Javascript is required
logo-dastralogo-dastra

DastraNews : que s'est-il passé en octobre ?

DastraNews : que s'est-il passé en octobre ?
Leïla Sayssa
Leïla Sayssa
29 octobre 2025·14 minutes de lecture

Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose DastraNews, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.

🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.

Voici notre sélection pour octobre 2025 :

👉 Pour plus d'informations, lisez la délibération ici.

Thème de la mise en œuvre coordonnée du CEPD pour 2026 : obligations de transparence

Le 14 octobre 2025, le Comité européen de la protection des données (CEPD) a annoncé que son prochain cadre de mise en œuvre coordonnée (le cinquième) se concentrera sur les obligations de transparence et d'information en vertu des articles 12, 13 et 14 du RGPD.

Dans chaque action coordonnée, le CEPD sélectionne un thème de priorité commun pour les autorités nationales de protection des données à examiner.

En 2026, les autorités de surveillance à travers l'Europe évalueront conjointement comment les responsables et sous-traitants se conforment à leur devoir d'informer les individus lorsque leurs données sont traitées.

L’essentiel à savoir

  • La transparence est un principe fondamental du RGPD : sans information claire, les individus ne peuvent pas exercer efficacement leurs droits.

  • Les résultats de ces enquêtes nationales sont ensuite consolidés et analysés pour fournir une compréhension plus approfondie de l'enjeu à l'échelle de l'UE, permettant un suivi et une application ciblés aux niveaux national et européen.

  • L'initiative devrait commencer en 2026, accordant aux organisations un certain temps (mais pas beaucoup) pour se préparer.

🔗 Pour plus d'informations, cliquez ici.

Le CEPD adopte des avis recommandant l'extension de l'adéquation du Royaume-Uni

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté deux avis sur les propositions de décisions de la Commission européenne concernant l'extension de la validité des décisions d'adéquation du Royaume-Uni, à la fois en vertu du RGPD et de la Directive sur la protection des données dans les activités de police (LED), jusqu'à décembre 2031.

Cela permettrait aux organisations et autorités de l'UE de continuer à transférer des données personnelles vers le Royaume-Uni sans garanties supplémentaires.

Ainsi, le CEPD souligne que la plupart des mises à jour juridiques au Royaume-Uni visent à clarifier ou faciliter la conformité, mais soulève des zones nécessitant une surveillance plus attentive de la part de la Commission européenne :

  • Transferts ultérieurs : le nouveau test d'adéquation du Royaume-Uni (Data Use and Access Act 2025) manque de références à des garanties cruciales comme l'accès gouvernemental, le recours individuel et la supervision indépendante.
  • Préoccupations concernant le chiffrement : les avis de capacité technique permettant de contourner le chiffrement pourraient créer des vulnérabilités systémiques.
  • Restructuration de l'ICO : le nouveau modèle de Commission d'information doit être surveillé pour son indépendance et sa capacité d'application, bien que sa politique de transparence soit bien accueillie.

🎯 Le Royaume-Uni resterait une destination adéquate pour les transferts de données de l'UE jusqu'en 2031, mais uniquement sous une surveillance stricte et continue de l’UE. Bonne nouvelle pour les organisations qui transfèrent des données personnelles entre l'UE et le Royaume-Uni, mais la vigilance reste essentielle.

🔗 Pour plus d'informations, cliquez ici.

Consultation publique sur le projet de lignes directrices conjointes concernant l'interaction entre la Loi sur les marchés numériques (DMA) et le RGPD

Depuis le 9 octobre 2025, la Commission européenne et le Comité européen de la protection des données (CEPD) ont lancé une consultation publique invitant à commenter le projet de lignes directrices conjointes clarifiant comment le Digital Markets Act et le RGPD interagissent.

La DMA cible les grandes plateformes numériques (gatekeepers) et impose des obligations qui déclenchent souvent le traitement des données en vertu du RGPD. Ces lignes directrices visent à aligner les deux régimes réglementaires.

Ces lignes directrices sont conçues pour aider les "gatekeepers" sous la DMA à comprendre et à satisfaire leurs obligations de conformité au RGPD, notamment lorsque la DMA impose des opérations de traitement de données, telles que la combinaison de données utilisateur, la portabilité ou la distribution d'applications tierces.

La consultation se termine le 4 décembre 2025, avec l'adoption des lignes directrices finales prévue en 2026.

🔗 Pour plus d'informations, cliquez ici.

Experian (trader de crédit et de données américain) condamné à 2,7 millions d'euros pour violations du RGPD

L'autorité néerlandaise de protection des données (AP) a infligé une amende de 2,7 millions d'euros à Experian Nederland B.V., un trader de crédit et de données américain, pour violations du RGPD.

Constats clés :

  • Experian a collecté et traité d'énormes données personnelles et sensibles (y compris provenant des secteurs de l'énergie, des télécommunications et des registres publics) pour établir des rapports de crédit, souvent sans une transparence suffisante pour les individus concernés.

  • Les données comprenaient des comportements de paiement négatifs, des dettes impayées et des informations sur la faillite utilisées pour générer des évaluations de crédit fournies aux prestataires de services et aux vendeurs.

  • Les plaintes de consommateurs ayant rencontré des dépôts plus élevés ou s'étant vu refuser des services ont incité l'AP à enquêter.

  • L'entreprise n'a pas correctement informé les personnes concernées de ses opérations de traitement (violations des articles 12 et 14) et s'est appuyée sur la base légale des "intérêts légitimes" sans démontrer la nécessité ou un équilibre en faveur des droits individuels.

  • Experian a cessé ses opérations de notation de crédits consommateurs aux Pays-Bas depuis janvier 2025 et s'est engagé à supprimer la base de données associée d'ici la fin de cette année.

🔗 Pour plus d'informations, cliquez ici.

Le AI Act entre dans sa phase opérationnelle : la Commission européenne lance une plateforme d'information officielle

Le 8 octobre 2025, la Commission européenne a lancé la Plateforme unique d'information sur la loi sur l'IA, marquant le début de la phase opérationnelle de la loi sur l'IA de l'UE. Cette plateforme unique est conçue pour aider les organisations publiques et privées à comprendre et mettre en œuvre efficacement la réglementation.

🔍 Pourquoi cela compte

Depuis son entrée partielle en vigueur le 1er août 2024, la loi sur l'IA a transformé la manière dont l'IA est développée, déployée et régulée à travers l'UE. Pourtant, de nombreuses organisations peinent encore face à une question clé : par où commencer ?

La nouvelle plateforme vise à apporter clarté et outils pratiques :

  • Explorateur de la loi sur l'IA : une interface interactive pour naviguer dans la réglementation et les annexes ;

  • Vérificateur de conformité : un outil d'auto-évaluation pour identifier les obligations applicables ;

  • Centre de ressources nationales : pour accéder aux initiatives locales et aux autorités compétentes ;

  • Service d'assistance : un soutien direct d'experts de l'Office européen de l'IA.

Elle centralise également les FAQ officielles et les conseils gérés par le Service d'assistance de la loi sur l'IA, offrant la première référence unifiée pour distinguer entre les obligations immédiates et futures et encourager l'expérimentation dans des environnements conformes.

🔗 Accédez à la plateforme : Plateforme unique d'information sur la loi sur l'IA

🔗 Accédez à la FAQ : Liste des FAQ

La nouvelle loi sur l'IA de l'Italie : première dans l'UE

Le 23 septembre 2025, le Parlement italien a approuvé la Loi n° 132/2025 (initialement projet de loi 1146-B) réglementant l'intelligence artificielle, qui entrera en vigueur le 10 octobre 2025.

L'Italie devient ainsi le premier État membre de l'UE à adopter une loi nationale complète sur l'IA. Un aspect central est son alignement explicite avec le AI Act. Le gouvernement devrait adopter des décrets visant à harmoniser le droit national avec la réglementation européenne dans les douze mois.

🔍 Ce qu'elle introduit

  • Renforce une approche centrée sur l'humain : les systèmes d'IA doivent respecter les droits fondamentaux, la transparence, la sécurité, la protection des données, la non-discrimination, l'égalité des genres et la durabilité.

  • La loi introduit des sanctions pénales : quiconque diffuse du contenu généré ou manipulé par IA (par exemple, des deepfakes) causant un dommage injustifié peut encourir 1 à 5 ans de prison.

  • Intègre des dispositions sur la protection des données : par exemple, les enfants de moins de 14 ans nécessitent un consentement parental pour l'utilisation des systèmes d'IA ; les mineurs de 14 ans et plus peuvent donner leur propre consentement (sous conditions).

  • La législation renforce également les règles sur les droits d'auteur et les pratiques de formation des données : seules les œuvres générées avec un "effort intellectuel humain authentique" sont éligibles à la protection ; le scraping massif de données ou le text & data mining (TDM) est limité aux contenus non protégés par des droits d'auteur ou à des usages scientifiques autorisés.

  • Nouvelles autorités de gouvernance et de supervision : l'Agence pour le numérique de l'Italie (AgID) et l'Autorité nationale de cybersécurité (ACN) sont désignées comme autorités clés dans le cadre du AI Act.

🔗 Lisez la loi ici.

Document de politique de l'OCDE : Cartographie des mécanismes pertinents de collecte de données pour la formation de l'IA

Publiée le 3 octobre 2025, la dernière note de politique de l'OCDE examine les différents mécanismes utilisés pour collecter des données en vue de former des systèmes d'IA, et propose une taxonomie pour soutenir les discussions politiques sur la vie privée, la gouvernance des données et le développement responsable de l'IA.

“Lors du développement de systèmes d'IA, les praticiens se concentrent souvent sur la construction du modèle, tout en sous-estimant parfois l'importance d'analyser les divers mécanismes de collecte de données. Cependant, la diversité des mécanismes utilisés pour la collecte de données mérite une attention plus approfondie.”

🔍 Points clés à retenir

  • La qualité du modèle d'IA dépend non seulement de l'architecture du modèle mais aussi de l'origine, de la diversité et de la gouvernance des données d'entraînement.

  • Les mécanismes de collecte de données sont classés en deux grandes sources :

    1. Collecte directe auprès des individus et des organisations : par exemple, les données fournies par les utilisateurs, observées lors de l'interaction avec les services numériques, ou les dons de données volontaires.

    2. Collecte auprès de tiers : par exemple, la licence de données commerciales, les initiatives de données ouvertes et le scraping web à grande échelle.

  • Chaque mécanisme a des implications distinctes pour la vie privée, les droits de propriété intellectuelle, la transparence, la traçabilité des ensembles de données et la capacité des individus à exercer leurs droits.

  • Le document met en avant les rôles émergents des technologies de protection de la vie privée (PETs) et des données synthétiques comme outils pour atténuer les risques en matière de gouvernance des données et de vie privée.

🔗 Lisez le document ici.

La Californie réglemente les “chatbots IA” après une série de suicides chez les adolescents

Le 13 octobre 2025, la Californie est devenue le premier État américain à adopter une législation réglementant les chatbots IA, à la suite de plusieurs cas tragiques de suicides d'adolescents impliquant des attachements émotionnels formés avec ces programmes. Par cette initiative, le gouverneur Gavin Newsom conteste directement la Maison Blanche, qui a jusqu'à présent résisté à l'imposition de réglementations nationales sur l'IA.

La nouvelle loi exige :

  • Vérification de l'âge pour les utilisateurs de chatbots,

  • Messages d'avertissement réguliers rappelant aux utilisateurs qu'ils interagissent avec une machine (toutes les trois heures pour les mineurs) ;

  • Protocoles de prévention du suicide intégrés dans les systèmes d'IA conversationnelle.

L'un des textes clés, le projet de loi SB243, cible spécifiquement les chatbots conçus pour agir comme compagnons ou confidents. Il fait suite aux poursuites engagées en 2024 contre la plateforme Character.AI, après le suicide d'un adolescent de 14 ans qui avait développé une relation virtuelle avec un chatbot renforçant apparemment ses pensées suicidaires.

La CNIL explique comment s'opposer à la réutilisation de ses données personnelles pour la formation d'agents conversationnels

La CNIL a publié des conseils montrant comment les individus peuvent s'opposer à la réutilisation de leurs données personnelles dans la formation de chat-bots et d'agents conversationnels.

Points clés :

  • Les conseils portent sur les principales plateformes (par exemple, Meta IA, Google Gemini) et expliquent comment les utilisateurs peuvent ajuster les paramètres de leur compte ou soumettre une demande formelle d'opposition.

  • Désactiver les paramètres "d'activité" ou soumettre un formulaire de droit d'opposition peut entraîner la perte de l'historique de conversation ou d'autres effets secondaires ; la CNIL souligne que les utilisateurs doivent être conscients de ces compromis.

  • La CNIL note explicitement qu'elle ne prend pas encore position quant à savoir si le traitement concerné respecte pleinement le Règlement général sur la protection des données (RGPD), mais fournit plutôt des étapes pratiques pour les utilisateurs.

🔗 Pour plus d'informations, cliquez ici.

Reddit intente un deuxième procès pour le scraping à grande échelle de son contenu

Le 22 octobre 2025, Reddit a déposé une plainte devant le Tribunal fédéral américain de New York contre Perplexity et trois entreprises de scraping de données (Oxylabs, AWMProxy et SerpApi).

L'affaire concerne l'extraction automatisée ("scraping") de volumes massifs de données Reddit à l'aide de logiciels spécialisés.

Selon la plainte, ces entreprises ont contourné les restrictions d'accès et les protections techniques pour récolter le contenu de Reddit, y compris à travers les pages de résultats de recherche Google, afin de former des modèles d'intelligence artificielle.

Reddit allègue :

  • Violation de ses conditions de service,

  • Violation des droits d'auteur sur le contenu généré par les utilisateurs,

  • Contournement illégal des mesures de protection technique.

Cela marque le deuxième procès de Reddit de ce type, signalant une stratégie juridique plus large pour affirmer la valeur commerciale de ses données contre les entreprises d'IA s'appuyant sur le scraping web à grande échelle.

🔗 Pour plus d'informations, cliquez ici.

A propos de l'auteur
Dastronaut
Leïla Sayssa
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.