Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose DastrActu, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour août 2025 :
Luxembourg – Publication de lignes directrices sur l’« AI Literacy » par la CNPD
Le 2 août 2025, la Commission nationale pour la protection des données (CNPD) a publié des orientations relatives à l’article 4 du Règlement (UE) 2024/1689 sur l’intelligence artificielle (RIA). Cet article impose à toutes les personnes impliquées dans le fonctionnement ou l’utilisation de systèmes d’IA de disposer d’un niveau de « maîtrise » suffisant, également désigné sous le terme d’« AI Literacy ».
La CNPD insiste sur une approche proportionnée : la formation doit être adaptée au niveau d’expérience des salariés, aux risques que les systèmes peuvent faire peser sur les individus, ainsi qu’aux mécanismes de supervision mis en place.
Entrée en vigueur depuis le 2 février 2025, cette obligation représente un défi majeur pour les employeurs, qui doivent s’assurer que leurs équipes disposent de compétences appropriées pour utiliser et encadrer l’IA dans un cadre professionnel. Elle s’ajoute à d’autres exigences du RIA, telles que l’interdiction des systèmes d’IA à risque inacceptable.
👉 Consultez l'article du CNPD ici.
👉 Pour aller plus loin, lisez notre article ici sur la maîtrise de l'IA et le Shadow AI.
Royaume-Uni – La Law Commission ouvre la réflexion sur la personnalité juridique de l’IA
La Law Commission du Royaume-Uni a publié un document de discussion majeur sur la question de la personnalité juridique des systèmes d’intelligence artificielle. Ce rapport analyse les caractéristiques propres à l’IA, notamment son autonomie, sa capacité d’adaptation et ses modes d’apprentissage évolutifs, afin d’évaluer si ces systèmes pourraient, à terme, se voir reconnaître une forme de personnalité juridique spécifique.
L’étude explore deux scénarios : d’une part, l’octroi d’une personnalité juridique permettant d’attribuer directement droits et obligations à certains systèmes d’IA ; d’autre part, le maintien du cadre actuel, où les responsabilités continuent de reposer exclusivement sur les personnes physiques ou morales qui conçoivent, déploient ou exploitent ces technologies.
La Commission insiste sur la nécessité d’une évolution juridique adaptée au rythme de l’innovation technologique, tout en mettant en garde contre les risques d’un statu quo qui pourrait créer des zones de responsabilité floues en cas de dommages causés par l’IA. Le document invite les parties prenantes (juristes, entreprises, institutions publiques) à contribuer à ce débat structurant pour l’avenir du droit.
La Commission européenne publie la liste des signataires du Code de bonnes pratiques en matière d’IA
La Commission européenne a dévoilé la liste complète des entreprises ayant adhéré au Code de bonnes pratiques de l’UE pour l’intelligence artificielle générative, également appelé Code de bonnes pratiques pour les modèles d’IA à usage général (GPAI).
Ce code volontaire, élaboré dans le cadre d’un processus multipartite avec des experts indépendants, constitue un outil pratique destiné à aider l’industrie à se conformer aux obligations du Règlement sur l’IA (AI Act) applicables aux fournisseurs de modèles GPAI. Publié le 10 juillet 2025, il est accompagné de lignes directrices de la Commission sur plusieurs concepts clés relatifs à ces modèles.
La Commission et le Conseil de l’IA ont confirmé que ce code constitue un instrument adéquat de conformité volontaire. En le signant, les fournisseurs de modèles peuvent démontrer plus facilement leur conformité à l’AI Act, tout en bénéficiant d’une réduction de leur charge administrative et d’une sécurité juridique renforcée.
AI Act : ce qui change au 2 août 2025
À compter du 2 août 2025, plusieurs dispositions essentielles du Règlement (UE) 2024/1689 ou Règlement sur l’Intelligence Artificielle (« RIA ») sont entrées en vigueur et acquièrent désormais un caractère juridiquement contraignant. Ces dispositions comprennent notamment :
Les règles de gouvernance, à savoir la gouvernance au niveau de l'Union et les autorités nationales compétentes ; et
Les obligations concernant les modèles d'IA d'usage général.
Allemagne – mise à jour des lignes directrices du BfDI
Le Commissaire fédéral à la protection des données (BfDI) a publié une nouvelle version de ses lignes directrices, en langue allemande.
Ce document propose une analyse complète des relations entre le RGPD et la BDSG, détaille les bases légales de traitement, rappelle les principes de protection des données, les obligations du DPO ainsi que les droits des personnes concernées, et illustre chacun de ces points par des exemples pratiques.
Royaume-Uni – Consultations de l’ICO sur le Data Use and Access Act (DUA)
À la suite de l’entrée en vigueur du Data Use and Access Act 2025 (DUAA), le Bureau du Commissaire à l’Information (ICO) a ouvert une série de consultations publiques destinées à préparer la publication de lignes directrices définitives.
La première consultation porte sur l’introduction d’une nouvelle base légale, l’« intérêt légitime reconnu », ainsi que sur le traitement des plaintes en matière de protection des données émanant d’organisations.
L’ICO invite les acteurs concernés à soumettre des contributions de fond, afin d’alimenter l’élaboration de règles claires et opérationnelles.
Procédure de sanction devant la CNIL : un tournant constitutionnel
Le 8 août 2025, le Conseil constitutionnel a rendu une décision majeure (QPC n° 2025-1154) qui modifie la procédure de sanction devant la CNIL. Cette évolution concerne directement les responsables de traitement et leurs sous-traitants.
Jusqu’ici, les entités mises en cause pouvaient déposer des observations écrites ou être entendues, mais sans être informées de leur droit de garder le silence. En pratique, répondre pouvait donc conduire à s’auto-incriminer.
S’appuyant sur l’article 9 de la Déclaration des droits de l’homme et du citoyen de 1789, le Conseil a jugé que le droit au silence, reconnu en matière pénale, devait également s’appliquer aux sanctions administratives de nature punitive, telles que les amendes de la CNIL. L’absence d’information sur ce droit a été déclarée contraire à la Constitution.
L’abrogation des dispositions concernées est reportée au 1er octobre 2026. Toutefois, dès à présent, la CNIL doit notifier explicitement aux entreprises mises en cause leur droit de se taire. Les sanctions prononcées avant le 8 août 2025 restent quant à elles définitives.
Cette décision aligne davantage les sanctions de la CNIL sur la logique pénale et impose aux entreprises d’adopter une approche défensive dans leurs échanges avec le régulateur.
👉 Consultez la décision par ici.
Espagne – Sanction de 200 000 € pour violation du principe d’exactitude des données
L’autorité espagnole de protection des données (AEPD) a infligé une amende de 200 000 € à ENDESA ENERGÍA, S.A.U., filiale du groupe ENDESA, pour manquement grave au principe d’exactitude des données prévu à l’article 5.1.d) du RGPD.
L’affaire trouve son origine dans une réclamation déposée en mai 2023, après qu’un particulier a vu ses contrats d’électricité et de gaz résiliés sans son consentement. L’enquête a révélé que l’entreprise avait attribué à tort les codes universels de point de fourniture (CUPS) du plaignant à un tiers, en raison d’une erreur de saisie d’adresse lors d’un changement de titulaire. Cette confusion, non vérifiée avant l’exécution, a entraîné une suspension abusive des services.
Outre la sanction pécuniaire, l’AEPD a enjoint la société à mettre en place, dans un délai de six mois, des procédures renforcées afin de garantir la fiabilité des traitements de données lors des changements de fournisseur ou de titulaire. Le non-respect de cette obligation pourrait donner lieu à de nouvelles infractions administratives.