Cette newsletter Lavoix présente une sélection des actualités d’avril à juin 2026 dans le domaine de la protection des données personnelles.

1. Délibérations de la CNIL

Données de santé : sanction de 5 millions d’euros pour manquements aux obligations RGPD

Par une décision du 26 mai 2026, la CNIL a sanctionné la société IQVIA Operations France à hauteur de 5 millions d’euros pour des manquements dans la gestion de vastes entrepôts de données de santé alimentés par des pharmacies et des médecins, à destination de laboratoires pharmaceutiques. L’autorité relève notamment un non-respect des obligations prévues par les autorisations délivrées, en particulier en matière d’information des personnes et d’exercice de leurs droits, dans un contexte impliquant des données sensibles et des dizaines de millions de personnes.

La CNIL retient plusieurs violations du RGPD, portant notamment sur la transparence, la sécurité des données et les garanties encadrant ces traitements à grande échelle. Elle souligne la gravité des manquements au regard de la nature des données traitées et du volume concerné, et assortit sa décision d’injonctions de mise en conformité sous astreinte, rappelant les exigences renforcées applicables aux traitements de données de santé. Surtout, dans la continuité de la Cour de justice de l’Union européenne (CJUE, 4 septembre 2025, C-413/23), elle rappelle que la qualification d’anonymisation des données, permettant d’échapper au champ d’application du RGPD, suppose une impossibilité raisonnable de réidentifier la personne concernée.

Il est dès lors recommandé de vérifier en interne les processus dits d’ « anonymisation », par exemple par une politique interne ou des tests réguliers de ré-identification, en prenant notamment en compte les croisements possibles avec d’autres sources de données.

2. Documentation de la CNIL

Pixels de suivi dans les e‑mails : la CNIL précise les règles applicables

La CNIL a publié une recommandation sur l’encadrement de l’usage des pixels de suivi insérés dans les courriels, ces images invisibles permettant notamment de savoir si un message a été ouvert et de collecter des informations techniques (date, appareil, adresse IP).

La CNIL rappelle que l’utilisation de tels dispositifs nécessite en principe le consentement préalable des destinataires, notamment lorsqu’ils servent à mesurer la performance des campagnes ou à profiler les utilisateurs. Seules certaines finalités strictement nécessaires, comme la sécurité ou la délivrabilité limitée, peuvent bénéficier d’exemptions.

Programme 2026 de la CNIL : priorité à l’accompagnement et à l’IA

Dans son programme de travail 2026, publié le 7 avril 2026, la CNIL annonce poursuivre son accompagnement des acteurs publics et privés dans leur mise en conformité au RGPD, dans une logique de transparence et de concertation avec les professionnels. L’autorité prévoit la publication de nouvelles ressources et consultations, notamment pour anticiper les évolutions réglementaires et promouvoir des bonnes pratiques opérationnelles.

Parmi les priorités figurent l’amélioration du recueil du consentement, le renforcement de l’encadrement de l’intelligence artificielle ainsi que la production d’outils pratiques pour les DPO.

Octroi de crédit : la CNIL encadre le scoring et les décisions automatisées

Dans une recommandation publiée le 7 mai 2026, la CNIL précise les règles applicables aux traitements de données dans l’évaluation de la solvabilité, en particulier les outils dits de scoring utilisés par les établissements de crédit. Elle rappelle l’obligation de fonder ces traitements sur une base légale appropriée et de limiter les données aux informations strictement nécessaires.

Elle insiste également sur l’encadrement des décisions automatisées, prévu par l’article 22 du RGPD, imposant transparence sur les critères utilisés, garanties des droits des personnes et possibilité d’intervention humaine, conformément au RGPD.

Rapport annuel 2025 : une intensification des contrôles et sanctions sur le fondement du RGPD

Dans son rapport annuel 2025, publié en mai 2026, la CNIL dresse le bilan d’une année marquée par une activité en forte hausse, avec un nombre record de plaintes (plus de 20 000) et de notifications de violations de données. L’autorité souligne l’augmentation des préoccupations liées à la protection des données personnelles, dans un contexte de numérisation accrue et de multiplication des cyberattaques.

La CNIL met également en avant un niveau inédit de sanctions, avec 83 décisions pour un montant cumulé proche de 487 millions d’euros, traduisant un renforcement de l’effectivité du RGPD.

La CNIL propose un modèle de rapport d’activité à destination des DPO

Pour accompagner le pilotage de la mise en conformité RGPD, il est recommandé que le DPO établisse un rapport d’activité, à mettre à jour au fil du temps, afin de consolider la visibilité des actions réalisées et restantes.

Pour ce faire, la CNIL a établi un modèle de rapport à destination des DPO. Sans être obligatoire, il s’agit d’une bonne pratique.

3. Actualités légales et jurisprudentielles – France

Prospection commerciale : une QPC sur le cumul des sanctions CNIL/ARCEP

Par une décision du 17 avril 2026, le Conseil d’État a renvoyé au Conseil constitutionnel une question prioritaire de constitutionnalité (QPC) relative à l’article L.34‑5 du code des postes et des communications électroniques, dans le cadre d’un recours d’Orange SA contre une sanction de 50 millions d’euros prononcée par la CNIL pour prospection sans consentement. La société soutenait que la combinaison des pouvoirs de sanction de plusieurs autorités pouvait conduire à poursuivre et sanctionner les mêmes faits.

Le Conseil d’État a estimé que la question présentait un caractère sérieux, notamment au regard du principe de nécessité et de proportionnalité des peines, en ce qu’elle pourrait permettre un cumul de sanctions administratives pour un même manquement. La décision à venir du Conseil constitutionnel devra clarifier l’encadrement de ces pouvoirs et les risques de double sanction dans le domaine de la prospection électronique (CE, 17 avril 2026, 501268).

Le Conseil d’État encadre l’accès aux données liées aux adresses IP

Le Conseil d’État a partiellement annulé le décret encadrant le mécanisme français de lutte contre le téléchargement illicite, estimant que l’accès aux données liées aux adresses IP devait respecter des garanties strictes prévues par le droit de l’Union européenne. Il a notamment relevé que le droit français n’encadrait pas suffisamment la conservation des données par les opérateurs.

La juridiction a également jugé qu’un troisième accès aux données d’identité d’un même abonné, dans le cadre de la « réponse graduée », devait être soumis à l’autorisation préalable d’un juge ou d’une autorité indépendante. Le décret a donc été jugé illégal sur ces points (CE, 30 avril 2026, 433539).

Site internet non conforme au RGPD : nullité du contrat pour erreur sur une qualité essentielle

Par un arrêt du 7 mai 2026, la cour d’appel de Douai a annulé un contrat de création de site internet au motif que celui-ci ne respectait pas le RGPD. Le site livré comportait notamment des cookies publicitaires installés sans consentement préalable, une impossibilité de retirer ce consentement facilement, ainsi qu’une collecte de données via formulaires sans information conforme aux exigences du RGPD.

La cour retient que la conformité à la réglementation relative aux données personnelles constitue une qualité essentielle d’un site internet, attendue par le client, en particulier lorsqu’il confie sa réalisation à un professionnel. En l’absence d’information sur ces traitements et face à des manquements aux obligations de consentement et de transparence (articles 6, 7 et 13 RGPD), elle considère que le consentement du client a été vicié. Le contrat est donc annulé (CA Douai, 7 mai 2026, RG n°22/05075).

Consentement biaisé : sanction pour collecte de données à des fins marketing

Par un arrêt du 20 mai 2026, le Conseil d’État a confirmé en grande partie une sanction infligée à la société Tagadamedia, qui collectait des données personnelles via des jeux en ligne pour les transmettre à des partenaires commerciaux. La juridiction juge que les mécanismes de recueil du consentement n’étaient pas conformes au RGPD, les interfaces mettant en avant l’acceptation (« j’accepte ») au détriment d’alternatives moins visibles ou ambiguës, empêchant un consentement libre, éclairé et univoque.

La juridiction valide ainsi la violation des articles 6 et 7 relatifs à la licéité du traitement, tout en annulant partiellement la décision pour des raisons procédurales liées aux droits de la défense. Elle réduit l’amende à 50 000 euros mais confirme l’injonction de mettre en place un dispositif de consentement conforme (CE, 20 mai 2026, 492836).

Droit à l’oubli et archives de presse : primauté de la liberté d’information

Par un arrêt du 3 juin 2026, la Cour de cassation rejette la demande d’un ancien dirigeant condamné pénalement tendant à la suppression ou à l’anonymisation d’un article de presse toujours accessible en ligne. Elle valide l’analyse des juges du fond ayant mis en balance le droit à la protection des données et de la vie privée avec la liberté d’expression et d’information, conformément à l’article 17 du RGPD (droit à l’oubli) et à la jurisprudence européenne.

La Cour considère que le maintien de l’article demeure justifié par un intérêt public, tenant notamment à la gravité des faits, au rôle public de l’intéressé dans le domaine sportif et à l’actualité du débat sur la gestion des fonds dans ce secteur. Elle précise que de légères inexactitudes ou l’évolution de la situation pénale ne suffisent pas à imposer l’effacement, dès lors que l’atteinte portée à la vie privée n’est pas disproportionnée (Cour de cassation, 3 juin 2026, n° 25-14.228).

Plainte RGPD : irrecevabilité faute de « personne concernée »

Par un arrêt du 11 juin 2026, le Conseil d’État valide la clôture par la CNIL d’une plainte dirigée contre une « charte RGPD » d’un établissement scolaire. Il juge que la saisine ne constituait pas une « réclamation » au sens de l’article 77 du RGPD dès lors que les dispositions contestées n’étaient pas applicables au requérant.

La Haute juridiction relève en effet que le document litigieux avait été publié après le départ de son enfant de l’établissement, excluant tout lien concret avec sa situation. Faute d’être une « personne concernée », le requérant ne disposait pas d’un intérêt à agir, ce qui rendait sa requête irrecevable et excluait tout examen au fond (CE, 11 juin 2026, 513677).

Invalidation du cumul de sanctions de la DGCCRF, de l’ARCEP et de la CNIL

Le Conseil constitutionnel a estimé, dans une décision du 25 juin 2026 (CC, 25 juin 2026, n° 2026-1210 QPC, Société Orange SA), que l’article L. 34-5 du code des postes et des télécommunications, en ses alinéas 6, 8 et avant-dernier, était inconstitutionnel en ce qu’il permettait de faire sanctionner concomitamment les mêmes manquements par trois autorités différentes : la CNIL, l’ARCEP et la DGCCRF. Cela impliquait donc un cumul de sanctions au-delà du préjudice éventuellement déjà réparé, et des différences de plafond de sanctions – 375 000 euros pour la DGCCRF, jusqu’à 3% du chiffre d’affaires français pour l’ARCEP et jusqu’à 2% du chiffre d’affaires mondial pour la CNIL.

Il est précisé que les sanctions déjà prononcées ne seront pas remises en cause. Le texte devra être réécrit d’ici le 31 octobre 2027. De manière transitoire, le Conseil constitution organise une priorité à l’autorité qui aura été saisie d’une affaire, empêchant les deux autres autorités concurrentes de se prononcer sur cette même affaires – même si les risques financiers diffèrent substantiellement.

4. Actualités légales et jurisprudentielles – Europe/International

Le CEPD adopte des lignes directrices sur la recherche scientifique et accélère ses travaux sur l’anonymisation

Le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices relatives au traitement des données personnelles à des fins de recherche scientifique. Le texte vise à clarifier l’application du RGPD dans ce domaine, notamment sur la notion de « recherche scientifique », les bases légales utilisables, les obligations de transparence et les garanties prévues à l’article 89 du RGPD. Une consultation publique est ouverte jusqu’au 25 juin 2026.

Droit d’accès : la CJUE encadre strictement la notion de demande abusive

Dans l’affaire Brillen Rottler, la Cour de justice de l’Union européenne a été saisie d’une question préjudicielle portant sur le refus d’un responsable de traitement de répondre à une demande d’accès (art. 15 RGPD), au motif qu’elle serait abusive. Le litige concernait une personne ayant exercé son droit d’accès après s’être inscrite à un service, le responsable soutenant que cette démarche visait uniquement à obtenir une indemnisation.

Dans son arrêt du 25 mars 2026, la Cour juge qu’une demande d’accès peut, en principe, être qualifiée d’excessive dès la première sollicitation, mais uniquement dans des circonstances exceptionnelles. Elle précise que le responsable doit démontrer concrètement l’existence d’un abus, par exemple lorsque la personne concernée agit dans le seul but de créer artificiellement un droit à indemnisation. La charge de la preuve repose ainsi sur le responsable de traitement, confirmant une interprétation stricte de l’article 12(5) du RGPD (CJUE, 19 mars 2026, C-526/24, Brillen Rottler).

Violation de données bancaires : amende de 31,8 millions d’euros pour défaillances de sécurité et de notification

Par une décision du 26 mars 2026, l’autorité de protection des données italienne a sanctionné une banque après qu’un employé a accédé sans autorisation aux données financières de plusieurs milliers de clients sur une période de deux ans. Bien que l’établissement ait notifié une violation de données, l’enquête a révélé une ampleur bien plus importante que celle initialement déclarée, ainsi que des lacunes dans la détection des accès anormaux.

L’autorité retient plusieurs violations du RGPD, notamment des manquements aux obligations de sécurité et de responsabilité (art. 5(1)(f), 24 et 32), ainsi qu’aux règles de notification des violations (art. 33 et 34). Elle relève en particulier l’absence de mesures techniques efficaces, une notification incomplète et tardive, ainsi que le défaut d’information de l’ensemble des personnes concernées malgré un risque élevé. Compte tenu du nombre de personnes affectées et de la sensibilité des données, une amende de 31,8 millions d’euros est prononcée.

Réutilisation de données de réservation : sanction de 14.4 millions d’euros pour défaut de base légale et manque de transparence

Par une décision du 7 avril 2026, l’autorité de protection des données espagnole a sanctionné Amadeus IT Group pour avoir réutilisé des données de réservation issues de son système de distribution afin de tester un projet de profilage, sans informer les personnes concernées. Les données, initialement collectées pour la gestion des voyages, ont été exploitées à une finalité différente sans que les voyageurs, pourtant sans lien direct avec l’entreprise, en soient informés.

L’autorité retient une violation des articles 6 et 14 du RGPD, estimant qu’aucune base légale valable ne pouvait justifier ce traitement et que les personnes ne pouvaient raisonnablement s’attendre à une telle réutilisation de leurs données. Elle prononce une amende de 18 millions d’euros (réduite à 14,4 millions en cas de paiement volontaire).

Protection des mineurs : soupçons de manquement de Meta au règlement sur les services numériques

Par des conclusions préliminaires rendues publiques dans le cadre d’une procédure engagée le 16 mai 2024, la Commission européenne estime que Meta enfreint le règlement sur les services numériques (DSA) s’agissant d’Instagram et Facebook. Elle reproche aux plateformes de ne pas avoir recensé, évalué et atténué avec diligence les risques liés à l’accès de mineurs de moins de 13 ans à leurs services, malgré un âge minimum pourtant fixé dans leurs conditions générales.

La Commission pointe des mesures de contrôle de l’âge jugées inefficaces, reposant largement sur l’auto‑déclaration sans vérification fiable, ainsi qu’un dispositif de signalement des comptes de mineurs complexe et peu suivi d’effets. Elle considère également que l’évaluation des risques menée par Meta est incomplète et en contradiction avec les données disponibles au niveau européen. Si ces constats étaient confirmés, Meta pourrait encourir une amende pouvant atteindre 6 % de son chiffre d’affaires annuel mondial, assortie d’obligations de mise en conformité.

Transferts de données vers la Russie : sanction pour manquement aux garanties de protection des données

Par une décision du 1er avril 2026, l’autorité néerlandaise de protection des données a sanctionné MLU B.V. (groupe Yandex), exploitant de l’application Yango, pour des transferts de données personnelles vers la Russie sans garanties adéquates. Les données de clients et chauffeurs (localisation, conversations, données bancaires, identifiants) étaient transférées à des entités du groupe, avec des risques d’accès par les autorités russes.

L’autorité retient une violation des articles 44 et 46 du RGPD (relatifs aux transferts de données), estimant que les clauses contractuelles types et les mesures techniques invoquées étaient insuffisantes, notamment en raison du contrôle effectif exercé au sein du groupe. Elle prononce une amende de 100 millions d’euros.

Identification numérique : mauvaise qualification et collecte excessive sanctionnées

Par une décision du 12 mai 2026, l’autorité de protection des données belge a sanctionné la société Isabel SA, exploitant le service d’authentification TruliUs, pour s’être à tort présentée comme simple sous‑traitant. L’autorité considère au contraire qu’elle agissait en tant que responsable de traitement, dès lors qu’elle déterminait les finalités et moyens du traitement (article 5(2) RGPD).

Elle relève également plusieurs manquements au RGPD, notamment une information insuffisante des utilisateurs, un défaut de réponse aux demandes d’accès et une collecte excessive de données (nationalité, photo d’identité, lieu de naissance…). Estimant que ces dysfonctionnements découlaient de la mauvaise qualification initiale, l’autorité a prononcé une amende de 120 000 euros.

Messagerie professionnelle : conservation excessive et défaut de transparence sanctionnés

Par une décision du 12 mai 2026, l’autorité belge de protection des données a sanctionné une entreprise ayant maintenu active la messagerie d’un prestataire après la fin de sa collaboration, sans information adéquate ni base légale valable au‑delà d’un délai limité. Si une courte conservation peut se justifier pour des raisons d’organisation (message d’absence, redirection), la poursuite du traitement sur plusieurs mois a été jugée contraire aux principes de licéité, de limitation des finalités et de durée de conservation (articles 5 et 6 RGPD). L’autorité relève également des manquements au droit d’accès, l’entreprise ayant restreint de manière injustifiée l’accès de l’ancien collaborateur à ses e‑mails, en violation des articles 12 et 15 RGPD. Elle prononce une amende de 175 000 euros.

Notification des violations de données : vers un modèle européen harmonisé

Le Comité européen de la protection des données (CEPD) a adopté, le 8 juin 2026, un modèle commun de notification des violations de données, dans le cadre de sa volonté d’harmoniser l’application du RGPD dans l’Union. Cette initiative vise à simplifier les obligations pesant sur les organisations, notamment en matière de notification des violations (articles 33 et 34 RGPD), en proposant un format standardisé utilisable dans tous les États membres.

Transferts vers la Chine : TikTok sanctionné à 530 millions d’euros malgré ses garanties contractuelles

Par une décision du 3 juin 2026, la High Court irlandaise confirme en grande partie la décision de l’autorité irlandaise de protection des données sanctionnant TikTok pour ses transferts de données vers la Chine, avec une amende administrative totale de 530 millions d’euros. La juridiction rappelle qu’un responsable de traitement doit non seulement mettre en place des garanties appropriées, mais aussi démontrer que les données bénéficient d’un niveau de protection « essentiellement équivalent » à celui garanti dans l’EEE. En l’espèce, TikTok n’a pas suffisamment évalué l’impact du droit chinois ni prouvé l’efficacité de ses mesures complémentaires, et sa politique de confidentialité a également été jugée insuffisamment transparente.

La Cour valide ainsi les manquements aux articles 46 et 13 du RGPD ainsi que le principe de responsabilité pesant sur le responsable de traitement. En revanche, elle annule les injonctions de suspension des transferts, estimant que l’autorité n’avait pas correctement pris en compte les mesures plus récentes mises en place par TikTok (projet « Clover »). L’affaire est renvoyée pour réexamen sur ce point, tout en confirmant la possibilité d’imposer des sanctions financières significatives.

Article rédigé par : Jeanne BRETON, Claire GOURJON et Camille PECNARD

Publié le : 8 juillet 2026Catégories : Data Alert, IP/IT, PublicationMots-clés :

Partager cet article