[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fUNBYFg4AbQb-wo-uO2Zqtacki_n0BVwgqfm3cyHgzos":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":17,"state":18,"author":19,"authorId":20,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":58},true,"Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose **Dastra Insights**, une veille juridique et réglementaire **spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA**.\r\n\r\n🎯 **Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.**\r\n\r\nVoici notre sélection pour **février 2026** :\r\n\r\n## Risques liés aux images générées par IA : l'Autorité de protection des données signe une déclaration commune\r\n\r\nLe 23 février 2026, 61 autorités de protection des données à travers le monde, dont [l’**Autorité de protection des données (APD)**](https://www.autoriteprotectiondonnees.be/citoyen/actualites/2026/02/23/risques-lies-aux-images-generees-par-l-ia-l-apd-signe-une-declaration-commune) belge, ont publié et signé une [déclaration commune](https://www.autoriteprotectiondonnees.be/publications/joint-statement-on-ai-generated-imagery-and-the-protection-of-privacy.pdf) mettant en garde contre les **risques pour la vie privée et les droits fondamentaux posés par les images et vidéos générées par intelligence artificielle**. \r\n\r\nCette initiative s’inscrit dans le cadre du **Global Privacy Assembly (GPA)** et a été coordonnée par le **International Enforcement Cooperation Working Group (IEWG)**.\r\n\r\n### Quelles sont les préoccupations principales ?\r\n\r\nLes autorités signataires expriment des inquiétudes sérieuses face à des systèmes d’IA capables de produire des **images et vidéos ultra‑réalistes représentant des personnes identifiables**, souvent sans leur **connaissance ni consentement**, notamment :\r\n\r\n- des contenus pouvant porter atteinte à la **vie privée** ou à la **dignité des personnes concernées** ;\r\n\r\n- la création de **deepfakes intimes ou diffamatoires** susceptibles de nuire à la réputation ou d’être exploités à des fins malveillantes ;\r\n\r\n- les **préjudices spécifiques envers les enfants** et autres groupes vulnérables.\r\n\r\n### Principes et recommandations\r\n\r\nLa déclaration ne se limite pas à tirer la sonnette d’alarme : elle énonce aussi des **principes fondamentaux** que les organisations qui développent ou utilisent des systèmes de génération d’images devraient respecter :\r\n\r\n- **Mettre en œuvre des mesures robustes** pour prévenir l’utilisation abusive ou la diffusion non consensuelle de données personnelles ;\r\n\r\n- **Assurer une transparence significative** sur les capacités et les limites des systèmes, ainsi que sur les usages autorisés ;\r\n\r\n- **Fournir des mécanismes efficaces** permettant aux personnes concernées de demander la suppression rapide de contenus préjudiciables impliquant leurs données ;\r\n\r\n- **Atténuer les risques spécifiques aux enfants**, notamment par des protections accrues et des informations adaptées aux jeunes, à leurs parents et éducateurs.\r\n\r\n### Pourquoi c’est important\r\n\r\nL’APD et ses homologues rappellent que les technologies d’IA générative offrent des opportunités significatives, **mais peuvent aussi porter atteinte à des droits fondamentaux** (droit à la vie privée ou à la dignité humaine) si elles sont déployées sans garde‑fous adéquats. Ils invitent donc les développeurs, fournisseurs, plateformes et utilisateurs à **coopérer avec les autorités** **pour garantir que l’innovation technologique ne se fasse pas au détriment des libertés et des droits** des personnes.\r\n\r\n## Documentation : la CNIL publie la mise à jour 2026 des *Tables Informatique et Libertés*\r\n\r\n[La CNIL](https://www.cnil.fr/fr/tables-informatique-et-libertes-2026) a publié la [**version 2026 de ses *Tables Informatique et Libertés***](https://www.cnil.fr/sites/default/files/2026-03/tables_il.pdf), une **ressource doctrinale de référence** rassemblant et structurant l’essentiel de la **jurisprudence et de la pratique décisionnelle en matière de protection des données personnelles**, tant au niveau national qu’européen.\r\n\r\nLes *Tables Informatique et Libertés* sont un **corpus organisé de résumés thématiques** des principales décisions :\r\n\r\n- des juridictions françaises (par exemple le Conseil d’État ou la Cour de cassation) ;\r\n\r\n- des juridictions européennes (notamment la Cour de justice de l'Union européenne) ;\r\n\r\n- de la CNIL elle‑même (décisions, mesures correctrices, positions doctrinales) ;\r\n\r\n- du Comité européen de la protection des données (CEPD).\r\n\r\nPrésentées selon une **classification thématique détaillée** (principes, bases légales, droits des personnes, sécurité des données, transferts internationaux, sanctions, etc.), elles permettent d’avoir une **vision d’ensemble cohérente de la doctrine applicable au RGPD et à la loi française *Informatique et Libertés***.\r\n\r\nLa CNIL souligne que ces Tables ont une double finalité :\r\n\r\n- **Interne** : assurer une appropriation homogène de la doctrine parmi les agents de la CNIL face à l’augmentation constante des questions juridiques issues de l’application du RGPD.\r\n\r\n- **Externe** : rendre plus accessibles aux **professionnels, universitaires et praticiens du droit** les positions doctrinales et les points de droit qui ne sont pas systématiquement publiés dans les décisions individuelles.\r\n\r\nCe document est appelé à être mise à jour régulièrement, afin de refléter les évolutions continues de la pratique en matière de protection des données, notamment au regard des nouvelles technologies et des décisions jurisprudentielles.\r\n\r\n## Appel à tests d’un **outil d’audit RGPD pour modèles d’IA**\r\n\r\nL’**Agence nationale de la sécurité des systèmes d’information (ANSSI)** a lancé, en partenariat avec la **CNIL**, le PEReN et le projet IPoP du PEPR Cybersécurité piloté par Inria, un [**appel à manifestation d’intérêt (AMI)** ](https://cyber.gouv.fr/actualites/ami-outil-audit-rgpd-ia/)visant à sélectionner des acteurs souhaitant tester un nouvel **outil d’audit de confidentialité des modèles d’intelligence artificielle**. Cette initiative s’inscrit dans le cadre du projet **PANAME** (*Privacy Auditing of AI Models*).\r\n\r\nL’objectif principal de ce projet est de développer une **bibliothèque logicielle permettant d’auditer techniquement la confidentialité des modèles d’IA**, en particulier face aux **tests d’extraction d’informations** qui peuvent révéler des données personnelles issues des jeux d’entraînement. Cela vise à aider les organisations à **évaluer la conformité de leurs modèles au RGPD**, notamment lorsqu’ils utilisent ou sont entraînés sur des données sensibles.\r\n\r\nCet appel à manifestation d’intérêt est ouvert du **26 février au 28 mars 2026** à toutes les entités publiques ou privées établies dans l’Union européenne : **entreprises, startups, laboratoires de recherche, administrations ou toute autre organisation utilisant ou développant des modèles d’IA**. Les candidatures retenues participeront à une phase de tests pratique visant à valider et enrichir les fonctionnalités de l’outil.\r\n\r\n## **Royaume-Uni : l’Information Commissioner’s Office (ICO) inflige une amende de £14,47 m à Reddit pour des manquements à la protection des données des enfants**\r\n\r\nLe 24 février 2026, [**l’Information Commissioner’s Office (ICO)**,](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures/) l’autorité indépendante britannique de protection des données, a publié un communiqué officiel annonçant une sanction de **£14,47 millions** (soit environ **17 millions d'euros**) à l’encontre de **Reddit, Inc.**, pour avoir utilisé **illégalement les données personnelles d’enfants de moins de 13 ans** et ne pas avoir mis en place des **mécanismes adéquats de vérification de l’âge**.\r\n\r\nSelon l’ICO :\r\n\r\n- Reddit **n’a pas appliqué de mécanisme robuste de vérification d’âge**, se contentant jusqu’à juillet 2025 d’une simple **auto-déclaration de la part des utilisateurs**, facilement contournable.\r\n\r\n- L’entreprise **n’a pas réalisé d’Analyse d’Impact relative à la Protection des Données (DPIA)** avant janvier 2025 pour évaluer et atténuer les risques liés à l’usage des données d’enfants, comme l’exige la législation britannique et le RGPD.\r\n\r\n- L’ICO a estimé que **de nombreux enfants de moins de 13 ans étaient présents sur la plateforme**, sans base légale pour le traitement de leurs données, ce qui les aurait **exposés à des contenus inappropriés ou potentiellement nuisibles**.\r\n\r\nCette sanction s’inscrit dans le cadre des **efforts accrus de l’ICO pour faire appliquer le *Children’s Code* (Age Appropriate Design Code)** et la législation britannique sur la protection des données, notamment en imposant des obligations renforcées pour les plateformes susceptibles d’être utilisées par des mineurs.\r\n\r\n## Croatie : une agence immobilière **sanctionnée 100 000** € pour violation du RGPD\r\n\r\nLe 19 février 2026, l’**Agence croate de protection des données personnelles ([Agencija za zaštitu osobnih podataka – AZOP](https://azop.hr/a-real-estate-agency-fined-eur-100000-00/))** a infligé une amende administrative de **100 000 €** à une agence immobilière agissant en tant que responsable du traitement pour plusieurs violations du RGPD.\r\n\r\n### Motifs de la sanction\r\n\r\nL’AZOP a constaté que l’agence avait enfreint plusieurs obligations fondamentales du RGPD notamment :\r\n\r\n- **Violation du principe de limitation de conservation** : l’agence a conservé les données personnelles de 11 887 clients bien au-delà de la durée nécessaire à la finalité du traitement.\r\n\r\n- **Absence de base légale pour certaines données** : des copies de documents sensibles (par exemple 898 cartes d’identité, 6 passeports, 3 copies de cartes bancaires, une carte d’assurance maladie, une carte d’identité d’un mineur, etc.) figuraient dans les archives sans justification juridique claire.\r\n\r\n- **Manque de mesures techniques et organisationnelles adéquates** : l’agence n’avait pas assuré une supervision et une formation suffisantes du personnel accédant aux données, *contrairement aux exigences de l’article 32 du RGPD*.\r\n\r\nDurant l’inspection, l’AZOP a constaté que de nombreux contrats de médiation pour l’achat ou la location de biens immobiliers, conclus entre **2010 et 2019**, **étaient toujours archivés avec les données jointes**, même si ces documents n’étaient plus nécessaires pour la finalité d’origine du traitement.\r\n\r\n### Enjeux de cette sanction\r\n\r\nCette décision rappelle plusieurs points clés :\r\n\r\n- Le **principe de minimisation et de limitation de conservation** impose que les données ne soient conservées *que pendant la durée nécessaire* à la finalité initiale (art. 5 RGPD).\r\n\r\n- La **licéité du traitement** suppose une base juridique explicite pour chaque type de données stocké, en particulier pour des documents sensibles comme des copies de pièces d’identité ou de cartes bancaires (art. 5 RGPD).\r\n\r\n- Les **mesures de sécurité organisationnelles et techniques** (formation du personnel, surveillance des accès, règles claires de traitement) doivent être adaptées au risque (art. 32 RGPD).\r\n\r\n## Pologne : DPD Polska sanctionnée **11 millions PLN (\\~2,5 millions €)** pour manquements aux obligations de sous-traitance et de sécurité\r\n\r\n**L’Office polonais de protection des données personnelles ([UODO – Urząd Ochrony Danych Osobowych](https://uodo.gov.pl/pl/138/4075))** a infligé des **amendes totalisant 11 000 000 PLN** à **DPD Polska Sp. z o.o.**, suite à plusieurs manquements graves concernant le traitement des données personnelles de clients.\r\n\r\nL’UODO a relevé que DPD Polska :\r\n\r\n1. **N’avait pas conclu d’accords de traitement des données (DPA) avec ses sous-traitants externes** (notamment des transporteurs ayant accès aux étiquettes d’expédition contenant des données personnelles) en violation de l’article 28(3) du RGPD (obligations relatives aux contrats avec les sous-traitants).\r\n\r\n2. **Ne garantissait pas que ses employés traitaient les données personnelles uniquement sur autorisation appropriée** (art. 32(4) du RGPD). Le système interne de l’entreprise générant des pseudo‑autorisations manquait d’éléments essentiels tels que le nom et la signature, compromettant la traçabilité et la légalité des traitements.\r\n\r\nLa sanction de 11 millions PLN (\\~2,5 millions €) reflète la gravité des manquements : l’entreprise n’avait pas sécurisé correctement la **relation contractuelle avec ses sous-traitants**, ni encadré le **traitement interne des données personnelles par ses employés**, exposant ainsi les données de ses clients à des risques non contrôlés.\r\n\r\n## Union européenne : la CJUE annule l’ordonnance du TUE dans l’affaire Ireland c/ WhatsApp\r\n\r\nLe 10 février 2026, [la Cour de justice de l'Union européenne (CJUE) ](https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62023CJ0097)a annulé une ordonnance du Tribunal de l'Union européenne (TUE) **qui avait déclaré irrecevable le recours introduit par WhatsApp Ireland Ltd** contre une décision liée à la procédure engagée par l’autorité irlandaise de protection des données.\r\n\r\n### La décision de l’autorité irlandaise\r\n\r\nÀ la suite de l’entrée en vigueur du RGPD, la **Data Protection Commission (DPC) irlandaise** a été saisie de plusieurs plaintes concernant la transparence des traitements opérés par WhatsApp, notamment en lien avec un éventuel partage de données avec d’autres entités du groupe Facebook (devenu Meta).\r\n\r\nDans sa décision finale, la DPC a estimé que WhatsApp avait méconnu :\r\n\r\n- Le principe de transparence (article 5, §1, a) RGPD),\r\n\r\n- Les obligations d’information prévues aux articles 12 à 14 du RGPD.\r\n\r\nSur le fondement de l’article 58, §2 RGPD, l’autorité a alors prononcé **quatre amendes administratives**, pour un montant cumulé de **225 millions d’euros**.\r\n\r\n### L’irrecevabilité prononcée par le TUE\r\n\r\nPlusieurs autorités européennes ayant formulé des objections au projet de décision irlandais, le Comité européen de la protection des données (CEPD) a été saisi.\r\n\r\nLe CEPD a adopté une **décision contraignante** au titre de l’article 65 RGPD, imposant à la DPC d’intégrer certaines analyses et de revoir certains éléments, notamment en matière de qualification des manquements et de sanctions. **La décision finale irlandaise a donc été adoptée en tenant compte de cette position du CEPD.**\r\n\r\nEstimant que cette décision contraignante affectait directement sa situation juridique, WhatsApp a introduit un recours en annulation devant le Tribunal de l'Union européenne (TUE), contestant la légalité de la décision du CEPD.\r\n\r\nWhatsApp a contesté devant le TUE la décision du Comité européen de la protection des données (CEPD) ayant influencé la décision finale irlandaise dans le cadre du mécanisme de coopération (article 65 RGPD).\r\n\r\nLe TUE avait toutefois jugé le recours **irrecevable**, considérant que WhatsApp n’était pas **directement concernée** par la décision litigieuse du CEPD, celle-ci s’adressant formellement à l’autorité irlandaise.\r\n\r\n### L’annulation par la CJUE\r\n\r\nLa Cour considère en substance que l’analyse du TUE sur l’absence d’affectation directe était erronée. En effet, **la décision européenne en cause produisait des effets juridiques contraignants susceptibles d’affecter directement la situation juridique de WhatsApp**, notamment quant au contenu de la décision finale et au montant des sanctions.\r\n\r\nEn annulant l’ordonnance d’irrecevabilité du Tribunal de l'Union européenne, la Cour de justice de l'Union européenne **permet un examen au fond du recours introduit par WhatsApp Ireland Ltd**.","\u003Cp>Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?\u003Cbr />\r\nDastra vous propose \u003Cstrong>Dastra Insights\u003C/strong>, une veille juridique et réglementaire \u003Cstrong>spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA\u003C/strong>.\u003C/p>\r\n\u003Cp>🎯 \u003Cstrong>Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.\u003C/strong>\u003C/p>\r\n\u003Cp>Voici notre sélection pour \u003Cstrong>février 2026\u003C/strong> :\u003C/p>\r\n\u003Ch2 id=\"risques-lies-aux-images-generees-par-ia-lautorite-de-protection-des-donnees-signe-une-declaration-commune\">Risques liés aux images générées par IA : l'Autorité de protection des données signe une déclaration commune\u003C/h2>\r\n\u003Cp>Le 23 février 2026, 61 autorités de protection des données à travers le monde, dont \u003Ca href=\"https://www.autoriteprotectiondonnees.be/citoyen/actualites/2026/02/23/risques-lies-aux-images-generees-par-l-ia-l-apd-signe-une-declaration-commune\" rel=\"nofollow\">l’\u003Cstrong>Autorité de protection des données (APD)\u003C/strong>\u003C/a> belge, ont publié et signé une \u003Ca href=\"https://www.autoriteprotectiondonnees.be/publications/joint-statement-on-ai-generated-imagery-and-the-protection-of-privacy.pdf\" rel=\"nofollow\">déclaration commune\u003C/a> mettant en garde contre les \u003Cstrong>risques pour la vie privée et les droits fondamentaux posés par les images et vidéos générées par intelligence artificielle\u003C/strong>.\u003C/p>\r\n\u003Cp>Cette initiative s’inscrit dans le cadre du \u003Cstrong>Global Privacy Assembly (GPA)\u003C/strong> et a été coordonnée par le \u003Cstrong>International Enforcement Cooperation Working Group (IEWG)\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"quelles-sont-les-preoccupations-principales\">Quelles sont les préoccupations principales ?\u003C/h3>\r\n\u003Cp>Les autorités signataires expriment des inquiétudes sérieuses face à des systèmes d’IA capables de produire des \u003Cstrong>images et vidéos ultra‑réalistes représentant des personnes identifiables\u003C/strong>, souvent sans leur \u003Cstrong>connaissance ni consentement\u003C/strong>, notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>des contenus pouvant porter atteinte à la \u003Cstrong>vie privée\u003C/strong> ou à la \u003Cstrong>dignité des personnes concernées\u003C/strong> ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>la création de \u003Cstrong>deepfakes intimes ou diffamatoires\u003C/strong> susceptibles de nuire à la réputation ou d’être exploités à des fins malveillantes ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>les \u003Cstrong>préjudices spécifiques envers les enfants\u003C/strong> et autres groupes vulnérables.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"principes-et-recommandations\">Principes et recommandations\u003C/h3>\r\n\u003Cp>La déclaration ne se limite pas à tirer la sonnette d’alarme : elle énonce aussi des \u003Cstrong>principes fondamentaux\u003C/strong> que les organisations qui développent ou utilisent des systèmes de génération d’images devraient respecter :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Mettre en œuvre des mesures robustes\u003C/strong> pour prévenir l’utilisation abusive ou la diffusion non consensuelle de données personnelles ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Assurer une transparence significative\u003C/strong> sur les capacités et les limites des systèmes, ainsi que sur les usages autorisés ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Fournir des mécanismes efficaces\u003C/strong> permettant aux personnes concernées de demander la suppression rapide de contenus préjudiciables impliquant leurs données ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Atténuer les risques spécifiques aux enfants\u003C/strong>, notamment par des protections accrues et des informations adaptées aux jeunes, à leurs parents et éducateurs.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"pourquoi-cest-important\">Pourquoi c’est important\u003C/h3>\r\n\u003Cp>L’APD et ses homologues rappellent que les technologies d’IA générative offrent des opportunités significatives, \u003Cstrong>mais peuvent aussi porter atteinte à des droits fondamentaux\u003C/strong> (droit à la vie privée ou à la dignité humaine) si elles sont déployées sans garde‑fous adéquats. Ils invitent donc les développeurs, fournisseurs, plateformes et utilisateurs à \u003Cstrong>coopérer avec les autorités\u003C/strong> \u003Cstrong>pour garantir que l’innovation technologique ne se fasse pas au détriment des libertés et des droits\u003C/strong> des personnes.\u003C/p>\r\n\u003Ch2 id=\"documentation-la-cnil-publie-la-mise-a-jour-2026-des-tables-informatique-et-libertes\">Documentation : la CNIL publie la mise à jour 2026 des \u003Cem>Tables Informatique et Libertés\u003C/em>\u003C/h2>\r\n\u003Cp>\u003Ca href=\"https://www.cnil.fr/fr/tables-informatique-et-libertes-2026\" rel=\"nofollow\">La CNIL\u003C/a> a publié la \u003Ca href=\"https://www.cnil.fr/sites/default/files/2026-03/tables_il.pdf\" rel=\"nofollow\">\u003Cstrong>version 2026 de ses \u003Cem>Tables Informatique et Libertés\u003C/em>\u003C/strong>\u003C/a>, une \u003Cstrong>ressource doctrinale de référence\u003C/strong> rassemblant et structurant l’essentiel de la \u003Cstrong>jurisprudence et de la pratique décisionnelle en matière de protection des données personnelles\u003C/strong>, tant au niveau national qu’européen.\u003C/p>\r\n\u003Cp>Les \u003Cem>Tables Informatique et Libertés\u003C/em> sont un \u003Cstrong>corpus organisé de résumés thématiques\u003C/strong> des principales décisions :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>des juridictions françaises (par exemple le Conseil d’État ou la Cour de cassation) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>des juridictions européennes (notamment la Cour de justice de l'Union européenne) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>de la CNIL elle‑même (décisions, mesures correctrices, positions doctrinales) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>du Comité européen de la protection des données (CEPD).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Présentées selon une \u003Cstrong>classification thématique détaillée\u003C/strong> (principes, bases légales, droits des personnes, sécurité des données, transferts internationaux, sanctions, etc.), elles permettent d’avoir une \u003Cstrong>vision d’ensemble cohérente de la doctrine applicable au RGPD et à la loi française \u003Cem>Informatique et Libertés\u003C/em>\u003C/strong>.\u003C/p>\r\n\u003Cp>La CNIL souligne que ces Tables ont une double finalité :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Interne\u003C/strong> : assurer une appropriation homogène de la doctrine parmi les agents de la CNIL face à l’augmentation constante des questions juridiques issues de l’application du RGPD.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Externe\u003C/strong> : rendre plus accessibles aux \u003Cstrong>professionnels, universitaires et praticiens du droit\u003C/strong> les positions doctrinales et les points de droit qui ne sont pas systématiquement publiés dans les décisions individuelles.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Ce document est appelé à être mise à jour régulièrement, afin de refléter les évolutions continues de la pratique en matière de protection des données, notamment au regard des nouvelles technologies et des décisions jurisprudentielles.\u003C/p>\r\n\u003Ch2 id=\"appel-a-tests-dun-outil-daudit-rgpd-pour-modeles-dia\">Appel à tests d’un \u003Cstrong>outil d’audit RGPD pour modèles d’IA\u003C/strong>\u003C/h2>\r\n\u003Cp>L’\u003Cstrong>Agence nationale de la sécurité des systèmes d’information (ANSSI)\u003C/strong> a lancé, en partenariat avec la \u003Cstrong>CNIL\u003C/strong>, le PEReN et le projet IPoP du PEPR Cybersécurité piloté par Inria, un \u003Ca href=\"https://cyber.gouv.fr/actualites/ami-outil-audit-rgpd-ia/\" rel=\"nofollow\">\u003Cstrong>appel à manifestation d’intérêt (AMI)\u003C/strong> \u003C/a>visant à sélectionner des acteurs souhaitant tester un nouvel \u003Cstrong>outil d’audit de confidentialité des modèles d’intelligence artificielle\u003C/strong>. Cette initiative s’inscrit dans le cadre du projet \u003Cstrong>PANAME\u003C/strong> (\u003Cem>Privacy Auditing of AI Models\u003C/em>).\u003C/p>\r\n\u003Cp>L’objectif principal de ce projet est de développer une \u003Cstrong>bibliothèque logicielle permettant d’auditer techniquement la confidentialité des modèles d’IA\u003C/strong>, en particulier face aux \u003Cstrong>tests d’extraction d’informations\u003C/strong> qui peuvent révéler des données personnelles issues des jeux d’entraînement. Cela vise à aider les organisations à \u003Cstrong>évaluer la conformité de leurs modèles au RGPD\u003C/strong>, notamment lorsqu’ils utilisent ou sont entraînés sur des données sensibles.\u003C/p>\r\n\u003Cp>Cet appel à manifestation d’intérêt est ouvert du \u003Cstrong>26 février au 28 mars 2026\u003C/strong> à toutes les entités publiques ou privées établies dans l’Union européenne : \u003Cstrong>entreprises, startups, laboratoires de recherche, administrations ou toute autre organisation utilisant ou développant des modèles d’IA\u003C/strong>. Les candidatures retenues participeront à une phase de tests pratique visant à valider et enrichir les fonctionnalités de l’outil.\u003C/p>\r\n\u003Ch2 id=\"royaume-uni-linformation-commissioners-office-ico-inflige-une-amende-de-1447-m-a-reddit-pour-des-manquements-a-la-protection-des-donnees-des-enfants\">\u003Cstrong>Royaume-Uni : l’Information Commissioner’s Office (ICO) inflige une amende de £14,47 m à Reddit pour des manquements à la protection des données des enfants\u003C/strong>\u003C/h2>\r\n\u003Cp>Le 24 février 2026, \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures/\" rel=\"nofollow\">\u003Cstrong>l’Information Commissioner’s Office (ICO)\u003C/strong>,\u003C/a> l’autorité indépendante britannique de protection des données, a publié un communiqué officiel annonçant une sanction de \u003Cstrong>£14,47 millions\u003C/strong> (soit environ \u003Cstrong>17 millions d'euros\u003C/strong>) à l’encontre de \u003Cstrong>Reddit, Inc.\u003C/strong>, pour avoir utilisé \u003Cstrong>illégalement les données personnelles d’enfants de moins de 13 ans\u003C/strong> et ne pas avoir mis en place des \u003Cstrong>mécanismes adéquats de vérification de l’âge\u003C/strong>.\u003C/p>\r\n\u003Cp>Selon l’ICO :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Reddit \u003Cstrong>n’a pas appliqué de mécanisme robuste de vérification d’âge\u003C/strong>, se contentant jusqu’à juillet 2025 d’une simple \u003Cstrong>auto-déclaration de la part des utilisateurs\u003C/strong>, facilement contournable.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>L’entreprise \u003Cstrong>n’a pas réalisé d’Analyse d’Impact relative à la Protection des Données (DPIA)\u003C/strong> avant janvier 2025 pour évaluer et atténuer les risques liés à l’usage des données d’enfants, comme l’exige la législation britannique et le RGPD.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>L’ICO a estimé que \u003Cstrong>de nombreux enfants de moins de 13 ans étaient présents sur la plateforme\u003C/strong>, sans base légale pour le traitement de leurs données, ce qui les aurait \u003Cstrong>exposés à des contenus inappropriés ou potentiellement nuisibles\u003C/strong>.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Cette sanction s’inscrit dans le cadre des \u003Cstrong>efforts accrus de l’ICO pour faire appliquer le \u003Cem>Children’s Code\u003C/em> (Age Appropriate Design Code)\u003C/strong> et la législation britannique sur la protection des données, notamment en imposant des obligations renforcées pour les plateformes susceptibles d’être utilisées par des mineurs.\u003C/p>\r\n\u003Ch2 id=\"croatie-une-agence-immobiliere-sanctionnee-100-000-pour-violation-du-rgpd\">Croatie : une agence immobilière \u003Cstrong>sanctionnée 100 000\u003C/strong> € pour violation du RGPD\u003C/h2>\r\n\u003Cp>Le 19 février 2026, l’\u003Cstrong>Agence croate de protection des données personnelles (\u003Ca href=\"https://azop.hr/a-real-estate-agency-fined-eur-100000-00/\" rel=\"nofollow\">Agencija za zaštitu osobnih podataka – AZOP\u003C/a>)\u003C/strong> a infligé une amende administrative de \u003Cstrong>100 000 €\u003C/strong> à une agence immobilière agissant en tant que responsable du traitement pour plusieurs violations du RGPD.\u003C/p>\r\n\u003Ch3 id=\"motifs-de-la-sanction\">Motifs de la sanction\u003C/h3>\r\n\u003Cp>L’AZOP a constaté que l’agence avait enfreint plusieurs obligations fondamentales du RGPD notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Violation du principe de limitation de conservation\u003C/strong> : l’agence a conservé les données personnelles de 11 887 clients bien au-delà de la durée nécessaire à la finalité du traitement.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Absence de base légale pour certaines données\u003C/strong> : des copies de documents sensibles (par exemple 898 cartes d’identité, 6 passeports, 3 copies de cartes bancaires, une carte d’assurance maladie, une carte d’identité d’un mineur, etc.) figuraient dans les archives sans justification juridique claire.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Manque de mesures techniques et organisationnelles adéquates\u003C/strong> : l’agence n’avait pas assuré une supervision et une formation suffisantes du personnel accédant aux données, \u003Cem>contrairement aux exigences de l’article 32 du RGPD\u003C/em>.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Durant l’inspection, l’AZOP a constaté que de nombreux contrats de médiation pour l’achat ou la location de biens immobiliers, conclus entre \u003Cstrong>2010 et 2019\u003C/strong>, \u003Cstrong>étaient toujours archivés avec les données jointes\u003C/strong>, même si ces documents n’étaient plus nécessaires pour la finalité d’origine du traitement.\u003C/p>\r\n\u003Ch3 id=\"enjeux-de-cette-sanction\">Enjeux de cette sanction\u003C/h3>\r\n\u003Cp>Cette décision rappelle plusieurs points clés :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Le \u003Cstrong>principe de minimisation et de limitation de conservation\u003C/strong> impose que les données ne soient conservées \u003Cem>que pendant la durée nécessaire\u003C/em> à la finalité initiale (art. 5 RGPD).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>La \u003Cstrong>licéité du traitement\u003C/strong> suppose une base juridique explicite pour chaque type de données stocké, en particulier pour des documents sensibles comme des copies de pièces d’identité ou de cartes bancaires (art. 5 RGPD).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les \u003Cstrong>mesures de sécurité organisationnelles et techniques\u003C/strong> (formation du personnel, surveillance des accès, règles claires de traitement) doivent être adaptées au risque (art. 32 RGPD).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"pologne-dpd-polska-sanctionnee-11-millions-pln-25-millions-pour-manquements-aux-obligations-de-sous-traitance-et-de-securite\">Pologne : DPD Polska sanctionnée \u003Cstrong>11 millions PLN (~2,5 millions €)\u003C/strong> pour manquements aux obligations de sous-traitance et de sécurité\u003C/h2>\r\n\u003Cp>\u003Cstrong>L’Office polonais de protection des données personnelles (\u003Ca href=\"https://uodo.gov.pl/pl/138/4075\" rel=\"nofollow\">UODO – Urząd Ochrony Danych Osobowych\u003C/a>)\u003C/strong> a infligé des \u003Cstrong>amendes totalisant 11 000 000 PLN\u003C/strong> à \u003Cstrong>DPD Polska Sp. z o.o.\u003C/strong>, suite à plusieurs manquements graves concernant le traitement des données personnelles de clients.\u003C/p>\r\n\u003Cp>L’UODO a relevé que DPD Polska :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cp>\u003Cstrong>N’avait pas conclu d’accords de traitement des données (DPA) avec ses sous-traitants externes\u003C/strong> (notamment des transporteurs ayant accès aux étiquettes d’expédition contenant des données personnelles) en violation de l’article 28(3) du RGPD (obligations relatives aux contrats avec les sous-traitants).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Ne garantissait pas que ses employés traitaient les données personnelles uniquement sur autorisation appropriée\u003C/strong> (art. 32(4) du RGPD). Le système interne de l’entreprise générant des pseudo‑autorisations manquait d’éléments essentiels tels que le nom et la signature, compromettant la traçabilité et la légalité des traitements.\u003C/p>\r\n\u003C/li>\r\n\u003C/ol>\r\n\u003Cp>La sanction de 11 millions PLN (~2,5 millions €) reflète la gravité des manquements : l’entreprise n’avait pas sécurisé correctement la \u003Cstrong>relation contractuelle avec ses sous-traitants\u003C/strong>, ni encadré le \u003Cstrong>traitement interne des données personnelles par ses employés\u003C/strong>, exposant ainsi les données de ses clients à des risques non contrôlés.\u003C/p>\r\n\u003Ch2 id=\"union-europeenne-la-cjue-annule-lordonnance-du-tue-dans-laffaire-ireland-c-whatsapp\">Union européenne : la CJUE annule l’ordonnance du TUE dans l’affaire Ireland c/ WhatsApp\u003C/h2>\r\n\u003Cp>Le 10 février 2026, \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62023CJ0097\" rel=\"nofollow\">la Cour de justice de l'Union européenne (CJUE) \u003C/a>a annulé une ordonnance du Tribunal de l'Union européenne (TUE) \u003Cstrong>qui avait déclaré irrecevable le recours introduit par WhatsApp Ireland Ltd\u003C/strong> contre une décision liée à la procédure engagée par l’autorité irlandaise de protection des données.\u003C/p>\r\n\u003Ch3 id=\"la-decision-de-lautorite-irlandaise\">La décision de l’autorité irlandaise\u003C/h3>\r\n\u003Cp>À la suite de l’entrée en vigueur du RGPD, la \u003Cstrong>Data Protection Commission (DPC) irlandaise\u003C/strong> a été saisie de plusieurs plaintes concernant la transparence des traitements opérés par WhatsApp, notamment en lien avec un éventuel partage de données avec d’autres entités du groupe Facebook (devenu Meta).\u003C/p>\r\n\u003Cp>Dans sa décision finale, la DPC a estimé que WhatsApp avait méconnu :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Le principe de transparence (article 5, §1, a) RGPD),\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les obligations d’information prévues aux articles 12 à 14 du RGPD.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Sur le fondement de l’article 58, §2 RGPD, l’autorité a alors prononcé \u003Cstrong>quatre amendes administratives\u003C/strong>, pour un montant cumulé de \u003Cstrong>225 millions d’euros\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"lirrecevabilite-prononcee-par-le-tue\">L’irrecevabilité prononcée par le TUE\u003C/h3>\r\n\u003Cp>Plusieurs autorités européennes ayant formulé des objections au projet de décision irlandais, le Comité européen de la protection des données (CEPD) a été saisi.\u003C/p>\r\n\u003Cp>Le CEPD a adopté une \u003Cstrong>décision contraignante\u003C/strong> au titre de l’article 65 RGPD, imposant à la DPC d’intégrer certaines analyses et de revoir certains éléments, notamment en matière de qualification des manquements et de sanctions. \u003Cstrong>La décision finale irlandaise a donc été adoptée en tenant compte de cette position du CEPD.\u003C/strong>\u003C/p>\r\n\u003Cp>Estimant que cette décision contraignante affectait directement sa situation juridique, WhatsApp a introduit un recours en annulation devant le Tribunal de l'Union européenne (TUE), contestant la légalité de la décision du CEPD.\u003C/p>\r\n\u003Cp>WhatsApp a contesté devant le TUE la décision du Comité européen de la protection des données (CEPD) ayant influencé la décision finale irlandaise dans le cadre du mécanisme de coopération (article 65 RGPD).\u003C/p>\r\n\u003Cp>Le TUE avait toutefois jugé le recours \u003Cstrong>irrecevable\u003C/strong>, considérant que WhatsApp n’était pas \u003Cstrong>directement concernée\u003C/strong> par la décision litigieuse du CEPD, celle-ci s’adressant formellement à l’autorité irlandaise.\u003C/p>\r\n\u003Ch3 id=\"lannulation-par-la-cjue\">L’annulation par la CJUE\u003C/h3>\r\n\u003Cp>La Cour considère en substance que l’analyse du TUE sur l’absence d’affectation directe était erronée. En effet, \u003Cstrong>la décision européenne en cause produisait des effets juridiques contraignants susceptibles d’affecter directement la situation juridique de WhatsApp\u003C/strong>, notamment quant au contenu de la décision finale et au montant des sanctions.\u003C/p>\r\n\u003Cp>En annulant l’ordonnance d’irrecevabilité du Tribunal de l'Union européenne, la Cour de justice de l'Union européenne \u003Cstrong>permet un examen au fond du recours introduit par WhatsApp Ireland Ltd\u003C/strong>.\u003C/p>\r\n","Dastra Insights: que s'est-il passé au mois de février? ","Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA",2255,13,"Dastra Insights: que s'est-il passé en février ?",0,null,"fr","dastra-insights-que-sest-il-passe-en-fevrier","Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.",false,"Published",{"id":20,"displayName":21,"avatarUrl":22,"bio":13,"blogUrl":13,"color":13,"userId":20,"creationDate":23},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2026-03-03T13:00:00","2026-03-02T13:49:44.2709729","2026-03-12T15:52:54.6800302",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":14,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":44},[45,46,47],{"lang":14,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[],"https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-original.png",[51,52,53,54,55,56,57],"https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-1000.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-1500.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-800.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-600.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-300.webp","https://static.dastra.eu/content/6c1e991f-a1b1-4b2c-aa21-0ad4a4f494c1/dastractu-3-100.webp",59899]