Cette newsletter LAVOIX présente une sélection des actualités de janvier à juin 2025 dans le domaine de la protection des données personnelles.
1. Délibérations de la CNIL
Rappel au moteur de recherche QWANT de ses obligations légales
Par une enquête menée en 2019 sur le moteur de recherche QWANT, connu pour ses efforts en termes de protection des données, la CNIL avait conclu que les données transmises par le moteur de recherche à Microsoft étaient des données à caractère personnel, caractérisant l’application du RGPD (Règlement Général sur la Protection des Données).
Malgré une refonte de sa politique de confidentialité, la CNIL a adressé au moteur de recherche un rappel de ses obligations légales sur le fondement de l’article 58-2-b) du RGPD. Etaient notamment en cause la qualification des données transmises, pseudonymisées et non anonymisées, ainsi qu’une violation des obligations de transparence et d’information.
Précisions quant au régime d’application du RGPD au développement des systèmes d’IA
Par une délibération en date du 6 février 2025, la CNIL a adopté une recommandation sur l’application du RGPD au développement des systèmes d’intelligence artificielle, composée de deux fiches pratiques : « informer les personnes concernées » et « respecter et faciliter l’exercice des droits des personnes concernées ».
La première précise l’obligation d’information des personnes concernées par les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA. La seconde guide ces organismes afin qu’ils respectent et facilitent l’exercice, par les personnes concernées, des droits sur leurs données.
Sanctions de courtiers en données
Le 15 mai 2025, la CNIL a sanctionné les sociétés de courtiers en données SOLOCAL MARKETING SERVICES et CALOGA d’amendes à hauteur de 900 000 et 80 000 euros pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable (Article 6 RGPD).
Ces sanctions ont été infligées lors de contrôles opérées par la CNIL dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022.
Nouvelles sanctions dans le cadre de la procédure simplifiée
Depuis janvier 2025, dix nouvelles décisions de sanctions ont été rendues par la CNIL dans le cadre de sa procédure simplifiée pour un montant de 104 000 euros.
Six de ces sanctions ont été prises concernant la surveillance des salariés. Le manquement au principe de minimisation des données est majoritairement en cause du fait de surveillances vidéo permanentes des postes de travail.
Des manquements à la sécurité des données ainsi qu’à l’obligation de notification de violations de données aux personnes concernées ont également donné lieu à sanctions.
2. Documentation de la CNIL
Bilan 2024 de l’action de la CNIL : forte augmentation de l’ensemble des mesures correctrices
L’année 2024 se caractérise pour la CNIL par une augmentation significative du nombre de mesures adoptées, avec 331 mesures correctrices prononcées : 87 sanctions, 64 rappels aux obligations légales, 180 mises en demeure et un montant total d’amendes cumulées de 55 212 400 euros.
Les thématiques récurrentes dans les décisions de sanction de la formation restreinte de la CNIL sont la prospection commerciale et l’anonymisation des données de santé.
En avril 2024, la CNIL a publié son rapport annuel pour l’année 2024.
Le bilan fait notamment état d’un nombre record de 17 772 plaintes reçues, dont la moitié sont relatives à la thématique « télécoms, web et réseaux sociaux ».
12 fiches pratiques concernant le développement de l’IA ont également été publiées en vue d’assurer une innovation respectueuse de la protection des données.
La CNIL a par ailleurs poursuivi son accompagnement de la mise en conformité des traitements de données de santé. Elle a ainsi reçu 619 demandes d’autorisation de traitement, en parvenant à réduire leur délais d’instructions à 65 jours en moyenne (contre 73 jours en 2023).
Bilan des contrôles de la CNIL sur le droit d’accès
Dans le cadre de l’action coordonnée européenne, la CNIL et plusieurs de ses homologues européens ont évalué la mise en œuvre par différents organismes publics du droit d’accès prévu à l’article 15 du RGPD.
Il ressort des investigations que la majorité des organismes a mis en place des mesures organisationnelles afin de traiter les demandes de droits d’accès. Néanmoins, ces mesures resteraient insuffisantes : certains organismes fourniraient des réponses partielles ou incomplètes aux demandes de droit d’accès qui leurs sont adressées.
Une fiche pratique avait été publiée par la CNIL sur la meilleure façon de répondre à une demande de droit d’accès.
Engagement de la CNIL pour une IA innovante et protectrice de la vie privée
À l’occasion du sommet pour l’action sur l’IA de Paris (6-11 février 2025), la CNIL a signé, aux côtés des autorités de protection des données australienne, coréenne, irlandaise et du Royaume-Uni, une déclaration commune visant à mettre en place une gouvernance des données favorisant une IA innovante et protectrice de la vie privée.
Cette initiative met en avant les opportunités qu’offre l’IA dans divers domaines tout en rappelant les garanties impératives en terme de transparence et respect des droits fondamentaux. Les autorités signataires se sont en particulier engagées à clarifier les bases légales pour le traitement des données dans l’IA et à suivre les impacts techniques et sociétaux de l’IA en impliquant divers acteurs.
En février 2025, la CNIL a publié deux nouvelles recommandations visant à garantir la conformité de l’usage de l’IA au RGPD. La CNIL recommande dans un premier temps que lorsque des données personnelles servent à l’entraînement d’un modèle d’IA et sont potentiellement mémorisées par celui-ci, les personnes concernées en soient informées. Elle recommande également aux acteurs de l’IA de mettre en place les mesures nécessaires pour assurer le respect des différents droits prévus par le RGPD (droit d’accès, de rectification, d’opposition et d’effacement).
Publication du bilan du « bac à sable » dédié à l’IA appliquée aux services publics
Le « bac à sable » est un programme d’accompagnement personnalisé de la CNIL destiné aux acteurs souhaitant être conseillés pour développer un projet innovant.
La 3ème édition du programme, dont le bilan a été publié en avril 2025, était consacrée aux projets intégrant de l’intelligence artificielle afin d’améliorer le service public. Cet accompagnement a notamment porté sur la notion d’intervention humaine significative et le principe de minimisation des données d’une IA générative.
La CNIL met à jour ses Tables informatiques et Libertés et ses Cahiers rassemblant les décisions rendues en 2024
La CNIL a publié une mise à jour de ses Tables informatiques et Libertés qui rassemblent l’essentiel de la jurisprudence et des décisions de la CNIL. Ces tables contiennent un résumé des principaux points tranchés par ces décisions.
Quant aux Cahiers, ils rassemblent les décisions marquantes de la CNIL.
Publication de la version finale du guide sur les analyses d’impact des transferts des données (AITD)
La CNIL a publié la version finale de son guide relatif aux AITD, destiné à orienter les responsables de traitement et les sous-traitants transférant des données hors de l’Union européenne. Ce guide, modifié après une consultation publique, constitue une méthodologie identifiant les étapes préalables à la réalisation d’une AITD, sans pour autant être obligatoire.
Une AITD doit être réalisée par l’exportateur soumis au RGPD, avec l’assistance de l’importateur, avant de transférer les données vers un pays hors de l’EEE lorsque ce transfert s’appuie sur un outil de l’article 46 du RGPD. Elle a pour objet d’évaluer si l’importateur de données dans un pays tiers pourra respecter les obligations prévues par l’outil choisi compte tenu de sa législation.
Action coordonnée 2025 : série de contrôles concernant le droit à l’effacement
En 2025, la CNIL et plusieurs de ses homologues participent à une nouvelle action coordonnée du CEPD, ayant pour thème le respect du droit à l’effacement, aussi appelé « droit à l’oubli ». Ces investigations ont pour objet de veiller à la bonne mise en œuvre de ce droit par les organismes.
Dans les conditions posées à l’article 17 du RGPD, le droit à l’effacement permet à une personne concernée de demander à un organisme qu’il supprime ses données personnelles, demande à laquelle il est tenu de répondre afin de respecter son obligation de transparence (l’article 12 du RGPD).
En avril 2025, la CNIL a publié sa stratégie européenne pour 2025 à 2028. Cette stratégie est construite autour de trois axes principaux que sont : fluidifier la coopération européenne, promouvoir des standards internationaux élevés et consolider l’influence européenne et internationale de la CNIL.
Elle vise à renforcer et coordonner l’action de la CNIL avec les autres autorités européennes en prenant compte des orientations du CEPD.
Recommandation de la CNIL relative à l’authentification multifacteur
En avril 2025, la CNlL a publié une recommandation à destination des responsables de traitement mettant en œuvre une authentification multifacteur.
Cette recommandation a notamment pour objet de mettre l’accent sur le choix des modalités d’authentification (facteurs de connaissance, possession, inhérence) ainsi que leurs conditions de conformité aux principes de détermination d’une base légale et de minimisation des données collectées.
3. Actualités légales et jurisprudentielles – France
Exception à l’obligation d’information concernant la communication des données fiscales
En principe, selon l’article 14 du RGPD, le responsable de traitement des données à caractère personnel doit informer la personne concernée par ce traitement dès lors que les données n’ont pas été recueillies directement auprès d’elle.
Dans un arrêt en date du 27 février 2025 (RG n° 22-17.970), la Cour de cassation retient une exception à cette obligation d’information à l’égard des données fiscales. Les juges considèrent que la communication des données fiscales du cotisant à l’Urssaf étant expressément prévue par la loi, il est fait exception à l’obligation d’information du cotisant pesant sur le responsable du traitement.
Exigence de demande préalable au responsable de traitement afin d’exercer les droits prévus par le RGPD et la LIL
Dans une décision en date du 27 janvier 2025, le Conseil d’Etat a retenu que lorsqu’une personne entend exercer ses droits sur ses données personnelles, elle doit d’abord s’adresser au responsable de traitement. Ce n’est qu’en cas d’échec ou d’absence de réponse qu’elle peut saisir la CNIL. Le Conseil d’Etat confirme également que la CNIL peut rejeter une plainte si cette démarche préalable n’a pas été accomplie.
Sanction d’Apple par l’Autorité de la concurrence pour abus de position dominante dans le secteur de la distribution d’applications mobiles
Depuis avril 2021, les éditeurs d’application souhaitant suivre leurs utilisateurs à des fins publicitaires depuis plusieurs applications ou sites doivent obtenir l’autorisation explicite de l’utilisateur par le biais d’une fenêtre conçue par Apple, l’App Tracking Transparency (ATT).
Après avoir sollicité deux avis de la CNIL, l’Autorité de la concurrence retient dans sa décision du 28 mars 2025 que les modalités de mises en œuvre du dispositif n’étaient ni nécessaires ni proportionnées à l’objectif de protection des données personnelles. En particulier, le parcours des utilisateurs d’applications tierces était compliqué par une multiplication des fenêtres de recueil de consentement générée par le dispositif. Apple a été condamné à une amende de 150 000 000 d’euros pour abus de position dominante.
Application du RGPD aux moyens de preuve dans le contentieux social
La chambre sociale de la Cour de cassation a retenu dans un arrêt du 26 mars 2025 (RG n° 23-16.068) qu’il appartient au juge saisi d’une demande de communication de pièces fondée sur l’article 145 du code de procédure civile, de rechercher si cette communication est strictement nécessaire à l’exercice du droit à la preuve et proportionnée au but poursuivi. Concrètement, si des données personnelles sont récoltées avant ou pendant le procès aux fins de démontrer des actes de discrimination, ces données personnelles ne peuvent pas être utilisées pour d’autres finalités.
Elle rappelle également que le juge doit veiller au principe de minimisation des données, en ordonnant si nécessaire l’occultation des données à caractère personnel non indispensables à l’exercice du droit à la preuve. Reprenant les critères habituels s’agissant de la minimisation, la Cour de cassation retient que les mentions laissées comme apparentes doivent être « adéquates, pertinentes et strictement limitées à ce qui est indispensable » pour la finalité concernée.
Ensuite, dans un arrêt du 9 avril 2025 (RG n°23-13.159), la chambre sociale de la Cour de cassation a rappelé que les adresses IP sont des données personnelles. L’arrêt d’appel avait considéré que des fichiers de journalisation liés à une adresse de réseau local et non pas à un fournisseur d’accès à internet n’étaient pas assimilables à des adresses IP et ne pouvaient être considérées comme des données personnelles. La chambre sociale casse l’arrêt, en retenant que ces fichiers, recoupés avec des messages, permettaient bien d’identifier le salarié et étaient donc des données personnelles. Les fichiers de journalisation, en l’absence de base légale, étaient donc exploités de manière illicite en étant traités à des fins de contrôle de l’activité individuelle du salarié.
Dans un second arrêt du 9 avril 2025 (RG n°22-23.639), la chambre sociale a considéré qu’était recevable un recours immédiat – sans attendre la décision au fond – sur l’ordonnance de référé ordonnant la communication des données personnelles et sur la décision d’appel, la potentielle violation du RGPD étant irréversible une fois les pièces communiquées.
Utilisation de moyens de preuves tirés de l’exploitation d’un système de vidéo protection
Par un arrêt du 21 mai 2025 (RG n° 22-19.925), la chambre sociale de la Cour de cassation approuve une Cour d’appel ayant considéré recevables les moyens de preuves fondant un licenciement tirés de l’exploitation d’images enregistrées d’un salarié.
Bien que la captation et le visionnage d’images issues du système de vidéo protection d’un aéroport constituent un traitement de données à caractère personnel au sens de l’article 4 du RGPD, ces données avaient été collectées pour des finalités la sécurité des personnes et des biens et le salarié avait été informé des finalités du dispositif et de son droit d’accès, de sorte que les droits de la défense n’avaient pas été méconnus.
Interprétation du droit d’accès des salariés à leurs données par la Cour de cassation
Le 18 juin 2025 (RG n°23-19.022), la chambre sociale de la Cour de cassation a retenu que, les courriels émis ou reçus par le salarié via sa messagerie électronique professionnelle sont des données à caractère personnel. Le salarié a le droit d’accéder à ces courriels, l’employeur devant lui fournir tant les métadonnées (horodatage, destinataires) que leur contenu, sauf si les éléments dont la communication est demandée sont de nature à porter atteinte aux droits et libertés d’autrui. A cet égard, la position antérieure de la CNIL est la suivante : si la communication d’une copie des courriels peut apparaître comme la solution la plus aisée pour l’organisme, cette solution ne saurait être obligatoire. L’envoi d’un tableau répertoriant les données contenues dans les courriels est également une solution.
Demande de suppression d’une fiche Google par un professionnel
Par arrêt du 22 mai 2025 (RG n°22/01814), la Cour d’appel de Chambéry a jugé qu’un professionnel peut demander la suppression de sa fiche Google My Business en invoquant une violation de ses données personnelles. La fiche d’information contenant le nom, le prénom, la profession et les coordonnées téléphonique professionnelles de l’appelante contient des données personnelles, caractérisant l’application du RGPD.
L’intérêt légitime de droit d’information des usagers invoqué par les sociétés Google est écarté par la Cour : le fait que le contrôle effectif des avis publiés, contenant potentiellement des données sensibles, implique parfois une suppression qui ne peut être réalisée qu’a posteriori, supposant donc une démarche active de la personne concernée, contraire aux principes du RGPD. Le traitement est donc qualifié d’illicite et la demande d’effacement de la fiche déclarée fondée.
Résiliation d’un contrat sur le fondement du RGPD
Par arrêt du 13 mai 2025 (RG n° 23/02044), la Cour d’appel de Bordeaux a déclaré fondée la résolution d’un contrat de licence d’exploitation de site internet en raison de manquements contractuels répétés, consistant en des violations de la Loi Informatique et du RGPD – notamment en l’installation non consentie de cookies. La Cour ordonne la résolution pour inexécution ainsi que la restitution des sommes versées.
4. Actualités légales et jurisprudentielles – Europe/International
Le CEPD adopte des lignes directrices sur la pseudonymisation et propose de renforcer la coopération avec l’Autorité de la concurrence
Le 17 janvier 2025, le CEPD (Comité européen de la protection des données) a adopté des lignes directrices sur le recours au pseudonyme, défini à l’article 4 du RGPD. Il précise ainsi que les données pseudonymisées demeurent des données personnelles et que la pseudonymisation permet de réduire les risques et faciliter l’utilisation d’intérêts légitimes en tant que base légale (article 6.1.f du RGPD), à la condition que toutes les autres exigences du RGPD soient respectées.
Le CEPD a également exprimé dans un communiqué sa volonté d’approfondir les interactions entre le droit de la protection des données et le droit de la concurrence, en suggérant notamment l’intégration progressive des facteurs de marché et de concurrence dans les pratiques de protection des données.
La CJUE précise la notion de « demande excessive »
L’autorité autrichienne de protection des données a saisi la CJUE d’une question préjudicielle afin de savoir si des demandes devaient être qualifiées d’excessives au sens de l’article 57, paragraphe 4, du RGPD, dès lors qu’une personne a adressé au cours d’un certain laps de temps, un certain nombre de demandes, ou si une intention abusive devait s’y ajouter.
Dans sa décision du 9 janvier 2025 (C-416/23), la Cour retient qu’une autorité ne peut seulement qualifier d’excessives des demandes d’exercice de droits, uniquement sur la base du nombre important de ces demandes. L’autorité doit vérifier une intention abusive du demandeur, par exemple s’il introduit des demandes sans que cela soit objectivement nécessaire à la protection de ses droits.
Renfort du droit d’accès en matière de décision automatisée
En Autriche, un fournisseur de services de téléphonie mobile refusait de conclure un contrat avec une cliente en se basant sur une évaluation automatisée de son crédit. La juridiction autrichienne saisissait ainsi la CJUE afin qu’elle interprète l’article 15 h) du RGPD (droit à l’explication de la procédure automatisée) à la lumière de la directive sur la protection du secret des affaires ((UE) 2016/943, 8 juin 2016).
Par arrêt du 27 février 2025 (C-203/22), la Cour répond en considérant que la personne concernée peut exiger l’explication de la procédure et des principes concrètement appliqués pour exploiter, par la voie automatisée, ses données personnelles. La seule communication d’un algorithme ou de formules mathématiques n’est toutefois pas une explication intelligible.
Si le responsable de traitement considère que les informations à fournir relèvent du secret des affaires, il lui appartient de les communiquer à l’autorité de contrôle ou la juridiction compétente, à qui il incombe de mettre en balance les intérêts en présence.
Amende pour violation du RGPD et notion d’« entreprise »
Dans le cadre d’une procédure pénale engagée à l’encontre d’un responsable de traitement, le ministère public danois a saisi la CJUE d’une question préjudicielle relative à l’interprétation de l’article 83, paragraphes 4 à 6 du RGPD (détermination de l’amende administrative) et de la notion d’ « entreprise », qu’il contient. Le 13 février 2025, la CJUE répond que le terme « entreprise » précité doit s’entendre comme la notion d’« entreprise » au sens des articles 101 et 102 du traité de fonctionnement de l’Union européenne (TFUE). Dès lors, le montant maximal de l’amende imposée au responsable de traitement qui est ou fait partie d’une entreprise est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise.
Dans un effort d’harmonisation européen, cette notion d’entreprise, notion autonome du droit de la concurrence de l’Union européenne, s’applique désormais au droit des données personnelles.
Communication de données visant les représentants de personnes morales
Saisie de deux questions préjudicielles, la Cour de justice de l’Union européenne a jugé le 3 avril 2025 (affaire C-710/23), que la communication du prénom, du nom, de la signature et des coordonnées d’une personne physique qui représente une personne morale constitue un traitement de données à caractère personnel au sens de l’article 4€ du RGPD, même si la communication vise uniquement à identifier la personne autorisée à agir au nom de la société.
La Cour retient également qu’une autorité publique chargée de la communication au public de documents officiels n’est pas tenue d’informer la personne mentionnée dans les documents dès lors que cette obligation entraînerait une restriction disproportionnée au droit d’accès du public.
Décision d’avertissement de l’autorité de protection des données suédoise sur les données de santé envoyées par e-mail
Le 12 mai 2025, l’autorité de protection des données suédoise a adressé un avertissement au conseil d’administration d’un hôpital pour ne pas avoir mis en place des mesures de sécurité suffisantes concernant le traitement de données de santé contenues dans des e-mails.
Malgré les lignes directrices mises en place par l’hôpital, l’autorité reproche le stockage prolongé d’informations de santé sensibles dans des e-mails, sans procédure de suppression effective.
Avis du CEPD sur l’adéquation de l’Office européen des brevets et sur la validité des décisions d’adéquation du Royaume-Uni
En mai 2025, le Comité Européen de la Protection des Données (CEPD) a adopté deux avis.
Le premier concerne le projet de décision d’adéquation de la Commission européenne concernant l’Office européen de brevets (OEB). Le CEPD retient que le cadre de protection des données de l’OEB est en phase avec celui de l’Union européenne.
Le second est relatif la proposition de la Commission européenne de prolonger de 6 mois deux décisions d’adéquation du Royaume-Uni, l’une concernant le RGPD et l’autre au titre de la directive « Police-Justice ». Dans l’avis, le CEPD reconnaît la nécessité de cette extension et souligne son caractère exceptionnel dû aux développements législatifs en cours au Royaume-Uni.
Article rédigé par : Jeanne BRETON, Pierre-Emmanuel MEYNARD, Camille PECNARD, Léa RICHIER et Claire GOURJON