Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour mars 2026 :
Scraping de données professionnelles : clôture de la procédure de la CNIL à l’encontre de Kaspr
La CNIL a annoncé la clôture de la procédure engagée contre la société Kaspr, spécialisée dans l’extraction de données de contact.
Pour rappel, Kaspr proposait un outil permettant de récupérer des informations professionnelles (emails, numéros de téléphone) à partir de profils LinkedIn, souvent sans que les personnes concernées en soient informées.
En 2023, la CNIL avait prononcé une sanction à l’encontre de la société, notamment pour :
- collecte de données sans base légale valable,
- défaut d’information des personnes,
- durée de conservation inadaptée.
Elle avait également insisté sur le fait que les personnes concernées ne pouvaient pas raisonnablement s’attendre à une telle réutilisation de leurs données issues de LinkedIn, ce qui fragilisait encore davantage le recours à l’intérêt légitime.
Cette décision confirme sa position sur les outils de scraping et d’enrichissement de données : le fait que des données soient accessibles en ligne ne suffit pas à justifier leur réutilisation.
La clôture de la procédure signifie que Kaspr a mis en œuvre les mesures correctrices attendues par l’autorité de contrôle.
Services numériques en santé : un régime de sanctions financières précisé par le décret du 3 mars 2026
Le décret n° 2026-153 du 3 mars 2026 vient compléter le cadre applicable aux services numériques en santé en introduisant un régime de sanctions administratives financières spécifique.
Ce nouveau régime ne se substitue pas aux sanctions prévues par le RGPD, mais s’y ajoute. Les acteurs peuvent donc se trouver exposés à des sanctions prononcées par la CNIL au titre du RGPD, mais aussi des sanctions administratives spécifiques au titre du droit de la santé.
Un pouvoir de sanction administrative renforcé
Le décret précise les conditions dans lesquelles l’autorité administrative compétente peut prononcer des sanctions financières à l’encontre des acteurs ne respectant pas les obligations applicables aux services numériques en santé.
Sont notamment concernés les éditeurs de services numériques en santé, ainsi que l’ensemble des acteurs intervenant dans le traitement de données de santé ou dans la mise à disposition de ces services.
Des manquements désormais clairement identifiés
Le décret encadre les types de manquements susceptibles de donner lieu à sanction, notamment :
- le non-respect des exigences de sécurité et de confidentialité des données,
- le recours à des solutions non conformes aux exigences d’hébergement de données de santé (HDS),
- le non-respect des référentiels applicables aux services numériques en santé.
Cette précision contribue à sécuriser juridiquement les contrôles, tout en réduisant les marges d’interprétation pour les acteurs.
Ce décret appelle une vigilance accrue sur la conformité des solutions utilisées, en particulier en matière d’hébergement HDS, mais également sur l’alignement avec les référentiels sectoriels applicables.
Il prévoit que les sanctions administratives peuvent atteindre 300 000 €, montant pouvant être porté à 1 million d’euros en cas de récidive.
Publicité ciblée : le Conseil d’État confirme la sanction de 40 M€ prononcée contre Criteo
Par une décision du 4 mars 2026, le Conseil d’État a rejeté le recours de Criteo contre la sanction prononcée par la CNIL en 2023 en matière de publicité personnalisée. Cette décision valide donc définitivement l’amende de 40 millions d’euros infligée à l’adtech française.
Pour rappel, la CNIL avait retenu cinq manquements au RGPD :
- l’impossibilité, pour Criteo, de démontrer un consentement valable,
- des insuffisances en matière d’information des personnes,
- un non-respect du droit d’accès,
- des manquements liés au retrait du consentement et à l’effacement,
- ainsi qu’une insuffisance de l’accord encadrant la responsabilité conjointe avec ses partenaires.
La décision du Conseil d’État va au-delà du simple rejet :
Elle confirme d’abord qu’un acteur comme Criteo peut être qualifié de responsable conjoint de traitement pour le dépôt de cookies sur les sites partenaires, puis de responsable de traitement pour l’exploitation ultérieure des données collectées à des fins de ciblage publicitaire. Elle rappelle également que des données pseudonymisées restent des données personnelles dès lors que les personnes demeurent identifiables sans effort démesuré.
Surtout, un acteur ne peut pas se retrancher derrière ses partenaires pour échapper à son obligation de prouver la validité du consentement.
Le Conseil d'Etat rappelle qu’en présence de traitements multi-acteurs, la répartition contractuelle des rôles ne suffit pas : encore faut-il que cette répartition soit complète, cohérente avec la réalité opérationnelle, et qu’elle permette effectivement de respecter les obligations du RGPD.
Cybersécurité : avis conjoint de l'EDPB et de l'EDPS sur la révision du Cybersecurity Act
Le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) ont publié un avis conjoint sur les propositions de révision du Cybersecurity Act.
Cet avis s’inscrit dans le cadre du renforcement du dispositif européen de certification en matière de cybersécurité, en particulier pour les services numériques et les infrastructures critiques.
Une articulation renforcée entre cybersécurité et protection des données
Les deux autorités insistent sur la nécessité d’assurer une cohérence entre les objectifs de cybersécurité et les exigences du RGPD.
Elles rappellent que les schémas de certification ne doivent pas se limiter à des considérations techniques, mais intégrer pleinement les principes de protection des données, notamment la minimisation, la sécurité des traitements et la protection dès la conception.
/!\ La certification ne saurait constituer, à elle seule, une preuve de conformité au RGPD.
Elles appellent à une clarification des rôles entre les différentes autorités impliquées, afin d’éviter les chevauchements de compétences, et insistent notamment sur la nécessité d’associer les autorités de protection des données dans la définition et le suivi des schémas de certification, en particulier lorsque ceux-ci impliquent des traitements de données personnelles.
Un focus sur les transferts et les risques systémiques
L’avis met en avant les enjeux liés aux transferts de données, en particulier dans le cadre de services numériques critiques. Les autorités recommandent d’intégrer ces risques dans les schémas de certification, notamment en tenant compte des accès potentiels par des entités situées hors de l’Union européenne.
Plus largement, elles appellent à une approche fondée sur les risques, permettant d’identifier les impacts potentiels sur les droits et libertés des personnes. Concrètement, l’avis insiste sur le fait que la certification ne peut pas se limiter à des critères purement techniques (robustesse, disponibilité, résilience), mais doit aussi prendre en compte la nature des données traitées, les finalités poursuivies et les contextes d’utilisation des systèmes.
Cela implique notamment d’identifier, en amont, les risques pour les personnes concernées.
Luxembourg : annulation de l’amende de 746 millions d’euros contre Amazon par la juridiction administrative
Par un arrêt rendu en mars 2026, la Cour administrative du Luxembourg a confirmé l’annulation de l’amende de 746 millions d’euros prononcée en 2021 à l’encontre d’Amazon par la Commission nationale de la protection des données (CNPD), dans le cadre de traitements de données à des fins de publicité ciblée.
Cette sanction, la plus élevée jamais infligée en Europe sur le fondement du RGPD, reposait principalement sur des manquements relatifs à la base légale des traitements et aux obligations de transparence, en lien avec l’exploitation des données à des fins de personnalisation publicitaire.
Une appréciation stricte de la charge de la preuve
Le litige portait sur la qualification juridique des traitements mis en œuvre par Amazon dans le cadre de la publicité comportementale. La CNPD avait considéré que ces traitements ne reposaient pas sur une base légale valable, en particulier en l’absence de consentement conforme aux exigences du RGPD.
Cependant, en application d'une jurisprudence de la Cour de justice de l’Union européenne (CJUE) depuis deux arrêts du 5 décembre 2023 (affaires « DEUTSCHE WOHNEN » et « NACIONALINIS », C-807/21 et C-683/21), il appartient à l’autorité de contrôle de faire l'analyse de l'existence d'un comportement fautif, qui peut consister soit en un acte délibéré, soit en une négligence du responsable du traitement des données à caractère personnel par rapport aux violations constatées du RGPD.
La Cour administrative confirme l’analyse du tribunal administratif en retenant que les violations alléguées par la CNPD n’étaient pas suffisamment établies.
L’arrêt met en évidence les exigences élevées pesant sur l’autorité de contrôle, qui doit être en mesure de démontrer, de manière précise et étayée, la caractérisation des manquements invoqués, ainsi que de l’article 83, qui suppose une motivation rigoureuse des sanctions administratives.
En effet, une seconde analyse n’avait pas été opérée par la CNPD à sa juste mesure au regard des principes dégagés par la CJUE en la matière, à savoir celle du choix de la mesure la plus adéquate parmi l'éventail large de celles prévues par la réglementation en place.
La Cour a donc remis en cause l'analyse de la CNPD en soulignant les insuffisances dans la démonstration des violations de la réglementation applicable.
Allemagne : le Gouvernement prépare un texte pour combler les lacunes de répression en matière de Deepfakes pornographiques
L’Allemagne a annoncé la préparation d’un projet de loi contre la violence numérique visant notamment les deepfakes pornographiques. À ce stade, aucun texte consolidé n’a encore été publié, mais le gouvernement fédéral a confirmé vouloir combler les lacunes pénales concernant les deepfakes pornographiques et, plus largement, les atteintes sexualisées fondées sur l’image. Le dispositif annoncé doit aussi faciliter l’identification des auteurs, l’accès aux informations sur les titulaires de comptes et, dans certains cas, permettre le blocage de comptes par voie judiciaire.
Cette annonce intervient alors que le cadre européen reste encore imparfait. L’AI Act prévoit bien des obligations de transparence pour les contenus artificiellement générés ou manipulés, y compris les deepfakes, mais il ne suffit pas, à lui seul, à traiter le cas particulier des contenus sexuels non consentis. C’est précisément la raison pour laquelle le Parlement européen a soutenu, en mars 2026, une évolution du texte afin d’interdire les systèmes dits de “nudification”, capables de produire des images sexuellement explicites ou intimes d’une personne réelle identifiable sans son accord.
Cette conférence est intéressante à deux niveaux.
- Tout d’abord, elle met le doigt sur un décalage persistant entre le développement technologique et le cadre juridique existant. Si les victimes de violences numériques et de deepfakes ne sont pas dépourvues de protection, le droit pénal apparaît encore insuffisamment adapté, en particulier pour appréhender ces nouveaux usages et en sanctionner efficacement les auteurs.
- Ensuite, elle met en lumière des lacunes plus larges dans l’effectivité des recours. Au-delà de la dimension pénale, les mécanismes de droit civil existent déjà, notamment en matière d’atteinte aux droits de la personnalité, avec la possibilité d’obtenir cessation du trouble et réparation. En pratique, leur mise en œuvre reste toutefois limitée, notamment en raison des difficultés d’identification des auteurs.
Le projet de loi allemand vise précisément à lever ces obstacles, en facilitant l’accès aux informations permettant d’agir et, plus largement, l’exercice des droits par les personnes concernées.