Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour avril 2026 :
AI Act Omnibus: blocage des négociations et incertitude sur le calendrier
Date: 28 avril 2026
Source : Lien Reuters
Echec du trilogue du 28 avril 2026 sur le paquet AI Act Omnibus, présenté par la Commission en novembre 2025 pour simplifier certains aspects de la mise en œuvre du règlement IA.
Les institutions semblaient converger sur plusieurs points, notamment un report au 2 décembre 2027 pour les systèmes à haut risque de l’annexe III et au 2 août 2028 pour l’IA intégrée dans des produits déjà régulés.
En revanche, le désaccord a porté sur un point structurel: la place des systèmes d’IA intégrés dans des produits couverts par des législations sectorielles existantes, comme les dispositifs médicaux, les machines, les jouets ou les véhicules connectés.
L’enjeu est de savoir si ces systèmes doivent rester pleinement dans le champ du règlement IA ou être principalement gouvernés par les règles sectorielles.
En l’absence d’accord, le calendrier actuellement en vigueur reste applicable, ce qui signifie que l’échéance du 2 août 2026 pour certaines obligations sur les systèmes à haut risque demeure, à ce stade, la référence juridique.
Même si les discussions doivent se poursuivre (nouveau trilogue programmé autour du 13 mai 2026), les entreprises ne peuvent pas présumer qu’un report sera adopté à temps. Certaines obligations hors Omnibus, notamment sur la transparence de certains systèmes d’IA générative au titre de l’article 50, restent des chantiers de conformité immédiats.
L'EDPB adopte un modèle d'analyse d'impact (DPIA)
Date: 14 avril 2026
Source : Lien officiel
L’EDPB a adopté un modèle d’analyse d’impact relative à la protection des données (DPIA/AIPD) pour aider les organisations à structurer et documenter leurs analyses de manière plus homogène dans l’UE.
Le Board précise qu’une DPIA est requise lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés, et que le modèle a été conçu pour guider les responsables de traitement étape par étape.
Le modèle est accompagné d’un document explicatif destiné à faciliter sa prise en main et à combler les éventuelles difficultés de compréhension.
L’usage du modèle n’est pas obligatoire, mais l’EDPB met en avant son intérêt pratique: champs prédéfinis, meilleure exhaustivité, réduction du risque d’erreur et gain de temps.
Le texte est mis en consultation publique jusqu’au 9 juin 2026; à l’issue de cette phase, les autorités nationales devront engager les démarches nécessaires pour l’adopter comme standard unique ou comme “méta-modèle” alignant les modèles nationaux.
Consultation EDPB sur les guidelines relatives à la recherche scientifique
Date: 16 avril 2026
Source: Lien officiel
L’EDPB a lancé une consultation publique sur ses Guidelines 1/2026 relatives au traitement de données personnelles à des fins de recherche scientifique.
La page de consultation indique clairement les thèmes couverts: santé, rôles de responsable de traitement et sous-traitant, base légale, consentement, droits des personnes.
Le calendrier est lui aussi important: consultation ouverte du 16 avril au 25 juin 2026. Pour les juristes et DPO, ce texte mérite une attention particulière car il est susceptible d’influencer la manière d’apprécier la base légale, l’information des personnes et les garanties à mettre en place dans les projets de recherche, notamment en santé et dans les usages liés à l’IA.
Rapport annuel 2025 de l’EDPB
Date: 9 avril 2026
Source : Lien officiel
L’EDPB a publié son rapport annuel 2025, qui ne crée pas en soi de nouvelles obligations mais donne une indication claire sur les priorités doctrinales et institutionnelles du Board.
Le rapport met l’accent sur le Helsinki Statement on Enhanced Clarity, Support, and Engagement, destiné à rendre la conformité RGPD plus lisible et plus praticable.
Il insiste aussi sur la montée en puissance de la coopération interréglementaire, notamment avec la Commission, autour de l’articulation entre RGPD et autres textes du numérique, comme le DMA, le DSA et les travaux préparatoires sur l’AI Act.
Commission européenne et EDPB: travail conjoint sur la concurrence et protection des données
Date: 28 avril 2026
Source: Lien officiel
Les services de la Commission et l’EDPB ont annoncé le lancement d’un travail conjoint visant à produire des orientations sur l’articulation entre le droit de la concurrence de l’UE et le droit de la protection des données.
Le communiqué indique que ce travail portera sur des situations ciblées dans lesquelles le droit des données est pertinent pour l’analyse concurrentielle, et inversement.
L’objectif affiché est de garantir une approche cohérente entre les deux corpus, tout en apportant plus de clarté aux opérateurs économiques et aux autorités chargées de l’application du droit.
Cette initiative s’inscrit dans le prolongement des travaux menés sur l’interface DMA/RGPD. C’est un signal important pour les grandes plateformes, les écosystèmes numériques et, plus largement, tous les dossiers où la donnée joue à la fois un rôle économique et réglementaire.
Recommandation sur la vérification d’âge au niveau de l’UE
Date: 29 avril 2026
Source: Lien officiel
La Commission a adopté une recommandation visant à favoriser le déploiement, dans l’UE, de solutions de vérification d’âge reposant sur des technologies d’anonymous proof-of-age, avec un accent explicite sur la vie privée et la protection des données.
Elle recommande aux États membres d’utiliser le blueprint européen, de préparer des plans de mise en œuvre et de coopérer avec les coordinateurs DSA, la Commission, les chercheurs et la société civile. Le texte prévoit que les citoyens de l’UE devraient avoir accès à des solutions robustes et respectueuses de la vie privée d’ici au 31 décembre 2026.
La Commission annonce aussi un schéma européen de vérification d’âge, une liste de solutions conformes aux standards de sécurité et de privacy, ainsi qu’une liste de prestataires de confiance pour les attestations de preuve d’âge.
Point notable: la solution doit permettre de prouver qu’un utilisateur a plus d’un certain âge sans révéler son âge exact ni son identité à la plateforme.
Consultation ciblée sur la consommation d’énergie et les émissions des modèles et systèmes d’IA
Date: 7 avril 2026
Source : Lien officiel
La Commission a lancé une consultation ciblée dans le cadre d’une étude sur la mesure et la promotion d’une IA sobre en énergie et à faibles émissions dans l’UE.
Les réponses doivent contribuer à élaborer un cadre de mesure pour les objectifs énergétiques de l’AI Act, et pourraient aussi nourrir la conception d’un éventuel label IA énergie/émissions.
Le texte vise notamment les entreprises qui développent ou déploient des GPAI models ou d’autres systèmes d’IA, ainsi que leurs fournisseurs de composants et de services. Il rappelle un point réglementaire concret: les fournisseurs de GPAI models doivent documenter la consommation d’énergie connue ou estimée dans leur documentation technique au titre de l’annexe XI de l’AI Act.
Les parties prenantes pouvaient se manifester jusqu’au 10 mai 2026, puis répondre à un questionnaire jusqu’au 15 mai 2026; le résumé final sera publié sur la base de données agrégées.
Contrôles prioritaires 2026 de la CNIL
Date: 3 avril 2026
Source : Lien officiel
La CNIL a annoncé ses thématiques prioritaires de contrôle pour 2026: le recrutement, le répertoire électoral unique (REU) et les fédérations sportives.
Le volet le plus directement utile pour la veille data/IA est celui du recrutement. La CNIL explique que ces contrôles viseront, trois ans après la publication de son guide dédié, à vérifier la conformité des recruteurs au RGPD sur des sujets tels que les systèmes de prise de décision automatisée, l’information des candidats et les durées de conservation.
Les contrôles viseront en priorité les grandes entreprises et les cabinets de recrutement.
Recommandations finales de la CNIL sur les pixels de suivi dans les courriels
Date: 14 avril 2026
Source : Lien officiel
La CNIL a publié la version finale de ses recommandations sur les pixels de suivi dans les emails, en réponse à un usage croissant de cette technique pour mesurer l’ouverture des messages, personnaliser la communication, suivre l’audience ou encore mesurer la délivrabilité.
Elle rappelle que ces pixels relèvent du cadre des traceurs, en articulation avec l’article 82 de la loi Informatique et Libertés, et précise dans quels cas leur usage nécessite le consentement et dans quels cas une exemption peut s’appliquer.
Le texte apporte une clarification importante: une exemption est reconnue pour la mesure individuelle de la délivrabilité lorsqu’elle est rattachée à un service demandé par le destinataire, sous réserve d’un encadrement strict; les données doivent être limitées au strict nécessaire et utilisées uniquement pour cette finalité.
La CNIL précise aussi la catégorie des courriels pouvant être considérés comme rattachés à un service demandé, notamment certains emails transactionnels et ceux pour lesquels le destinataire a déjà consenti.
Enfin, elle adopte une approche progressive pour les anciennes bases de contacts: pour les adresses collectées avant la publication de la recommandation, les acteurs disposent de trois mois pour informer clairement les destinataires de l’usage des pixels et leur permettre de s’y opposer facilement.
Guidance finale de l’ICO sur les Storage & Access Technologies
Date: 29 avril 2026
Source : Lien officiel
L’ICO a publié sa guidance finalisée sur les Storage and Access Technologies (SATs), c’est-à-dire sur la manière dont le PECR et, le cas échéant, le UK GDPR, s’appliquent aux cookies, tracking pixels, device fingerprinting et technologies comparables.
Le régulateur indique que le texte a été mis à jour après deux consultations ainsi qu’à la lumière des changements introduits par le Data (Use and Access) Act.
Il met en avant l’ajout de nouveaux exemples et de clarifications pratiques destinés à faciliter la conformité. L’annonce s’accompagne aussi d’un message d’enforcement: selon l’ICO, 99 % des 1 000 sites les plus fréquentés du Royaume-Uni satisfont désormais à ses exigences de conformité sur les bannières cookies à la suite de son action ciblée auprès du secteur.