Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour novembre 2025 :
Projet Omnibus : la Commission ouvre la voie à une simplification majeure du cadre numérique européen
Le 19 novembre 2025, la Commission européenne a dévoilé son initiative dite de l’« Omnibus numérique », un vaste ensemble de mesures destiné à simplifier et moderniser le cadre réglementaire qui encadre les activités numériques en Europe, du RGPD à l’AI Act, en passant par la directive ePrivacy et les règles de cybersécurité.
L’objectif : améliorer la compétitivité, réduire la complexité administrative et apporter des clarifications attendues par les professionnels.
Parmi les ajustements proposés :
report des obligations de l’AI Act pour les systèmes à haut risque (désormais prévues pour décembre 2027) ;
modifications ciblées du RGPD
simplification du consentement cookies ;
création d’un guichet unique pour centraliser les notifications d’incidents de cybersécurité.
Ce train de mesures doit encore être examiné par le Parlement européen et le Conseil, mais il marque déjà un tournant dans l’évolution du droit numérique européen.
DMA et RGPD : publication des lignes directrices conjointes Commission–CEPD
Le CEPD et la Commission européenne ont publié leurs premières lignes directrices conjointes afin de clarifier l’articulation entre le Digital Markets Act (DMA) et le RGPD.
Objectif : simplifier la conformité, renforcer la cohérence d’application et apporter davantage de sécurité juridique aux gatekeepers, entreprises utilisatrices, bénéficiaires et citoyens.
Le texte rappelle que le RGPD et le DMA poursuivent des finalités complémentaires :
le RGPD protège les droits et libertés des personnes,
le DMA vise l’équité et la contestabilité des marchés numériques.
Les lignes directrices expliquent notamment :
comment les gatekeepers doivent appliquer les exigences de choix spécifique et de consentement valide (Art. 5(2) DMA) lorsqu’ils souhaitent combiner ou réutiliser des données personnelles ;
comment mettre en œuvre, en conformité avec le RGPD, les obligations liées à la portabilité, aux demandes d’accès, à la distribution d’applications tierces, ou encore à l’interopérabilité des messageries.
📅 Une consultation publique est ouverte jusqu’au 4 décembre 2025. Les contributions seront publiées, et le texte final sera adopté conjointement par le CEPD et la Commission.
Accédez au projet des lignes directrices ici.
CEPD : consultation parties prenantes sur l’anonymisation et la pseudonymisation
Le CEPD organise un événement multiparties prenantes consacré aux méthodes d’anonymisation et de pseudonymisation, alors que plusieurs décisions récentes (SRB vs EDPS, Meta) ont fragilisé certaines pratiques courantes.
L’événement vise à :
clarifier les attentes des autorités,
identifier les techniques réellement fiables,
préparer l’actualisation des lignes directrices du CEPD.
Les autorités reconnaissent la tension actuelle entre innovation, IA, et conformité au RGPD, et cherchent à harmoniser les approches nationales.
Accédez ici au communiqué du CEPD.
Décision d’adéquation Brésil : le CEPD adopte son avis
Le 4 novembre 2025, le CEPD a adopté à l’unanimité son avis sur le projet de décision d’adéquation présenté par la Commission européenne pour le Brésil, conformément à l’article 45 du RGPD.
Si elle est adoptée, cette décision permettra aux organisations européennes de transférer des données personnelles vers le Brésil sans garanties supplémentaires, comme avec un pays « adéquat ».
Le CEPD salue :
la forte convergence entre la loi brésilienne LGPD et le RGPD,
la cohérence avec la jurisprudence de la CJUE,
et l’effectivité globale des garanties prévues par le droit brésilien.
Le Comité invite toutefois la Commission à clarifier et surveiller certains éléments : l’obligation de réaliser des analyses d’impact (AIPD) ; les limites possibles à la transparence, liées au secret commercial et industriel et les règles encadrant les transferts ultérieurs.
Le CEPD note aussi que la loi brésilienne ne s’applique pas pleinement aux traitements effectués par les autorités publiques pour des finalités de sécurité nationale ou de poursuites pénales, mais se félicite qu’une application partielle soit prévue pour les enquêtes criminelles et le maintien de l’ordre, conformément à la jurisprudence brésilienne.
Le projet doit désormais être examiné par le comité des États membres avant adoption finale.
Accédez à l'avis par ici
Royaume-Uni : l’ICO consulte sur sa nouvelle approche d’enquête et de sanction
L’ICO a ouvert une consultation publique sur son futur guide encadrant les procédures qu’elle applique lorsqu’elle suspecte une violation du UK GDPR ou du Data Protection Act 2018.
Le texte précise également comment l’ICO utilisera ses nouveaux pouvoirs issus du Data (Use and Access) Act 2025, lui permettant d’exiger des réponses et des rapports de la part des organisations.
Le projet aborde notamment :
Les critères d’ouverture d’une enquête ;
Le déroulement d’une enquête ;
Les décisions possibles (avertissement, rappel à l’ordre, amende, injonction) ;
Les conditions d’un règlement amiable avec réduction de sanction.
📅 Consultation ouverte jusqu’au 23 janvier 2026, accessible sur ce lien.
Prospection directe : la CJUE clarifie la base légale applicable
Dans son arrêt Inteligo Media SA du 13 novembre 2025, la CJUE apporte une précision majeure concernant la prospection directe par e-mail.
Jusqu’ici, les organisations associaient systématiquement ces traitements à une base légale RGPD (article 6), généralement le consentement ou l’intérêt légitime.
La Cour juge désormais que l’article 13(2) de la directive ePrivacy (2002/58) — transposé en France à l’article L.34-5 CPCE — constitue en lui-même une base juridique suffisante pour encadrer la prospection électronique, sans qu’il soit nécessaire de se rattacher à l’article 6 du RGPD.
En pratique :
Le consentement reste valable et utilisable ;
Mais les responsables devront expliquer explicitement que le fondement juridique découle de l’article 13(2) ePrivacy (et de sa transposition nationale) ;
Une mise à jour des registres, notices et politiques de prospection pourrait être nécessaire pour refléter cette clarification.
Une décision qui va probablement entraîner des ajustements pratiques dans les démarches de conformité marketing.
Capita : violation de données touchant 6 millions de personnes
L’ICO a prononcé une amende de 14 millions de livres sterling contre Capita, à la suite d’une cyberattaque en 2023 ayant entraîné le vol des données de 6,6 millions de personnes (dossiers de pension, données RH, informations clients, et parfois données sensibles ou financières).
L’enquête conclut à plusieurs manquements graves :
Absence de mesures techniques et organisationnelles suffisantes, laissant les systèmes vulnérables.
Défaut de gestion des alertes de sécurité : un signalement critique a été ignoré pendant 58 heures, permettant à l’attaquant d’obtenir des permissions administrateur et d’exfiltrer près d’un téraoctet de données.
Manque de tests d’intrusion : certains systèmes n’avaient été testés qu’à leur mise en service.
Absence de prévention de mouvements latéraux dans le réseau, malgré plusieurs alertes internes antérieures.
L’ICO rappelle que la cybersécurité est un élément essentiel de la confiance numérique et qu’aucune organisation, même de grande taille, n’est exemptée de ses obligations.
Pour info, initialement, l’autorité envisageait une amende de 45 M£, réduite après les mesures correctives prises, la coopération de Capita et un règlement amiable. Capita a reconnu sa responsabilité et accepté la sanction.
Cliquez ici pour plus d'informations.
CNIL : 750 000 € d’amende contre Les Publications Condé Nast pour manquements aux règles cookies
La CNIL a sanctionné Les Publications Condé Nast (éditeur notamment de Vanity Fair) d’une amende de 750 000 € pour plusieurs violations persistantes de l’article 82 de la loi Informatique et Libertés concernant les cookies et traceurs.
Après une première plainte déposée en 2019 par l’association NOYB, une mise en demeure en 2021, puis une clôture en 2022, la CNIL a réalisé de nouveaux contrôles en 2023 et 2025 montrant que le site vanityfair.fr n’était toujours pas conforme.
Les principaux manquements relevés :
Dépôt de cookies soumis à consentement avant tout choix : des cookies étaient installés dès l’arrivée sur le site, sans consentement préalable.
Information insuffisante : certains cookies étaient présentés comme « strictement nécessaires » sans explication claire sur leurs finalités réelles.
Impossibilité de refuser ou retirer efficacement le consentement : même après un clic sur « Tout refuser » ou un retrait du consentement, des cookies soumis à consentement continuaient d’être déposés ou lus.
La sanction tient compte : l’existence d’une mise en demeure antérieure, du nombre d’utilisateurs concernés, et de la répétition des manquements malgré les échanges avec la CNIL.
Un rappel fort aux éditeurs : la conformité cookies nécessite une mise en œuvre effective, un contrôle continu, et des mécanismes de refus réellement fonctionnels.
Accédez à la délibération ici.
CNIL : lancement de l’enquête nationale 2025 “DPO et IA”
La CNIL ouvre une vaste enquête visant à mieux comprendre le rôle des DPO face aux usages d’IA dans les organisations françaises.
L’essor de l'IA bouleverse les pratiques de traitement des données personnelles. Mais la CNIL cherche à répondre aux questions suivantes :
- Quelle place pour les DPO dans cette nouvelle réalité ? Jusqu’où s’étend son champ d’intervention ?
- Quels défis rencontrés au quotidien ?
- De quels outils et formations ont-ils besoin ?
Pour répondre à ces questions, la CNIL ouvre une enquête nationale auprès des DPO, qu’ils exercent dans le public ou le privé.
Sa position est la suivante : s’il doit être associé à toute utilisation de données personnelles, le DPO n’est pas nécessairement le pilote de la conformité au Règlement sur l’Intelligence Artificielle (RIA), qui mobilise d’autres compétences spécifiques.
Cependant, le RIA représente une opportunité majeure : ses principes (approche par les risques, responsabilisation, transparence et protection des droits fondamentaux) prolongent ceux du RGPD. Les DPO disposent donc d’une base solide pour accompagner leurs structures vers une IA conforme et responsable.
🔗 DPO, votre avis compte : participez à l’enquête avant le 15 décembre 2025 par ici
Hongrie : adoption d’une loi nationale sur l’IA
La Hongrie devient l’un des premiers États membres à adopter une loi nationale sur l’intelligence artificielle, en complément de l’AI Act.
La loi introduit :
des obligations sectorielles,
des exigences de transparence renforcées,
de nouvelles sanctions administratives.
Elle illustre une tendance croissante à la nationalisation complémentaire des règles IA en Europe.
IA et CJUE : une nouvelle question préjudicielle devant la CJUE
La CJUE est saisie d’une nouvelle affaire (C-245/25) portant sur l’usage, par un expert judiciaire, d’un logiciel de simulation d’accidents assisté par IA. Le point central : ce type d’outil relève-t-il des systèmes d’IA à haut risque au sens de l’AI Act ?
L’affaire découle d’un accident de la route. L’expert désigné a utilisé le logiciel Virtual Crash 4.0, conçu pour le marché américain, ce que l’une des parties conteste. Elle estime que l’outil n’était pas adapté et qu’un rapport d’expertise doit détailler l’ensemble des calculs effectués, ce que l’expert n’a pas pu fournir, se contentant d’affirmer avoir « vérifié » les résultats.
Le tribunal bulgare a donc décidé de saisir la CJUE, invoquant notamment :
le principe d’explicabilité,
l’exigence de compréhension des processus décisionnels,
l’impact potentiel sur le droit à un procès équitable (art. 19 TUE).
Les questions posées portent sur :
la qualification du logiciel en IA à haut risque (annexe III, point 8, AI Act),
la portée de l’article 86 AI Act sur le droit à une explication,
la possibilité, pour une juridiction, de s’appuyer sur un rapport basé sur un résultat algorithmique simplement « validé » par l’expert.
Reste à savoir si la CJUE répondra à l’ensemble de ces interrogations…
Plus dé détails par ici !
La Commission européenne lance un code de pratique sur le marquage des contenus générés par IA
La Commission européenne a annoncé la création d’un groupe de travail chargé d’élaborer un code de pratique pour le marquage et l’étiquetage des contenus générés par IA.
Objectif : assurer une identification claire des contenus synthétiques, notamment des deepfakes, pour renforcer la transparence imposée par l’AI Act.
Le code couvrira :
les formats de marquage (watermarks, métadonnées, avertissements visuels),
les obligations pour les fournisseurs d’IA générative,
les mesures techniques permettant la fiabilité du marquage.
Ce futur code, élaboré sur une période de sept mois par des experts indépendants sous la coordination de l’EU AI Office, sera un outil volontaire destiné aux fournisseurs et utilisateurs de systèmes d’IA générative.
Une première version est attendue début 2026. Le communiqué de la commission est accessible ici.
Data Act : projet de clauses contractuelles types
La Commission européenne a publié la recommandation sur les nouvelles clauses contractuelles types non contraignantes destinées à faciliter la mise en œuvre du Data Act, notamment pour les PME.
Ces modèles, utilisables et adaptables librement, visent à aider les organisations à structurer leurs contrats de partage de données et de services cloud.
Modalités contractuelles types (MCT) – Partage obligatoire de données
Trois ensembles de MCT ont été élaborés pour couvrir les relations où le partage de données est obligatoire (chapitres II et III du Data Act) :
MCT Détenteur ↔ Utilisateur : accès, usage et partage des données générées par un produit connecté ou un service associé.
MCT Utilisateur ↔ Destinataire : conditions d'utilisation des données par le destinataire choisi par l’utilisateur.
MCT Détenteur ↔ Destinataire : modalités de partage et éventuelle compensation financière.
Un quatrième modèle vise le partage volontaire de données entre entreprises, conforme aux règles du chapitre IV sur les clauses abusives.
Clauses contractuelles types (CCT) – Services cloud (chapitre VI)
Trois CCT traduisent les obligations liées à la commutation entre fournisseurs :
Switching & Exit : modalités de changement de prestataire.
Résiliation : dispositions applicables en fin de contrat.
Sécurité & Continuité d’activité : obligations en cas d’incident et garanties lors de la migration.
La prochaine étape consiste à traduire et à publier les TCM et les CCT dans toutes les langues de l’UE, ce qui devrait prendre de trois à quatre mois.