition des données personnelles ou la simplification du consentement aux cookies.
L’exploitant d’un site est responsable du traitement des données personnelles
Par une décision du 2 décembre 2025, la CJUE juge que l’exploitant d’une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur son site, est tenu de vérifier, avant publication, si celles-ci contiennent des données sensibles et si leur traitement respecte le RGPD (CJUE 2 décembre 2025, C-492/23, Russmedia Digital SRL c. Inform Media Press).
Précisions de la CJUE concernant la conservation de données biométriques et génétiques d’une personne poursuivie pénalement
La CJUE précise dans un arrêt du 20 novembre 2025 que le droit de l’Union n’interdit pas, en soi, la collecte indifférenciée de données biométriques et génétiques concernant toute personne poursuivie ou soupçonnée d’avoir commis une infraction intentionnelle. Une telle collecte est possible dans la mesure où, d’une part, les finalités du traitement ne requièrent pas de distinction particulière entre les personnes concernées et, d’autre part, les autorités qui traitent ces données respectent strictement les règles applicables aux données sensibles (CJUE, 20 novembre 2025, C-57/23, JH c. Policejní prezidium).
L’envoi de newsletters est possible sans consentement
Dans un arrêt du 13 novembre 2025, la CJUE juge que l’adresse e-mail de l’utilisateur collectée dans le cadre de la vente d’un produit ou service consiste en une prospection directe pour des produits ou services analogues au sens de la directive e-Privacy, sans qu’il soit nécessaire de recueillir le consentement exigé par le RGPD (CJUE, 13 novembre 2025, n° C-654/23, Inteligo Media SA c. ANSPDCP).
Clarification du régime de sanctions prévu par le RGPD
Par un arrêt du 4 septembre 2025, la CJUE confirme que le dommage moral, au sens de l’article 82 du RGPD, résultant d’un traitement illicite est indemnisable sans qu’il soit nécessaire de prouver un seuil minimal de gravité. La décision précise à ce titre que la notion de dommage moral englobe des sentiments négatifs éprouvés par la personne concernée à la suite d’une transmission non autorisée de ses données à caractère personnel à un tiers.
Tel est le cas, en l’espèce, d’une salariée d’une entreprise qui, par le biais de la messagerie d’un réseau social professionnel, a transmis à un tiers non habilité un message initialement destiné à un candidat à un emploi (CJUE, 4 septembre 2025, n° C-655/23, IP c. Quirin Privatbank AG).
La CJUE précise la notion de données à caractère personnel
En 2018, après la faillite de la banque Banco Popular, le Comité de résolution unique (CRU) organise une procédure où les actionnaires et créanciers soumettent des observations anonymisées, analysées ensuite par Deloitte. Des plaintes sont déposées au CEPD pour manque d’information sur l’usage des données personnelles par Deloitte.
Par un arrêt du 4 septembre 2025, la CJUE rappelle qu’une donnée à caractère personnel est une donnée qui se rapporte à une personne physique identifiée ou identifiable. Elle indique par ailleurs que la pseudonymisation peut avoir une incidence sur le caractère personnel des données pseudonymisées : si les données sont des données personnelles pour le responsable de traitement (ici le CRU), elles peuvent être considérées comme anonymes du point de vue du destinataire (ici Deloitte) si celui-ci n’a pas la possibilité de réidentifier les personnes concernées. Enfin, la Cour précise que le fait que le destinataire ne puisse pas réidentifier les personnes ne dispense pas le responsable initial de respecter les obligations de transparence prévues par le RGPD (CJUE, 4 septembre 2025, n° C-413-23, CEPD c. CRU).
Meta poursuit sa politique en faveur du modèle « consentir ou payer »
Suite à la publication de l’avis du CEPD concernant les modèles « consentir ou payer » utilisés par les grandes plateformes en ligne, Meta Platforms Ireland avait contesté ce dernier devant le Tribunal de l’Union européenne, arguant que cet avis devait être annulé et que Meta devait être indemnisée. Le 29 avril 2025, le Tribunal a rejeté les demandes de Meta comme irrecevables et manifestement infondées, ce qui a conduit Meta à faire appel de cette décision devant la CJUE (CJUE 10 juillet 2025, C-454/25, Meta Platforms Ireland v. Comité européen de la protection des données).
Réforme du RGPD et lignes directrices sur la création de comptes en ligne : le CEPD formule ses recommandations
Les 2 et 3 décembre 2025, le Comité européen de la protection des données (CEPD) a examiné les propositions de la Commission européenne visant à modifier le RGPD et la directive ePrivacy. Il a par ailleurs adopté des lignes directrices relatives à la création de comptes utilisateurs en ligne, ainsi que des bonnes pratiques concernant son fonctionnement.
L’Autorité de protection des données belge (APD) sanctionne Infobel pour revente de données sans consentement
Par une décision du 27 novembre 2025, l’APD sanctionne d’une amende de 40.000 euros le courtier en données Infobel pour la revente de données obtenues auprès d’un opérateur télécom à des fins de marketing sans un consentement valable de la personne concernée, en contrariété avec le RGPD.
AI Act : le CEPD publie un « compass » pour une IA de confiance dans l’administration européenne
Le CEPD a publié un « AI Act Compass », destiné à accompagner les institutions et agences de l’UE dans la mise en œuvre du AI Act. Ce document s’inscrit dans le nouveau rôle du CEPD comme autorité de surveillance des systèmes d’IA utilisés par les institutions européennes, avec l’objectif de favoriser une intelligence artificielle fiable et conforme aux exigences juridiques.
Biotech Act : le CEPD et le CEPD soutiennent l’harmonisation des essais cliniques avec des garanties renforcées
Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont adopté un avis conjoint sur le projet de règlement relatif au futur « European Biotech Act ». Ils soutiennent l’objectif d’harmonisation des règles applicables aux essais cliniques au sein de l’Union européenne, estimant qu’il peut améliorer la sécurité juridique et favoriser l’innovation dans le domaine des biotechnologies.
Les deux autorités insistent toutefois sur la nécessité d’encadrer strictement le traitement des données de santé, en raison de leur caractère particulièrement sensible. Elles appellent à l’introduction de garanties spécifiques, notamment pour assurer le respect des principes de nécessité et de proportionnalité, ainsi qu’un niveau élevé de protection des droits des personnes participant aux essais cliniques.
Omnibus numérique : le Contrôleur et le Comité européen de la protection des données soutiennent la simplification mais appellent à préserver la protection des données
Le 10 février 2026, le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont adopté un avis conjoint sur la proposition d’Omnibus numérique visant à simplifier plusieurs textes du cadre réglementaire européen. Ils examinent notamment les ajustements envisagés au RGPD et leurs effets sur la protection des données personnelles.
S’ils soutiennent l’objectif de simplification et de réduction des charges administratives, les deux autorités rappellent que ces évolutions ne doivent pas affaiblir les garanties offertes aux personnes concernées ni remettre en cause l’équilibre actuel du cadre européen de protection des données.
Institutions européennes : le CEPD renforce l’indépendance des DPO
Dans un communiqué du 13 février 2026, Le Contrôleur européen de la protection des données communique sur l’adoption de nouvelles lignes directrices précisant le rôle, le positionnement et les garanties d’indépendance des délégués à la protection des données (DPO) au sein des institutions et agences de l’Union européenne. L’objectif est d’assurer une application cohérente du cadre fixé par le règlement (UE) 2018/1725.
En complément, le CEPD a établi des règles contraignantes imposant son accord préalable en cas de révocation d’un DPO avant la fin de son mandat. Ce mécanisme vise à prévenir toute pression institutionnelle et à garantir l’indépendance fonctionnelle de ces acteurs clés de la conformité.
La CJUE ouvre un recours direct contre les décisions contraignantes du CEPD
Par un arrêt du 10 février 2026, la CJUE a jugé qu’une décision contraignante du CEPD peut faire l’objet d’un recours direct devant les juridictions de l’Union. L’affaire trouve son origine dans la décision du CEPD de 2021 ayant conduit l’autorité irlandaise à infliger à WhatsApp une amende de 225 millions d’euros pour manquements au RGPD.
La CJUE a annulé l’ordonnance du Tribunal de l’Union européenne qui avait déclaré le recours irrecevable, considérant que la décision du CEPD produisait des effets juridiques contraignants à l’égard de WhatsApp. L’affaire est renvoyée devant le Tribunal pour examen au fond (CJUE, 10 février 2026, C-97/23 P).
Collecte de données sans consentement par Meta : préjudice moral reconnu par une cour allemande
Par plusieurs décisions du 3 février 2026, la Cour régionale supérieure de Dresde a jugé que la collecte de données utilisateurs, sans leur consentement, d’Instagram et Facebook via les Meta Business Tools (Meta Pixel et autres outils intégrés à des sites tiers) constituait un traitement illégal de données personnelles au regard de l’article 6 du RGPD, faute de consentement valable. Quatre utilisateurs avaient saisi la juridiction en réparation de leur préjudice moral lié à cette collecte non autorisée.
La Cour a reconnu le préjudice moral, accordant à chacun 1 500 euros et ordonnant à Meta de cesser le traitement et de supprimer les données litigieuses.
Publicité ciblée : annulation de l’amende record de 746 millions d’euros infligée à Amazon
La Cour administrative du Luxembourg était saisie de l’appel formé contre une décision confirmant une sanction de 746 millions d’euros prononcée par la Commission nationale pour la protection des données (CNPD – autorité de contrôle luxembourgeoise) à l’encontre d’Amazon. La Commission avait retenu l’absence de base légale valable pour la publicité comportementale (art. 6 du RGPD) ainsi que plusieurs manquements aux obligations de transparence et aux droits des personnes (art. 12 à 17 et 21). La Cour confirme ces violations par un arrêt du 12 mars 2026.
En revanche, la juridiction annule la décision dans son ensemble en raison d’irrégularités affectant la sanction. Elle reproche à la Commission de ne pas avoir vérifié l’existence d’une faute (intentionnelle ou négligente), ni d’avoir procédé à une appréciation complète de la proportionnalité de l’amende au regard de l’article 83 du RGPD.
Article rédigé par : Jeanne BRETON, Claire GOURJON, Kylian TREGUER et Camille PECNARD