Veille données personnelles – Avril 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans Data4Coffee. Ne passez pas à côté des infos clés !
Pour vous inscrire, écrivez à data4coffee@squairlaw.com.
1. FRANCE
1.1. L'Assemblée nationale adopte une loi interdisant le démarchage téléphonique sans consentement préalable
[6 mars] La proposition de loi « pour un démarchage téléphonique consenti et une protection renforcée des consommateurs contre les abus » a été adoptée par l'Assemblée nationale. Ce texte, déjà approuvé en première lecture par le Sénat en novembre 2024, impose aux entreprises d'obtenir l'accord explicite des particuliers avant de les contacter à des fins commerciales. Cette mesure vise à protéger les consommateurs contre les appels non sollicités et les abus potentiels liés au démarchage téléphonique. Des exceptions sont prévues, notamment pour les entreprises spécialisées dans la livraison de produits alimentaires à domicile, afin de préserver les services de proximité. La loi renforce également les sanctions en cas de non-respect, avec des amendes pouvant atteindre500 000 euros pour les personnes physiques et jusqu'à 20% du chiffre d'affaires annuel pour les personnes morales en cas d'abus de faiblesse. La proposition de loi doit désormais être examinée par le Sénat.
1.2. L’ANSSI lance une consultation publique sur le vote électronique pour les élections non politiques
[10 mars] L'ANSSI lance un appel à commentaires sur l'utilisation du vote par internet pour les élections non politiques, visant à garantir la sécurité et la fiabilité du processus électoral. Cette initiative fait suite à la mise à jour en début d’année 2025 des recommandations de la CNIL en matière de vote par Internet. A l’occasion de cette mise à jour, la CNIL a défini des objectifs de sécurité à remplir pour protéger les données personnelles et respecter les grands principes électoraux. Pour répondre à chacun de ces objectifs, l’ANSSI propose de formuler des recommandations techniques.
Source : Appel à commentaires sur le vote par internet pour les élections non politiques | ANSSI
1.3. La CNIL appelle à une solution souveraine pour l'hébergement des données de santé EMC2
[11 mars] Dans une décision publiée au début du mois de mars relative à la mise en place de l’entrepôt de données de santé« EMC2 », la CNIL alerte sur les risques juridiques liés à l’hébergement par Microsoft, notamment en raison de potentielles ingérences des autorités américaines via le Cloud Act. Elle « réitère ses regrets que la PDS [(Plateforme de Données de Santé]) ne dispose toujours pas à ce jour d’un prestataire susceptible de répondre à ses besoins tout en protégeant les données du SNDS contre les accès des autorités publiques d’Etat tiers ». Relevant le fait qu’aucun appel d’offre n’a été publié en ce sens, la CNIL invite le gouvernement « à travailler activement à la mise en place d’une solution souveraine ». Le lendemain de la publication de cette décision, le Health Data Hub a partagé son bilan de 2024, dans lequel il annonce réfléchir à une « solution intercalaire » pour migrer d’Azure vers un « environnement souverain ».
Sources :
- Délibération 2025-013 du 13 janvier 2025 - Légifrance
1.4. Vol massif de données chez Free : La CNIL lance une procédure de sanction
[12 mars] En octobre 2024, Free a informé ses clients d'une consultation non autorisée de leurs données personnelles, compromettant la confidentialité de 19 millions d'abonnés, dont 5 millions d'adresses e-mail. La CNIL a par la suite reçu de nombreuses plaintes de la part de personnes concernées, auxquelles elle a répondu par un email daté du 12 mars dernier. Dans cet email, la CNIL explique qu’une analyse approfondie des éléments recueillis l’a conduite à engager une procédure de sanction devant la formation restreinte de la CNIL.
Source : Vol massif de données Free : La CNIL lance une procédure de sanction - Le Monde Informatique
1.5. Vers des capteurs « diminués » pour une surveillance vidéo respectueuse des droits individuels
[13 mars] Le Laboratoire d’Innovation Numérique de la CNIL explore l'utilisation de capteurs « diminués » qui, en limitant la collecte de données à la source, offrent une alternative aux caméras « augmentées » pour une surveillance vidéo plus respectueuse des droits des personnes. Le LINC souligne à ce titre que ces capteurs, qu’ils soient « passifs » (caméras infrarouges, caméras événementielles etc.) ou « actifs » (LIDAR et temps de vol) peuvent offrir une minimisation à l’origine en limitant les risques qu’induisent l’utilisation de caméras classiques.
1.6. La France se lance dans le chantier NIS 2 pour renforcer la cybersécurité
[13 mars] La France a entamé le processus de transposition de la directive européenne NIS 2, visant à renforcer la cybersécurité des infrastructures critiques. Le projet de loi de transposition, dont l’examen a été retardé par la dissolution de l'Assemblée nationale, est désormais entre les mains du Sénat. La directive NIS 2, publiée le 27 décembre2022, élargit significativement le nombre d'entités concernées, passant d'environ 300 à 15 000, incluant des secteurs tels que l'énergie, les transports, la santé et les services numériques. Les entreprises devront se conformer à des exigences strictes en matière de sécurité des réseaux et des systèmes d'information, sous peine de sanctions en cas de non-conformité. Cette démarche vise à améliorer la résilience du tissu économique français face aux cybermenaces croissantes. Outre les dispositions de cette directive, le projet de loi intègre les dispositions de la Directive sur la résilience des entités critiques et du règlement Dora.
1.7. La CNIL et l'Autorité de la concurrence renforcent leur collaboration pour une IA éthique et concurrentielle
[20 mars] Le 5 mars 2025, la CNIL et l'Autorité de la concurrence ont organisé un séminaire interne pour approfondir les liens entre protection des données personnelles et concurrence dans le développement de l'intelligence artificielle (IA). Les discussions ont porté sur l'analyse concurrentielle du secteur de l'IA générative, notamment après l'avis de l'Autorité de la concurrence du 28 juin 2024, ainsi que sur les moyens de sécuriser juridiquement l'entraînement des modèles d'IA conformément au RGPD, en s'appuyant sur l'avis du Comité Européen de la Protection des Données. Les autorités ont également abordé les recommandations récentes de la CNIL pour promouvoir une IA responsable, les enjeux économiques liés aux modèles d'affaires de l'IA et les implications des stratégies open-source en matière de protection des données et de droit de la concurrence. Cette initiative s'inscrit dans la continuité de leur déclaration conjointe du12 décembre 2023, reflétant leur engagement à coopérer étroitement pour accompagner les nouvelles régulations européennes et promouvoir une IA de confiance.
1.8. La CNIL lance une consultation publique pour renforcer la sécurité des dossiers médicaux informatisés
[20 mars] La CNIL a initié une consultation publique sur un projet de recommandation visant à améliorer la conformité et la sécurité des dossiers patients informatisés (DPI). Cette initiative fait suite à une augmentation significative des violations de données personnelles dans le secteur de la santé, les notifications étant passées de 16 en 2018 à 196 en 2024. Des contrôles menés entre 2020 et 2023 ont révélé des accès illégitimes aux DPI, certains professionnels de santé consultant des informations non nécessaires à la prise en charge des patients. Le projet de recommandation rappelle les obligations légales en matière de sécurité et de confidentialité des données de santé, conformément à l'article 32 du RGPD. Il propose des mesures techniques et organisationnelles pour garantir la protection des informations sensibles des patients. Les parties prenantes sont invitées à participer à cette consultation publique jusqu'au 16 mai 2025, afin de contribuer à l'élaboration de pratiques renforçant la confiance dans le système de santé numérique.
Pour en savoir plus, consultez notre article ici.
1.9. Priorités de la CNIL pour 2025 : applications mobiles, cybersécurité et administration pénitentiaire
[21 mars] En 2025, la CNIL concentrera ses missions de contrôle sur trois domaines clés : la collecte des données par le biais d’applications mobiles, la cybersécurité des collectivités territoriales et le traitement de données par l’administration pénitentiaire. Ces contrôles visent à assurer la conformité de ces différents traitements à la règlementation applicable sur la protection des données à caractère personnel, et notamment en matière de consentement et de sécurité des informations. En outre, dans le cadre d’une action coordonnée, la CNIL, avec ses homologues européens, procèdera à a des actions de vérification des conditions de mise en œuvre du droit à l’effacement.
1.10. Opération CACTUS : la CNIL sensibilise les jeunes à la cybersécurité
[25 mars] Face à la multiplication des attaques malveillantes via les espaces numériques de travail (ENT) des élèves, la CNIL s’associe aux autorités publiques dans le cadre de l’opération CACTUS. Campagne de sensibilisation lancée par la section de lutte contre la cybercriminalité du Parquet de Paris et de la JUNALCO, l’opération a ciblé 2,5 millions de collégiens et de lycéens.Les élèves ont été invités via leur ENT à cliquer sur un lien les incitant à se procurer gratuitement des jeux crackés et des cheats gratuits, près d’un élève sur douze a cliqué sur le lien, le redirigeant vers un message de sensibilisation. Cette initiative s’inscrit dans le plan stratégique de protection des mineurs et de cybersécurité de la CNIL, et des ressources pédagogiques ont été mises à la disposition des académies afin de prolonger cet effort de sensibilisation.
Source : Sensibilisation des jeunes à la cybersécurité : la CNIL engagée dans l’Opération CACTUS | CNIL
1.11. Consultation publique de la CNIL : recommandations sur l’utilisation des données de localisation des véhicules connectés
[25 mars] La CNIL lance une consultation publique sur son projet de recommandation sur l’utilisation des données de localisation des véhicules connectés. Face aux données hautement personnelles et particulièrement intrusives sur la vie privée que sont les données de localisation, la CNIL cherche à accroître la vigilance des acteurs sur le traitement de ces données.Le projet se concentre sur les usages de véhicules connectés par des particuliers, comme propriétaire ou locataire, et s’adresse à l’ensemble des acteurs du véhicule (constructeurs, gestionnaires de flotte, fournisseurs d’outils de télématiques, agrégateurs et intégrateurs de données. Le projet propose des recommandations concrètes sur les usages les plus fréquents des données de localisation afin de faciliter le respect des principes clés du RGPD par les acteurs. La consultation est ouverte jusqu’au 20 mai 2025.
1.12. Cyberattaque contre Harvest : une fuite de données découverte
[27 mars] Fin février, Harvest, éditeur français de logiciels financiers, a été victime d'une cyberattaque par ransomware, paralysant temporairement ses services et impactant de nombreux acteurs du secteur financier. Des données sensibles de clients, notamment de la MAIF et du groupeBPCE, ont été compromises, exposant les individus concernés à des risques accrus d'hameçonnage et d'usurpation d'identité. Harvest a informé les autorités compétentes et ses clients de la violation. Plusieurs semaines après cette attaque, et après avoir informé ses clients qu’aucune fuite de données n’avait été détectée, Harvest a finalement confirmé la compromission de« quelques fichiers internes et de comptes de messageries des salariés », sans toutefois préciser l’ampleur de cette fuite d’informations.
Sources :
- Harvest : nouveaux rebondissements après l'annonce d'une fuite de données | Les Echos
1.13. Accompagnement des professionnels : le programme de travail de la CNIL pour 2025
[27 mars] En 2025, la CNIL poursuit son travail d’accompagnement des professionnels avec de nouveaux outils pratiques pour faciliter leur mise en conformité au RGPD. Parmi ses principaux projets de 2025, la CNIL mettre en place de nouvelles fiches pratiques relatives à l’intelligence artificielle, travaillera sur trois projets de référentiels (référentiel d’évaluation dessous-traitants, actualisation des référentiels « santé », référentiel à destination des banques sur l’octroi de crédit), ainsi que sur trois projets de recommandation (consentement multi terminaux, pixels dans les courriels, économie des séniors). La CNIL entamera également des travaux visant à l’élaboration de recommandations sur l’utilisation de caméras embarquées (dash cams).
Source : Accompagnement des professionnels : le programme de travail de la CNIL pour 2025 | CNIL
1.14. Apple sanctionnée pour pratiques anticoncurrentielles dans le ciblage publicitaire
[28 mars] L’Autorité de la concurrence a infligé une amende de 150millions d’euros à Apple pour avoir favorisé son propre service de publicité ciblée dans les applications mobiles au détriment de ses concurrents, entre avril 2021 et juillet 2023. L’Autorité de la concurrence a conclu que, si l’objectif du dispositif d’Apple (« App Tracking Transparency » ou« ATT ») de renforcer la protection de la vie privée des utilisateurs n’était pas critiquable, ses modalités de mise en œuvre n’étaient ni nécessaires, ni proportionnées à l’objectif affiché d’Apple, du fait des contraintes qu’il faisait peser sur les éditeurs et utilisateur. Dans son analyse concurrentielle, l’autorité a tenu compte des conclusions rendues par la CNIL.Comme le souligne la CNIL, cette décision vient « confirmer que le droit de la concurrence et le droit à la protection des données personnelles ne s’opposent pas, mais convergent au contraire vers un même objectif, au service d’un numérique responsable ».
Sources :
- Décision 25-D-02 du 28 mars 2025 | Autorité de la concurrence
1.15. Controverse autour de la proposition de loi anti-narcotrafic : création d’un « procès-verbal distinct »
[28 mars] La proposition de loi visant à lutter contre le narcotrafic a suscité des débats en raison de l'article 8 ter, qui aurait obligé les services de messagerie chiffrée à fournir aux autorités une copie des communications déchiffrées. Cette mesure, soutenue par le ministre de l'Intérieur Bruno Retailleau, visait à faciliter l'accès aux échanges des criminels utilisant des applications sécurisées comme WhatsApp, Signal ou Telegram. Cependant, des experts en cybersécurité, des associations de défense des libertés numériques et l’AFCDP ont alerté sur les risques d'affaiblissement général de la sécurité des communications, craignant que l'introduction de portes dérobées ne compromette la confidentialité des données pour l'ensemble des utilisateurs. Face à ces préoccupations, l'Assemblée nationale a finalement rejeté cette mesure, préservant ainsi le chiffrement de bout en bout et soulignant l'importance de concilier lutte contre la criminalité et protection des libertés individuelles. Le texte, amputé de son article le plus polémique, est débattu en séance plénière depuis le 17 mars. C’est désormais autour d’un nouvel article, approuvé par les députés le 28 mars, que les débats se concentrent. Cet article met en place un « procès-verbal distinct »qui permettrait aux enquêteurs de ne pas divulguer aux avocats de trafiquants certaines informations sur la mise en œuvre de techniques spéciales d’enquête(lieu de leur mise en œuvre, identité de la personne ayant permis leur installation etc.).
Sources :
2. UNION EUROPEENNE
2.1. La CNIL et ses homologues européens lancent des contrôles sur le droit à l'effacement
[5 mars] Après l’action coordonnée sur le droit d’accès menée par le Comité européen de la protection des données (CEPD) en 2025, le comité pour un cadre coordonné de mise en œuvre (Coordinated EnforcementAction, CEF) concentrera ses efforts cette année sur l’exercice du droit à l’effacement. Trente-deux autorités de protection des données européennes participeront à cette initiative via une série de contrôles pour vérifier la mise en œuvre du droit à l'effacement des données personnelles par les organismes, conformément à l'article 17 du RGPD. Cette action coordonnée vise à garantir que les demandes d'effacement sont correctement traitées. La CNIL rappelle à ce titre que 34% des plaintes qu’elle a reçues en 2024 portaient sur le droit à l’effacement, faisant de ce droit l’un des droits les plus fréquemment exercés.
Sources :
- Droit à l’effacement :la CNIL et ses homologues européens effectuent une série de contrôles | CNIL
2.2. Le CEPD adopte une déclaration sur la mise en œuvre de la directive PNR
[14 mars] Le Comité européen de la protection des données (CEPD) a adopté une déclaration sur la mise en œuvre de la directivePNR relative aux données des dossiers passagers traitées par les transporteurs aériens.Cette déclaration fait suite à un jugement de la CJUE en la matière et comprend des recommandations pratiques pour les législations nationales transposant la directive PNR afin de donner effet aux conclusions de la CJUE. Le CEPD recommande notamment que la durée de conservation de ces données ne devrait pas dépasser six mois.
2.3. Absence de DPO : Amende de 350 000 euros pour une entreprise de télécommunications
[17 mars] Le Datatilsynet (Autorité norvégienne de protection des données) a infligé une amende de 4 millions de NOK (environ 350000 euros) à l’encontre de Telenor ASA pour non-respect de ses obligations en matière de désignation d’un délégué à la protection des données (DPO). Lors d’enquête, le Datatilsynet a pu constater que Telenor ASA avait mis fin aux fonctions de son DPO considérant ne pas remplir les critères de désignation obligatoire de l’article 37 du RGPD, sans pouvoir fournir de justificatif de cette évaluation. L’enquête a également révélé l’absence d’implication du DPO dans ses missions, un manque de ressources mises à sa disposition, un défaut d’indépendance dans l’exercice de ses fonctions, la non-publication des informations de contact du DPO et l’incomplétude du registre de traitement de Telenor ASA. Cette décision met en lumière l’importance de ne pas négliger les mesures organisationnelles et de gouvernance en matière de protection des données.
Source : Datatilsynet (Norway) – 21/03823-45 | GDPR hub
2.4. Violation du principe d’exactitude des données : plainte contre OpenAI
[20 mars] L’ONG NOYB co-fondée par l’activiste autrichien Max Schrems et qui travaille à l’application des lois sur la protection des données a déposé une plainte contre OpenAI devant le Datatilsynet (Autorité norvégienne de protection des données) dénonçant les« hallucinations de l’IA ». Alors qu’un utilisateur norvégien cherchait à savoir si ChatGPT disposait d’informations à son sujet, ce dernier a été confronté à une histoire mensongère l’accusant du meurtre de deux de ses enfants et de tentative d’assassinat du troisième, mêlée à des éléments réels de sa vie personnelle. NOYB dénonce par cette plainte les conséquences potentiellement considérables de résultats diffamatoires et erronés, ainsi que la violation du principe d’exactitude des données de l’article 5 §1 d) du RGPD.
Sources :
- Hallucinations del’IA : ChatGPT a créé un faux meurtrier d’enfants | NOYB
3. INTERNATIONAL
3.1. Etats-Unis : Blocage judiciaire de l’accès aux systèmes de l’Administration de la sécurité sociale par le DOGE
[20 mars] Dans le cadre d’une plainte par un groupe de syndicats, la juge du Tribunal de District du Maryland, EllenHollander, a temporairement interdit l’accès par le Département de l’Efficacité gouvernementale (DOGE) aux fichiers de l’Administration de la sécurité sociale(SSA). Dans son ordonnance, la juge Hollander a également exigé la suppression par le DOGE de toutes les informations personnelles non anonymisées auxquelles il aurait eu accès. La SSA aurait donné accès à une quantité massive de données personnelles, sensibles et confidentielles aux membres du DOGE, sans aucune justification sur la nécessité d’un tel accès. La juge Hollander conclut à un« accès débridé » à ces données causant une intrusion dans les affaires personnelles de millions d’américains, et considère que les plaignant sont toutes les chances d’obtenir gain de cause en affirmant que cet accès viole la loi Fédérale sur la protection des données.
Sources :
- Judge stops Musk’s team from ‘unbridled access’ to Social Security private data | Reuters
- Judge temporarily blocks DOGE access to sensitive Social Security Administration systems | CBS NEWS
- Memorandum Opinion | District Court for the District of Maryland
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
