Actualité RGPD 2026 : sanctions, décisions et jurisprudence

14 avril 2026 — CEPD : action coordonnée 2026 sur la transparence lancée

Le Comité européen de la protection des données (CEPD) a officiellement lancé le volet opérationnel de son action coordonnée 2026 (CEF 2026) portant sur les obligations de transparence et d'information au titre des articles 12, 13 et 14 du RGPD. Vingt-cinq autorités de protection des données participent à cette initiative qui prévoit l'envoi de questionnaires standardisés aux responsables de traitement de tous secteurs. Selon les pays, les contrôles prendront la forme de vérifications aléatoires ou d'audits formels ciblés, avec examen systématique des politiques de confidentialité et documents d'information. Cette action fait suite au CEF 2025 consacré au droit à l'effacement. Les premières conclusions sont attendues fin 2026.

Ce que ça change pour vous : révisez immédiatement vos mentions d'information et politiques de confidentialité pour garantir leur conformité aux articles 12 à 14 du RGPD avant les contrôles. Article 12 RGPD : Obligations de Transparence et Exemples — Le responsable de traitement : rôle et obligations

16 avril 2026 — CNIL-HAS : clôture de la consultation sur l'IA en santé

La consultation publique lancée conjointement par la CNIL et la Haute Autorité de Santé (HAS) sur le projet de guide « IA en contexte de soins » s'est clôturée le 16 avril 2026. Ce guide de bonnes pratiques comprend dix fiches couvrant l'ensemble du cycle de vie d'un système d'IA en établissement de santé — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et les spécificités de l'IA générative. Il s'adresse aux professionnels et établissements de santé de toute taille, et vise à clarifier le cadre juridique applicable à l'intersection du RGPD, de l'AI Act et du code de la santé publique. Les associations de patients et fournisseurs de systèmes d'IA étaient également invités à contribuer.

Ce que ça change pour vous : les établissements de santé utilisant ou envisageant des systèmes d'IA doivent suivre la publication du guide définitif pour adapter leur gouvernance et leurs processus de conformité. IA et CNIL : recommandations pratiques 2025-2026 — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

14 avril 2026 — Basic-Fit : 1 million de membres exposés, données bancaires compromises

Le géant néerlandais du fitness Basic-Fit a confirmé le 14 avril 2026 une violation de données touchant environ 1 million de membres dans six pays européens (Pays-Bas, Belgique, Luxembourg, France, Espagne, Allemagne). Les données exposées comprennent noms, adresses, e-mails, numéros de téléphone, dates de naissance et coordonnées bancaires. L'intrusion a ciblé le système d'enregistrement des visites en salle. L'accès non autorisé a été stoppé en quelques minutes, mais les attaquants avaient déjà exfiltré un volume significatif de données. Basic-Fit a notifié l'Autoriteit Persoonsgegevens (autorité néerlandaise) conformément au RGPD et a informé individuellement les membres concernés. L'incident soulève des questions sur la proportionnalité des données collectées — la conservation de données bancaires dans un système de pointage des visites interroge le principe de minimisation.

Ce que ça change pour vous : vérifiez la proportionnalité des données collectées dans vos systèmes de gestion des accès physiques — les coordonnées bancaires n'ont pas à y figurer. Notification violation données CNIL : procédure 72h — DORA et RGPD : gérer les incidents données personnelles

14 avril 2026 — Booking.com : violation de données clients, réservations compromises

Booking.com a notifié le 13 avril 2026 une violation de données affectant les informations de réservation de ses clients. Des tiers non autorisés ont accédé aux noms, adresses, dates de réservation, e-mails, numéros de téléphone et messages aux hôtels. L'attaque a exploité la technique ClickFix — un hameçonnage ciblant les employés d'hôtels partenaires pour installer un malware. La plateforme a forcé la réinitialisation des codes PIN de toutes les réservations concernées. Les données financières ne seraient pas affectées selon l'entreprise. Booking.com avait déjà été sanctionnée à hauteur de 475 000 € par l'autorité néerlandaise en 2021 pour notification tardive d'une précédente violation. L'ampleur exacte de cet incident n'a pas encore été communiquée.

Ce que ça change pour vous : les entreprises ayant recours à des plateformes de réservation doivent vérifier leurs obligations de notification au titre de l'article 33 RGPD en cas de compromission de données via un sous-traitant. Notification violation données CNIL : procédure 72h

14 avril 2026 — CEPD : modèle harmonisé d'AIPD adopté, consultation ouverte

Le Comité européen de la protection des données (CEPD) a adopté le 14 avril 2026 un modèle harmonisé d'analyse d'impact relative à la protection des données (AIPD), conformément à la déclaration d'Helsinki. Ce modèle, accompagné d'un document explicatif, vise à structurer et uniformiser la conduite des AIPD dans l'ensemble de l'Union européenne. Bien que son utilisation ne soit pas obligatoire, il fournit des champs prédéfinis couvrant l'ensemble des exigences de l'article 35 du RGPD. Une consultation publique est ouverte jusqu'au 9 juin 2026 sur le site du CEPD. À l'issue de cette consultation, chaque autorité de contrôle pourra adopter ce modèle comme standard unique ou comme méta-modèle alignant les templates nationaux existants.

Ce que ça change pour vous : anticipez dès maintenant l'adoption de ce modèle en comparant votre processus AIPD actuel avec la structure proposée par le CEPD. AIPD : guide complet analyse d'impact RGPD — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

13 avril 2026 — CNIL et ANSSI : premier atelier public de l'outil d'audit IA PANAME

La CNIL, l'ANSSI, le PEReN et Inria organisent le 13 avril 2026 un atelier hybride réunissant les acteurs ayant répondu à l'appel à manifestation d'intérêt pour tester la librairie PANAME (Privacy Auditing of AI Models). Cet outil open source, dont la publication est prévue à l'automne 2026, permettra de réaliser des tests d'extraction et de réidentification de données sur les modèles d'IA afin d'évaluer leur conformité au RGPD. Le projet vise à unifier la façon dont la confidentialité des modèles est évaluée, un enjeu majeur à l'approche de l'échéance haut risque de l'AI Act (2 août 2026).

Ce que ça change pour vous — Si vous entraînez ou déployez des modèles d'IA, surveillez la publication de PANAME à l'automne 2026 : cet outil deviendra probablement la référence pour les audits CNIL de conformité des modèles. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et CNIL : recommandations pratiques 2025-2026

13 avril 2026 — GPEN : la vie privée des enfants en ligne reste insuffisante

Le rapport du Global Privacy Enforcement Network (GPEN), publié en mars 2026, révèle que la protection de la vie privée des enfants en ligne a peu progressé en dix ans. L'audit coordonné par 27 autorités mondiales, dont la CNIL, a examiné 876 sites web et applications utilisés par des mineurs. Résultat : seuls 45 % disposent d'un mécanisme de contrôle de l'âge, et parmi ceux-ci, 90 % reposent sur une simple déclaration volontaire. Plus préoccupant : 38 % des services analysés présentent des éléments de conception à haut risque pour les enfants, dont 24 % sans aucune vérification d'âge. Le rapport note également une augmentation des services exigeant des données personnelles pour un accès complet et partageant ces informations avec des tiers.

Ce que ça change pour vous — Vérifiez que vos services accessibles aux mineurs intègrent un mécanisme de contrôle d'âge fiable et des paramètres de confidentialité protecteurs par défaut, conformément aux recommandations du plan stratégique CNIL 2025-2028 sur les mineurs. Plan stratégique CNIL 2025-2028

13 avril 2026 — AEPD : 12 000 € pour usage non conforme de Google Workspace en école

L'autorité espagnole de protection des données (AEPD) a sanctionné le Holy Mary Catholic School d'une amende de 12 000 € (réduite après reconnaissance de responsabilité) pour utilisation non conforme de Google Workspace for Education. L'établissement n'avait pas informé les familles que la plateforme collectait des données d'usage des élèves (adresses IP, cookies, informations d'habitudes) associées à leurs profils. L'AEPD relève également l'absence d'information sur les transferts internationaux de données et note que le domaine e-mail fourni révélait indirectement les convictions religieuses des mineurs. Cette décision constitue un précédent significatif pour les établissements scolaires européens utilisant des suites bureautiques cloud, notamment en France où la question des outils numériques en milieu éducatif reste sensible.

Ce que ça change pour vous : vérifiez que l'information fournie aux familles sur les outils numériques scolaires couvre bien les transferts internationaux et les données d'usage collectées par les prestataires cloud. Article 28 RGPD : Contrat Sous-Traitant et Obligations — Google condamné à 375 Millions d'euros…

12 avril 2026 — Synergy France visée par un ransomware : risque de compromission en cascade

Synergy France, spécialiste de la gestion, de la transformation et de la gouvernance des données en environnement cloud, est victime d'une attaque par ransomware signalée le 6 avril 2026. L'entreprise accompagne de nombreux clients sur des projets critiques liés au traitement de données, ce qui pose la question d'une compromission en cascade des données confiées par ses clients. À ce stade, l'ampleur exacte de l'exfiltration n'est pas connue. Ce type d'incident rappelle l'obligation des responsables de traitement de s'assurer contractuellement et opérationnellement de la sécurité de leurs sous-traitants (art. 28 RGPD). Les clients de Synergy doivent vérifier s'ils sont concernés et, le cas échéant, procéder à une notification à la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD.

Ce que ça change pour vous : si vous êtes client de Synergy France, contactez votre interlocuteur pour évaluer l'impact sur vos traitements et préparez une éventuelle notification CNIL. RGPD et cloud : obligations AWS, Azure, GCP — Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD

11 avril 2026 — 127 ONG alertent : l'Omnibus UE menace le RGPD et l'AI Act

Amnesty International et 126 autres organisations de la société civile ont signé une lettre ouverte dénonçant les propositions de « simplification » de la Commission européenne. Présenté comme un allègement administratif, le paquet Omnibus modifierait en profondeur le RGPD et l'AI Act : redéfinition restrictive des données personnelles, assouplissement des exigences de consentement, exemptions spécifiques pour l'IA qui pourraient permettre aux grandes entreprises technologiques d'exploiter davantage de données personnelles pour l'entraînement des systèmes d'IA. Le report d'au moins un an des obligations clés de l'AI Act est également prévu. Les signataires dénoncent une tentative de « démantèlement déguisé » des protections numériques européennes.

Ce que ça change pour vous — Suivez attentivement l'évolution législative de l'Omnibus : si adopté, il pourrait modifier vos obligations de conformité RGPD et AI Act dès 2027. EU AI Act : guide complet — AI Act : calendrier d'application

11 avril 2026 — CNIL : contrôles 2026 sur le recrutement et les fédérations sportives

La CNIL a publié ses thématiques prioritaires de contrôle pour 2026. Trois axes sont retenus : le recrutement (vérification de la conformité des traitements de données des candidats, avec un focus sur les systèmes de décision automatisée, l'information des candidats et les durées de conservation), le répertoire électoral unique (REU) et les fédérations sportives (pertinence des données collectées, durées de conservation et mesures de sécurité, dans un contexte de hausse des inscriptions post-JO 2024). La CNIL priorisera les grandes entreprises et cabinets de recrutement. En parallèle, une action coordonnée européenne portera sur la transparence et l'information des personnes (articles 12 à 14 du RGPD).

Ce que ça change pour vous — Les entreprises qui recrutent doivent revoir leurs mentions d'information candidats, durées de conservation des CV et outils de scoring automatisé. Article 12 RGPD : obligations de transparence — Article 13 RGPD : mentions légales

11 avril 2026 — Santé : 35 millions de patients exposés, 130 hôpitaux compromis

Le groupe DumpSec revendique le piratage des Agences Régionales de Santé (ARS) et la mise en vente d'une base contenant les données de 35 millions de patients français. Plus de 130 hôpitaux sont concernés, principalement dans le Nord-Pas-de-Calais, en Normandie et en Auvergne-Rhône-Alpes, incluant des établissements de l'AP-HP. Les données exposées comprennent l'identité complète (nom, prénom, sexe, date de naissance), les numéros de sécurité sociale, les coordonnées (adresse, e-mail, téléphone) ainsi que des données de suivi hospitalier. L'attaque initiale remonte à septembre 2025 sur les systèmes des ARS, mais la mise en vente des données a été constatée début avril 2026.

Ce que ça change pour vous — Les établissements de santé doivent vérifier immédiatement si leurs systèmes sont concernés et notifier la CNIL dans les 72 heures si une violation est confirmée. Fuites de données : obligations RGPD — Sous-traitant RGPD : obligations

11 avril 2026 — Commission européenne : 340 Go de données volées, 30 entités UE touchées

CERT-EU a attribué la cyberattaque contre l'infrastructure cloud de la Commission européenne au groupe TeamPCP. Les pirates ont exploité une attaque par chaîne d'approvisionnement visant l'outil open source Trivy, utilisé par la Commission pour sa sécurité. En téléchargeant une version compromise de Trivy le 19 mars, la Commission a involontairement exposé une clé API secrète liée à son compte AWS. Les attaquants ont ensuite exfiltré environ 340 Go de données, incluant des noms, adresses e-mail et contenus de courriels. Le groupe ShinyHunters a ensuite publié ces données en ligne. Au total, les données d'au moins 30 entités européennes ont été compromises, avec 52 000 fichiers contenant des messages envoyés.

Ce que ça change pour vous — Auditez vos dépendances open source et vérifiez que vos clés API cloud ne sont pas exposées dans vos pipelines CI/CD. AWS et RGPD : conformité cloud — Sous-traitance sécurité : exigences NIS2 et RGPD — Fuites de données : obligations RGPD

10 avril 2026 — CEPD : rapport annuel 2025, lignes directrices DMA-RGPD et AI Act-RGPD

Le Comité européen de la protection des données (CEPD) a publié le 9 avril 2026 son rapport annuel 2025. Parmi les réalisations marquantes : l'adoption de la Déclaration d'Helsinki sur la clarté et l'engagement renforcés, cinq avis d'adéquation (Royaume-Uni, Brésil, OEB), et les premières lignes directrices conjointes avec la Commission sur l'articulation entre le DMA et le RGPD. Le CEPD a également travaillé sur des lignes directrices DSA-RGPD et prépare pour 2026 des lignes directrices sur l'interaction entre l'AI Act et le droit de la protection des données. Le rapport souligne la contribution active du CEPD aux propositions législatives du Digital Omnibus, via un avis conjoint avec le EDPS.

Ce que ça change pour vous — les DPO doivent surveiller la publication prochaine des lignes directrices AI Act-RGPD, qui clarifieront le cadre applicable aux traitements impliquant des systèmes d'IA.

10 avril 2026 — Ymed : 253 000 dossiers patients exposés, données médicales en fuite

Le groupe XP95 a revendiqué le piratage de Ymed, entreprise bordelaise spécialisée dans les solutions numériques pour la santé. La fuite, signalée le 5 avril 2026, concerne plus de 253 000 patients avec 132 Go de données exposées, incluant identités complètes, documents médicaux et prescriptions. Les données de santé bénéficient d'une protection renforcée au titre de l'article 9 du RGPD en tant que catégories particulières. L'ampleur de cette violation — tant par le volume que par la sensibilité des données — place Ymed face à des obligations de notification immédiate auprès de la CNIL et des personnes concernées. Cette fuite s'inscrit dans un contexte de multiplication des attaques contre le secteur de la santé en France.

Ce que ça change pour vous — les sous-traitants de santé doivent vérifier la conformité de leurs mesures de sécurité techniques (chiffrement, segmentation réseau) et tester leurs procédures de notification de violation. Notification violation données CNIL : procédure 72h — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — Éducation nationale : 243 000 agents exposés via une intrusion COMPAS

Le ministère de l'Éducation nationale a confirmé un incident de sécurité majeur : le 15 mars 2026, un accès frauduleux via un compte externe compromis a permis l'exfiltration de données personnelles d'environ 243 000 agents (stagiaires et titulaires) depuis le système COMPAS, dédié à la gestion des stagiaires. Le COSSIM (Centre opérationnel de sécurité du ministère) a été alerté le 19 mars. L'ANSSI et la CNIL ont été saisies, et un dépôt de plainte est en cours. Le ministère appelle ses agents à la vigilance face aux tentatives de phishing et d'usurpation d'identité. Cet incident illustre les risques persistants liés à la compromission de comptes dans les systèmes d'information publics.

Ce que ça change pour vous — les établissements publics utilisant des systèmes RH similaires doivent auditer leurs accès externes et renforcer l'authentification multi-facteurs. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — AlumnForce : 2,7 millions de profils d'étudiants et diplômés exposés

La plateforme AlumnForce, utilisée par les réseaux alumni de nombreuses universités et grandes écoles françaises, a subi une violation de données massive le 6 avril 2026. Environ 2,7 millions de profils ont été compromis, incluant des données professionnelles sensibles : parcours de carrière, souhaits d'emploi, fourchettes de rémunération, compétences et coordonnées. La base contient plus de 1,8 million d'adresses email uniques et 650 000 numéros de téléphone. Un acteur malveillant affirme mettre en vente cette base, couvrant des diplômes de 1901 à 2026. Les établissements concernés (dont l'ICN et l'Université de Strasbourg) ont notifié la CNIL. Le risque principal réside dans les attaques d'ingénierie sociale ciblées : phishing aux couleurs de réseaux alumni, faux recruteurs exploitant les données de carrière.

Ce que ça change pour vous — vérifiez si votre établissement utilise AlumnForce comme sous-traitant et, le cas échéant, exigez le détail de la notification au titre de l'article 33 du RGPD. Fuite de données : procédure de gestion et notification RGPD — Notification violation données CNIL : procédure 72h — Article 28 RGPD : Contrat Sous-Traitant et Obligations

10 avril 2026 — Axios npm compromis : RAT nord-coréen, 100 M téléchargements/semaine

Le 30 mars 2026, des acteurs nord-coréens liés au groupe Sapphire Sleet (UNC1069) ont compromis le compte npm du mainteneur principal d'Axios — bibliothèque HTTP parmi les plus téléchargées au monde — via une opération d'ingénierie sociale ciblée. Deux versions malveillantes ont été publiées en 39 minutes (axios@1.14.1 et axios@0.30.4), injectant la dépendance frauduleuse plain-crypto-js@4.2.1, dont le hook postinstall télécharge silencieusement un Remote Access Trojan (RAT) multiplateforme depuis un serveur de commande et de contrôle. L'impact potentiel couvre 100 millions de téléchargements hebdomadaires sur npm. Microsoft Threat Intelligence a attribué l'attaque à Sapphire Sleet le 1er avril 2026 ; le CERT-FR a relayé l'alerte dans son bulletin CERTFR-2026-ACT-015 du 7 avril 2026. Tout système traitant des données personnelles via une dépendance compromise est susceptible d'activer l'obligation de notification à la CNIL dans les 72 heures au titre des articles 32 et 33 du RGPD. Cette attaque illustre l'intersection entre sécurité de la chaîne d'approvisionnement logicielle (Art. 32 RGPD) et gestion des violations de données (Art. 33 RGPD).

Auditez immédiatement vos projets Node.js pour toute dépendance sur axios@1.14.1 ou axios@0.30.4, migrez vers une version saine et vérifiez l'intégrité de votre chaîne de dépendances npm. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

10 avril 2026 — CNIL : 16 sanctions simplifiées, 10 pour défaut de coopération

La CNIL a prononcé 16 nouvelles sanctions dans le cadre de sa procédure simplifiée, portant à 108 000 euros le montant cumulé des amendes depuis mai 2025. Sur ces 16 décisions, dix sanctionnent un défaut de coopération : des responsables de traitement — avocats, médecins, sociétés — n'ont pas répondu aux sollicitations de l'autorité lors de l'instruction de plaintes ou à la suite de contrôles. Les autres décisions visent des manquements relatifs à la vidéosurveillance : filmage d'un local syndical dans un établissement pharmaceutique et hospitalier, caméras orientées vers des élèves lors des repas dans un internat scolaire, ainsi que des actes de prospection commerciale réalisés sans consentement. Ces délibérations confirment que le seul défaut de réponse aux demandes de la CNIL constitue un manquement autonome au titre de l'article 31 du RGPD. Sur le plan opérationnel, l'absence d'une procédure documentée de traitement des demandes d'autorités de contrôle représente un risque direct et immédiatement sanctionnable.

Vérifiez que votre organisation dispose d'une procédure interne documentée pour répondre aux demandes CNIL (plaintes, contrôles, mises en demeure) et que les délais de réponse sont connus de toutes les équipes impliquées. RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — Fuite de données : procédure de gestion et notification RGPD

9 avril 2026 — CNIL : MFA obligatoire pour les grandes bases de données, sanctions en cas d'absence

La CNIL a annoncé qu'elle renforcera dès 2026 sa politique de contrôle pour s'assurer de la mise en place de l'authentification multifacteur (MFA) pour l'accès aux grandes bases de données personnelles. L'absence de cette mesure pourra désormais justifier l'ouverture d'une procédure de sanction. L'autorité rappelle que près de 80 % des violations de grande ampleur constatées en 2024 ont été rendues possibles par l'usurpation du compte d'un employé ou d'un sous-traitant protégé par un simple mot de passe. Quatre actions prioritaires sont identifiées : déploiement du MFA, journalisation des accès (rétention de 6 à 12 mois), sensibilisation des utilisateurs et encadrement des sous-traitants. La CNIL recommande de privilégier un facteur de possession conforme au niveau R39 des recommandations de l'ANSSI.

Vérifiez immédiatement que l'accès à vos bases de données de plus de 100 000 enregistrements est protégé par une authentification multifacteur conforme aux recommandations ANSSI. Sécurité des données : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

9 avril 2026 — CNIL : bilan de l'observatoire des municipales 2026, 739 signalements reçus

La CNIL a publié le bilan de son observatoire des élections municipales des 15 et 22 mars 2026. L'autorité a reçu 739 signalements (contre 3 948 en 2020), principalement liés à des prospections par SMS (63 %), courriers (16 %) et courriels (13 %). 81 plaintes ont été instruites, essentiellement pour des questions d'origine des données et de suspicion de détournement de finalité par des candidats sortants. Quatre contrôles ont été engagés, ainsi qu'une procédure de sanction simplifiée. Ce scrutin constituait la première application du règlement européen sur la transparence et le ciblage de la publicité politique, entré en vigueur le 10 octobre 2025.

Vérifiez que vos traitements de données électorales respectent le nouveau règlement sur la publicité politique et les recommandations CNIL sur la prospection politique. L'achat de données de prospection impose des vérifications RGPD

8 avril 2026 — CEPD : étude de marché sur les courtiers de données en Europe

Le Comité européen de la protection des données a publié le 4 mars 2026 une étude de marché consacrée aux courtiers de données (data brokers). Commanditée via le programme Support Pool of Experts à la demande de l'autorité belge, l'étude propose une méthodologie d'identification des courtiers fondée sur l'article 4(1) du RGPD et distingue huit catégories d'acteurs : courtiers traditionnels, data cleanrooms, plateformes IA intégrant des données personnelles, places de marché de données et fournisseurs de jeux de données agrégés présentant des risques de ré-identification. L'étude confirme que le marché belge — transposable à l'échelle européenne — est très diversifié, avec des niveaux de risque variables selon les modèles économiques.

Ce que ça change pour vous : vérifiez si vos fournisseurs de données entrent dans l'une des huit catégories identifiées et documentez la base légale applicable dans votre registre. Base légale RGPD : les 6 fondements juridiques — Intérêt légitime RGPD : quand et comment l'utiliser

7 avril 2026 — CEPD et EDPS : avis conjoint sur le Biotech Act et les données de santé

Le CEPD et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur la proposition de règlement European Biotech Act. Les deux autorités soutiennent l'harmonisation des essais cliniques à l'échelle européenne, tout en appelant à des garanties spécifiques pour les données sensibles de santé.

L’avis insiste sur la nécessité de maintenir des bases légales claires pour le traitement des données de santé dans le cadre de la recherche biomédicale, conformément aux articles 9 et 89 du RGPD. Les autorités demandent que les droits des personnes concernées — notamment le droit à l’information et le droit de retrait — soient préservés dans un cadre réglementaire harmonisé.

Cet avis illustre la tendance d’articulation entre le RGPD et les réglementations sectorielles européennes, qui concerne également l’AI Act et le Data Act.

Ce que ça change pour vous : les acteurs de la recherche biomédicale doivent anticiper un cadre européen harmonisé tout en maintenant les garanties RGPD sur les données de santé. Transfert données hors UE : mécanismes RGPD

7 avril 2026 — CEPD : consultation sur les BCR sous-traitant (Recommandation 1/2026)

Le Comité européen de la protection des données (CEPD) a publié ses Recommandations 1/2026 portant sur la procédure d'approbation et les éléments devant figurer dans les règles d'entreprise contraignantes (BCR) applicables aux sous-traitants, au sens de l'article 47 du RGPD. Le document est ouvert à consultation publique.

Ces recommandations visent à harmoniser l’évaluation des BCR sous-traitant par les autorités de contrôle et à faciliter les transferts internationaux de données pour les groupes d’entreprises opérant comme sous-traitants. Elles détaillent les engagements minimaux, les mécanismes d’audit interne et les garanties de transparence exigés.

Ce travail s’inscrit dans le programme de travail CEPD 2026-2027, qui prévoit également la publication de modèles prêts à l’emploi pour le registre des activités de traitement et l’analyse d’intérêt légitime.

Ce que ça change pour vous : si votre groupe utilise des BCR sous-traitant pour encadrer ses transferts hors UE, vérifiez leur conformité aux nouveaux critères. Transfert données hors UE : mécanismes RGPD — Privacy Shield : règles de transfert vers les États-Unis

7 avril 2026 — CNIL : 3,5 M€ d'amende pour transmission de données clients à un réseau social

La CNIL a sanctionné une entreprise de 3,5 millions d'euros pour avoir transmis les adresses e-mail et numéros de téléphone de plus de 10,5 millions de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable. L'instruction a révélé que le formulaire d'adhésion au programme de fidélité n'informait pas les membres de cette transmission, rendant le consentement invoqué invalide. La formation restreinte a également relevé l'absence d'analyse d'impact (AIPD) malgré le traitement à grande échelle. Une amende complémentaire de 1 million d'euros a été prononcée pour des manquements relatifs aux cookies et traceurs. La décision confirme la ligne dure de la CNIL sur le partage de données avec les plateformes publicitaires.

Ce que ça change pour vous — auditez immédiatement tout partage de données CRM avec des plateformes publicitaires : le consentement doit être spécifique, éclairé, et l'AIPD obligatoire pour les traitements à grande échelle. L'article 6 du RGPD : choix de la base légale

7 avril 2026 — Conseil d'État : la pseudonymisation ne vaut pas anonymisation (Cegedim)

Par trois arrêts du 13 février 2026, le Conseil d'État a rejeté les recours des sociétés GERS, Santestat et Cegedim Santé contre les sanctions prononcées par la CNIL (800 000 €, 200 000 € et 800 000 €). Le juge administratif ancre définitivement dans la jurisprudence française le principe selon lequel la pseudonymisation, aussi sophistiquée soit-elle, ne fait pas sortir les données du champ du RGPD dès lors que le risque de réidentification n'est pas « insignifiant ». En l'espèce, les données de santé issues de logiciels médicaux avaient été pseudonymisées avant exploitation statistique et commerciale, mais le Conseil d'État a jugé que l'identification restait techniquement réalisable sans effort démesuré. Cette décision confirme l'approche de la CNIL et du CEPD : seule une anonymisation rendant la réidentification pratiquement irréalisable fait sortir les données du périmètre du RGPD.

Ce que ça change pour vous — réexaminez tout traitement fondé sur l'hypothèse que vos données pseudonymisées sont « anonymes » : si le risque de réidentification n'est pas insignifiant, le RGPD s'applique intégralement. Pseudonymisation et RGPD — Comment anonymiser une base de données

6 avril 2026 — OVHcloud : revendication de compromission massive démentie par le fondateur

Le 23 mars 2026, un acteur malveillant a revendiqué sur BreachForums avoir exfiltré 590 To de données d'OVHcloud, incluant 1,6 million de dossiers clients et 5,9 millions d'enregistrements de domaines. L'attaquant affirme avoir compromis un compte parent disposant de privilèges d'administration étendus. Octave Klaba, fondateur d'OVHcloud, a démenti ces allégations, indiquant que l'échantillon de données fourni n'a pas été retrouvé sur les serveurs de l'entreprise. Les chercheurs en sécurité soulignent que la preuve avancée — une seule ligne de données contenant un email et un numéro de téléphone — est insuffisante pour accréditer une compromission de cette ampleur. L'incident intervient dans un contexte de multiplication des attaques contre les hébergeurs européens et de renforcement des obligations NIS 2 pour les fournisseurs de services cloud.

Ce que ça change pour vous : vérifiez les mesures de sécurité de vos hébergeurs cloud et assurez-vous que vos contrats de sous-traitance prévoient une notification d'incident conforme aux articles 28 et 33 du RGPD. Sécurité du cloud : le modèle de responsabilité partagée — Fuite de données : procédure de gestion et notification RGPD

6 avril 2026 — Amnesty International dénonce un recul des droits dans le Digital Omnibus

Dans un rapport publié en avril 2026, Amnesty International alerte sur les risques du paquet Digital Omnibus proposé par la Commission européenne. L'ONG estime que la redéfinition de la notion de donnée personnelle prévue par le texte affaiblirait le champ d'application du RGPD et permettrait aux grandes plateformes de collecter davantage de données pour l'entraînement de systèmes d'IA. Amnesty critique également l'assouplissement des exigences de transparence pour les systèmes d'IA à haut risque prévu par l'AI Act, qui reviendrait à permettre l'auto-certification par les entreprises. Le CEPD et le CEPD avaient déjà exprimé des réserves similaires dans leur avis conjoint 2/2026 du 11 février, s'opposant fermement à la révision de la définition des données personnelles. Cette convergence entre autorités de protection des données et société civile renforce la pression sur le Parlement européen, qui examinera le texte dans les prochaines semaines.

Ce que ça change pour vous : surveillez les évolutions du texte au Parlement européen ; la portée même du RGPD pourrait être modifiée si le Digital Omnibus est adopté en l'état. Donnée personnelle : définition, exemples et enjeux — IA et RGPD : les règles applicables

6 avril 2026 — CNIL : édition 2026 des Tables Informatique et Libertés publiée

La CNIL a publié le 20 février 2026 la version 2.3 de ses Tables Informatique et Libertés, document de référence qui synthétise la jurisprudence et la pratique décisionnelle en matière de protection des données personnelles. L'édition 2026 intègre notamment deux décisions importantes sur les exigences de sécurité : un arrêt de la CJUE sur les places de marché en ligne et une sanction CNIL de janvier 2026 relative au télétravail. Les Tables couvrent l'ensemble des thématiques du RGPD — sources du droit, champ d'application, notions fondamentales, principes directeurs, droits des personnes, règles sectorielles, procédures et sanctions — et seront désormais mises à jour tous les deux mois.

Consultez les nouvelles Tables pour vérifier que votre interprétation des obligations RGPD est alignée avec la doctrine consolidée de la CNIL. Sanctions CNIL 2026 : analyse et enseignements — Le nouveau destin de l'obligation de sécurité

6 avril 2026 — CEPD : digest de 62 décisions OSS sur l'intérêt légitime (art. 6§1 f)

Le Comité européen de la protection des données a publié le 29 mars 2026 un digest analysant 62 décisions du guichet unique et 5 décisions contraignantes du CEPD relatives à l'intérêt légitime comme base légale (art. 6§1 f RGPD). Le document, rédigé par le Dr TJ McIntyre dans le cadre du Support Pool of Experts, couvre la période décembre 2018 – juin 2025. Il illustre concrètement l'application du triple test (identification de l'intérêt, nécessité, mise en balance) à travers des exemples positifs et négatifs dans des secteurs variés : finance, lutte contre la fraude, surveillance véhicules, données de passagers aériens. Le digest confirme que l'intérêt doit être « clairement et précisément articulé » et que la majorité des échecs portent sur l'absence de mise en balance documentée.

Vérifiez que chaque traitement fondé sur l'intérêt légitime dispose d'une analyse de mise en balance documentée, conformément aux exemples du digest. Comment réaliser le triple test pour évaluer les intérêts légitimes — L'article 6 du RGPD ou le choix de la base légale — Base légale RGPD : les 6 fondements juridiques

5 avril 2026 — Digital Omnibus : la Commission propose de modifier le RGPD et l'AI Act

Présentées le 19 novembre 2025, les deux propositions de règlement du « Digital Omnibus » continuent leur parcours législatif au Parlement européen et au Conseil. Les modifications envisagées pour le RGPD incluent l'exclusion des données pseudonymisées du champ d'application pour faciliter l'entraînement de modèles d'IA, l'intégration des règles cookies directement dans le RGPD avec l'obligation d'un mécanisme de refus aussi simple que l'acceptation, et l'interdiction de redemander le consentement pendant 6 mois après un refus. Côté AI Act, l'entrée en vigueur des obligations pour les systèmes à haut risque (prévue le 2 août 2026) serait reportée de 16 mois maximum. Le CEPD et le CEPD ont publié deux avis conjoints (1/2026 et 2/2026) alertant sur les risques d'affaiblissement des droits fondamentaux et d'insécurité juridique. L'adoption finale est attendue fin 2026, pour une application à partir de 2027-2028.

Ce que ça change pour vous : suivez attentivement les négociations du Digital Omnibus, qui pourraient modifier en profondeur vos obligations RGPD et IA dès 2027. RGPD : faut-il une case à cocher pour obtenir un consentement ? — RGPD : arrêtez de demander le consentement ! — Le consentement RGPD impose-t-il une case à cocher ?

5 avril 2026 — Conseil d'État : amende Criteo de 40 M€ définitivement confirmée

Par un arrêt du 4 mars 2026 (n° 482872), le Conseil d'État a rejeté le recours formé par Criteo contre la sanction de 40 millions d'euros prononcée par la CNIL en juin 2023. La juridiction administrative suprême valide la totalité de l'amende, confirmant la gravité des manquements constatés : absence de preuve de consentement valide pour le ciblage publicitaire, défaut d'information des personnes concernées et obstacles à l'exercice du droit d'accès. Le Conseil d'État relève que 370 millions d'identifiants utilisateurs étaient traités dans l'UE, dont 50 millions en France. Cette décision clôt définitivement le contentieux et constitue un précédent majeur pour l'ensemble du secteur adtech, qui ne peut plus compter sur l'intérêt légitime comme base légale sans preuve de consentement explicite.

Ce que ça change pour vous : les acteurs de l'adtech doivent impérativement documenter la chaîne de consentement de bout en bout, sous peine de sanctions confirmées en dernier ressort. Sanctions RGPD : Amendes, Exemples et Comment les Eviter — Sanctions CNIL 2026 : analyse et enseignements — 5 méthodes infaillibles pour se faire condamner par la CNIL

5 avril 2026 — CNIL : consultation rejeu de session ouverte jusqu'au 22 avril 2026

La CNIL a ouvert le 25 février 2026 une consultation publique sur son projet de recommandation relatif aux outils de « rejeu de session » (session replay), ces technologies qui reconstituent l'intégralité du parcours de navigation d'un utilisateur (mouvements de souris, clics, défilement, saisies dans les formulaires) sous forme de vidéos rejouables. La CNIL considère que le rejeu de session constitue un traceur soumis au consentement préalable au sens de l'Art. 82 de la loi Informatique et Libertés et de l'Art. 5(3) de la directive ePrivacy. Les usages admis se limitent à la détection d'erreurs techniques, l'amélioration UX et le support client. Les usages marketing (retargeting, profiling) sont explicitement exclus. La recommandation, une fois adoptée, servira de grille de contrôle lors des prochaines vérifications CNIL sur les sites web à fort trafic. La consultation se clôture le 22 avril 2026.

Ce que ça change pour vous — Les éditeurs de sites web utilisant des outils comme Hotjar, FullStory ou Contentsquare doivent vérifier que leur CMP recueille un consentement explicite pour le rejeu de session et exclure les usages marketing non couverts. Cookies et RGPD : guide complet de mise en conformité — RGPD et consentement : tout ce que vous devez savoir

5 avril 2026 — HAS et CNIL : guide IA en santé ouvert à consultation jusqu'au 16 avril

La Haute Autorité de santé (HAS) et la CNIL ont publié conjointement un projet de guide intitulé « IA en contexte de soins », soumis à consultation publique jusqu'au 16 avril 2026. Ce document de référence contient dix fiches pratiques couvrant l'ensemble du cycle de vie d'un système d'IA en milieu médical — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et l'IA générative. Les recommandations distinguent les pratiques « standards » (à suivre dans la majorité des cas) et les pratiques « avancées » (pistes d'amélioration). Ce guide s'inscrit dans la convention de partenariat HAS-CNIL signée le 10 mars 2026 et anticipe l'entrée en application du Règlement IA (AI Act) pour les systèmes à haut risque en santé au 2 août 2026. La consultation est ouverte à l'ensemble des acteurs du secteur : établissements de santé, professionnels, associations de patients et fournisseurs de systèmes d'IA.

Ce que ça change pour vous — Si vous déployez ou envisagez un système d'IA en contexte clinique, participez à la consultation avant le 16 avril et utilisez les fiches pratiques comme grille d'auto-évaluation de votre conformité RGPD et AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

5 avril 2026 — CERT-EU : 92 Go exfiltrés de la Commission européenne via supply chain

Le CERT-EU a attribué avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission de type supply chain de l'outil open source Trivy. L'attaque a permis l'exfiltration de 92 gigaoctets de données depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Cet incident illustre la criticité des risques liés à la chaîne d'approvisionnement logicielle, un axe central du Cyber Resilience Act (CRA) et de la directive NIS 2 (Art. 21). Il souligne également les obligations de notification au titre de l'Art. 33 du RGPD pour les données personnelles potentiellement compromises. La CNIL et ses homologues européens suivent l'affaire en coordination avec le CERT-EU.

Ce que ça change pour vous — Auditez immédiatement vos dépendances open source et vos outils de CI/CD pour identifier les composants tiers susceptibles de constituer un vecteur d'attaque supply chain. Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne

2 avril 2026 — CNIL : référentiel crédit scoring et solvabilité adopté en séance plénière

Lors de sa séance plénière du 2 avril 2026, la CNIL a adopté une recommandation définitive encadrant les traitements de données dans le cadre de l'évaluation de la solvabilité des demandeurs de crédit. Ce référentiel remplace l'autorisation unique AU-005, devenue obsolète depuis l'entrée en application du RGPD. Il s'appuie sur la jurisprudence récente de la CJUE (affaires C-634/21 et C-203/22) qui a clarifi le régime du credit scoring au regard de l'Art. 22 RGPD (décisions entièrement automatisées). Les obligations clés pour les établissements de crédit incluent : minimisation des données collectées (Art. 5(1)(c)), transparence renforcée sur l'existence d'un scoring automatisé (Art. 13-14), durées de conservation limitées (incidents de paiement : 5 ans maximum), et droit de demander un réexamen humain des décisions défavorables (Art. 22(3)). Le référentiel couvre également la consultation du FICP et l'utilisation des données de précédents crédits. Ce document deviendra la référence utilisée par la CNIL lors de ses contrôles des acteurs du crédit à la consommation et du crédit immobilier.

Les établissements de crédit et fintech doivent auditer leurs outils de scoring pour vérifier leur conformité au nouveau référentiel CNIL, notamment en matière d'information des demandeurs et de minimisation des données. Décisions automatisées : article 22 RGPD — Sanctions CNIL 2026 : analyse et enseignements

4 avril 2026 — CNIL 2026 : recrutement algorithmique et fédérations sportives dans le viseur

La CNIL a publié ses thématiques de contrôle prioritaires pour 2026, ciblant trois domaines à fort risque pour les droits des personnes. Premier axe : le recrutement. Les grandes entreprises et cabinets de recrutement qui utilisent des algorithmes de tri de CV sont directement visés. Les agents vérifieront si les candidats ont été informés du recours à un outil automatisé (Art. 13 RGPD), si une décision repose entièrement sur ce traitement (Art. 22 RGPD) et si les durées de conservation sont respectées. Deuxième axe : le répertoire électoral unique géré par l'INSEE, dans le cadre du Coordinated Enforcement Framework (CEF) 2026 du CEPD sur la transparence et l'information (Art. 12-14 RGPD). Troisième axe : les fédérations sportives, secteur particulièrement touché par les violations de données et insuffisamment protecteur des données sensibles (santé, résultats médicaux). Ces contrôles s'inscrivent dans la politique de mise en conformité progressive annoncée par la CNIL et sont susceptibles de déboucher sur des mises en demeure ou des sanctions.

Les employeurs utilisant un ATS ou un outil de tri de CV doivent immédiatement vérifier que leur information candidats (Art. 13) mentionne explicitement le recours à un traitement automatisé et prévoir une voie de recours humaine. IA et recrutement : cadre légal et discrimination — Décisions automatisées : article 22 RGPD — Article 12 RGPD : Obligations de Transparence

4 avril 2026 — Avis 4/2026 : CEPD demande un guichet unique NIS2/RGPD

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'instauration d'un guichet unique pour les notifications d'incidents de sécurité, visant à harmoniser les obligations fragmentées entre NIS 2, DORA et le RGPD. L'avis souligne la contradiction des délais actuels : l'article 33 du RGPD impose une notification à l'autorité de contrôle sous 72 heures, tandis que l'article 23 de NIS 2 prévoit une alerte précoce sous 24 heures pour le même incident. Cette dualité génère une charge de conformité excessive pour les entités soumises aux deux régimes. Le CEPD et le CEPD demandent une harmonisation des processus pour éviter les doubles déclarations et alléger la charge administrative sans réduire le niveau de protection.

Ce que ça change pour vous — Si votre organisation est soumise à la fois au RGPD et à NIS 2, mappez dès maintenant vos procédures de notification d'incidents en anticipant une possible convergence des délais vers un guichet unique. Actualité NIS2 2026 : directive cybersécurité européenne

4 avril 2026 — ANSSI publie ReCyF : le référentiel opérationnel NIS 2 en France

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) en version document de travail, lors d'un événement réunissant au Campus Cyber les acteurs institutionnels, sectoriels et publics concernés par la directive NIS 2. ReCyF liste les mesures de sécurité recommandées pour atteindre les objectifs fixés par NIS 2 et oriente sur les bonnes pratiques associées. Il intègre un principe de proportionnalité : le niveau d'effort attendu est adapté à la maturité de l'entité et aux ressources disponibles. L'ANSSI met également à disposition un outil de comparaison permettant aux entités de mettre en parallèle ReCyF avec d'autres référentiels (ISO 27001, NIS 1, DORA, etc.). Ce référentiel demeure un document de travail : aucune version définitive ne sera publiée avant l'adoption des textes législatifs et réglementaires de transposition de NIS 2 en droit français, attendue en deuxième lecture au Parlement courant juillet 2026. Cette obligation NIS 2 rejoint l'article 32 du RGPD, qui impose déjà aux responsables de traitement des mesures techniques et organisationnelles adaptées au risque.

Ce que ça change pour vous — Téléchargez ReCyF sur cyber.gouv.fr et utilisez l'outil de comparaison pour évaluer l'écart entre votre dispositif de sécurité actuel et les attentes NIS 2, en anticipant la version définitive attendue après la transposition. Actualité NIS2 2026 : directive cybersécurité européenne — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

4 avril 2026 — CEF 2026 : le CEPD coordonne 25 APD sur la transparence RGPD

Le Comité européen de la protection des données (CEPD) a lancé son action coordonnée d'application du droit (CEF) 2026 sur les obligations de transparence et d'information prévues par le RGPD. Vingt-cinq autorités de protection des données (APD) européennes participent à cette initiative, dont la CNIL qui en assure la coordination au niveau européen. Les contrôleurs de traitement seront contactés via questionnaires ou enquêtes pour vérifier leur conformité aux articles 12, 13 et 14 du RGPD, qui imposent une information claire, complète et accessible des personnes sur les conditions de traitement de leurs données. Dans la seconde moitié de 2026, les APD échangeront leurs constats et prépareront un rapport consolidé adopté par le CEPD, pouvant déboucher sur des actions ciblées à l'échelle nationale et européenne. Après le droit à l'effacement en 2025, cette action souligne que la transparence reste un angle d'attaque prioritaire pour les autorités de contrôle.

Ce que ça change pour vous — Auditez dès maintenant vos mentions légales, politiques de confidentialité et informations délivrées au moment de la collecte pour vous assurer qu'elles respectent les exigences des articles 12 à 14 du RGPD avant les vérifications de la CNIL. Article 12 RGPD : Obligations de Transparence et Exemples

3 avril 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA) à compter du 15 avril 2026. Cette direction pilote les analyses techniques des systèmes IA, les audits de cookies, les travaux sur la portabilité des données et la participation aux instances du Bureau européen de l'IA. Son arrivée coïncide avec la montée en puissance des dossiers IA à la CNIL : enquêtes sur les modèles d'entraînement, mise en œuvre du plan stratégique 2025-2028 et instruction de dossiers relatifs à l'AI Act. Aucune information n'est disponible à ce stade sur les orientations techniques spécifiques qu'il imprimera au poste.

À suivre pour les organisations en dialogue avec la DTIA de la CNIL sur des projets IA ou des demandes d'avis techniques.

28 mars 2026 — GPEN 2025 : 72 % des services jeunesse contournables pour la vérification d'âge

La CNIL a publié les résultats de l'audit coordonné par le Réseau mondial d'application des lois sur la protection de la vie privée (GPEN) mené en novembre 2025. Vingt-sept autorités de protection des données ont examiné près de 900 services numériques utilisés par les enfants. Résultat : pour 72 % des services, les mesures de vérification d'âge — reposant sur une simple déclaration — ont pu être contournées. Davantage de plateformes collectent obligatoirement des données personnelles pour accéder aux fonctionnalités et les partages avec des tiers ont augmenté depuis l'audit de 2015. Quelques progrès sont notés : notifications incitant à ne pas divulguer la localisation ni le vrai nom. L'audit s'inscrit dans le cadre de l'Art. 8 RGPD (consentement des mineurs) et du règlement CSAM. Les contrôles prioritaires de la CNIL pour 2026 intègrent les algorithmes de recrutement et les fédérations sportives, mais la thématique mineurs en ligne reste une priorité constante.

Si votre service est accessible aux mineurs, renforcez votre mécanisme de vérification d'âge au-delà d'une simple déclaration et auditez l'étendue des données collectées (Art. 8 et 25 RGPD). Google Analytics et RGPD : le guide définitif

20 mars 2026 — Health Data Hub Azure : le Conseil d'État valide l'autorisation CNIL

Par une décision du 20 mars 2026, le Conseil d'État a rejeté les demandes d'annulation formées par l'association Les Licornes célestes contre l'autorisation CNIL permettant au Health Data Hub d'héberger des données de santé (programme DARWIN EU) sur Microsoft Azure. La haute juridiction a jugé que l'autorisation comportait des garanties suffisantes : pseudonymisation multi-niveaux avant analyse, limitation de la durée de conservation, évaluation systématique des risques de ré-identification à chaque export et traçabilité des accès. Le programme DARWIN EU, piloté par l'Agence européenne des médicaments, concerne 10 millions de patients français. Le gouvernement maintient son intention de migrer vers un opérateur souverain en 2026, sans calendrier contraignant. Cette décision confirme qu'un hébergement chez un prestataire soumis au droit extra-européen peut rester compatible avec le RGPD (Art. 9 et 46) à condition que les garanties techniques soient documentées dans l'autorisation de traitement.

Si vous hébergez des données de santé chez un prestataire non-européen, documentez les garanties techniques et organisationnelles dans votre AIPD et votre registre des traitements. Fuite de données : procédure RGPD — Google Analytics et RGPD

24 mars 2026 — CNOUS : 774 000 étudiants victimes d'une fuite, documents d'identité volés

Le Centre national des œuvres universitaires et scolaires (Cnous) a révélé le 24 mars 2026 que la plateforme mesrdv.etudiant.gouv.fr avait été compromise par le groupe DumpSec. Sur 774 000 personnes concernées, 635 000 ont vu leurs données courantes (nom, prénom, e-mail, objet et date du rendez-vous) exfiltrées. Pour 139 000 étudiants, les pièces jointes de leurs dossiers — copies de carte d'identité et passeport — ont également été dérobées. Des signalements ont été effectués auprès de l'ANSSI et de la CNIL, une plainte pénale déposée et l'accès à la plateforme suspendu. Chaque personne concernée sera notifiée individuellement conformément à l'Art. 34 RGPD. L'incident illustre le risque spécifique lié aux pièces jointes (documents d'identité) stockées dans des systèmes de prise de rendez-vous dont le niveau de protection doit être équivalent à celui des données sensibles qu'elles contiennent (Art. 5(1)(f) RGPD — intégrité et confidentialité).

Vérifiez le chiffrement des pièces jointes et les contrôles d'accès aux dépôts de fichiers, et simulez votre procédure de notification de violation sous 72 h (Art. 33 RGPD). Fuite de données : procédure de gestion et notification RGPD — DORA et RGPD : gérer les incidents de données personnelles

3 avril 2026 — Reconnaissance faciale : 5 mois de détention pour erreur algorithmique aux É-U

Angela Lipps, 50 ans, a passé cinq mois en détention aux États-Unis après avoir été confondue avec une suspecte par un système de reconnaissance faciale. Arrêtée dans le Tennessee pour un crime commis à 2 000 km de là dans le Dakota du Nord, elle n'avait jamais mis les pieds dans cet État. L'affaire illustre les risques concrets des erreurs algorithmiques dans les systèmes biométriques utilisés par les forces de l'ordre. En droit européen, l'utilisation de données biométriques à des fins d'identification est strictement encadrée par l'Art. 9 RGPD, qui requiert une base légale explicite et, dans la plupart des cas, une analyse d'impact (AIPD). L'AI Act interdit l'identification biométrique en temps réel dans les espaces publics, sauf exceptions limitées (Art. 5(1)(h) AI Act). Cette affaire renforce la pression pour une réglementation stricte de la biométrie policière en Europe. Voir : proposition de loi française sur l'interdiction de la biométrie et notre guide EU AI Act.

Ce que ça change pour vous : tout traitement de données biométriques à des fins d'identification doit faire l'objet d'une AIPD et d'une base légale explicite au titre de l'Art. 9 RGPD — et rester conforme aux interdictions de l'AI Act. Proposition de loi sur l'interdiction de la biométrie — EU AI Act : guide complet

2 avril 2026 — Meta et Google condamnés aux États-Unis pour l'addiction de leurs plateformes

Un tribunal de Los Angeles a condamné Meta et Google à verser 6 millions de dollars à une plaignante californienne, reconnaissant le caractère addictif de leurs plateformes et leur responsabilité dans l'altération de sa santé mentale. Ce verdict ouvre potentiellement la voie à une série de procès similaires. En Europe, le DSA impose déjà aux très grandes plateformes des obligations de transparence algorithmique et d'évaluation des risques systémiques. La décision américaine renforce la pression sur les plateformes pour revoir leurs pratiques de conception, notamment vis-à-vis des mineurs. Voir notre analyse des risques de sanctions liés à la protection des données.

Ce que ça change pour vous : les plateformes numériques doivent anticiper un durcissement global des exigences de transparence algorithmique et de protection des utilisateurs vulnérables. 5 méthodes infaillibles pour se faire condamner par la CNIL

2 avril 2026 — Bouton de rétractation obligatoire pour l'e-commerce dès le 19 juin 2026

L'ordonnance n° 2026-2 du 5 janvier 2026, transposant la directive européenne 2023/2673, introduit une nouvelle obligation pour tous les professionnels de l'e-commerce : un bouton de rétractation accessible en ligne. À compter du 19 juin 2026, tout site web ou application proposant des contrats de vente à distance devra intégrer ce dispositif permettant aux consommateurs d'exercer facilement leur droit de rétractation. Cette obligation s'ajoute aux exigences existantes en matière de délai de rétractation de 14 jours. Le non-respect de cette obligation exposera les professionnels à des sanctions.

Ce que ça change pour vous : les sites e-commerce doivent implémenter un bouton de rétractation fonctionnel avant le 19 juin 2026. Délai de rétractation 14 jours : guide complet

2 avril 2026 — TikTok : le ministre de l'Éducation saisit la justice après une expérience sur les mineurs

Le ministre de l'Éducation nationale Édouard Geffray a annoncé avoir saisi la justice française après avoir mené une expérience visant à tester le fonctionnement de l'algorithme de TikTok vis-à-vis des mineurs. Cette saisine s'inscrit dans un contexte européen de surveillance accrue des plateformes numériques, accusées de favoriser l'addiction chez les jeunes. La démarche fait écho à la condamnation récente de Meta et Google aux États-Unis pour le caractère addictif de leurs plateformes (6 millions de dollars de dommages). En France, la protection des données des mineurs reste une priorité du plan stratégique de la CNIL.

Ce que ça change pour vous : les acteurs du numérique ciblant un public mineur doivent renforcer leurs mécanismes de protection et de transparence algorithmique. La CNIL annonce son plan stratégique 2025-2028

2 avril 2026 — Fuite de données du SIA : un pirate accède aux adresses des détenteurs d'armes

Un pirate informatique a exfiltré des données du Système d'Information sur les Armes (SIA), géré par le ministère de l'Intérieur. La fuite comprend les types d'armes détenus mais aussi les adresses personnelles des propriétaires, soit des données particulièrement sensibles au regard de la sécurité physique des personnes. Le ministère a confirmé la violation et notifié les personnes concernées par courrier. Cette fuite constitue une violation de données personnelles au sens de l'art. 33 du RGPD et impose une notification à la CNIL dans les 72 heures. Voir notre guide complet sur la notification de violation de données et la procédure de gestion des fuites.

Ce que ça change pour vous : toute entité traitant des données sensibles doit vérifier ses mesures de sécurité et ses procédures de notification en cas de violation. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

2 avril 2026 — Opération Cactus 2026 : la CNIL et l'Éducation nationale simulent un hameçonnage massif

Le ministère de l'Éducation nationale a conduit l'opération Cactus 2026, une simulation d'hameçonnage à grande échelle ciblant l'ensemble de la communauté éducative. L'initiative vise à renforcer la vigilance des enseignants, personnels et élèves face à l'une des cyberattaques les plus courantes. La CNIL accompagne l'opération en rappelant les bonnes pratiques de protection des données personnelles dans le contexte scolaire. Cette action s'inscrit dans une stratégie de prévention durable, alors que le secteur éducatif reste particulièrement exposé aux violations de données, comme le montrait déjà le plan stratégique 2025-2028 de la CNIL.

Ce que ça change pour vous : les établissements scolaires doivent intégrer la sensibilisation au phishing dans leur politique de sécurité des SI. La CNIL annonce son plan stratégique 2025-2028

2 avril 2026 — Baromètre InCyber 2026 : 8 613 violations notifiées, +45 % en un an

Le Baromètre des fuites de données personnelles 2026, élaboré en partenariat avec la CNIL et présenté au Forum InCyber à Lille, recense 8 613 violations de données personnelles notifiées entre septembre 2024 et septembre 2025 — soit une hausse de 45 % par rapport à l'année précédente. Rapporté au quotidien, cela représente près de 24 incidents déclarés par jour. Le nombre d'individus potentiellement exposés passe de 8 à 12 millions. Les incidents d'origine intentionnelle progressent de plus de 60 %, portés par la généralisation du phishing, le vol d'identifiants et les attaques sur des prestataires mutualisés ou des éditeurs SaaS. Les secteurs les plus touchés restent la finance et assurance, la santé et l'action sociale, et les activités scientifiques et techniques. Cette tendance confirme l'industrialisation du cybercrime et renforce la pression sur les obligations de notification prévues par les articles 33 et 34 du RGPD.

Ce que ça change pour vous — vérifiez que votre procédure de notification de violation est opérationnelle sous 72 heures et que votre registre des violations (Art. 33(5) RGPD) est à jour. C'est le type de risque que Legiscope permet de suivre en temps réel grâce à son module de gestion des violations de données. Gérer les violations de données personnelles conformément au RGPD — Fuite de données : procédure de gestion et notification RGPD

30 mars 2026 — APD Belgique 68/2026 : avertissement pour non-réponse à une demande d'accès

L'Autorité de Protection des Données belge (APD/GBA) a adressé le 30 mars 2026 un avertissement formel au Service public de Wallonie et au Conseil économique, social et environnemental wallon (décision 68/2026) pour n'avoir pas répondu dans les délais légaux à une demande d'accès présentée par une personne concernée. L'article 12(3) du RGPD impose un délai d'un mois, prorogeable de deux mois supplémentaires en cas de demandes complexes ou nombreuses. L'APD rappelle que les organismes publics ne bénéficient d'aucune exemption à cette obligation, et que le non-respect du délai constitue une violation du RGPD sanctionnable. La décision est consultable sur le portail GDPRhub.

Ce que ça change pour vous — vérifiez vos processus internes de gestion des demandes d'exercice de droits et assurez-vous de respecter le délai d'un mois (art. 12(3) RGPD). Article 15 RGPD le guide pratique pour les PME et associations — Le responsable de traitement : rôle et obligations

26 mars 2026 — Chat Control : le PE rejette le scan des messageries au 3 avril 2026

Le Parlement européen a rejeté le 26 mars 2026, par 311 voix contre 228 (92 abstentions), la proposition de la Commission européenne visant à prolonger jusqu'en 2027 la dérogation à la directive ePrivacy qui permettait aux grandes plateformes de scanner volontairement le contenu des communications privées pour détecter des contenus pédopornographiques (CSAM). Cette dérogation expire le 3 avril 2026 et ne sera pas renouvelée. À compter de cette date, les services de messagerie électronique et les plateformes ne peuvent plus procéder à ces scans de façon volontaire sans base légale spécifique. La Commission devra présenter une nouvelle proposition législative encadrée, notamment au regard des exigences du RGPD (art. 5, 6) et de la Charte des droits fondamentaux. Cette décision renforce la protection du secret des communications électroniques pour les utilisateurs européens.

Ce que ça change pour vous — si votre organisation utilise un service de messagerie qui pratiquait ce scan, vérifiez que le prestataire a bien cessé cette pratique au 3 avril.

12 mars 2026 — CNIL : recommandation finale sur les pixels de suivi dans les emails

En séance plénière du 12 mars 2026, la CNIL a examiné et adopté sa recommandation définitive sur les pixels de suivi dans les emails (aussi appelés pixels espions). Conformément à l'article 82 de la loi Informatique et Libertés, l'intégration d'un pixel de suivi dans un email requiert le recueil préalable du consentement du destinataire, y compris dans le cadre d'emails commerciaux B2B. La recommandation impose trois obligations concrètes : (1) recueillir le consentement avant d'envoyer tout email comportant un pixel de tracking, (2) insérer un lien de retrait du consentement dans le pied de page de chaque email, (3) mettre en place un mécanisme de preuve du consentement conforme à l'Art. 7 RGPD. L'impact opérationnel est significatif pour les équipes marketing et CRM : les solutions de mesure d'ouverture des emails devront être revues, et les bases de contacts revalidées pour distinguer les destinataires ayant consenti au tracking de ceux qui ne l'ont pas fait. Cette obligation rejoint l'article 5(1)(f) du RGPD sur le principe de minimisation et l'Art. 82 de la loi française sur les cookies et traceurs.

Ce que ça change pour vous : auditez dès maintenant vos campagnes email et désactivez les pixels de suivi pour les contacts sans consentement explicite documenté. Email marketing et RGPD — RGPD et consentement

31 mars 2026 — PANAME : la CNIL et l'ANSSI testent leur outil d'audit RGPD des IA

La CNIL, l'ANSSI, le PEReN et le projet IPoP (INRIA) ont lancé un appel à manifestation d'intérêt pour tester PANAME (Privacy Auditing of AI Models), une bibliothèque logicielle open source destinée à auditer la confidentialité des modèles d'IA au regard du RGPD. L'outil permet de simuler plusieurs scénarios d'attaque connus : inférence d'appartenance (membership inference), inférence d'attributs et reconstruction de données d'entraînement. L'appel à testeurs était ouvert du 26 février au 28 mars 2026. Une première phase de tests se déroulera jusqu'en juin, suivie d'une éventuelle seconde phase. La publication de la bibliothèque open source complète est prévue pour l'automne 2026. Ce projet s'inscrit à l'intersection du RGPD et de l'AI Act.

Suivez la publication de PANAME à l'automne 2026 si vous entraînez ou déployez des modèles d'IA sur des données personnelles — cet outil pourrait devenir le standard d'audit de référence. IA et RGPD : les règles applicables — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

31 mars 2026 — CNIL : consultation publique sur les outils de rejeu de session

La CNIL a lancé une consultation publique sur son projet de recommandation encadrant les outils de rejeu de session (session replay). Ces technologies permettent de reconstituer l'intégralité du parcours de navigation d'un internaute sur un site ou une application mobile : mouvements de souris, clics, défilement, et parfois saisies dans les formulaires. La CNIL considère que l'utilisation de ces outils est soumise au recueil du consentement préalable de l'utilisateur au titre de l'article 82 de la loi Informatique et Libertés. Le projet de recommandation précise les cas d'usage acceptables — détection de bugs, amélioration de l'UX, assistance client — et encadre les garanties de minimisation des données. La consultation est ouverte jusqu'au 22 avril 2026.

Vérifiez si votre site utilise des outils de session replay (Hotjar, FullStory, Contentsquare…) et préparez-vous à recueillir un consentement spécifique avant leur activation. Cookies et RGPD : guide de mise en conformité — CMP : choisir votre plateforme de consentement

26 mars 2026 — DSA : Commission sanctionne Pornhub/Stripchat et enquête sur Snapchat

Le 26 mars 2026, la Commission européenne a rendu deux décisions majeures dans le cadre du Règlement sur les services numériques (DSA) : d'une part, une constatation préliminaire d'infraction contre Pornhub, Stripchat, XNXX et XVideos pour avoir permis l'accès de mineurs à du contenu pornographique, en violation de leurs obligations de protection des utilisateurs vulnérables ; d'autre part, l'ouverture d'une procédure formelle contre Snapchat pour manquements potentiels aux règles de protection des mineurs en ligne. Ces plateformes sont classées comme très grandes plateformes en ligne (VLOP) au sens du DSA. Ces décisions illustrent l'articulation entre le DSA et l'article 8 du RGPD sur le consentement des mineurs, ainsi que la directive ePrivacy, dans la mise en œuvre de mécanismes robustes de vérification d'âge. Les entreprises disposent d'un droit de réponse avant toute sanction définitive.

Pour les plateformes proposant du contenu à accès restreint : évaluez vos mécanismes de vérification d'âge au regard des exigences combinées DSA et Art. 8 RGPD. RGPD et consentement : tout ce que vous devez savoir

30 mars 2026 — Garante (Italie) : SMS opt-out insuffisant comme preuve de consentement

Le Garante per la protezione dei dati personali (Italie) a sanctionné un opérateur ayant conduit des campagnes d'appels commerciaux non sollicités (décision n° 10233396). L'enquête a établi que l'entreprise n'était pas en mesure de prouver que les personnes contactées avaient valablement consenti au démarchage téléphonique. En particulier, le Garante a jugé insuffisant le système de notification par SMS utilisé comme preuve de consentement. Cette décision confirme la jurisprudence constante : le consentement au marketing direct doit être libre, spécifique, éclairé et univoque au sens de l'article 7 du RGPD, et le responsable de traitement doit être capable d'en apporter la preuve à tout moment (Art. 5(2) RGPD — principe d'accountability). La simple notification SMS opt-out ne constitue pas un consentement valide au sens de l'Art. 6(1)(a) RGPD.

Vérifiez que vos preuves de consentement au marketing direct (téléphonique, email) sont horodatées, archivées et produisibles en cas de contrôle ou de plainte. RGPD et consentement : tout ce que vous devez savoir — Email marketing et RGPD : règles, consentement et sanctions

30 mars 2026 — Garante (Italie) : amende 36 M$ contre Intesa Sanpaolo (RGPD)

Le Garante per la protezione dei dati personali (autorité italienne de protection des données) a infligé une amende de 36 millions de dollars à Intesa Sanpaolo, l'une des principales banques italiennes, pour des violations du RGPD. Cette sanction figure parmi les plus importantes prononcées dans le secteur financier italien. L'affaire concerne des manquements aux principes fondamentaux du traitement des données personnelles des clients. Le secteur bancaire reste sous surveillance accrue des autorités de protection des données européennes, après plusieurs sanctions majeures ces dernières années (dont l'amende record contre Amazon annulée par le tribunal du Luxembourg en mars 2026). Cette décision rappelle que les établissements financiers doivent intégrer la conformité RGPD dans la gestion opérationnelle de leurs traitements (Art. 5, Art. 25 RGPD).

Pour les établissements financiers et DPO du secteur : auditez vos traitements clients et vérifiez la documentation de vos bases légales et mesures de sécurité associées.

30 mars 2026 — Europa.eu : Commission confirme violation de données (ShinyHunters)

La Commission européenne a confirmé le 30 mars 2026 une violation de données affectant la plateforme Europa.eu, piratée par le groupe ShinyHunters. La Commission indique avoir détecté l'incident et pris des mesures de confinement, tout en minimisant l'impact sur ses systèmes internes. Des données appartenant à des entités institutionnelles de l'UE pourraient avoir été exfiltrées. La Commission a notifié les organisations dont les données sont potentiellement compromises. Cet incident illustre que les obligations de l'article 33 du RGPD (notification à l'autorité de contrôle dans les 72 heures) s'appliquent également aux institutions européennes soumises au règlement 2018/1725. Le groupe ShinyHunters est connu pour des attaques à grande échelle suivies de tentatives d'extorsion.

Vérifiez si votre organisation a des accès ou des données hébergées sur des portails Europa.eu et documentez toute exposition potentielle dans votre registre des violations. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

30 mars 2026 — CNIL rappelle à l'ordre la CNAM pour manquement RGPD

La Commission nationale de l'informatique et des libertés (CNIL) a adressé un rappel à l'ordre à la Caisse nationale d'assurance maladie (CNAM) pour un manquement aux règles de protection des données personnelles. La CNAM gère les données de santé de plus de 67 millions d'assurés sociaux en France, ce qui la soumet à des obligations particulièrement strictes au titre des articles 5, 9 et 32 du RGPD, notamment pour les données de catégorie particulière (données de santé). Un rappel à l'ordre (article 20-1 de la loi Informatique et Libertés) constitue une mesure corrective formelle, sans amende financière mais contraignante : l'organisme doit se mettre en conformité sous peine d'une procédure de sanction ultérieure. Ce type d'intervention de la CNIL sur un opérateur de données de santé de premier plan illustre la vigilance accrue de l'autorité sur le secteur de la santé numérique, suite aux contrôles engagés dans le cadre de la stratégie nationale de santé numérique (Art. 32 RGPD).

Vérifiez que vos procédures de sécurité pour les données de santé (ou sensibles) respectent l'article 32 RGPD, notamment en matière de chiffrement, contrôle d'accès et habilitations. RGPD et sécurité : mesures techniques et organisationnelles exigées — 7 conseils pratiques pour se mettre en conformité avec la CNIL

16 mars 2026 — Santé numérique : décret mars 2026 instaure sanctions pour éditeurs

Un décret du 3 mars 2026, pris en application de l'article L1470-6 du Code de la santé publique, instaure un régime de contrôles et de sanctions à l'encontre des éditeurs de services numériques en santé en cas de non-respect des référentiels de sécurité, d'interopérabilité et d'éthique applicables. Selon DSIH (16 mars 2026), ce décret « discret mais potentiellement douloureux » introduit des mécanismes d'audit et des sanctions administratives pour les éditeurs ne respectant pas le cadre de l'Espace Numérique de Santé (ENS) et de l'ANS. Sur le plan RGPD, ce décret croise directement les obligations de l'article 32 (mesures de sécurité) et les exigences d'une AIPD pour les systèmes traitant des données de santé (catégorie sensible, Art. 9 RGPD). Cette obligation rejoint l'article 32 du RGPD sur la sécurité des systèmes traitant des données de santé. Les éditeurs de logiciels de santé (DMP, messagerie sécurisée, télémédecine) doivent vérifier leur alignement avec les référentiels ANS en vigueur.

Pour les éditeurs de services numériques en santé : vérifier la conformité aux référentiels ANS avant tout contrôle administratif. Sécurité des données personnelles : Art. 32 RGPD

27 janvier 2026 — UE–Brésil : décision d'adéquation mutuelle pour les transferts de données

L'Union européenne et le Brésil ont finalisé une décision d'adéquation mutuelle permettant les transferts de données personnelles entre les deux zones sans mécanismes contractuels additionnels. Cette décision, confirmée par l'IAPP fin janvier 2026, s'appuie sur l'évaluation par la Commission européenne de la loi brésilienne Lei Geral de Proteção de Dados (LGPD), jugée équivalente aux exigences du RGPD. Pour les organisations françaises opérant avec des entités brésiliennes, cela supprime la nécessité de recourir aux clauses contractuelles types (CCT) ou aux règles d'entreprise contraignantes (BCR) pour ces flux. Cette décision constitue la première adéquation mutuelle entre l'UE et un pays d'Amérique latine. Sur le plan technique, les systèmes de transfert de données devront être documentés au registre des traitements (Art. 30 RGPD) avec mise à jour des flux sortants vers le Brésil.

Mettre à jour votre registre des traitements et vos mentions légales pour indiquer que les transferts vers le Brésil ne nécessitent plus de garanties appropriées spécifiques. Sécurité des données personnelles : Art. 32 RGPD

17 mars 2026 — Digital Omnibus : le Conseil retire les modifications les plus risquées

Le premier compromis du Conseil de l'UE sur le Digital Omnibus, publié mi-mars 2026, supprime plusieurs des modifications les plus controversées initialement proposées par la Commission européenne au RGPD et à la directive ePrivacy. European Digital Rights (EDRi) salue le retrait des propositions les plus risquées, notamment celles qui auraient affaibli les droits des personnes concernées.

Toutefois, des risques subsistent. Certains amendements pourraient encore réduire les garanties en pratique, tandis que de nouvelles propositions introduites par le Conseil soulèvent des questions inédites. Le texte reste en négociation et les prochaines étapes au Parlement européen seront déterminantes. Ce compromis fait suite à l’avis conjoint du CEPD et de l’EDPS de février 2026, qui rejetait fermement plusieurs des changements proposés.

Suivez l'évolution du Digital Omnibus au Parlement européen : les modifications restantes pourraient encore impacter vos obligations de conformité, notamment sur le droit d'accès et les transferts de données.

25 mars 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé le 25 mars 2026 la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA). Il prendra ses fonctions le 15 avril 2026. Cette direction, créée pour renforcer l'expertise technique de l'autorité, joue un rôle central dans l'accompagnement de la mise en œuvre du règlement européen sur l'IA (AI Act) et dans les travaux de la CNIL sur les enjeux de protection des données liés à l'intelligence artificielle.

Cette nomination intervient dans un contexte de montée en puissance des sujets IA au sein de la CNIL, qui multiplie les publications sur l’encadrement des modèles d’IA, les analyses d’impact et les outils d’audit RGPD appliqués à l’IA.

Nomination à suivre : la direction DTIA de la CNIL sera un interlocuteur clé pour les entreprises déployant des systèmes d'IA soumis au RGPD et à l'AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

20 mars 2026 — CNIL : cadre juridique de la captation sonore couplée à la vidéoprotection

La CNIL a publié le 20 mars 2026 une mise au point sur les dispositifs de captation sonore couplés à la vidéoprotection. L'autorité rappelle un principe clair : l'enregistrement du son par une caméra de vidéoprotection est interdit par la loi. Néanmoins, l'installation d'un dispositif de captation sonore distinct dans un lieu placé sous vidéoprotection peut être légale dans des cas très précis.

Cette publication vient clarifier les conditions de licéité de ces dispositifs au regard du RGPD et de la législation française sur la vidéoprotection. Elle concerne directement les collectivités territoriales, les établissements recevant du public et les entreprises disposant de systèmes de vidéoprotection. La CNIL précise les bases légales applicables et les garanties nécessaires, notamment en matière de proportionnalité et d’information des personnes.

Si vous exploitez des dispositifs de vidéoprotection, vérifiez que tout capteur audio associé respecte les conditions strictes posées par la CNIL, et désactivez l'enregistrement sonore intégré aux caméras. RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

25 mars 2026 — CJUE : une première demande d'accès peut être excessive si elle est abusive

La Cour de justice de l'Union européenne a rendu le 25 mars 2026 un arrêt important dans l'affaire C-526/24 (Brillen Rottler), clarifiant l'interprétation de l'article 15 du RGPD. La Cour juge qu'une demande d'accès aux données personnelles peut être qualifiée d'excessive dès la première demande, si le responsable de traitement démontre que la personne concernée agit avec une intention abusive. En l'espèce, la CJUE précise qu'un droit d'accès exercé dans le seul but de créer artificiellement un droit à indemnisation peut constituer un abus de droit au sens de l'article 12(5) du RGPD.

Cette décision renforce la marge de manœuvre des responsables de traitement face aux demandes instrumentalisées, tout en rappelant que la charge de la preuve de l’abus repose sur le responsable de traitement. Les DPO devront documenter précisément les éléments objectifs justifiant le caractère abusif d’une demande avant tout refus.

Mettez à jour vos procédures internes de traitement des demandes d'accès pour intégrer les critères d'abus définis par la CJUE, en documentant systématiquement les indices objectifs d'intention abusive. Article 15 RGPD : le guide pratique pour les PME et associations

13 mars 2026 — La CNIL publie ses recommandations sur les proxys web filtrants

La CNIL a publié le 13 mars 2026 une recommandation destinée à accompagner les utilisateurs et les fournisseurs de serveurs mandataires web filtrants (proxys filtrants) dans leur mise en conformité au RGPD. Ces dispositifs, largement déployés en entreprise pour la cybersécurité, interceptent et analysent le trafic web des salariés, ce qui implique un traitement de données personnelles. La CNIL rappelle que ces solutions doivent être conformes au RGPD tant dans leur usage que dès leur conception (privacy by design, Art. 25 RGPD). La recommandation précise les bases légales applicables, les mesures de minimisation des données et les obligations d'information des salariés. Cette publication s'inscrit dans la volonté de la CNIL de promouvoir des solutions de cybersécurité respectueuses de la vie privée.

Vérifiez la conformité RGPD de vos proxys web filtrants à l'aide de cette nouvelle recommandation CNIL. RGPD et sécurité : les mesures techniques et organisationnelles

20 mars 2026 — Le Conseil d'État valide le Health Data Hub au regard du RGPD

Le Conseil d'État a confirmé que le traitement automatisé des données de santé autorisé par la CNIL dans le cadre du Health Data Hub est conforme au RGPD. Cette décision met fin à une longue controverse sur la légalité de cette plateforme nationale de données de santé, notamment au regard des transferts de données vers les États-Unis liés à l'hébergement Microsoft Azure. Le Conseil d'État estime que les garanties mises en place par la CNIL sont suffisantes pour assurer la protection des données des patients. Cette validation juridique ouvre la voie à une utilisation élargie des données de santé à des fins de recherche en France.

Les acteurs de la recherche en santé disposent désormais d'un cadre juridique stabilisé pour utiliser le Health Data Hub.

24 mars 2026 — Vague de violations massives dans le secteur éducatif français

Trois violations majeures de données frappent le secteur éducatif français en une semaine. Le CNOUS a subi le piratage d'un de ses systèmes d'information, exposant les données personnelles de 774 000 étudiants ou anciens étudiants. Parallèlement, le ministère de l'Éducation nationale a révélé le 23 mars qu'une intrusion dans son système RH « Compas » a compromis les données de 243 000 agents enseignants stagiaires. Enfin, le Secrétariat général de l'Enseignement catholique a été victime d'une cyberattaque exposant les données administratives de 1,5 million de personnes. Au total, plus de 2,5 millions de personnes sont concernées. Ces incidents démontrent la vulnérabilité des systèmes d'information du secteur public éducatif et rappellent l'obligation de notification à la CNIL dans les 72 heures (Art. 33 RGPD).

Vérifiez immédiatement vos procédures de notification de violation et la sécurité de vos systèmes RH et de gestion des étudiants. Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

25 mars 2026 — Le tribunal du Luxembourg annule l'amende RGPD record contre Amazon

Le tribunal administratif du Luxembourg a annulé l'amende de 746 millions d'euros infligée à Amazon par la CNPD luxembourgeoise en 2021. Il s'agissait de la plus lourde sanction jamais prononcée au titre du RGPD. Selon le Digital Watch Observatory, le tribunal a estimé que l'autorité de contrôle n'avait pas suffisamment motivé sa décision, notamment sur la qualification des violations et le calcul du montant. Cette annulation est un revers significatif pour l'application du RGPD aux grandes plateformes. Elle soulève des questions sur la capacité des autorités de contrôle à imposer des sanctions proportionnées aux géants du numérique. La CNPD pourrait faire appel de cette décision.

Décision à suivre pour évaluer l'impact sur la stratégie d'enforcement des autorités de contrôle européennes.

25 mars 2026 — La CJUE condamne le fichage biométrique systématique en France

La Cour de justice de l'Union européenne a rendu le 20 mars 2026 un arrêt très attendu dans l'affaire « Comdribus » concernant les pratiques de fichage françaises. La Cour estime que la manière dont le droit français permet la prise d'empreintes digitales et de photographies lors de contrôles d'identité est incompatible avec le droit de l'Union. La décision vise en particulier le fichier TAJ (Traitement des antécédents judiciaires) et la collecte systématique de données biométriques sans garanties suffisantes. La Quadrature du Net, à l'origine du recours, salue une décision qui « désavoue le système de fichage français ». Concrètement, le législateur français devra revoir les conditions de collecte et de conservation des données biométriques dans les fichiers de police. Cette décision renforce la position de la CJUE comme garante du droit à la protection des données face aux pratiques sécuritaires nationales.

Les responsables de traitement du secteur public doivent anticiper une révision des bases légales françaises pour la collecte biométrique. Fuite de données : procédure de gestion et notification RGPD

26 mars 2026 — AI Act : les eurodéputés repoussent les échéances et interdisent les deepfakes sexuels

Le Parlement européen vote un amendement au règlement Omnibus qui repousse certaines échéances de l’AI Act et introduit une interdiction explicite des deepfakes à caractère sexuel non consenti. Le report des échéances donne plus de temps aux entreprises pour se conformer, mais l’interdiction des deepfakes sexuels entre en vigueur immédiatement et s’applique à tous les fournisseurs et déployeurs de systèmes d’IA dans l’UE. Le lien RGPD est direct : les deepfakes constituent un traitement de données biométriques (art. 9 RGPD).

Ce que ça change pour vous : vérifiez que vos systèmes d’IA ne peuvent pas générer de deepfakes non consentis, et mettez à jour votre calendrier de conformité AI Act. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application

26 mars 2026 — CNIL : Kaspr se met en conformité après injonction (SAN-2026-004)

La décision SAN-2026-004 publiée sur GDPRhub révèle que Kaspr, spécialiste du scraping de données professionnelles sur LinkedIn, s’est mis en conformité à la suite d’une injonction de la CNIL. La société a dû revoir ses bases légales, renforcer l’information des personnes concernées et limiter la durée de conservation des données. Cette décision est un signal important pour les entreprises du secteur du data enrichment et du scraping.

Ce que ça change pour vous : si vous utilisez des services de scraping ou d’enrichissement de données, vérifiez la base légale et les mentions d’information de votre prestataire. Actualite RGPD 2026 : sanctions, decisions et jurisprudence — AML et donnees personnelles : durees de conservation et RGPD

25 mars 2026 — Vie privée des enfants : résultats de l’audit Global Privacy Enforcement Network

La CNIL publie les résultats de l’audit coordonné du Global Privacy Enforcement Network (GPEN) sur la protection de la vie privée des enfants en ligne. L’audit révèle des manquements généralisés : recueil de consentement parental insuffisant, collecte excessive de données, paramètres de confidentialité insuffisamment protecteurs par défaut. La CNIL rappelle que le RGPD impose des garanties renforcées pour les mineurs (art. 8) et que le consentement parental est requis pour les moins de 15 ans en France.

Ce que ça change pour vous : si votre service est accessible aux mineurs, vérifiez vos mécanismes de vérification d’âge et de recueil du consentement parental. Audit RGPD : tarifs, methodes et comment reduire les couts — RGPD et consentement : tout ce que vous devez savoir

19 mars 2026 — CEF 2026 : le CEPD lance une action coordonnée sur la transparence

Le Comité européen de la protection des données (CEPD) lance le Coordinated Enforcement Framework 2026, ciblant les obligations de transparence et d’information (art. 12 à 14 RGPD). Les autorités nationales, dont la CNIL, mèneront des contrôles coordonnés sur la clarté, l’accessibilité et l’exhaustivité des mentions d’information. Cette action succède aux CEF précédents sur les DPO (2023) et les droits d’accès (2024).

Ce que ça change pour vous : vos mentions d’information et politiques de confidentialité seront dans le viseur des contrôles 2026. Vérifiez leur conformité aux articles 12 à 14 RGPD dès maintenant. Actualite RGPD 2026 : sanctions, decisions et jurisprudence — Audit RGPD : tarifs, methodes et comment reduire les couts

13 mars 2026 — Le Conseil d’État confirme l’amende de 40 M€ de Criteo pour violation du RGPD

Le Conseil d’État rejette le recours de Criteo et confirme l’amende de 40 millions d’euros prononcée par la CNIL. La décision valide l’analyse de la CNIL sur le défaut de consentement valide pour le ciblage publicitaire (art. 6 et 7 RGPD), le défaut d’information (art. 13-14 RGPD) et les manquements au droit d’accès (art. 15 RGPD). Cette décision fait jurisprudence pour l’ensemble du secteur adtech et renforce la position de la CNIL sur le consentement en matière de publicité ciblée.

Ce que ça change pour vous : si vous êtes dans l’adtech ou utilisez du ciblage publicitaire, vérifiez immédiatement vos mécanismes de recueil de consentement et vos mentions d’information. RGPD et consentement : tout ce que vous devez savoir — Actualite RGPD 2026 : sanctions, decisions et jurisprudence

5 mars 2026 — GDPR Omnibus : la « simplification » européenne loin des besoins réels des entreprises

noyb analyse en détail le projet de règlement Omnibus visant à simplifier le RGPD et conclut que les mesures proposées sont largement déconnectées des besoins réels des entreprises. La simplification annoncée se concentre sur des points mineurs (allègement du registre pour les PME) tout en ignorant les vrais irritants : complexité des transferts internationaux, incohérences entre autorités nationales, lenteur du mécanisme de coopération. Les obligations fondamentales du RGPD restent inchangées.

Ce que ça change pour vous : ne comptez pas sur l’Omnibus pour alléger significativement vos obligations. Continuez à investir dans votre conformité RGPD. Mise en conformité RGPD : guide complet pour les PME — Cout de la mise en conformite RGPD : budget et ROI pour les PME

2 mars 2026 — L’ANSSI lance un AMI pour un outil d’audit RGPD des modèles d’IA

L’ANSSI publie un appel à manifestation d’intérêt pour le développement d’un outil d’audit de conformité RGPD spécifiquement conçu pour les modèles d’intelligence artificielle. L’initiative traduit la prise de conscience des régulateurs français que les modèles d’IA posent des défis spécifiques en matière de protection des données : données d’entraînement, minimisation, droit à l’effacement. Cet outil devra couvrir les obligations croisées RGPD et AI Act.

Ce que ça change pour vous : si vous développez ou déployez des modèles d’IA, anticipez les audits RGPD spécifiques qui arriveront avec ce type d’outil. Audit RGPD : tarifs, methodes et comment reduire les couts — Logiciel RGPD : comparatif complet des solutions de conformite 2026

11 février 2026 — Digital Omnibus : les autorités de protection des données rejettent les modifications proposées au RGPD

Les autorités européennes de protection des données (APD) s’opposent fermement à plusieurs modifications du RGPD proposées dans le cadre du Digital Omnibus Package. Les APD craignent un affaiblissement des droits fondamentaux, notamment sur l’intérêt légitime et les obligations de transparence. Ce front commun des régulateurs envoie un signal clair : toute simplification qui réduirait le niveau de protection sera combattue.

Ce que ça change pour vous : pas de modification du RGPD à court terme. Maintenez votre conformité actuelle et suivez l’évolution du Digital Omnibus au Parlement. Article 12 RGPD : Obligations de Transparence et Exemples

28 janvier 2026 — Journée de la protection des données : noyb démonte 5 idées reçues sur le RGPD

Pour la Journée de la protection des données, noyb publie une analyse détaillant 5 idées reçues persistantes sur le RGPD. Parmi elles : le RGPD ne concerne pas que les grandes entreprises, le consentement n’est pas la seule base légale, et la conformité ne se résume pas à une politique de confidentialité. L’article rappelle que toute entreprise traitant des données personnelles de résidents européens est concernée, indépendamment de sa taille ou de sa localisation.

Ce que ça change pour vous : une bonne occasion de vérifier que votre organisation ne tombe pas dans ces pièges classiques de conformité. RGPD et consentement : tout ce que vous devez savoir — Cout de la mise en conformite RGPD : budget et ROI pour les PME